BitLocker

適用於

  • Windows 10
  • Windows 11
  • Windows Server 2016 及更新版本

本主題提供 BitLocker 的整體概觀,包括系統需求、實際應用,以及已過時功能的清單。

Bitlocker 概觀

BitLocker 磁碟機加密是一項資料保護功能,可與作業系統整合,以及處理資料竊取或因遺失、遭竊或不當解除委任電腦而導致資料公開的威脅。

BitLocker 可在搭配信賴平臺模組 (TPM) 1.2 版或更新版本時,提供最大保護。 TPM 是電腦製造商在許多較新型電腦中安裝的硬體元件。 它可以與 BitLocker 共同運作來協助保護使用者資料,以確保電腦在系統離線時不會遭到竄改。

在沒有 TPM 1.2 版或更新版本的電腦上,您仍然可以使用 BitLocker 來加密 Windows 作業系統磁片磁碟機。 不過,此實作需要使用者插入 USB 啟動金鑰,才能啟動電腦或從休眠狀態繼續。 從 Windows8 開始,您可以使用作業系統磁碟區密碼,在不具 TPM 的電腦上保護作業系統磁碟區。 這兩個選項都不會提供 BitLocker 搭配 TPM 所提供的啟動前系統完整性驗證。

除了 TPM,BitLocker 還提供一個選項,可先鎖定正常啟動程序,直到使用者提供個人識別碼 (PIN) 或插入包含啟動金鑰的抽取式裝置 (例如 USB 快閃磁碟機) 為止。 這些額外的安全性措施提供多重要素驗證,並可確保在使用者出示正確的 PIN 或啟動金鑰之前,電腦將不會啟動或從休眠狀態恢復執行。

實際應用

遺失或遭竊電腦上的資料很容易遭受未經授權的存取,方法是對其執行軟體攻擊工具,或者是將電腦的硬碟傳輸到其他電腦。 BitLocker 可藉由強制執行檔案和系統保護,協助減少未經授權的資料存取。 在退役或回收受 BitLocker 保護的電腦時,BitLocker 也可協助將資料轉譯為無法存取的狀態。

遠端伺服器管理工具中有兩個額外的工具可用來管理 BitLocker。

  • BitLocker 修復密碼檢視器: BitLocker 修復密碼檢視器讓您能夠尋找和檢視已備份到 Active Directory 網域服務 (AD DS) 的 BitLocker 磁碟機加密修復密碼。 您可以使用此工具,協助修復已使用 BitLocker 加密之磁碟機上儲存的資料。 BitLocker 修復密碼檢視器工具是 Active Directory 使用者和電腦 Microsoft Management Console (MMC) 嵌入式管理單元的延伸模組。 使用此工具,您可以檢查電腦物件的 [屬性] 對話方塊,以檢視相對應的 BitLocker 修復密碼。 此外,您可以使用滑鼠右鍵按一下網域容器,然後在 Active Directory 樹系中的所有網域上搜尋 BitLocker 修復密碼。 若要檢視修復密碼,您必須是網域系統管理員,或者必須已由網域系統管理員委派權限。

  • BitLocker 磁碟機加密工具: BitLocker 磁碟機加密工具包含命令列工具 manage-bde 與 repair-bde,以及適用於 Windows PowerShell 的 BitLocker Cmdlet。 manage-bde 和 BitLocker Cmdlet 都可用來執行任何可透過 BitLocker 控制台完成的工作,而且適合用於自動化部署和其他腳本案例。 Repair-bde 適用于災害復原案例,其中受 BitLocker 保護的磁片磁碟機無法正常解除鎖定或使用復原主控台。

新功能和變更的功能

To find out what's new in BitLocker for Windows, such as support for the XTS-AES encryption algorithm, see the BitLocker section in "What's new in Windows 10."

系統需求

BitLocker 的硬體需求如下:

若要讓 BitLocker 使用 TPM 提供的系統完整性檢查,電腦必須有 TPM 1.2 或更新版本。 如果您的電腦沒有 TPM,則啟用 BitLocker 會強制您將啟動金鑰儲存在卸載式裝置上,例如 USB 快閃磁片磁碟機。

具備 TPM 的電腦也要有符合信賴運算群組 (TCG) 規範的 BIOS 或 UEFI 韌體。 BIOS 或 UEFI 韌體會針對作業系統前啟動建立信任的鏈結,而且它必須支援 TCG 特定之信任度量的靜態根節點。 不具 TPM 的電腦不需要符合 TCG 規範的韌體。

系統 BIOS 或 UEFI 韌體 (適用於 TPM 和非 TPM 電腦) 必須支援 USB 大型存放裝置類別,包括在作業系統前環境中讀取 USB 快閃磁碟機上的小型檔案。

重要

從 Windows 7,您可以在沒有 TPM 和 USB 快閃磁片磁碟機的情況下加密 OS 磁片磁碟機。 如需此程式,請 參閱一天的秘訣:不含 TPM 或 USB 的 Bitlocker

注意

舊版和相容性支援模組 (CSM) BIOS 模式不支援 TPM 2.0。 具有 TPM 2.0 的裝置必須將其 BIOS 模式設定為僅限原生 UEFI。 必須停用舊版和 CSM 選項。 若要新增安全性,請啟用安全開機功能。

在舊版模式的硬體上安裝的作業系統,會在 BIOS 模式變更為 UEFI 時停止作業系統開機。 變更 BIOS 模式之前,請先使用 MBR2GPT 工具,以準備作業系統和磁片以支援 UEFI。

硬碟必須至少分割為兩個磁碟機:

  • 作業系統磁碟機 (或開機磁碟機) 包含作業系統及其支援檔案。 它必須格式化為 NTFS 檔案系統。
  • 系統磁碟機包含在韌體備妥系統硬體後載入 Windows 所需的檔案。 BitLocker 不是在這個磁碟機上啟用。 若要讓 BitLocker 能夠運作,就不能將系統磁碟機加密、必須與作業系統磁碟機加以區分,以及必須在使用 UEFI 型韌體的電腦上格式化為 FAT32 檔案系統或在使用 BIOS 韌體的電腦上格式化為 NTFS 檔案系統。 建議的系統磁碟機大小大約是 350 MB。 開啟 BitLocker 之後,它應該會有大約 250 MB 的可用空間。

安裝在新電腦上時,Windows 會自動建立 BitLocker 所需的分割區。

受加密的磁碟分割無法標示為作用中資料分割 (這適用于作業系統、固定資料和卸載式資料磁片磁碟機) 。

在伺服器上安裝 BitLocker 選擇性元件時,您也需要安裝增強儲存體功能,以支援硬體加密磁片磁碟機。

本節內容

主題 描述
Windows 10 的 BitLocker 裝置加密概觀 本主題概述 BitLocker 裝置加密如何協助保護執行Windows 10裝置上的資料。
BitLocker 常見問題集 (FAQ) 本主題回答有關使用、升級、部署及管理 BitLocker 需求,以及金鑰管理原則的常見問題。
讓組織準備使用 BitLocker:規劃和原則 本主題說明可用來規劃 BitLocker 部署的程式。
BitLocker 基本部署步驟 本主題說明如何使用 BitLocker 功能,透過磁片磁碟機加密來保護您的資料。
BitLocker:如何在 Windows Server 上部署 本主題說明如何在 Windows Server 上部署 BitLocker。
BitLocker:如何啟用網路解除鎖定 本主題描述 BitLocker 網路解除鎖定的運作方式,以及如何進行設定。
BitLocker:使用 BitLocker 磁碟機加密工具來管理 BitLocker 本主題描述如何使用工具來管理 BitLocker。
BitLocker:使用 BitLocker 修復密碼檢視器 本主題描述如何使用 BitLocker 修復密碼檢視器。
BitLocker 群組原則設定 本主題描述用來管理 BitLocker 之每個群組原則設定的函式、位置和效果。
BCD 設定和 BitLocker 本主題描述 BitLocker 所使用的 BCD 設定。
BitLocker 修復指南 本主題描述如何從 AD DS 復原 BitLocker 金鑰。
保護 BitLocker 不受開機前攻擊 本詳細指南可協助您瞭解針對執行 Windows 10、Windows 8.1、Windows 8 或 Windows 7 的裝置建議使用開機前驗證的情況;以及何時可以安全地從裝置的組態中省略。
疑難排解 BitLocker 本指南說明可協助您針對 BitLocker 問題進行疑難排解的資源,並提供數個常見 BitLocker 問題的解決方案。
使用 BitLocker 保護叢集共用磁碟區和存放區域網路 本主題描述如何使用 BitLocker 保護 CSV 和 SAN。
在 Windows IoT 核心版上啟用安全開機和 BitLocker 裝置加密 本主題描述如何搭配 Windows IoT 核心版使用 BitLocker