共用方式為


BitLocker 作業指南

管理和操作 BitLocker 有不同的工具和選項:

  • BitLocker PowerShell 模組
  • BitLocker 磁碟驅動器加密工具
  • 控制台

BitLocker 磁碟驅動器加密工具和 BitLocker PowerShell 模組可用來執行任何可透過 BitLocker 控制面板完成的工作。 它們適合用於自動化部署和其他腳本案例。
BitLocker 控制面板小程式可讓使用者執行基本工作,例如在磁碟驅動器上開啟 BitLocker,以及指定解除鎖定方法和驗證方法。 BitLocker 控制面板小程式適合用於基本的 BitLocker 工作。

本文說明 BitLocker 管理工具及其使用方式,並提供實用的範例。

BitLocker PowerShell 模組

BitLocker PowerShell 模組可讓系統管理員輕鬆地將 BitLocker 選項整合到現有的腳本中。 如需模組中包含的 Cmdlet 清單、其描述和語法,請參閱 BitLocker PowerShell 參考文章

BitLocker 磁碟驅動器加密工具

BitLocker 磁碟驅動器加密工具包含兩個命令行工具:

  • 組態工具 (manage-bde.exe) 可用於編寫 BitLocker 作業的腳本,提供 BitLocker 控制面板小程式中沒有的選項。 如需選項的 manage-bde.exe 完整清單,請參閱 Manage-bde 參考
  • 修復工具 (repair-bde.exe) 適用於無法正常解除鎖定受 BitLocker 保護的磁碟驅動器或使用復原控制台的災害復原案例

BitLocker 控制面板小程式

使用 BitLocker 控制面板加密磁碟區 (選取 [開始],輸入 BitLocker,選取 [ 管理 BitLocker ],) 是有多少使用者將使用 BitLocker。 BitLocker 控制面板小程式的名稱是 BitLocker 磁碟驅動器加密。 Applet 支援加密作業系統、固定數據和抽取式數據磁碟區。 BitLocker 控制面板會根據裝置向 Windows 報告本身的方式,組織適當類別中的可用磁碟驅動器。 只有具有指派驅動器號的格式化磁碟區才會在 BitLocker 控制面板小程式中正確顯示。

在 Windows 檔案總管中使用 BitLocker

Windows 檔案總管可讓使用者以滑鼠右鍵按兩下磁碟區,然後選取 [開啟 BitLocker],以啟動 BitLocker 磁碟驅動器加密精靈。 根據預設,此選項可在用戶端計算機上使用。 在伺服器上,必須先安裝 BitLocker 功能和 Desktop-Experience 功能,才能使用此選項。 選取 [ 開啟 BitLocker] 之後,精靈的運作方式就如同使用 BitLocker 控制面板啟動時一樣。

檢查 BitLocker 狀態

若要檢查特定磁碟區的 BitLocker 狀態,系統管理員可以在 BitLocker 控制面板小程式、Windows 檔案總管、 manage-bde.exe 命令行工具或 Windows PowerShell Cmdlet 中查看磁碟驅動器的狀態。 每個選項都提供不同層級的詳細數據和易用性。

請依照下列指示確認 BitLocker 的狀態,選取您選擇的工具。

若要判斷磁碟區的目前狀態,您可以使用 Get-BitLockerVolume Cmdlet,以提供磁碟區類型、保護裝置、保護狀態和其他詳細數據的相關信息。 例如:

PS C:\> Get-BitLockerVolume C: | fl

ComputerName         : DESKTOP
MountPoint           : C:
EncryptionMethod     : XtsAes128
AutoUnlockEnabled    :
AutoUnlockKeyStored  : False
MetadataVersion      : 2
VolumeStatus         : FullyEncrypted
ProtectionStatus     : On
LockStatus           : Unlocked
EncryptionPercentage : 100
WipePercentage       : 0
VolumeType           : OperatingSystem
CapacityGB           : 1000
KeyProtector         : {Tpm, RecoveryPassword}

啟用 BitLocker

具有 TPM 保護裝置的 OS 磁碟驅動器

下列範例示範如何只使用 TPM 保護裝置和無修復金鑰,在作業系統磁碟驅動器上啟用 BitLocker:

Enable-BitLocker C: -TpmProtector

具有 TPM 保護裝置和啟動金鑰的 OS 磁碟驅動器

下列範例示範如何使用 TPM 和 啟動金鑰 保護裝置,在作業系統磁碟驅動器上啟用 BitLocker。

假設 OS 驅動器號是 C: ,而 USB 快閃磁碟驅動器是驅動器號 E:,以下是命令:

如果您選擇略過 BitLocker 硬體測試,加密會立即開始,而不需要重新啟動。

Enable-BitLocker C: -StartupKeyProtector -StartupKeyPath E: -SkipHardwareTest

重新啟動之後,BitLocker 預先啟動畫面隨即顯示,且必須先插入 USB 啟動金鑰,才能啟動作業系統:

BitLocker 預先啟動畫面的螢幕快照,其中要求包含啟動密鑰的 USB 磁碟驅動器。

數據磁碟區

數據磁碟區使用與操作系統磁碟區類似的加密程式,但不需要保護裝置即可完成作業。

在加密磁碟區之前,請先新增所需的保護裝置。 下列範例會使用 變數作為密碼,將密碼保護裝置新增至 E: 磁碟 $pw 區。 變數 $pw 會保留為 SecureString 值,以儲存使用者定義的密碼:

$pw = Read-Host -AsSecureString
<user inputs password>
Add-BitLockerKeyProtector E: -PasswordProtector -Password $pw

注意

BitLocker Cmdlet 需要以引弧括住的密鑰保護裝置 GUID 才能執行。 請確定命令中包含具有大括號的整個 GUID。

範例:使用 PowerShell 啟用具有 TPM 保護裝置的 BitLocker

Enable-BitLocker D: -EncryptionMethod XtsAes256 -UsedSpaceOnly -TpmProtector

範例:使用 PowerShell 以 TPM+PIN 保護裝置啟用 BitLocker,在此案例中,PIN 設定為 123456

$SecureString = ConvertTo-SecureString "123456" -AsPlainText -Force
Enable-BitLocker C: -EncryptionMethod XtsAes256 -UsedSpaceOnly -Pin $SecureString -TPMandPinProtector

管理 BitLocker 保護工具

BitLocker 保護裝置的管理包含新增、移除及備份保護裝置。

使用下列指示選取最符合您需求的選項,以受控 BitLocker 保護裝置。

列出保護工具

您可以執行下列命令來列出範例) 中磁碟區 (C: 可用的保護裝置清單:

(Get-BitLockerVolume -mountpoint C).KeyProtector

新增保護工具

新增修復密碼保護裝置

Add-BitLockerKeyProtector -MountPoint C -RecoveryPasswordProtector

新增密碼保護裝置

數據磁碟區的常見保護裝置是密碼保護裝置。 在下一個範例中,密碼保護裝置會新增至磁碟區。

Add-BitLockerKeyProtector -MountPoint D -PasswordProtector

新增 Active Directory 保護裝置

Active Directory 保護裝置是 SID 型保護裝置,可同時新增至作業系統和數據磁碟區,但不會解除鎖定啟動前環境中的操作系統磁碟區。 保護裝置需要網域帳戶或群組的 SID 才能與保護裝置連結。 BitLocker 可以藉由新增叢集名稱物件的 SID 型保護裝置來保護叢集感知磁碟 (CNO) ,讓磁碟能夠正確故障轉移並解除鎖定至叢集的任何成員計算機。

重要

在操作系統磁碟區上使用 SID 型保護裝置時,需要使用額外的保護裝置,例如 TPM、PIN、修復密鑰等。

注意

Microsoft加入 Entra 的裝置無法使用此選項。

在此範例中,網域 SID 型保護裝置會新增至先前加密的磁碟區。 使用者知道他們想要新增之使用者帳戶或群組的 SID,並使用下列命令:

Add-BitLockerKeyProtector C: -ADAccountOrGroupProtector -ADAccountOrGroup "<SID>"

若要將保護裝置新增至磁碟區,需要網域 SID 或前面加上網域的組名和反斜杠。 在下列範例中, CONTOSO\Administrator 帳戶會新增為數據磁碟區 G 的保護裝置。

Enable-BitLocker G: -AdAccountOrGroupProtector -AdAccountOrGroup CONTOSO\Administrator

若要使用帳戶或群組的 SID,第一個步驟是判斷與安全性主體相關聯的 SID。 若要在 Windows PowerShell 中取得使用者帳戶的特定 SID,請使用下列命令:

Get-ADUser -filter {samaccountname -eq "administrator"}

注意

使用此命令需要 RSAT-AD-PowerShell 功能。

提示

您可以使用下列方式找到本機登入使用者和群組成員資格的相關信息: whoami.exe /all

拿掉保護工具

若要移除磁碟區上現有的保護裝置,請使用 Remove-BitLockerKeyProtector Cmdlet。 必須提供與要移除之保護裝置相關聯的 GUID。

下列命令會傳回金鑰保護裝置和 GUIDS 的清單:

$vol = Get-BitLockerVolume C
$keyprotectors = $vol.KeyProtector
$keyprotectors

藉由使用這項資訊,可以使用 命令來移除特定磁碟區的金鑰保護裝置:

Remove-BitLockerKeyProtector <volume> -KeyProtectorID "{GUID}"

注意

BitLocker Cmdlet 需要以引弧括住的密鑰保護裝置 GUID 才能執行。 請確定命令中包含具有大括號的整個 GUID。

注意

對於任何 BitLocker 加密的磁碟驅動器,您必須至少有一個解除鎖定方法。

暫止和繼續

某些設定變更可能需要暫停 BitLocker,然後在套用變更之後繼續進行。

使用下列指示,選取最符合您需求的選項,暫停並繼續 BitLocker。

暫止 BitLocker

Suspend-BitLocker -MountPoint D

繼續 BitLocker

Resume-BitLocker -MountPoint D

重設和備份修復密碼

建議您在使用修復密碼之後使其失效。 在此範例中,系統會從OS磁碟驅動器移除修復密碼保護裝置、新增新的保護裝置,並備份至 Microsoft Entra ID 或 Active Directory。

從 OS 磁碟區移除所有修復密碼:

(Get-BitLockerVolume -MountPoint $env:SystemDrive).KeyProtector | `
  where-object {$_.KeyProtectorType -eq 'RecoveryPassword'} | `
  Remove-BitLockerKeyProtector -MountPoint $env:SystemDrive

為 OS 磁碟區新增 BitLocker 修復密碼保護裝置:

Add-BitLockerKeyProtector -MountPoint $env:SystemDrive -RecoveryPasswordProtector

取得新修復密碼的識別碼:

(Get-BitLockerVolume -mountpoint $env:SystemDrive).KeyProtector | where-object {$_.KeyProtectorType -eq 'RecoveryPassword'} | ft KeyProtectorId,RecoveryPassword

注意

如果原則設定 [ 選擇如何復原受 BitLocker 保護的作業系統磁碟驅動器 ] 設定為 [需要將 BitLocker 備份至 AD DS],則不需要執行下一個步驟。

從輸出複製修復密碼的識別碼。

使用上一個步驟中的 GUID,取代 {ID} 下列命令中的 ,並使用下列命令來備份修復密碼以Microsoft Entra ID:

BackuptoAAD-BitLockerKeyProtector -MountPoint $env:SystemDrive -KeyProtectorId "{ID}"

或者,使用下列命令將修復密碼備份至 Active Directory:

Backup-BitLockerKeyProtector -MountPoint $env:SystemDrive -KeyProtectorId "{ID}"

注意

大括弧 {} 必須包含在標識符字串中。

停用 BitLocker

停用 BitLocker 會解密並移除磁碟區中任何相關聯的保護裝置。 當不再需要保護時,應該進行解密,而不是作為疑難解答步驟。

使用下列指示,選取最符合您需求的選項來停用 BitLocker。

Windows PowerShell 提供一次解密多個磁碟驅動器的能力。 在下列範例中,使用者有三個想要解密的加密磁碟區。

使用 Disable-BitLocker 命令,他們可以同時移除所有保護裝置和加密,而不需要更多命令。 這個指令的範例為:

Disable-BitLocker

若要避免個別指定每個裝入點,請在陣列中使用 -MountPoint 參數,將相同的命令排序成一行,而不需要額外的用戶輸入。 範例:

Disable-BitLocker -MountPoint C,D

解除鎖定磁碟驅動器

如果您將磁碟驅動器作為次要磁碟驅動器連線到裝置,而且您有 BitLocker 修復金鑰,您可以使用下列指示解除鎖定已啟用 BitLocker 的磁碟驅動器。

在下一個範例中 D ,磁碟驅動器是要解除鎖定的磁碟驅動器。 選取最符合您需求的選項。

Unlock-BitLocker -MountPoint D -RecoveryPassword xxxxxx-xxxxxx-xxxxxx-xxxxxx-xxxxxx-xxxxxx-xxxxxx-xxxxxx

如需詳細資訊,請參閱 Unlock-BitLocker