这两种解决方案都是可以接受的，但它们各有优缺点。

1. 全盘加密：

   优点：您没有在非加密分区中泄露某些敏感数据的风险

   缺点：如果出现问题，整个磁盘将变得不可读，您将不得不尝试从可移动的可启动媒体恢复/重新安装：不要忘记构建并安全存储它

2. 加密分区：

   缺点：如果你只加密一个数据分区，敏感数据可能以临时文件结尾，或者在非加密分区中交换文件

   优点：如果出现问题，未加密的分区将更容易恢复

以下是我的（主观）建议：

如果您的磁盘中有恢复分区，则不应加密该分区，但如果您想要超级安全，则应加密所有 Windows 分区，无论是系统分区还是数据分区，或者如果您可以接受攻击者，则只加密敏感数据分区可以在临时文件或交换文件中找到痕迹。

或者，您可以构建（一组）可移动恢复数据，并使用全盘加密。

恕我直言，初始加密时间并不重要。它只发生一次。但是 150 Gb 的 10 小时似乎很奇怪。SATA 磁盘 io 吞吐量应允许大约 100Mb/s，因此加密 150Gb 不应超​​过几个小时。

加密整个磁盘。开销可以忽略不计，您不必担心有人窃取您的计算机并拥有您的所有数据。如果您必须将计算机送去维修，您不必担心文件被盗或应用程序被盗。

另一个好处是默认情况下所有数据都是加密的，因此您无需将敏感数据从未受保护的分区复制到受保护的分区的心理过程。如果您需要双重保护，请创建一个 VeraCrypt 卷并使用它。

仅加密一个分区而不是整个驱动器的一个好处是，您可以在将系统用于其他任务的同时加密/解密该分区，因此您可以“按需”加密它，但是如果您加密整个磁盘，它就会被解密每次启动并验证系统时。

在安全性方面，正如您所说，如果机器被盗，我会说在这种情况下 FDE 和加密分区之间没有太大区别。如果您在分区上使用强加密，那么您的数据就不太可能受到损害。

我想说，如果您只在需要访问或存储敏感信息时解密它并在完成后再次加密它，那么使用加密的分区/文件夹与 FDE 相比有一些好处，这样您就不会离开文件系统登录时始终处于未加密状态，就像只有 FDE 的情况一样。

这是一个有争议的话题，但是在您的情况下，当您能够清楚地定义哪些文件是“敏感信息”时，我会选择部分加密。

使用像Veracrypt这样的工具，它允许维护一个可以按需挂载的加密容器。然后，

• 仅在需要时解密和访问您的数据，最大限度地减少您的数据暴露。
• 通过仅备份此容器来定期备份它。

这并不排除额外的全盘加密，以防您以后也选择拥有它。