BitLocker

適用對象

  • Windows10

本主題提供 BitLocker 的整體概觀,包括系統需求、實際應用,以及已過時功能的清單。

BitLocker 簡介

BitLocker 磁碟機加密是一項資料保護功能,可與作業系統整合,以及處理資料竊取或因遺失、遭竊或不當解除委任電腦而導致資料公開的威脅。

在與信賴平台模組 (TPM) 1.2 版或更新版本搭配使用時,BitLocker 可提供最新保護。 TPM 是電腦製造商在許多較新型電腦中安裝的硬體元件。 它可以與 BitLocker 共同運作來協助保護使用者資料,以確保電腦在系統離線時不會遭到竄改。

在沒有 TPM 1.2 版或更新版本的電腦上,您仍然可以使用 BitLocker 來加密 Windows 作業系統磁碟機。 不過,這個實作將要求使用者插入 USB 啟動金鑰來啟動電腦,或從休眠狀態繼續。 從 Windows8 開始,您可以使用作業系統磁碟區密碼,在不具 TPM 的電腦上保護作業系統磁碟區。 這兩個選項都不會提供 BitLocker 搭配 TPM 所提供的啟動前系統完整性驗證。

除了 TPM,BitLocker 還提供一個選項,可先鎖定正常啟動程序,直到使用者提供個人識別碼 (PIN) 或插入包含啟動金鑰的抽取式裝置 (例如 USB 快閃磁碟機) 為止。 這些額外的安全性措施提供多重要素驗證,並可確保在使用者出示正確的 PIN 或啟動金鑰之前,電腦將不會啟動或從休眠狀態恢復執行。

實際應用

遺失或遭竊電腦上的資料很容易遭受未經授權的存取,方法是對其執行軟體攻擊工具,或者是將電腦的硬碟傳輸到其他電腦。 BitLocker 可藉由強制執行檔案和系統保護,協助減少未經授權的資料存取。 在解除委任或回收受 BitLocker 保護的電腦時,BitLocker 也可協助將資料轉譯為無法存取的狀態。

遠端伺服器管理工具提供兩個額外工具來管理 BitLocker。

  • BitLocker 修復密碼檢視器: BitLocker 修復密碼檢視器讓您能夠尋找和檢視已備份到 Active Directory 網域服務 (AD DS) 的 BitLocker 磁碟機加密修復密碼。 您可以使用此工具,協助修復已使用 BitLocker 加密之磁碟機上儲存的資料。 BitLocker 修復密碼檢視器工具是 Active Directory 使用者和電腦 Microsoft Management Console (MMC) 嵌入式管理單元的延伸模組。 使用此工具,您可以檢查電腦物件的 [屬性] 對話方塊,以檢視相對應的 BitLocker 修復密碼。 此外,您可以使用滑鼠右鍵按一下網域容器,然後在 Active Directory 樹系中的所有網域上搜尋 BitLocker 修復密碼。 若要檢視修復密碼,您必須是網域系統管理員,或者必須已由網域系統管理員委派權限。

  • BitLocker 磁碟機加密工具: BitLocker 磁碟機加密工具包含命令列工具 manage-bde 與 repair-bde,以及適用於 Windows PowerShell 的 BitLocker Cmdlet。 Manage-bde 和 BitLocker Cmdlet 可用來執行任何可透過 BitLocker 控制台完成的工作,而且它們適用於自動部署和其他指令碼案例。 Repair-bde 是針對嚴重損壞修復案例所提供,在這類案例中,受 BitLocker 保護的磁碟機無法正常解除鎖定,或使用修復主控台。

新功能和變更的功能

若要找出 BitLocker for Windows10 的新功能,例如 XTS-AES 加密演算法的支援,請參閱「Windows 10 的新功能」中的 [ bitlocker ] 區段。

系統需求

BitLocker 的硬體需求如下:

若要讓 BitLocker 使用受信任的平臺模組(TPM)提供的系統完整性檢查,電腦必須擁有 TPM 1.2 或更新版本。 如果您的電腦沒有 TPM,則啟用 BitLocker 會要求您將啟動金鑰儲存在抽取式裝置上,例如 USB 快閃磁碟機。

具備 TPM 的電腦也要有符合信賴運算群組 (TCG) 規範的 BIOS 或 UEFI 韌體。 BIOS 或 UEFI 韌體會針對作業系統前啟動建立信任的鏈結,而且它必須支援 TCG 特定之信任度量的靜態根節點。 不具 TPM 的電腦不需要符合 TCG 規範的韌體。

系統 BIOS 或 UEFI 韌體 (適用於 TPM 和非 TPM 電腦) 必須支援 USB 大型存放裝置類別,包括在作業系統前環境中讀取 USB 快閃磁碟機上的小型檔案。

注意

在 BIOS 的舊版和 CSM 模式中,不支援 TPM 2.0。 使用 TPM 2.0 的裝置必須將其 BIOS 模式設定為僅限原生 UEFI。 舊版和相容性支援模組(CSM)選項必須停用。 若要增加安全性,請啟用 [安全啟動] 功能。

在舊版模式的硬體上已安裝的作業系統,在 BIOS 模式變更為 UEFI 時,系統會停止作業系統的啟動。 在變更 BIOS 模式前,請先使用工具MBR2GPT ,以準備 OS 和磁片以支援 UEFI。

硬碟必須至少分割為兩個磁碟機:

  • 作業系統磁碟機 (或開機磁碟機) 包含作業系統及其支援檔案。 它必須格式化為 NTFS 檔案系統。
  • 系統磁碟機包含在韌體備妥系統硬體後載入 Windows 所需的檔案。 BitLocker 不是在這個磁碟機上啟用。 若要讓 BitLocker 能夠運作,就不能將系統磁碟機加密、必須與作業系統磁碟機加以區分,以及必須在使用 UEFI 型韌體的電腦上格式化為 FAT32 檔案系統或在使用 BIOS 韌體的電腦上格式化為 NTFS 檔案系統。 建議的系統磁碟機大小大約是 350 MB。 開啟 BitLocker 之後,應該要有約 250 MB 的可用空間。

在新電腦上安裝時,Windows 將自動建立 BitLocker 所需的磁碟分割。

在伺服器上安裝 BitLocker 選擇性元件時,您也需要安裝「增強的存放區」功能,以用來支援硬體加密的磁碟機。

本節內容

主題 描述
Windows 10 的 BitLocker 裝置加密概觀 本主題適用於 IT 專業人員,概述 BitLocker 與裝置加密如何協助保護執行 Windows 10 之裝置上的資料。
BitLocker 常見問題集 (FAQ) 本主題適用於 IT 專業人員,可解答使用、升級、部署和管理 BitLocker,以及 BitLocker 金鑰管理原則的相關需求常見問題。
讓組織準備使用 BitLocker:規劃和原則 本主題的適用對象為 IT 專業人員,說明如何規劃您的 BitLocker 部署。
BitLocker 基本部署步驟 本主題的適用對象為 IT 專業人員,將說明如何使用 BitLocker 功能,透過磁碟機加密來保護資料。
BitLocker:如何在 Windows Server 上部署 本主題適用于 IT 專業人員說明如何在 Windows Server 上部署 BitLocker。
BitLocker:如何啟用網路解除鎖定 本主題的適用對象是 IT 專業人員,將說明 BitLocker 網路解除鎖定的運作方式及設定方式。
BitLocker:使用 BitLocker 磁碟機加密工具來管理 BitLocker 本主題的適用對象為 IT 專業人員,將說明如何使用工具來管理 BitLocker。
BitLocker:使用 BitLocker 修復密碼檢視器 本主題的適用對象為 IT 專業人員,說明如何使用 BitLocker 修復密碼檢視器。
BitLocker 群組原則設定 本主題適用於 IT 專業人員,說明管理 BitLocker 所用之每個群組原則設定的功能、位置及效果。
BCD 設定和 BitLocker 本主題適用於 IT 專業人員,說明 BitLocker 使用的 BCD 設定。
BitLocker 修復指南 本主題的適用對象為 IT 專業人員,將說明如何從 AD DS 修復 BitLocker 金鑰。
保護 BitLocker 不受開機前攻擊 本詳細指南將協助您瞭解執行 Windows10、Windows 8.1、Windows 8 或 Windows 7 的裝置時,建議使用預啟動驗證的情況。而且可以在裝置的設定中安全地省略它。
使用 BitLocker 保護叢集共用磁碟區和存放區域網路 本主題適用於 IT 專業人員,將說明如何使用 BitLocker 來保護 CSV 和 SAN。
在 Windows 10 IoT 核心版上啟用安全開機和 BitLocker 裝置加密 本主題說明如何將 BitLocker 與 Windows 10 IoT 核心版搭配使用