BitLocker 作業指南

發行項
11/11/2023
適用於:

✅ Windows 11, ✅ Windows 10, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

管理和操作 BitLocker 有不同的工具和選項：

BitLocker PowerShell 模組
BitLocker 磁片磁碟機加密工具
控制台

BitLocker 磁片磁碟機加密工具和 BitLocker PowerShell 模組可用來執行可透過 BitLocker 主控台完成的任何工作。它們適合用於自動化部署和其他腳本案例。
BitLocker 主控台小程式可讓使用者執行基本工作，例如在磁片磁碟機上開啟 BitLocker，以及指定解除鎖定方法和驗證方法。 BitLocker 主控台小程式適合用於基本的 BitLocker 工作。

本文說明 BitLocker 管理工具及其使用方式，並提供實用的範例。

BitLocker PowerShell 模組

BitLocker PowerShell 模組可讓系統管理員輕鬆地將 BitLocker 選項整合到現有的腳本中。如需模組中包含的 Cmdlet 清單、其描述和語法，請參閱 BitLocker PowerShell 參考文章。

BitLocker 磁片磁碟機加密工具

BitLocker 磁片磁碟機加密工具組含兩個命令列工具：

設定工具 (manage-bde.exe) 可用於編寫 BitLocker 作業的腳本，提供 BitLocker 主控台小程式中未存在的選項。如需選項的 manage-bde.exe 完整清單，請參閱 Manage-bde 參考
修復工具 (repair-bde.exe) 適用于無法正常解除鎖定受 BitLocker 保護的磁片磁碟機或使用復原主控台的災害復原案例

BitLocker 主控台小程式

使用 BitLocker 加密磁片區主控台 (選取 [開始]，輸入 BitLocker ，然後選取 [管理 BitLocker) 使用者將使用 BitLocker 的數目。 BitLocker 主控台 applet 的名稱是BitLocker 磁片磁碟機加密。 Applet 支援加密作業系統、固定資料和抽取式資料磁片區。 BitLocker 主控台會根據裝置向 Windows 報告本身的方式，組織適當類別中的可用磁片磁碟機。只有具有指派磁碟機號的格式化磁片區會正確地出現在 BitLocker 主控台小程式中。

在 Windows 檔案總管中使用 BitLocker

Windows 檔案總管可讓使用者以滑鼠右鍵按一下磁片區，然後選取 [開啟 BitLocker]，以啟動BitLocker 磁片磁碟機加密精靈。根據預設，此選項可在用戶端電腦上使用。在伺服器上，必須先安裝 BitLocker 功能和 Desktop-Experience 功能，才能使用此選項。選取 [開啟 BitLocker] 之後，精靈的運作方式就如同使用 BitLocker 主控台啟動時一樣。

檢查 BitLocker 狀態

若要檢查特定磁片區的 BitLocker 狀態，系統管理員可以在 BitLocker 主控台 applet、Windows Explorer、 manage-bde.exe 命令列工具或Windows PowerShell Cmdlet 中查看磁片磁碟機的狀態。每個選項都提供不同層級的詳細資料和易用性。

請依照下列指示確認 BitLocker 的狀態，選取您選擇的工具。

若要判斷磁片區的目前狀態，您可以使用 Get-BitLockerVolume Cmdlet，以提供磁片區類型、保護裝置、保護狀態和其他詳細資料的相關資訊。例如：

PS C:\> Get-BitLockerVolume C: | fl

ComputerName         : DESKTOP
MountPoint           : C:
EncryptionMethod     : XtsAes128
AutoUnlockEnabled    :
AutoUnlockKeyStored  : False
MetadataVersion      : 2
VolumeStatus         : FullyEncrypted
ProtectionStatus     : On
LockStatus           : Unlocked
EncryptionPercentage : 100
WipePercentage       : 0
VolumeType           : OperatingSystem
CapacityGB           : 1000
KeyProtector         : {Tpm, RecoveryPassword}

您可以 manage-bde.exe 使用來判斷目標系統上的磁片區狀態，例如：

manage-bde.exe -status

此命令會傳回目標上的磁片區、目前的加密狀態、加密方法，以及每個磁片區 (作業系統或資料) 的磁片區類型。

C:\>manage-bde -status

Volume C: [Local Disk]
[OS Volume]

    Size:                 1000 GB
    BitLocker Version:    2.0
    Conversion Status:    Used Space Only Encrypted
    Percentage Encrypted: 100.0%
    Encryption Method:    XTS-AES 128
    Protection Status:    Protection On
    Lock Status:          Unlocked
    Identification Field: Unknown
    Key Protectors:
        TPM
        Numerical Password

使用主控台檢查 BitLocker 狀態是大部分使用者常用的方法。開啟之後，每個磁片區的狀態會顯示在磁片區描述和磁碟機號旁邊。具有 applet 的可用狀態傳回值包括：

狀態	描述
開啟	已針對磁片區啟用 BitLocker
關閉	磁片區未啟用 BitLocker
Suspended	BitLocker 已暫停，且未主動保護磁片區
正在等候啟用	BitLocker 已啟用明確的保護裝置金鑰，而且需要進一步的動作才能受到完整保護

如果已使用 BitLocker 預先布建磁片磁碟機，磁片區上會顯示 [ 正在等候啟用 ] 狀態，並顯示黃色驚嘆號圖示。此狀態表示在加密磁片區時，只會使用明確的保護裝置。在此情況下，磁片區不是處於受保護狀態，而且必須先將安全金鑰新增至磁片區，磁片磁碟機才會受到完整保護。系統管理員可以使用主控台、PowerShell 或 manage-bde.exe 新增適當的金鑰保護裝置。完成後，主控台更新以反映新的狀態。

啟用 BitLocker

具有 TPM 保護裝置的 OS 磁片磁碟機

下列範例示範如何只使用 TPM 保護裝置和無修復金鑰，在作業系統磁片磁碟機上啟用 BitLocker：

Enable-BitLocker C: -TpmProtector

manage-bde.exe -on C:

具有 TPM 保護裝置和啟動金鑰的 OS 磁片磁碟機

下列範例示範如何使用 TPM 和 啟動金鑰 保護裝置，在作業系統磁片磁碟機上啟用 BitLocker。

假設 OS 磁碟機號是 C: ，而 USB 快閃磁片磁碟機是磁碟機號 E: ，以下是命令：

如果您選擇略過 BitLocker 硬體測試，加密會立即開始，而不需要重新開機。

Enable-BitLocker C: -StartupKeyProtector -StartupKeyPath E: -SkipHardwareTest

manage-bde.exe -protectors -add C: -TPMAndStartupKey E:
manage-bde.exe -on C:

如果出現提示，請重新開機電腦以完成加密程式。

注意

加密完成之後，必須先插入 USB 啟動金鑰，才能啟動作業系統。

重新開機之後，BitLocker 預先啟動畫面隨即顯示，且必須先插入 USB 啟動金鑰，才能啟動作業系統：

BitLocker 預先啟動畫面的螢幕擷取畫面，其中要求包含啟動金鑰的 USB 磁片磁碟機。

資料磁片區

資料磁片區使用與作業系統磁片區類似的加密程式，但不需要保護裝置即可完成作業。

在加密磁片區之前，請先新增所需的保護裝置。下列範例會使用變數作為密碼，將密碼保護裝置新增至 E: 磁片 $pw 區。變 $pw 量會保留為 SecureString 值，以儲存使用者定義的密碼：

$pw = Read-Host -AsSecureString
<user inputs password>
Add-BitLockerKeyProtector E: -PasswordProtector -Password $pw

注意

BitLocker Cmdlet 需要以引號括住的金鑰保護裝置 GUID 才能執行。請確定命令中包含具有大括弧的整個 GUID。

範例：使用 PowerShell 啟用具有 TPM 保護裝置的 BitLocker

Enable-BitLocker D: -EncryptionMethod XtsAes256 -UsedSpaceOnly -TpmProtector

範例：使用 PowerShell 以 TPM+PIN 保護裝置啟用 BitLocker，在此案例中，PIN 設定為 123456：

$SecureString = ConvertTo-SecureString "123456" -AsPlainText -Force
Enable-BitLocker C: -EncryptionMethod XtsAes256 -UsedSpaceOnly -Pin $SecureString -TPMandPinProtector

您可以使用基底命令來加密資料磁片區：

manage-bde.exe -on <drive letter>

或額外的保護裝置可以先新增至磁片區。建議您至少將一個主要保護裝置加上復原保護裝置新增至資料磁片區。

管理 BitLocker 保護工具

BitLocker 保護裝置的管理包含新增、移除及備份保護裝置。

使用下列指示選取最符合您需求的選項，以受控 BitLocker 保護裝置。

列出保護工具

您可以執行下列命令來列出範例) 中磁片區 (C: 可用的保護裝置清單：

(Get-BitLockerVolume -mountpoint C).KeyProtector

 manage-bde.exe -protectors -get C:

新增保護工具

新增修復密碼保護裝置

Add-BitLockerKeyProtector -MountPoint C -RecoveryPasswordProtector

manage-bde.exe -protectors -add -recoverypassword C:

新增密碼保護裝置

資料磁片區的常見保護裝置是密碼保護裝置。在下一個範例中，密碼保護裝置會新增至磁片區。

Add-BitLockerKeyProtector -MountPoint D -PasswordProtector

manage-bde.exe -protectors -add -pw D:

新增 Active Directory 保護裝置

Active Directory 保護裝置是 SID 型保護裝置，可同時新增至作業系統和資料磁片區，但不會解除鎖定啟動前環境中的作業系統磁片區。保護裝置需要網域帳戶或群組的 SID 才能與保護裝置連結。 BitLocker 可以藉由新增叢集名稱物件的 SID 型保護裝置來保護叢集感知磁片 (CNO) ，讓磁片能夠正確容錯移轉並解除鎖定至叢集的任何成員電腦。

重要

在作業系統磁片區上使用 SID 型保護裝置時，需要使用額外的保護裝置，例如 TPM、PIN、修復金鑰等。

注意

此選項不適用於已加入Microsoft Entra裝置。

在此範例中，網域 SID 型保護裝置會新增至先前加密的磁片區。使用者知道他們想要新增之使用者帳戶或群組的 SID，並使用下列命令：

Add-BitLockerKeyProtector C: -ADAccountOrGroupProtector -ADAccountOrGroup "<SID>"

若要將保護裝置新增至磁片區，需要網域 SID 或前面加上網域的組名和反斜線。在下列範例中， CONTOSO\Administrator 帳戶會新增為數據磁片區 G 的保護裝置。

Enable-BitLocker G: -AdAccountOrGroupProtector -AdAccountOrGroup CONTOSO\Administrator

若要使用帳戶或群組的 SID，第一個步驟是判斷與安全性主體相關聯的 SID。若要在 Windows PowerShell 中取得使用者帳戶的特定 SID，請使用下列命令：

Get-ADUser -filter {samaccountname -eq "administrator"}

注意

使用此命令需要 RSAT-AD-PowerShell 功能。

提示

您可以使用下列方式找到本機登入使用者和群組成員資格的相關資訊： whoami.exe /all 。

manage-bde.exe -protectors -add -sid <user or group>

移除保護工具

若要移除磁片區上現有的保護裝置，請使用 Remove-BitLockerKeyProtector Cmdlet。必須提供與要移除之保護裝置相關聯的 GUID。

下列命令會傳回金鑰保護裝置和 GUIDS 的清單：

$vol = Get-BitLockerVolume C
$keyprotectors = $vol.KeyProtector
$keyprotectors

藉由使用這項資訊，可以使用命令來移除特定磁片區的金鑰保護裝置：

Remove-BitLockerKeyProtector <volume> -KeyProtectorID "{GUID}"

注意

BitLocker Cmdlet 需要以引號括住的金鑰保護裝置 GUID 才能執行。請確定命令中包含具有大括弧的整個 GUID。

下列命令會傳回金鑰保護裝置的清單：

manage-bde.exe -status C:

下列命令會移除特定類型的金鑰保護裝置：

manage-bde.exe -protectors -delete C: -type TPMandPIN

注意

對於任何 BitLocker 加密的磁片磁碟機，您必須至少有一個解除鎖定方法。

暫止和繼續

某些設定變更可能需要暫停 BitLocker，然後在套用變更之後繼續進行。

使用下列指示，選取最符合您需求的選項，暫停並繼續 BitLocker。

暫止 BitLocker

Suspend-BitLocker -MountPoint D

manage-bde.exe -protectors -disable d:

繼續 BitLocker

Resume-BitLocker -MountPoint D

manage-bde.exe -protectors -enable d:

重設和備份修復密碼

建議您在使用修復密碼之後使其失效。在此範例中，系統會從 OS 磁片磁碟機移除修復密碼保護裝置、新增新的保護裝置，並備份至Microsoft Entra識別碼或 Active Directory。

從 OS 磁片區移除所有修復密碼：

(Get-BitLockerVolume -MountPoint $env:SystemDrive).KeyProtector | `
  where-object {$_.KeyProtectorType -eq 'RecoveryPassword'} | `
  Remove-BitLockerKeyProtector -MountPoint $env:SystemDrive

為 OS 磁片區新增 BitLocker 修復密碼保護裝置：

Add-BitLockerKeyProtector -MountPoint $env:SystemDrive -RecoveryPasswordProtector

取得新修復密碼的識別碼：

(Get-BitLockerVolume -mountpoint $env:SystemDrive).KeyProtector | where-object {$_.KeyProtectorType -eq 'RecoveryPassword'} | ft KeyProtectorId,RecoveryPassword

注意

如果原則設定 [ 選擇如何復原受 BitLocker 保護的作業系統磁片磁碟機 ] 設定為 [需要將 BitLocker 備份至 AD DS]，則不需要執行下一個步驟。

從輸出複製修復密碼的識別碼。

使用上一個步驟中的 GUID，取代 {ID} 下列命令中的，並使用下列命令來備份修復密碼以Microsoft Entra識別碼：

BackuptoAAD-BitLockerKeyProtector -MountPoint $env:SystemDrive -KeyProtectorId "{ID}"

或者，使用下列命令將修復密碼備份至 Active Directory：

Backup-BitLockerKeyProtector -MountPoint $env:SystemDrive -KeyProtectorId "{ID}"

注意

大括弧 {} 必須包含在識別碼字串中。