BitLocker 作業指南

有不同的工具和選項可用於管理和操作 BitLocker：

• BitLocker PowerShell 模組
• BitLocker 磁碟機加密工具
• 控制台

BitLocker 磁碟機加密工具和 BitLocker PowerShell 模組可用來執行可透過 BitLocker 控制台完成的任何工作。 它們適用於自動化部署和其他腳本案例。
BitLocker 控制台小程式允許使用者執行基本任務，例如在磁碟機上開啟 BitLocker 以及指定解鎖方法和身份驗證方法。 BitLocker 控制台小程式適用於基本的 BitLocker 工作。

本文說明 BitLocker 管理工具及其使用方式，並提供實際範例。

BitLocker PowerShell 模組

BitLocker PowerShell 模組可讓系統管理員輕鬆地將 BitLocker 選項整合到現有的腳本中。 如需模組中包含的 Cmdlet 清單、其描述和語法，請查看 BitLocker PowerShell 參考文章。

BitLocker 磁碟機加密工具

BitLocker 磁碟驅動器加密工具包含兩個命令列工具：

• 組態工具 (manage-bde.exe) 可用於編寫腳本 BitLocker 作業，提供 BitLocker 控制台 小程式中不存在的選項。 如需選項的完整 manage-bde.exe 清單，請參閱 Manage-bde 參考
• 修復工具 (repair-bde.exe) 適用於災害復原案例，其中無法正常解除鎖定受 BitLocker 保護的磁碟驅動器，或使用復原主控台

BitLocker 控制台小程式

使用 BitLocker 加密磁碟區控制台 (選取 [開始]，輸入 BitLocker，選取 [管理 BitLocker]) 是將使用 BitLocker 的使用者數目。 BitLocker 控制台小程式的名稱是 BitLocker 磁碟機加密。 小程式支援加密作業系統、固定資料、可攜式資料卷。 BitLocker 控制台會根據裝置向 Windows 報告本身的方式，在適當的類別中組織可用的磁碟驅動器。 只有具有指派磁碟機代號的格式化磁碟區才會正確顯示在 BitLocker 控制台 Applet 中。

重要： 需要 Shell 硬體偵測服務 (ShellHWDetection) ，才能透過 控制台 或 Explorer 管理 BitLocker。

在 Windows 檔案總管中使用 BitLocker

Windows 檔案總管允許使用者透過右鍵單擊磁碟區並選擇開啟 BitLocker 來啟動 BitLocker 磁碟機加密精靈。 依預設，此選項可在用戶端電腦上使用。 在伺服器上，必須先安裝 BitLocker 功能和 Desktop-Experience 功能，才能使用此選項。 選取 [開啟 BitLocker] 之後，精靈的運作方式與使用 BitLocker 控制台啟動時完全相同。

檢查 BitLocker 狀態

若要檢查特定磁碟區的 BitLocker 狀態，系統管理員可以在 BitLocker 控制台 Applet、Windows 檔案總管、manage-bde.exe命令列工具或 Windows PowerShell Cmdlet 中查看磁碟驅動器的狀態。 每個選項都提供不同程度的細節和易用性。

請依照下列指示驗證 BitLocker 的狀態，選取您選擇的工具。

PowerShell

若要判斷磁碟區的目前狀態，您可以使用 Get-BitLockerVolume Cmdlet，它提供磁碟區類型、保護裝置、保護狀態和其他詳細資料的相關資訊。 例如：

PS C:\> Get-BitLockerVolume C: | fl

ComputerName         : DESKTOP
MountPoint           : C:
EncryptionMethod     : XtsAes128
AutoUnlockEnabled    :
AutoUnlockKeyStored  : False
MetadataVersion      : 2
VolumeStatus         : FullyEncrypted
ProtectionStatus     : On
LockStatus           : Unlocked
EncryptionPercentage : 100
WipePercentage       : 0
VolumeType           : OperatingSystem
CapacityGB           : 1000
KeyProtector         : {Tpm, RecoveryPassword}

命令提示字元

您可以使用來 manage-bde.exe 判斷目標系統上的磁區狀態，例如：

manage-bde.exe -status

此指令會傳回目標上的磁碟區、目前的加密狀態、加密方法、以及作業系統 (磁碟區類型，或每個磁碟區的資料) 。

C:\>manage-bde -status

Volume C: [Local Disk]
[OS Volume]

    Size:                 1000 GB
    BitLocker Version:    2.0
    Conversion Status:    Used Space Only Encrypted
    Percentage Encrypted: 100.0%
    Encryption Method:    XTS-AES 128
    Protection Status:    Protection On
    Lock Status:          Unlocked
    Identification Field: Unknown
    Key Protectors:
        TPM
        Numerical Password

控制台

使用控制台檢查 BitLocker 狀態是大多數使用者常用的方法。 開啟之後、每個磁碟區的狀態都會顯示在磁碟區描述和磁碟機代號旁邊。 小程式的可用狀態傳回值包括：

狀態	描述
在	已針對磁碟區啟用 BitLocker
關閉	未針對磁碟區啟用 BitLocker
Suspended	BitLocker 已暫停，且未主動保護磁碟區
等待啟動	BitLocker 會使用明確的保護程式金鑰啟用，而且需要進一步的動作才能完全保護

如果磁碟機已預先佈建 BitLocker，則磁碟區上會顯示 [等待啟用] 狀態，並顯示黃色驚嘆號圖示。 此狀態表示加密磁碟區時只使用了明確的保護器。 在此情況下，磁碟區不會處於受保護狀態，而且必須先將安全金鑰新增至磁碟區，才能完全保護磁碟驅動器。 系統管理員可以使用控制台、PowerShell 或manage-bde.exe新增適當的金鑰保護程式。 完成後，控制台會更新以反映新狀態。

啟用 BitLocker

具有 TPM 保護器的作業系統磁碟機

下列範例示範如何只使用 TPM 保護程式，而不使用復原金鑰，在作業系統磁碟機上啟用 BitLocker：

PowerShell

Enable-BitLocker C: -TpmProtector

命令提示字元

manage-bde.exe -on C:

控制台

從 BitLocker 磁碟機加密控制台 Applet 中：

1. 展開作業系統磁碟機，然後選取 [開啟 BitLocker] 選項

2. 出現提示時，選擇「讓 BitLocker 自動解鎖我的磁碟機」選項

3. 使用下列其中一種方法備份 復原金鑰 ：

   • 儲存到您的 Microsoft Entra ID 帳戶或 Microsoft 帳戶 (（如果適用）)
   • 儲存至 USB 隨身碟
   • 儲存至檔案 - 檔案必須儲存至裝置本身以外的位置，例如網路資料夾
   • 列印復原金鑰

4. 選取 下一步

5. 選擇其中一個選項以 僅加密已使用的磁碟空間 或 加密整個磁碟機 ，然後選取 下一步

   • 僅加密已使用的磁碟空間 - 僅加密包含資料的磁碟空間
   • 加密整個磁碟機 - 加密整個磁碟區，包括可用空間。 也稱為全盤加密

   在下列案例中建議使用每種方法：

   • 僅加密已使用的磁碟空間：

     • 驅動器從未有數據
     • 格式化或擦除的驅動器，過去從未有從未加密的機密數據

   • 加密整個磁碟機 (全磁碟加密) ：

     • 目前有資料的磁碟機
     • 目前具有作業系統的磁碟機
     • 格式化或清除過去包含從未加密的機密資料的磁碟機

   重要

   已刪除的檔案會顯示為檔案系統的可用空間，而檔案系統不會僅由 已使用的磁碟空間加密。 在擦除或覆蓋之前，已刪除的檔案會保留可以使用常見資料取證工具恢復的資訊。

6. 選取加密模式，然後選取 [下一步]

   • 新的加密模式
   • 相容模式

   注意

   通常應選擇 「新加密模式 」，但如果磁碟機可能會移至另一台具有舊版 Windows 作業系統的裝置，請選取 「相容模式」

7. 選取 [立即繼續重新啟動]>

8. 重新啟動後，OS 會執行 BitLocker 系統檢查並開始加密

使用者可以使用 BitLocker 控制台小程式檢查加密狀態。

注意

建立修復金鑰之後，可以使用 BitLocker 控制台來建立修復金鑰的其他複本。

具有 TPM 保護器和啟動金鑰的作業系統磁碟機

下列範例示範如何使用 TPM 和 啟動金鑰 保護裝置在作業系統磁碟機上啟用 BitLocker。

假設操作系統驅動器號是 C: ，USB 閃存驅動器是驅動器號 E:，則命令如下：

PowerShell

如果您選擇略過 BitLocker 硬體測試，加密會立即開始，而不需要重新開機。

Enable-BitLocker C: -StartupKeyProtector -StartupKeyPath E: -SkipHardwareTest

命令提示字元

manage-bde.exe -protectors -add C: -TPMAndStartupKey E:
manage-bde.exe -on C:

如果出現提示，請重新啟動電腦以完成加密過程。

注意

加密完成後，必須先插入USB啟動金鑰，才能啟動作業系統。

控制台

控制台小程式不允許同時啟用 BitLocker 和新增啟動金鑰保護程式。 若要新增啟動金鑰保護程式，請遵循下列步驟：

• 從 BitLocker 磁碟機加密控制台 Applet 的作業系統磁碟機底下，選取 [變更磁碟機在啟動時解除鎖定磁碟機的方式] 選項
• 出現提示時，選擇「插入 USB 隨身碟」選項
• 選擇要儲存啟動金鑰的 USB 隨身碟，然後選擇 儲存

重新啟動之後，會顯示 BitLocker 開機前畫面，而且必須先插入 USB 啟動金鑰，才能啟動作業系統：

資料磁碟區

資料磁碟區使用與作業系統磁碟區類似的加密程序，但不需要保護裝置即可完成作業。

PowerShell

在加密磁碟區之前，請先新增所需的保護裝置。 下列範例會使用變數$pw作為密碼，將密碼保護程式E:新增至磁碟區。 變數 $pw 會保留為 SecureString 值，以儲存使用者定義的密碼：

$pw = Read-Host -AsSecureString
<user inputs password>
Add-BitLockerKeyProtector E: -PasswordProtector -Password $pw

注意

BitLocker Cmdlet 需要以引號括住的金鑰保護程式 GUID 才能執行。 請確定整個 GUID （含大括號） 包含在命令中。

範例：使用 PowerShell 啟用具有 TPM 保護裝置的 BitLocker

Enable-BitLocker D: -EncryptionMethod XtsAes256 -UsedSpaceOnly -TpmProtector

範例：使用 PowerShell 啟用具有 TPM+PIN 保護裝置的 BitLocker，在此案例中，PIN 設定為 123456：

$SecureString = ConvertTo-SecureString "123456" -AsPlainText -Force
Enable-BitLocker C: -EncryptionMethod XtsAes256 -UsedSpaceOnly -Pin $SecureString -TPMandPinProtector

命令提示字元

可以使用 base 命令來加密資料磁碟區：

manage-bde.exe -on <drive letter>

或者可以先將其他保護器新增至磁碟區。 建議將至少一個主要保護裝置和一個復原保護裝置新增至資料磁碟區。

控制台

使用 BitLocker 控制台加密資料磁碟區的方式與作業系統磁碟區的加密類似。 使用者選取 [在 BitLocker 控制台] 內選取 [開啟 BitLocker] 以啟動 BitLocker 磁碟驅動器加密精靈。

管理 BitLocker 保護裝置

BitLocker 保護程式的管理包括新增、移除和備份保護程式。

受控 BitLocker 保護程式，請使用下列指示，選取最適合您需求的選項。

列出保護者

範例) 中磁碟區 (C: 可用的保護程式清單可執行下列命令來列出：

PowerShell

(Get-BitLockerVolume -mountpoint C).KeyProtector

命令提示字元

 manage-bde.exe -protectors -get C:

控制台

此資訊無法在控制台中使用。

新增保護裝置

新增修復密碼保護程式

PowerShell

Add-BitLockerKeyProtector -MountPoint C -RecoveryPasswordProtector

命令提示字元

manage-bde.exe -protectors -add -recoverypassword C:

控制台

從 BitLocker 磁碟機加密控制台 Applet 中，選取您要新增保護程式的磁碟區，然後選取 [備份復原金鑰] 選項。

新增密碼保護程式

資料磁碟區的常見保護程式是密碼保護程式。 在下一個範例中，密碼保護程式會新增至磁碟區。

PowerShell

Add-BitLockerKeyProtector -MountPoint D -PasswordProtector

命令提示字元

manage-bde.exe -protectors -add -pw D:

控制台

從 BitLocker 磁碟機加密控制台 Applet 中，展開您要新增密碼保護程式的磁碟機，然後選取 [新增密碼] 選項。 出現提示時，輸入並確認密碼以解鎖磁碟機。 選取 [完成] 以完成程序。

新增 Active Directory 保護裝置

Active Directory 保護程式是以 SID 為基礎的保護程式，可以新增至作業系統和資料磁碟區，不過它不會解除鎖定預先開機環境中的作業系統磁碟區。 保護裝置需要網域帳戶或群組的 SID 才能與保護裝置連結。 BitLocker 可以針對叢集名稱物件 (CNO) 新增 SID 型保護程式，以保護叢集感知磁碟，讓磁碟正確容錯移轉並解除鎖定至叢集的任何成員電腦。

重要

在作業系統磁碟區上使用時，SID 型保護程式需要使用額外的保護程式，例如 TPM、PIN、復原金鑰等。

注意

此選項不適用於已加入 Microsoft Entra 的裝置。

在此範例中，網域 SID 型保護程式會新增至先前加密的磁碟區。 使用者知道他們想要新增之使用者帳戶或群組的 SID，並使用下列命令：

PowerShell

Add-BitLockerKeyProtector C: -ADAccountOrGroupProtector -ADAccountOrGroup "<SID>"

若要將保護程式新增至磁碟區，需要網域 SID 或網域前面的群組名稱和反斜線。 在下列範例中， CONTOSO\Administrator 帳戶會新增為資料磁碟區 G 的保護裝置。

Enable-BitLocker G: -AdAccountOrGroupProtector -AdAccountOrGroup CONTOSO\Administrator

若要將 SID 用於帳戶或群組，第一個步驟是判斷與安全性主體相關聯的 SID。 若要在 Windows PowerShell 中取得使用者帳戶的特定 SID，請使用下列命令：

Get-ADUser -filter {samaccountname -eq "administrator"}

注意

使用此命令需要 RSAT-AD-PowerShell 功能。

提示

如需本機登入使用者和群組成員資格的相關資訊，請使用： whoami.exe /all。

命令提示字元

manage-bde.exe -protectors -add -sid <user or group>

控制台

此選項在控制台中不可用。

移除保護器

PowerShell

若要移除磁碟區上現有的保護裝置，請使用 Remove-BitLockerKeyProtector Cmdlet。 必須提供與要移除的保護裝置相關聯的 GUID。

下列命令會傳回金鑰保護程式和 GUIDS 的清單：

$vol = Get-BitLockerVolume C
$keyprotectors = $vol.KeyProtector
$keyprotectors

藉由使用此資訊，可以使用下列命令移除特定磁區的金鑰保護程式：

Remove-BitLockerKeyProtector <volume> -KeyProtectorID "{GUID}"

注意

BitLocker Cmdlet 需要以引號括住的金鑰保護程式 GUID 才能執行。 請確定整個 GUID （含大括號） 包含在命令中。

命令提示字元

下列命令會傳回金鑰保護程式清單：

manage-bde.exe -status C:

下列命令會移除特定類型的金鑰保護程式：

manage-bde.exe -protectors -delete C: -type TPMandPIN

控制台

從 BitLocker 磁碟機加密控制台 Applet 中，展開您要移除保護裝置的磁碟機，然後選取移除保護裝置的選項 （如果有的話）。

注意

您必須至少有一個解除鎖定方法，才能取得任何 BitLocker 加密的磁碟驅動器。

暫停和恢復

某些設定變更可能需要暫停 BitLocker，然後在套用變更之後繼續它。

使用下列指示暫停和繼續 BitLocker，選取最適合您需求的選項。

暫停 BitLocker

PowerShell

Suspend-BitLocker -MountPoint D

命令提示字元

manage-bde.exe -protectors -disable d:

控制台

您只能在使用控制台時暫停作業系統磁碟機的 BitLocker 保護。

從 BitLocker 磁碟機加密控制台 Applet 中，選取 OS 磁碟驅動器，然後選取 [暫停保護] 選項。

繼續 BitLocker

注意

恢復保護僅適用於已接受 Windows EULA 的裝置。

PowerShell

Resume-BitLocker -MountPoint D

命令提示字元

manage-bde.exe -protectors -enable d:

控制台

從 BitLocker 磁碟機加密控制台 Applet 中，選取作業系統磁碟機，然後選取 [ 繼續保護 ] 選項。

重設和備份修復密碼

建議在使用後將恢復密碼失效。 在此範例中，會從作業系統磁碟驅動器中移除復原密碼保護裝置、新增保護裝置，並備份至 Microsoft Entra ID 或 Active Directory。

PowerShell

從作業系統磁碟區移除所有修復密碼：

(Get-BitLockerVolume -MountPoint $env:SystemDrive).KeyProtector | `
  where-object {$_.KeyProtectorType -eq 'RecoveryPassword'} | `
  Remove-BitLockerKeyProtector -MountPoint $env:SystemDrive

新增 OS 磁碟區的 BitLocker 修復密碼保護程式：

Add-BitLockerKeyProtector -MountPoint $env:SystemDrive -RecoveryPasswordProtector

取得新復原密碼的 ID：

(Get-BitLockerVolume -mountpoint $env:SystemDrive).KeyProtector | where-object {$_.KeyProtectorType -eq 'RecoveryPassword'} | ft KeyProtectorId,RecoveryPassword

注意

如果原則設定 [選擇如何復原受 BitLocker 保護的作業系統磁碟機 ] 已設定為 [需要 BitLocker 備份至 AD DS]，則不需要此後續步驟。

從輸出複製修復密碼的 ID。

使用上一個步驟中的 GUID，取代下列命令中的 ，{ID}並使用下列命令將修復密碼備份至 Microsoft Entra ID：

BackuptoAAD-BitLockerKeyProtector -MountPoint $env:SystemDrive -KeyProtectorId "{ID}"

或者使用下列命令將復原密碼備份至 Active Directory：

Backup-BitLockerKeyProtector -MountPoint $env:SystemDrive -KeyProtectorId "{ID}"

注意

大括弧 {} 必須包含在 ID 字串中。

命令提示字元

從作業系統磁碟區移除所有修復密碼：

manage-bde.exe -protectors -delete C: -type RecoveryPassword

新增 OS 磁碟區的 BitLocker 修復密碼保護程式：

manage-bde.exe -protectors -add C: -RecoveryPassword

取得新復原密碼的 ID：

manage-bde.exe -protectors -get C: -Type RecoveryPassword

注意

如果原則設定 [選擇如何復原 BitLocker 作業系統磁碟機 ] 設定為 [需要 BitLocker 備份至 AD DS]，則不需要下列步驟。

使用上一個步驟中的 GUID，取代下列命令中的 ，{ID}並使用下列命令將修復密碼備份至 Microsoft Entra ID：

manage-bde.exe -protectors -aadbackup C: -id {ID}

或者使用下列命令將復原密碼備份至 Active Directory：

manage-bde.exe -protectors -adbackup C: -id {ID}

注意

大括弧 {} 必須包含在 ID 字串中。

控制台

此程式無法使用控制台來完成。 請改用其他選項之一。

停用 BitLocker

停用 BitLocker 會解密並從磁碟區移除任何相關聯的保護程式。 當不再需要保護時，應進行解密，而不是作為故障排除步驟。

使用下列指示停用 BitLocker，選取最適合您需求的選項。

PowerShell

Windows PowerShell 提供一次解密多個磁碟機的功能。 在下列範例中，使用者有三個加密磁碟區，他們想要解密這些磁碟區。

使用 Disable-BitLocker 命令，他們可以同時刪除所有保護程序和加密，而無需更多命令。 此命令的範例如下：

Disable-BitLocker

若要避免個別指定每個掛載點，請使用陣列中的參數 -MountPoint ，將相同的命令排序為一行，而不需要額外的使用者輸入。 範例：

Disable-BitLocker -MountPoint C,D

命令提示字元

解密的 manage-bde.exe 優點是不需要使用者確認即可啟動該過程。 Manage-bde使用-off命令啟動解密過程。 解密的範例命令如下：

manage-bde.exe -off C:

此命令會在解密磁碟區時停用保護器，並在解密完成後移除所有保護器。

控制台

使用控制台的 BitLocker 解密是使用精靈完成的。 開啟 BitLocker 控制台小程式後，選擇 關閉 BitLocker 選項以開始該過程。 若要繼續，請選取確認對話方塊。 確認關閉 BitLocker 後，磁碟驅動器解密程式就會開始。

解密完成後，驅動器會在控制台中更新其狀態並可用於加密。

解鎖磁碟機

如果您將磁碟驅動器作為次要磁碟機連線到裝置，而且您有 BitLocker 修復金鑰，您可以使用下列指示來解除鎖定已啟用 BitLocker 的磁碟驅動器。

在下一個範例中， D 磁碟機是要解鎖的磁碟機。 選擇最適合您需求的選項。

PowerShell

Unlock-BitLocker -MountPoint D -RecoveryPassword xxxxxx-xxxxxx-xxxxxx-xxxxxx-xxxxxx-xxxxxx-xxxxxx-xxxxxx

如需詳細資訊，請參閱 解除鎖定-BitLocker

命令提示字元

manage-bde.exe -unlock D: -recoverypassword xxxxxx-xxxxxx-xxxxxx-xxxxxx-xxxxxx-xxxxxx-xxxxxx-xxxxxx

如需詳細資訊，請參閱 manage-bde 解除鎖定

控制台

您可以從控制台或資源管理器解鎖驅動器。 開啟 BitLocker 控制台小程式後，選擇 解鎖磁碟機 選項開始該過程。 出現提示時，輸入 48 位數的恢復金鑰。