BitLocker 常見問題

是，BitLocker 支援多重要素驗證的作業系統磁碟機。 如果在 TPM 1.2 版或更新版本的電腦上啟用 BitLocker，則可以搭配 TPM 保護使用其他形式的驗證。

需要有兩個磁碟分割才能執行 BitLocker，原因是預先啟動驗證與系統完整性驗證必須從加密的作業系統磁碟機在個別的磁碟分割上進行。 這種組態有助於保護作業系統以及加密磁碟機中的資訊。

您可以在資訊安全中心>裝置安全>性處理器詳細數據 Windows Defender 取 TPM 狀態。

是，如果 BIOS 或 UEFI 韌體能夠從開機環境中的 USB 快閃磁碟驅動器讀取，則可以在沒有 TPM 的操作系統磁碟驅動器上啟用 BitLocker。 在計算機的 TPM 或包含該電腦 BitLocker 啟動金鑰的 USB 快閃磁碟驅動器首次發行 BitLocker 自己的磁碟區主要密鑰之前，BitLocker 將不會解除鎖定受保護的磁碟驅動器。 不過，沒有 TPM 的計算機將無法使用 BitLocker 也可以提供的系統完整性驗證。 若要協助判斷電腦是否能在開機過程中從 USB 裝置進行讀取，請在進行 BitLocker 安裝程序期間使用 BitLocker 系統檢查。 這個系統檢查會執行測試，確認電腦可正確地從 USB 裝置進行讀取，而且該電腦符合其他 BitLocker 需求。

請連絡電腦製造商，要求提供符合下列需求且與信賴運算群組 (TCG) 規範的 BIOS 或 UEFI 開機韌體：

• 它符合客戶端電腦的 TCG 標準
• 它具有安全的更新機制，可協助防止計算機上安裝惡意 BIOS 或開機韌體

若要在操作系統和固定數據磁碟驅動器上開啟、關閉或變更 BitLocker 的設定，需要本機 Administrators 群組的成員資格。 標準使用者可以在抽取式資料磁碟機上開啟、關閉或變更 BitLocker 的設定。

計算機的啟動選項應該設定為先讓硬碟以開機順序進行，再設定為 CD/DVD 磁碟驅動器或 USB 磁碟驅動器等任何其他磁碟驅動器。 如果硬碟不是第一個，而且計算機通常會從硬碟開機，則在開機期間找到卸除式媒體時，可能會偵測或假設開機順序變更。 開機順序通常會影響由 BitLocker 驗證的系統測量，而開機順序的變更會導致提示輸入 BitLocker 修復密鑰。 基於相同原因，如果膝上型計算機與停駐站搭配使用，請確定當膝上型電腦停駐和卸除時，硬碟會先處於開機順序。

是。

\[解密\] 會完全移除 BitLocker 保護並完全解密磁碟機。

\[暫停\] 會讓資料保持在加密狀態，但會使用清除金鑰來加密 BitLocker 磁碟區主要金鑰。 清除金鑰是一個密碼編譯金鑰，以未加密且未受保護的方式儲存在磁碟機上。 以未加密的方式儲存這個金鑰，\[暫停\] 選項允許對該電腦進行變更或升級，以節省解密和重新加密整個磁碟機的時間和成本。 完成變更並再次啟用 BitLocker 之後，BitLocker 將根據測量的元件在升級時所變更的新值重新密封加密金鑰、磁碟區主要金鑰會變更、保護裝置會更新以與之相符，而且會刪除清除金鑰。

使用者不需要對 BitLocker 進行任何動作，就能套用 Microsoft 的更新，包括 Windows 品質更新與功能更新。 使用者必須為非 Microsoft 軟體更新暫止 BitLocker，例如：

• 如果這些更新清除 Windows API 外部的 TPM，則會更新某些 TPM 韌體。 並非每個 TPM 韌體更新都會清除 TPM。 如果 TPM 韌體更新使用 Windows API 來清除 TPM，使用者就不需要暫停 BitLocker，因為在此情況下，BitLocker 將會自動暫停。 如果使用者不想暫停 BitLocker 保護，建議他們測試其 TPM 韌體更新
• 修改 UEFI\BIOS 設定的非 Microsoft 應用程式更新
• 只有在 BitLocker 使用安全開機進行完整性驗證時，才能手動或非 Microsoft 更新來保護開機資料庫 ()
• 匯報 至 UEFI\BIOS 韌體、安裝其他 UEFI 驅動程式或 UEFI 應用程式，而不需要使用 Windows 更新機制 (只有在更新期間 BitLocker 未使用安全開機進行完整性驗證時)
• 如果 BitLocker 使用安全開機進行命令行 manage-bde.exe -protectors -get C:的完整性驗證，則可加以檢查。 如果使用安全開機進行完整性驗證，則會報告 使用安全開機進行完整性驗證

是，您可以使用 Windows PowerShell 或manage-bde.exe命令，將部署和設定 BitLocker 自動化。 如需常見 BitLocker 管理命令的詳細資訊，請參閱 BitLocker 作業指南。

一般而言，效能額外負荷很小，通常是以一位數的百分比表示，這相對於它需要操作之記憶體作業的輸送量。

雖然 BitLocker 加密會在使用者繼續使用系統時於背景進行，但加密時間會根據加密的磁碟驅動器類型、磁碟驅動器大小和磁碟驅動器速度而有所不同。 如果加密大型磁碟驅動器，加密可能會想要在未使用磁碟驅動器的期間排程。

啟用 BitLocker 時，也可以將 BitLocker 設定為加密整個磁碟驅動器，或只加密磁碟驅動器上的已使用空間。 在新的硬碟上，只加密已使用的空間會比加密整個磁碟機更快速。 選取這個加密選項時，BitLocker 會在資料儲存時自動加密，確保不會以未加密的方式儲存任何資料。

如果電腦關閉或進入休眠，BitLocker 加密與解密程序將會在下次 Windows 啟動時，從停止處開始繼續作業。 即使電源突然無法使用，BitLocker 仍會繼續加密或解密。

否，BitLocker 不會在讀取和寫入數據時加密和解密整個磁碟驅動器。 受 BitLocker 保護的磁碟驅動器中加密的扇區只會在系統讀取作業要求時解密。 系統在將要寫入磁碟機的區塊寫入實體磁碟之前會先予以加密。 受 BitLocker 保護的磁碟機上不會儲存任何未加密的資料。

原則設定可以設定為要求數據磁碟驅動器必須受到 BitLocker 保護，BitLocker 保護的電腦才能將數據寫入其中。 如需詳細資訊，請參閱 BitLocker 原則設定。 啟用這些原則設定時，受 BitLocker 保護的作業系統會掛接任何不受 BitLocker 保護的數據磁碟驅動器作為只讀。

BitLocker 可讓用戶選擇只加密其數據。 雖然這不是加密磁碟驅動器最安全的方式，但此選項可以根據需要加密的數據量，將加密時間減少 99% 以上。 如需詳細資訊，請參閱 僅限已使用的磁碟空間加密。

下列系統變更類型會造成完整性檢查失敗，並阻止 TPM 發行 BitLocker 金鑰來解密受保護的作業系統磁碟機：

• 將受 BitLocker 保護的磁碟驅動器移至新電腦
• 使用新的 TPM 安裝新的主機板
• 關閉、停用或清除 TPM
• 變更任何開機組態設定
• 變更 BIOS、UEFI 韌體、主要開機記錄、開機扇區、開機管理員、選項 ROM 或其他早期開機組件或開機設定數據

由於 BitLocker 的設計目的是要保護電腦免於遭受許多攻擊，因此 BitLocker 可能會在恢復模式中啟動的原因有很多。 例如：

• 變更 BIOS 開機順序，以在硬碟之前開機另一個磁碟驅動器
• 新增或移除硬體，例如在計算機中插入新卡片
• 在可攜式電腦上移除、插入或完全耗盡智慧電池的電量

在 BitLocker 中，修復包含使用儲存於 USB 快閃磁碟機上的修復金鑰或衍生自修復密碼的密碼編譯金鑰來解密磁碟區主要金鑰的複本。 TPM 不涉及任何復原案例，因此，如果 TPM 無法通過開機組件驗證、故障或移除，仍可進行復原。

如果非 Windows OS 在 Windows 之前開機，或裝置無法使用安全開機，則 BitLocker 可能無法繫結至 PCR 7，因為它已停用或硬體不支援它。

是，如果已啟用 BitLocker，可以在同一部計算機上交換多個硬碟，但前提是硬碟在同一部計算機上受到 BitLocker 保護。 BitLocker 金鑰對 TPM 和作業系統磁碟驅動器而言是唯一的。 如果需要備份作業系統或數據磁碟驅動器，以防磁碟失敗，請確定它們與正確的 TPM 相符。 您也可以針對不同的操作系統設定不同的硬碟，然後使用不同的驗證方法在每個操作系統上啟用 BitLocker (例如，一個僅限 TPM，另一個具有 TPM+PIN) ，而不會發生衝突。

是，如果磁碟驅動器是數據磁碟驅動器，則可以使用密碼或智慧卡從 BitLocker 磁碟驅動器加密 控制台 專案解除鎖定。 如果數據磁碟驅動器只設定為自動解除鎖定，則必須使用修復密鑰解除鎖定。 您可以透過資料修復代理 (如已設定) 來解除鎖定加密的硬碟，或是使用修復金鑰來解除鎖定。

某些磁碟驅動器無法使用 BitLocker 加密。 磁碟驅動器無法加密的原因包括磁碟大小不足、檔案系統不相容、磁碟驅動器是動態磁碟，或磁碟驅動器指定為系統磁碟分區。 預設會隱藏系統磁碟機 (或系統磁碟分割)。 不過，如果因為自定義安裝程式而安裝操作系統時，並未建立為隱藏的磁碟驅動器，該磁碟驅動器可能會顯示，但無法加密。

可利用 BitLocker 來保護任意數目的內部固定式資料磁碟機。 在部分版本上，也支援 ATA 與 SATA 型的直接連結存放裝置。

抽取式數據磁碟驅動器可以使用密碼或智慧卡解除鎖定。 SID 保護裝置也可以設定為使用使用者網域認證來解除鎖定磁碟驅動器。 加密開始之後，磁碟驅動器也可以針對特定用戶帳戶在特定計算機上自動解除鎖定。 系統管理員可以設定哪些選項可供使用者使用，包括密碼複雜度和最小長度需求。 若要使用 SID 保護裝置解除鎖定請使用 manage-bde.exe：

Manage-bde.exe -protectors -add e: -sid domain\username

BitLocker 可以產生和使用多個密鑰。 某些金鑰是必要的，有些是選擇性保護裝置，您可以根據您需要的安全性層級選擇使用。

TPM 擁有者密碼

在 TPM 1.2 版的電腦上啟用 BitLocker 之前，您必須先初始化 TPM。 初始化程式會產生 TPM 擁有者密碼，也就是 TPM 上設定的密碼。 您必須能夠提供 TPM 擁有者密碼來變更 TPM 的狀態，例如啟用或停用 TPM 或重設 TPM 鎖定時。

修復密碼和修復金鑰

當您設定 BitLocker 時，您必須選擇如何復原受 BitLocker 保護的磁碟驅動器，以防無法使用指定的解除鎖定方法 (例如 TPM 無法驗證開機組件、忘記 PIN (的個人識別碼) ，或忘記密碼) 。 在這些情況下，您必須能夠提供修復密鑰或修復密碼，以解除鎖定磁碟驅動器上的加密數據。 當您提供復原資訊時，可以使用下列其中一種格式：

• 由 48 個數位組成的修復密碼分成八個群組。 在復原期間，您需要使用鍵盤上的函式密鑰，在 BitLocker 修復控制台中輸入此密碼
• USB 快閃磁碟驅動器上的密鑰檔案，由 BitLocker 修復控制台直接讀取。 在復原期間，您需要插入此 USB 裝置

PIN 和增強型 PIN

若要使用 TPM 取得更高層級的安全性，您可以使用 PIN) (個人識別符來設定 BitLocker。 PIN 是使用者建立的值，必須在每次電腦啟動或從休眠狀態繼續時輸入。 PIN 可以由設定 啟動原則的最小 PIN 長度 設定所指定的 4 到 20 位數組成，並在內部儲存為輸入 Unicode 字元的 256 位哈希。 此值永遠不會對用戶顯示。 PIN 可用來提供另一個與 TPM 驗證搭配驗證的驗證因素。
如需 TPM 更高層級的安全性，您可以將 BitLocker 設定為使用增強型 PIN。 增強型 PIN 是 PIN，除了數值集之外，還會使用完整的鍵盤字元集來允許更多可能的 PIN 組合，且長度介於 4 到 20 個字元之間。 若要使用增強的 PIN，您必須在將 PIN 新增至磁碟驅動器之前，啟用 [ 允許增強的 PIN 以進行啟動 ] 原則設定。 藉由啟用此原則，所有建立的 PIN 都可以利用完整的鍵盤字元。

啟動金鑰

設定啟動金鑰是使用 TPM 啟用更高層級安全性的另一種方法。 啟動金鑰是儲存在 USB 快閃磁碟驅動器上的金鑰，而且每次電腦啟動時都必須插入 USB 快閃磁碟驅動器。 啟動金鑰可用來提供另一個與 TPM 驗證一起驗證的因素。 若要使用 USB 快閃磁碟驅動器作為啟動金鑰，必須使用 NTFS、FAT 或 FAT32 檔案系統來格式化 USB 快閃磁碟驅動器。

操作系統磁碟驅動器或固定數據磁碟驅動器的修復密碼和修復密鑰可以儲存至資料夾、儲存至一或多個 USB 裝置、儲存至 Microsoft 帳戶或列印。

對於抽取式數據磁碟驅動器，可以將修復密碼和修復密鑰儲存至資料夾、儲存至 Microsoft 帳戶或列印。 根據預設，卸除式磁碟驅動器的修復密鑰無法儲存在卸載式磁碟驅動器上。

網域系統管理員也可以設定原則設定來自動產生修復密碼，並將它們儲存在 Active Directory 網域服務 (AD DS) 或任何受 BitLocker 保護的磁碟驅動器 Microsoft Entra ID。

命令 Manage-bde.exe 行工具可用來以多重要素驗證模式取代僅限 TPM 的驗證模式。 例如，如果只使用 TPM 驗證啟用 BitLocker，而且需要新增 PIN 驗證，請從提升許可權的命令提示字元使用下列命令，以所需的數 值 PIN 取代 4-20 位數的數值 PIN ：

manage-bde.exe -protectors -delete %systemdrive% -type tpm

manage-bde.exe -protectors -add %systemdrive% -tpmandpin <4-20 digit numeric PIN>

符合 Windows 硬體相容性計畫需求的新硬體可讓 PIN 變得較不重要，宛如風險降低一般，且搭配如裝置鎖定等原則一起使用時，具備僅 TPM 之保護裝置通常都已足夠。 例如，Surface Pro 和 Surface Book 沒有要攻擊的外部 DMA 埠。 針對可能需要 PIN 的較舊硬體，建議您啟用 增強型 PIN ，以允許字母和標點符號等非數值字元，並根據電腦上 TPM 可用的風險承受度和硬體反鐵制功能來設定 PIN 長度。

BitLocker 是設計為若未進行必要的驗證，就無法修復加密的磁碟機。 處於修復模式時，使用者需要修復密碼或修復金鑰，才能解除鎖定加密的磁碟機。

雖然技術上可以使用 USB 快閃磁碟驅動器作為啟動金鑰和修復密鑰的記憶體，但使用一個 USB 快閃磁碟驅動器來儲存這兩個密鑰並非最佳做法。 如果包含啟動金鑰的 USB 快閃磁碟驅動器遺失或遭竊，修復金鑰也會遺失。 此外，插入此金鑰會導致計算機自動從修復金鑰開機，即使 TPM 測量的檔案已變更，這會規避 TPM 的系統完整性檢查。

是，計算機的啟動金鑰可以儲存在多個 USB 快閃磁碟驅動器上。 以滑鼠右鍵按兩下受 BitLocker 保護的磁碟驅動器，然後選取 [ 管理 BitLocker ] 會提供選項，以視需要將修復密鑰儲存在其他 USB 快閃磁碟驅動器上。

是，不同計算機的 BitLocker 啟動金鑰可以儲存在相同的 USB 快閃磁碟驅動器上。

您可以透過腳本來產生相同電腦的不同啟動金鑰。 不過，若是具有 TPM 的電腦，建立不同的啟動金鑰會讓 BitLocker 無法使用 TPM 的系統完整性檢查。

無法產生多個 PIN 組合。

原始資料是使用完整磁碟區加密金鑰來加密，然後使用磁碟區主要金鑰來加密。 視驗證 (即密鑰保護裝置或 TPM) 和復原案例而定，磁碟區主要密鑰會接著由數種可能的方法之一加密。

完整磁碟區加密金鑰是由磁碟區主要金鑰所加密，並儲存在加密的磁碟機中。 磁碟區主要金鑰是由適當的金鑰保護裝置所加密，並儲存在加密的磁碟機中。 如果已暫停 BitLocker，用以加密磁碟區主要金鑰的清除金鑰，也會和加密的磁碟區主要金鑰一起儲存在加密的磁碟機中。

此記憶體程式可確保磁碟區主要密鑰永遠不會以未加密的方式儲存，除非已停用 BitLocker，否則會受到保護。 金鑰也會儲存到磁碟機上的另外兩個位置，以進行備援。 開機管理程式可以讀取和處理上述金鑰。

在所有電腦與所有語言的開機前環境中，F1 至 F10 鍵是可用的通用對應掃描碼。 數值金鑰 0 到 9 無法在所有鍵盤的開機前環境中使用。

使用增強的 PIN 時，使用者應該在進行 BitLocker 安裝程序期間，執行選擇性系統檢查，以確保能在開機前環境中正確輸入 PIN。

執行暴力密碼破解攻擊的攻擊者可能會探索到 (PIN) 的個人識別碼。 攻擊者使用自動化工具不斷嘗試不同的 PIN 組合直到發現正確的組合為止，就會發生暴力密碼破解攻擊。 針對受 BitLocker 保護的電腦，這種類型的攻擊也稱為字典攻擊，要求攻擊者具有計算機的實體存取權。

TPM 內建偵測和對這類攻擊做出反應的功能。 由於不同製造商的 TPM 可能支援不同的 PIN 和攻擊防護功能，請連絡 TPM 的製造商，以判斷計算機的 TPM 如何減輕 PIN 暴力密碼破解攻擊。 決定 TPM 的製造商之後，請連絡製造商以收集 TPM 的廠商特定資訊。 大部分製造商都會使用 PIN 驗證失敗計數，以指數方式增加鎖定 PIN 介面的時間。 不過，每家製造商對於有關何時與如何減少或重設失敗計數器的原則都各不相同。

您可以在資訊安全中心>裝置安全>性處理器詳細數據 Windows Defender 判斷 TPM 製造商。

向 TPM 製造商詢問字典攻擊防護機制的設計時，下列問題可提供協助：

• 在鎖定之前，授權嘗試可以失敗幾次？
• 根據嘗試失敗的次數與所有其他相關參數，決定鎖定期間的演算法為何？
• 哪些動作可讓失敗計數與鎖定期間減少或重設？

您可以使用 [設定啟動 群組原則 的最小 PIN 長度] 設定來設定 PIN) 長度 (最小個人識別符，並允許使用英數位元 PIN，方法是啟用 [允許啟始的增強 PIN 碼] 原則設定。 無法透過原則設定來要求 PIN 複雜度。

如需詳細資訊，請參閱 BitLocker 原則設定。

BitLocker 會使用 SHA-256 將使用者指定的個人識別符哈希 (PIN) ，而哈希的前 160 位會當做傳送至 TPM 的授權數據來密封磁碟區主要密鑰。 磁碟區主要金鑰現在受到 TPM 和 PIN 的保護。 若要解密磁碟區主要密鑰，您必須在每次電腦重新啟動或從休眠狀態繼續時輸入 PIN。

BitLocker To Go 是抽取式資料磁碟機上的 BitLocker 磁碟機加密。 此功能包含下列項目的加密：

• USB 快閃磁碟驅動器
• SD 卡片
• 外部硬碟
• 使用NTFS、FAT16、FAT32或exFAT檔案系統格式化的其他磁碟驅動器。

磁碟驅動器分割必須符合 BitLocker 磁碟驅動器加密數據分割需求。

如同 BitLocker，BitLocker To Go 加密的磁碟驅動器可以使用密碼或智慧卡在另一部電腦上開啟。 在 控制台 中，使用 BitLocker 磁碟驅動器加密。

如果在套用原則設定以強制備份之前，已在磁碟驅動器上啟用 BitLocker，當電腦加入網域或後續套用原則設定時，修復資訊將不會自動備份至 AD DS。 不過，原則設定 選擇如何復原受 BitLocker 保護的作業系統磁碟驅動器、 選擇如何復原受 BitLocker 保護的固定磁碟驅動器，以及選擇如何復原受 BitLocker 保護的卸除式磁碟驅動器 ，要求計算機必須連線到網域，才能啟用 BitLocker，以協助確保組織中受 BitLocker 保護之磁碟驅動器的復原資訊會備份至 AD DS。

如需如何將修復密碼備份至 AD DS 或 Microsoft Entra ID 的詳細資訊，請檢閱 BitLocker 作業指南。

是，表示備份成功或失敗的事件記錄檔項目會記錄在用戶端電腦上。 不過，即使事件記錄檔項目顯示「成功」，之後卻可能會從 AD DS 中移除該資訊，或者重新設定 BitLocker 的方式可能使 Active Directory 資訊無法再解除鎖定磁碟機 (例如，移除修復密碼金鑰保護裝置)。 此外，也可以詐騙記錄專案。

最後，判斷 AD DS 中是否有合法的備份存在，需要使用 BitLocker 密碼檢視器工具，利用網域系統管理員認證來查詢 AD DS。

否。 根據設計，BitLocker 修復密碼專案不會從 AD DS 中刪除。 因此，每個磁碟驅動器可能會看到多個密碼。 若要識別最新的密碼，請檢查該物件的日期。

如果備份一開始失敗，例如在執行 BitLocker 安裝精靈時無法連線到域控制器時，BitLocker 不會再次嘗試將復原資訊備份至 AD DS。

當系統管理員選取 [選擇如何復原受 BitLocker 保護的操作系統磁碟驅動器]、選擇如何復原受 BitLocker 保護的固定) 數據磁碟驅動器，以及選擇如何復原受 BitLocker 保護的固定數據磁碟驅動器，以及選擇如何復原受 BitLocker 保護的固定數據磁碟驅動器，以及選擇如何復原受 BitLocker 保護的卸除式數據磁碟驅動器時，系統管理員選取 [請勿啟用 BitLocker，直到復原資訊儲存在 AD D (S 中。原則設定，用戶無法啟用 BitLocker，除非電腦已連線到網域，且 BitLocker 復原資訊備份至 AD DS 會成功。 在備份失敗時設定這些設定后，就無法啟用 BitLocker，確保系統管理員能夠復原組織中受 BitLocker 保護的磁碟驅動器。

如需詳細資訊，請參閱 BitLocker 原則設定。

當系統管理員清除這些複選框時，系統管理員允許磁碟驅動器受到 BitLocker 保護，而不需要將復原資訊成功備份至 AD DS;不過，如果備份失敗，BitLocker 將不會自動重試。 相反地，系統管理員可以建立備份腳本，如先前在 計算機加入網域之前在計算機上啟用 BitLocker 的狀況 中所述？以在還原連線後擷取資訊。

BitLocker 使用進階加密標準 (AES) 作為其加密演算法，其可設定的密鑰長度為 128 位或 256 位。 默認加密設定為 AES-128，但您可以使用原則設定來設定選項。

操作系統磁碟驅動器上 BitLocker 設定的建議做法是在 TPM 1.2 版或更新版本的電腦上實作 BitLocker。

操作系統磁碟驅動器上的基本組態中的 BitLocker 可為休眠模式提供額外的安全性。 在睡眠模式中，計算機很容易遭受直接記憶體存取攻擊，因為未受保護的數據會保留在 RAM 中。 因此，為了改善安全性，建議停用睡眠模式。 您可以使用原則 設定來設定啟動驗證。

大部分的作業系統都會使用共用的記憶體空間，並仰賴作業系統來管理實體記憶體。 TPM 是一種硬體元件，使用自己的內部韌體與邏輯電路來處理指示，因此可提供防護，不會受到外部軟體弱點影響。 攻擊 TPM 需要實際存取電腦。 此外，攻擊硬體所需的工具和技能通常較昂貴，而且通常不如用來攻擊軟體的工具和技能。 因為每個 TPM 對於涵蓋它的電腦而言都是唯一的，所以攻擊多部 TPM 電腦不但困難且費時。

BitLocker 網路解除鎖定可讓啟用 BitLocker 的用戶端和在網域環境中使用 TPM+PIN 保護方法的伺服器更容易管理。 將連接到公司有線網路的電腦重新開機時，網路解除鎖定可允許略過 PIN 輸入提示。 它會將 Windows 部署服務伺服器提供的信任金鑰做為它的次要驗證方法，這樣就能自動解除鎖定受 BitLocker 保護的作業系統磁碟區。

若要使用網路解除鎖定，必須為計算機設定 PIN。 當計算機未連線到網路時，必須提供 PIN 才能解除鎖定。

BitLocker 網路解除鎖定具有用戶端計算機、Windows 部署服務和域控制器的軟體和硬體需求，必須符合才能使用。

網路解除鎖定會使用兩個保護裝置：TPM 保護裝置和網路或 PIN 所提供的保護裝置。 自動解除鎖定會使用單一保護裝置 - 儲存在 TPM 中的保護裝置。 如果計算機加入沒有金鑰保護裝置的網路，則會提示您輸入 PIN。 如果 PIN 無法使用，如果電腦無法連線到網路，則必須使用修復密鑰來解除鎖定電腦。

如需詳細資訊，請參閱 BitLocker：如何啟用網路解除鎖定。

是，加密文件系統 (EFS) 可用來加密受 BitLocker 保護的磁碟驅動器上的檔案。 BitLocker 可協助保護整個操作系統磁碟驅動器免於遭受離線攻擊，而 EFS 可以提供額外的使用者型檔案層級加密，以在相同電腦的多個使用者之間進行安全性分隔。 EFS 也可以在 Windows 中用來加密其他未由 BitLocker 加密的磁碟驅動器上的檔案。 EFS 的根密碼預設會儲存在操作系統磁碟驅動器上;因此，如果已針對操作系統磁碟驅動器啟用 BitLocker，其他磁碟驅動器上由 EFS 加密的數據也會間接受到 BitLocker 保護。

可以。 不過，您應該在啟用 BitLocker 之前開啟偵錯工具。 開啟偵錯工具可確保在密封 TPM 時會正確計算測量，讓電腦可正常啟動。 如果使用 BitLocker 時需要開啟或關閉偵錯，請務必先暫停 BitLocker，以避免電腦進入恢復模式。

BitLocker 有一個存放裝置驅動程式堆疊，可在 BitLocker 啟用時，確保加密記憶體傾印。

BitLocker 不支援智慧卡進行開機前驗證。 韌體中沒有智慧卡支援的單一業界標準，而且大部分的計算機不會實作智慧卡的韌體支援，或只支援特定的智慧卡和讀取器。 缺乏標準化會讓支持它們變得困難。

Microsoft 不支援非 Microsoft TPM 驅動程序，強烈建議您不要搭配 BitLocker 使用。 嘗試搭配 BitLocker 使用非 Microsoft TPM 驅動程式可能會導致 BitLocker 回報電腦上沒有 TPM，且不允許 TPM 與 BitLocker 搭配使用。

基於數個安全性、可靠性和產品支援理由，我們不建議在操作系統磁碟驅動器受 BitLocker 保護的電腦上修改主要開機記錄。 變更主要開機記錄 (MBR) 可能會變更安全性環境，並防止計算機正常啟動，並使從損毀的 MBR 復原所做的任何工作變得複雜。 如果不是由 Windows 對 MBR 進行變更，則會強制電腦進入修復模式，或是完全禁止電腦開機。

系統檢查的設計目的是要確保計算機的 BIOS 或 UEFI 韌體與 BitLocker 相容，而且 TPM 正常運作。 系統檢查失敗的數個原因如下：

• 計算機的 BIOS 或 UEFI 韌體無法讀取 USB 快閃磁碟驅動器
• 計算機的 BIOS、uEFI 韌體或開機功能表未啟用讀取 USB 快閃磁碟驅動器
• 有多個 USB 快閃磁碟驅動器插入電腦
• 未正確輸入 PIN
• 計算機的 BIOS 或 UEFI 韌體只支援使用函式金鑰 (F1-F10) 在開機前環境中輸入數值
• 啟動金鑰已在電腦完成重新啟動之前移除
• TPM 發生錯誤，無法解密金鑰

某些電腦無法在開機前環境中讀取USB快閃磁碟驅動器。 首先，檢查 BIOS 或 UEFI 韌體和開機設定，以確保已啟用 USB 磁碟驅動器的使用。 如果未啟用，請在 BIOS 或 UEFI 韌體和開機設定中啟用 USB 磁碟驅動器，然後再次嘗試從 USB 快閃磁碟驅動器讀取修復密鑰。 如果仍然無法讀取 USB 快閃磁碟驅動器，則硬碟必須掛接為另一部電腦上的數據磁碟驅動器，以便有操作系統嘗試從 USB 快閃磁碟驅動器讀取修復密鑰。 如果USB快閃磁碟驅動器已損毀或損毀，可能需要提供修復密碼，或使用備份至AD DS的復原資訊。 此外，如果修復金鑰正在開機前環境中使用，請確定磁碟驅動器已使用NTFS、FAT16或FAT32檔案系統進行格式化。

卸除式磁碟驅動器預設不會顯示 [ 儲存至 USB ] 選項。 如果無法使用該選項，表示系統管理員不允許使用修復金鑰。

固定數據磁碟驅動器的自動解除鎖定需要操作系統磁碟驅動器也受到 BitLocker 保護。 如果使用的電腦沒有受 BitLocker 保護的作業系統磁碟驅動器，則固定磁碟驅動器無法自動解除鎖定。 對於卸除式數據磁碟驅動器，您可以在 Windows 檔案總管中以滑鼠右鍵按兩下磁碟驅動器，然後選取 [ 管理 BitLocker]，以新增自動解除鎖定。 開啟 BitLocker 時所提供的密碼或智慧卡認證，仍然可以用來解除鎖定其他電腦上的卸載式磁碟驅動器。

您可以在安全模式中使用 BitLocker，但功能有限。 您可以使用 \[BitLocker 磁碟機加密\] 控制台項目，來解除鎖定和解密受 BitLocker 保護的磁碟機。 以滑鼠右鍵按兩下以從 Windows 檔案總管存取 BitLocker 選項，無法在安全模式中使用。

您可以使用 Manage-bde 命令列工具和 -lock 命令來鎖定固定和卸載式數據磁碟驅動器。

這個命令的語法如下：

manage-bde.exe <driveletter> -lock

除了使用這個命令，也會在作業系統關機和重新啟動時鎖定資料磁碟機。 從電腦中移除抽取式資料磁碟機時，也會自動鎖定該磁碟機。

可以。 不過，在啟用 BitLocker 之前所做的陰影複製，都會在軟體加密的磁碟機上啟用 BitLocker 時自動予以刪除。 如果正在使用硬體加密磁碟驅動器，則會保留陰影複製。

只要環境 (實體或虛擬) 符合要執行的 Windows 操作系統需求，BitLocker 就應該像其硬體限制內的任何特定實體機器一樣運作。

• 使用 TPM：是，支援。
• 若沒有 TPM：是，則 (密碼保護裝置) 支援此功能。

數據磁碟區 VHD 也支援 BitLocker，例如叢集所使用的 VHD。

是，如果環境符合 BitLocker 的硬體和軟體需求，則 BitLocker 可以與虛擬機 (VM) 搭配使用。