加密的硬碟

• 適用於:

  ✅ Windows 11, ✅ Windows 10, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

概觀

加密硬碟是一種硬碟類別，可在硬體層級自行加密，並允許在使用者透明的情況下進行完整磁碟硬體加密。 這些磁碟機結合了 BitLocker 磁碟機加密所提供的安全性和管理優點與自我加密磁碟區的功能。

透過將密碼編譯作業卸載至硬體，加密硬碟會提高 BitLocker 效能並減少 CPU 使用率與耗電量。 由於加密硬碟會快速加密資料，因此 BitLocker 部署可以跨企業裝置擴充，對生產力的影響很少或沒有影響。

加密硬碟提供：

• 更好的效能：整合到磁碟驅動器控制器的加密硬體可讓磁碟驅動器以完整數據速率運作，而不會降低效能
• 以硬體為基礎的強式安全性：加密一律 開啟 ，且加密的密鑰永遠不會離開硬碟。 使用者驗證是由磁碟驅動器在解除鎖定之前執行，與操作系統無關
• 易於使用：加密對使用者而言是透明的，而且使用者不需要啟用它。 使用內部加密金鑰輕鬆清除加密硬碟;不需要重新加密磁碟驅動器上的數據
• 較低的擁有成本：不需要新的基礎結構來管理加密密鑰，因為 BitLocker 會使用現有的基礎結構來儲存復原資訊。 您的裝置運作更有效率，因為不需要將處理器迴圈用於加密程式

透過下列機制，在作業系統中以原生方式支援加密硬碟：

• 識別：操作系統會識別磁碟驅動器是 加密的硬碟 裝置類型
• 啟用：操作系統磁碟管理公用程式會適當地啟動、建立磁碟區，並將磁碟區對應至範圍/帶
• 設定：操作系統會視需要建立磁碟區並將磁碟區對應至範圍/範圍
• API：API 支援應用程式管理與 BitLocker 磁碟驅動器加密無關的加密硬碟
• BitLocker 支援：與 BitLocker 控制台 整合可提供順暢的 BitLocker 用戶體驗

警告

Windows 的自我加密硬碟 和 加密硬碟 不是相同類型的裝置：

• 適用於 Windows 的加密硬碟需要符合特定 TCG 通訊協定以及 IEEE 1667 合規性
• 自我加密硬碟沒有這些需求

在規劃部署時，請務必確認裝置類型是適用於 Windows 的加密硬碟。

當操作系統識別加密的硬碟時，它會啟動 安全性模式。 此啟用可讓磁碟驅動器控制器為主計算機所建立的每個磁碟區產生 媒體密鑰 。 媒體密鑰永遠不會在磁碟外部公開，可用來快速加密或解密從磁碟傳送或接收的每個位元組數據。

如果您是存儲設備廠商，且正在尋找如何實作加密硬碟的詳細資訊，請參閱 加密硬碟裝置指南。

系統需求

若要使用加密的硬碟，適用下列系統需求：

針對作為 資料磁碟驅動器使用的加密硬碟：

• 磁碟驅動器必須處於未初始化狀態
• 磁碟驅動器必須處於安全性非作用中狀態

針對用來作為啟動磁碟驅動器的加密硬 碟：

• 磁碟驅動器必須處於未初始化狀態
• 磁碟驅動器必須處於安全性非作用中狀態
• 電腦必須以 UEFI 2.3.1 為基礎，並已 EFI\_STORAGE\_SECURITY\_COMMAND\_PROTOCOL 定義 。 此通訊協定可用來允許在 EFI 開機服務環境中執行的程式將安全性通訊協定命令傳送至磁碟驅動器
• 計算機必須在 UEFI 中停用相容性支援模組 (CSM)
• 計算機必須一律從 UEFI 以原生方式開機

警告

所有加密的硬碟都必須連結至非RAID控制器，才能正常運作。

Windows 版本和授權需求

下表列出支援加密硬碟的 Windows 版本：

Windows 專業版	Windows 企業版	Windows 專業教育版/SE	Windows 教育版
是	是	是	是

加密硬碟授權權利由下列授權授與：

Windows 專業版/專業教育版/SE	Windows 企業版 E3	Windows 企業版 E5	Windows 教育版 A3	Windows 教育版 A5
是	是	是	是	是

如需 Windows 授權的詳細資訊，請參閱 Windows 授權概觀。

將加密的硬碟設定為啟動磁碟驅動器

若要將加密硬碟設定為啟動磁碟驅動器，請使用與標準硬碟相同的方法：

• 從媒體部署：加密硬碟的設定會透過安裝程序自動進行
• 從網路部署：此部署方法牽涉到啟動 Windows PE 環境，以及使用映像處理工具從網路共用套用 Windows 映像。 使用此方法時，增強記憶體選擇性元件必須包含在 Windows PE 映像中。 使用 伺服器管理員、Windows PowerShell 或 DISM 命令行工具來啟用此元件。 如果元件不存在，加密硬碟的設定將無法運作
• 從伺服器部署：此部署方法牽涉到 PXE 啟動具有加密硬碟的用戶端。 當增強記憶體元件新增至 PXE 開機映像時，會在此環境中自動設定加密硬碟。 在部署期間， 中的 TCGSecurityActivationDisabled 設定 unattend.xml 會控制加密硬碟的加密行為
• 磁碟重複：此部署方法牽涉到使用先前設定的裝置和磁碟複製工具，將 Windows 映射套用至加密的硬碟。 使用磁碟複製器建立的映像無法運作

使用原則設定設定硬體型加密

有三個原則設定可管理 BitLocker 如何使用硬體型加密，以及要使用哪些加密演算法。 如果未在配備加密磁碟驅動器的系統上設定或停用這些設定，BitLocker 會使用軟體型加密：

• 設定針對固定數據磁碟驅動器使用硬體型加密
• 針對抽取式數據磁碟驅動器設定硬體型加密的使用
• 設定作業系統磁碟驅動器的硬體型加密使用

加密的硬碟架構

加密硬碟會利用裝置上的兩個加密密鑰來控制磁碟驅動器上數據的鎖定和解除鎖定。 這些加密金鑰是 資料加密金鑰 (DEK) 和 驗證金鑰 (AK) ：

• 數據加密金鑰可用來加密磁碟驅動器上的所有數據。 磁碟驅動器會產生 DEK，而且永遠不會離開裝置。 它會以加密格式儲存在磁碟驅動器上的隨機位置。 如果 DEK 已變更或清除，則無法復原使用 DEK 加密的數據。
• AK 是用來解除鎖定磁碟驅動器上數據的金鑰。 密鑰的哈希會儲存在磁碟驅動器上，而且需要確認才能解密 DEK

當具有加密硬碟的裝置處於關閉電源狀態時，磁碟驅動器會自動鎖定。 當裝置開啟時，裝置會保持鎖定狀態，而且只有在 AK 解密 DEK 之後才會解除鎖定。 AK 解密 DEK 之後，就可以在裝置上進行讀寫作業。

當數據寫入磁碟驅動器時，它會在寫入作業完成之前通過加密引擎。 同樣地，從磁碟驅動器讀取數據需要加密引擎先解密數據，再將該數據傳回給使用者。 如果需要變更或清除 AK，則不需要重新加密磁碟驅動器上的數據。 必須建立新的驗證金鑰，並重新加密 DEK。 完成之後，現在可以使用新的 AK 解除鎖定 DEK，並可繼續讀寫至磁碟區。

重新設定加密的硬碟

許多加密的硬碟裝置都已預先設定為可供使用。 如果需要重新設定磁碟驅動器，請在移除所有可用的磁碟區並將磁碟驅動器還原為未初始化狀態之後，使用下列程式：

1. 開啟磁碟管理 (diskmgmt.msc)
2. 初始化磁碟，並選取適當的磁碟分區樣式 (MBR 或 GPT)
3. 在磁碟上建立一或多個磁碟區。
4. 使用 BitLocker 安裝精靈在磁碟區上啟用 BitLocker。