BitLocker

適用於

  • Windows 10
  • Windows 11
  • Windows Server 2016 及更新版本

本主題提供 BitLocker 的整體概觀,包括系統需求、實際應用,以及已過時功能的清單。

Bitlocker 概觀

BitLocker 磁碟機加密是一項資料保護功能,可與作業系統整合,以及處理資料竊取或因遺失、遭竊或不當解除委任電腦而導致資料公開的威脅。

在與信賴平台模組 (TPM) 1.2 版或更新版本搭配使用時,BitLocker 可提供最新保護。 TPM 是電腦製造商在許多較新型電腦中安裝的硬體元件。 它可以與 BitLocker 共同運作來協助保護使用者資料,以確保電腦在系統離線時不會遭到竄改。

在沒有 TPM 1.2 版或更新版本的電腦上,您仍然可以使用 BitLocker 來加密 Windows 作業系統磁碟機。 不過,這個實作將要求使用者插入 USB 啟動金鑰來啟動電腦,或從休眠狀態繼續。 從 Windows8 開始,您可以使用作業系統磁碟區密碼,在不具 TPM 的電腦上保護作業系統磁碟區。 這兩個選項都不會提供 BitLocker 搭配 TPM 所提供的啟動前系統完整性驗證。

除了 TPM,BitLocker 還提供一個選項,可先鎖定正常啟動程序,直到使用者提供個人識別碼 (PIN) 或插入包含啟動金鑰的抽取式裝置 (例如 USB 快閃磁碟機) 為止。 這些額外的安全性措施提供多重要素驗證,並可確保在使用者出示正確的 PIN 或啟動金鑰之前,電腦將不會啟動或從休眠狀態恢復執行。

實際應用

遺失或遭竊電腦上的資料很容易遭受未經授權的存取,方法是對其執行軟體攻擊工具,或者是將電腦的硬碟傳輸到其他電腦。 BitLocker 可藉由強制執行檔案和系統保護,協助減少未經授權的資料存取。 在解除委任或回收受 BitLocker 保護的電腦時,BitLocker 也可協助將資料轉譯為無法存取的狀態。

遠端伺服器管理工具提供兩個額外工具來管理 BitLocker。

  • BitLocker 修復密碼檢視器: BitLocker 修復密碼檢視器讓您能夠尋找和檢視已備份到 Active Directory 網域服務 (AD DS) 的 BitLocker 磁碟機加密修復密碼。 您可以使用此工具,協助修復已使用 BitLocker 加密之磁碟機上儲存的資料。 BitLocker 修復密碼檢視器工具是 Active Directory 使用者和電腦 Microsoft Management Console (MMC) 嵌入式管理單元的延伸模組。 使用此工具,您可以檢查電腦物件的 [屬性] 對話方塊,以檢視相對應的 BitLocker 修復密碼。 此外,您可以使用滑鼠右鍵按一下網域容器,然後在 Active Directory 樹系中的所有網域上搜尋 BitLocker 修復密碼。 若要檢視修復密碼,您必須是網域系統管理員,或者必須已由網域系統管理員委派權限。

  • BitLocker 磁碟機加密工具: BitLocker 磁碟機加密工具包含命令列工具 manage-bde 與 repair-bde,以及適用於 Windows PowerShell 的 BitLocker Cmdlet。 Manage-bde 和 BitLocker Cmdlet 可用來執行任何可透過 BitLocker 控制台完成的工作,而且它們適用於自動部署和其他指令碼案例。 Repair-bde 是針對嚴重損壞修復案例所提供,在這類案例中,受 BitLocker 保護的磁碟機無法正常解除鎖定,或使用修復主控台。

新功能和變更的功能

若要瞭解 bitLocker for Windows 的新增功能,例如支援 XTS-AES 加密演算法,請參閱BitLocker一節的「Windows 10 的新增功能」。

系統需求

BitLocker 的硬體需求如下:

如果 BitLocker 會使用信賴平台模組 (TPM) 所提供的系統完整性檢查,電腦必須具備 TPM 1.2 或更新版本。 如果您的電腦沒有 TPM,則啟用 BitLocker 會要求您將啟動金鑰儲存在抽取式裝置上,例如 USB 快閃磁碟機。

具備 TPM 的電腦也要有符合信賴運算群組 (TCG) 規範的 BIOS 或 UEFI 韌體。 BIOS 或 UEFI 韌體會針對作業系統前啟動建立信任的鏈結,而且它必須支援 TCG 特定之信任度量的靜態根節點。 不具 TPM 的電腦不需要符合 TCG 規範的韌體。

系統 BIOS 或 UEFI 韌體 (適用於 TPM 和非 TPM 電腦) 必須支援 USB 大型存放裝置類別,包括在作業系統前環境中讀取 USB 快閃磁碟機上的小型檔案。

重要

從 Windows 7 開始,您可以加密不含 TPM 和 USB 快閃磁碟機的操作系統磁碟機。 針對此程式,請參閱 每日秘訣:不含 TPM或 USB 的 Bitlocker 。

注意

在BIOS 的舊版和 CSM 模式中不支援 TPM 2.0。 具有 TPM 2.0 的裝置必須僅將BIOS 模式配置為原生 UEFI。 舊版和相容性支援模組 (CSM) 選項必須停用。 針對新增安全性啟用安全啟動功能。

當BIOS 模式變更為 UEFI 時,舊版硬體上安裝的作業系統會停止作業系統啟動。 在變更BIOS 模式之前,請使用 MBR2GPT 工具,以準備作業系統和磁片以支援 UEFI。

硬碟必須至少分割為兩個磁碟機:

  • 作業系統磁碟機 (或開機磁碟機) 包含作業系統及其支援檔案。 它必須格式化為 NTFS 檔案系統。
  • 系統磁碟機包含在韌體備妥系統硬體後載入 Windows 所需的檔案。 BitLocker 不是在這個磁碟機上啟用。 若要讓 BitLocker 能夠運作,就不能將系統磁碟機加密、必須與作業系統磁碟機加以區分,以及必須在使用 UEFI 型韌體的電腦上格式化為 FAT32 檔案系統或在使用 BIOS 韌體的電腦上格式化為 NTFS 檔案系統。 建議的系統磁碟機大小大約是 350 MB。 開啟 BitLocker 之後,應該要有約 250 MB 的可用空間。

受加密保護的分區無法標示為作用中 (適用于作業系統、固定資料,以及可移除的資料磁碟機) 。

在新電腦上安裝時,Windows 將自動建立 BitLocker 所需的磁碟分割。

在伺服器上安裝 BitLocker 選擇性元件時,您也需要安裝「增強的存放區」功能,以用來支援硬體加密的磁碟機。

本節內容

主題 描述
Windows 的 BitLocker 裝置加密概觀 本主題適用于 IT 專業人員,提供 BitLocker 裝置加密可協助保護在 Windows。
BitLocker 常見問題集 (FAQ) 本主題適用於 IT 專業人員,可解答使用、升級、部署和管理 BitLocker,以及 BitLocker 金鑰管理原則的相關需求常見問題。
讓組織準備使用 BitLocker:規劃和原則 本主題的適用對象為 IT 專業人員,說明如何規劃您的 BitLocker 部署。
BitLocker 基本部署步驟 本主題的適用對象為 IT 專業人員,將說明如何使用 BitLocker 功能,透過磁碟機加密來保護資料。
BitLocker:如何在伺服器Windows部署 IT 專業人員的本主題說明如何在 Windows 部署 BitLocker。
BitLocker:如何啟用網路解除鎖定 本主題的適用對象是 IT 專業人員,將說明 BitLocker 網路解除鎖定的運作方式及設定方式。
BitLocker:使用 BitLocker 磁碟機加密工具來管理 BitLocker 本主題的適用對象為 IT 專業人員,將說明如何使用工具來管理 BitLocker。
BitLocker:使用 BitLocker 修復密碼檢視器 本主題的適用對象為 IT 專業人員,說明如何使用 BitLocker 修復密碼檢視器。
BitLocker 群組原則設定 本主題適用於 IT 專業人員,說明管理 BitLocker 所用之每個群組原則設定的功能、位置及效果。
BCD 設定和 BitLocker 本主題適用於 IT 專業人員,說明 BitLocker 使用的 BCD 設定。
BitLocker 修復指南 本主題的適用對象為 IT 專業人員,將說明如何從 AD DS 修復 BitLocker 金鑰。
保護 BitLocker 不受開機前攻擊 這份詳細指南可協助您瞭解建議執行 Windows 11、Windows 10、Windows 8.1、Windows 8 或 Windows 7 的裝置使用開機前驗證的情況,以及何時可以從裝置的配置中安全地省略。
疑難排解 BitLocker 本指南說明可協助疑難排解 BitLocker 問題的資源,並提供數種常見 BitLocker 問題的解決方案。
使用 BitLocker 保護叢集共用磁碟區和存放區域網路 本主題適用於 IT 專業人員,將說明如何使用 BitLocker 來保護 CSV 和 SAN。
在 IoT Core 上啟用安全啟動Windows BitLocker 裝置加密 本主題涵蓋如何在 IoT Core 中Windows BitLocker