BitLocker 作業指南

• 適用於:

  ✅ Windows 11, ✅ Windows 10, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

管理和操作 BitLocker 有不同的工具和選項：

• BitLocker PowerShell 模組
• BitLocker 磁碟驅動器加密工具
• 控制台

BitLocker 磁碟驅動器加密工具和 BitLocker PowerShell 模組可用來執行任何可透過 BitLocker 控制面板完成的工作。 它們適合用於自動化部署和其他腳本案例。
BitLocker 控制面板小程式可讓使用者執行基本工作，例如在磁碟驅動器上開啟 BitLocker，以及指定解除鎖定方法和驗證方法。 BitLocker 控制面板小程式適合用於基本的 BitLocker 工作。

本文說明 BitLocker 管理工具及其使用方式，並提供實用的範例。

BitLocker PowerShell 模組

BitLocker PowerShell 模組可讓系統管理員輕鬆地將 BitLocker 選項整合到現有的腳本中。 如需模組中包含的 Cmdlet 清單、其描述和語法，請參閱 BitLocker PowerShell 參考文章。

BitLocker 磁碟驅動器加密工具

BitLocker 磁碟驅動器加密工具包含兩個命令行工具：

• 組態工具 (manage-bde.exe) 可用於編寫 BitLocker 作業的腳本，提供 BitLocker 控制面板小程式中沒有的選項。 如需選項的 manage-bde.exe 完整清單，請參閱 Manage-bde 參考
• 修復工具 (repair-bde.exe) 適用於無法正常解除鎖定受 BitLocker 保護的磁碟驅動器或使用復原控制台的災害復原案例

BitLocker 控制面板小程式

使用 BitLocker 控制面板加密磁碟區 (選取 [開始]，輸入 BitLocker，選取 [ 管理 BitLocker ]，) 是有多少使用者將使用 BitLocker。 BitLocker 控制面板小程式的名稱是 BitLocker 磁碟驅動器加密。 Applet 支援加密作業系統、固定數據和抽取式數據磁碟區。 BitLocker 控制面板會根據裝置向 Windows 報告本身的方式，組織適當類別中的可用磁碟驅動器。 只有具有指派驅動器號的格式化磁碟區才會在 BitLocker 控制面板小程式中正確顯示。

在 Windows 檔案總管中使用 BitLocker

Windows 檔案總管可讓使用者以滑鼠右鍵按兩下磁碟區，然後選取 [開啟 BitLocker]，以啟動 BitLocker 磁碟驅動器加密精靈。 根據預設，此選項可在用戶端計算機上使用。 在伺服器上，必須先安裝 BitLocker 功能和 Desktop-Experience 功能，才能使用此選項。 選取 [ 開啟 BitLocker] 之後，精靈的運作方式就如同使用 BitLocker 控制面板啟動時一樣。

檢查 BitLocker 狀態

若要檢查特定磁碟區的 BitLocker 狀態，系統管理員可以在 BitLocker 控制面板小程式、Windows 檔案總管、 manage-bde.exe 命令行工具或 Windows PowerShell Cmdlet 中查看磁碟驅動器的狀態。 每個選項都提供不同層級的詳細數據和易用性。

請依照下列指示確認 BitLocker 的狀態，選取您選擇的工具。

PowerShell

若要判斷磁碟區的目前狀態，您可以使用 Get-BitLockerVolume Cmdlet，以提供磁碟區類型、保護裝置、保護狀態和其他詳細數據的相關信息。 例如：

PS C:\> Get-BitLockerVolume C: | fl

ComputerName         : DESKTOP
MountPoint           : C:
EncryptionMethod     : XtsAes128
AutoUnlockEnabled    :
AutoUnlockKeyStored  : False
MetadataVersion      : 2
VolumeStatus         : FullyEncrypted
ProtectionStatus     : On
LockStatus           : Unlocked
EncryptionPercentage : 100
WipePercentage       : 0
VolumeType           : OperatingSystem
CapacityGB           : 1000
KeyProtector         : {Tpm, RecoveryPassword}

命令提示字元

您可以 manage-bde.exe 使用 來判斷目標系統上的磁碟區狀態，例如：

manage-bde.exe -status

此命令會傳回目標上的磁碟區、目前的加密狀態、加密方法，以及每個磁碟區 (操作系統或數據) 的磁碟區類型。

C:\>manage-bde -status

Volume C: [Local Disk]
[OS Volume]

    Size:                 1000 GB
    BitLocker Version:    2.0
    Conversion Status:    Used Space Only Encrypted
    Percentage Encrypted: 100.0%
    Encryption Method:    XTS-AES 128
    Protection Status:    Protection On
    Lock Status:          Unlocked
    Identification Field: Unknown
    Key Protectors:
        TPM
        Numerical Password

控制台

使用 [控制面板] 檢查 BitLocker 狀態是大部分使用者常用的方法。 開啟之後，每個磁碟區的狀態會顯示在磁碟區描述和驅動器號旁邊。 具有 applet 的可用狀態傳回值包括：

狀態	描述
上	已針對磁碟區啟用 BitLocker
關閉	磁碟區未啟用 BitLocker
Suspended	BitLocker 已暫停，且未主動保護磁碟區
正在等候啟用	BitLocker 已啟用明確的保護裝置密鑰，而且需要進一步的動作才能受到完整保護

如果已使用 BitLocker 預先布建磁碟驅動器，磁碟區上會顯示 [ 正在等候啟用 ] 狀態，並顯示黃色驚嘆號圖示。 此狀態表示在加密磁碟區時，只會使用明確的保護裝置。 在此情況下，磁碟區不是處於受保護狀態，而且必須先將安全密鑰新增至磁碟區，磁碟驅動器才會受到完整保護。 系統管理員可以使用控制面板、PowerShell 或 manage-bde.exe 新增適當的密鑰保護裝置。 完成後，控制面板會更新以反映新狀態。

啟用 BitLocker

具有 TPM 保護裝置的 OS 磁碟驅動器

下列範例示範如何只使用 TPM 保護裝置和無修復金鑰，在作業系統磁碟驅動器上啟用 BitLocker：

PowerShell

Enable-BitLocker C: -TpmProtector

命令提示字元

manage-bde.exe -on C:

控制台

從 BitLocker 磁碟驅動器加密 控制面板小程式：

1. 展開 OS 磁碟驅動器，然後選取 [開啟 BitLocker] 選項

2. 出現提示時，選取 [讓 BitLocker 自動解除鎖定磁碟驅動器] 選項

3. 使用下列其中一種方法來備份 修復金鑰 ：

   • 如果適用，請儲存至您的 Microsoft Entra ID 帳戶或 Microsoft 帳戶 ()
   • 儲存至 USB 快閃磁碟驅動器
   • 儲存至檔案 - 檔案必須儲存到不在裝置本身的位置，例如網路資料夾
   • 列印修復金鑰

4. 選取 [下一步]

5. 選擇其中一個僅加密 已使用磁碟空間 或 加密整個磁碟驅動器 的選項，然後選取 [ 下一步]

   • 僅加密已使用的磁碟空間 - 僅加密包含數據的磁碟空間
   • 加密整個磁碟驅動器 - 加密整個磁碟區，包括可用空間。 也稱為完整磁碟加密

   在下列案例中，建議使用每個方法：

   • 只加密已使用的磁碟空間：

     • 磁碟驅動器從未有數據
     • 過去從未有從未加密過機密數據的格式化或清除磁碟驅動器

   • 將整個磁碟驅動器加密 (完整磁碟加密) ：

     • 目前具有數據的磁碟驅動器
     • 目前具有操作系統的磁碟驅動器
     • 過去具有從未加密過機密數據的格式化或清除磁碟驅動器

   重要

   已刪除的檔案會顯示為檔案系統的可用空間，而該文件系統不會 僅由已使用的磁碟空間加密。 在抹除或覆寫檔案之前，已刪除的檔案會保存可使用一般數據鑑識工具復原的資訊。

6. 選取加密模式，然後選取 [ 下一步]

   • 新的加密模式
   • 相容模式

   注意

   通常應該選擇 新的加密模式 ，但如果磁碟驅動器可能移至具有舊版 Windows 作業系統的另一部裝置，請選取 [ 相容模式]

7. 選取 [立即繼續>重新啟動]

8. 重新啟動之後，OS 會執行 BitLocker 系統檢查並開始加密

使用者可以使用 BitLocker 控制面板小程式來檢查加密狀態。

注意

建立修復金鑰之後，可以使用 BitLocker 控制面板來建立修復密鑰的其他複本。

具有 TPM 保護裝置和啟動金鑰的 OS 磁碟驅動器

下列範例示範如何使用 TPM 和 啟動金鑰 保護裝置，在作業系統磁碟驅動器上啟用 BitLocker。

假設 OS 驅動器號是 C: ，而 USB 快閃磁碟驅動器是驅動器號 E:，以下是命令：

PowerShell

如果您選擇略過 BitLocker 硬體測試，加密會立即開始，而不需要重新啟動。

Enable-BitLocker C: -StartupKeyProtector -StartupKeyPath E: -SkipHardwareTest

命令提示字元

manage-bde.exe -protectors -add C: -TPMAndStartupKey E:
manage-bde.exe -on C:

如果出現提示，請重新啟動計算機以完成加密程式。

注意

加密完成之後，必須先插入USB啟動金鑰，才能啟動作業系統。

控制台

控制面板小程式不允許同時啟用 BitLocker 和新增啟動金鑰保護裝置。 若要新增啟動金鑰保護裝置，請遵循下列步驟：

• 從 BitLocker 磁碟驅動器加密控制面板小程式中，選取 [OS 磁碟驅動器] 下方的 [變更啟動時磁碟驅動器解除鎖定的方式] 選項
• 出現提示時，選取 [插入USB 快閃磁碟驅動器] 選項
• 選取您要儲存啟動金鑰的 USB 磁碟驅動器，然後選取 [ 儲存]

重新啟動之後，BitLocker 預先啟動畫面隨即顯示，且必須先插入 USB 啟動金鑰，才能啟動作業系統：

數據磁碟區

數據磁碟區使用與操作系統磁碟區類似的加密程式，但不需要保護裝置即可完成作業。

PowerShell

在加密磁碟區之前，請先新增所需的保護裝置。 下列範例會使用 變數作為密碼，將密碼保護裝置新增至 E: 磁碟 $pw 區。 變數 $pw 會保留為 SecureString 值，以儲存使用者定義的密碼：

$pw = Read-Host -AsSecureString
<user inputs password>
Add-BitLockerKeyProtector E: -PasswordProtector -Password $pw

注意

BitLocker Cmdlet 需要以引弧括住的密鑰保護裝置 GUID 才能執行。 請確定命令中包含具有大括號的整個 GUID。

範例：使用 PowerShell 啟用具有 TPM 保護裝置的 BitLocker

Enable-BitLocker D: -EncryptionMethod XtsAes256 -UsedSpaceOnly -TpmProtector

範例：使用 PowerShell 以 TPM+PIN 保護裝置啟用 BitLocker，在此案例中，PIN 設定為 123456：

$SecureString = ConvertTo-SecureString "123456" -AsPlainText -Force
Enable-BitLocker C: -EncryptionMethod XtsAes256 -UsedSpaceOnly -Pin $SecureString -TPMandPinProtector

命令提示字元

您可以使用基底命令來加密資料磁碟區：

manage-bde.exe -on <drive letter>

或額外的保護裝置可以先新增至磁碟區。 建議您至少將一個主要保護裝置加上復原保護裝置新增至數據磁碟區。

控制台

使用 BitLocker 控制面板加密資料磁碟區的方式類似於作業系統磁碟區的加密。 用戶選取 [BitLocker 控制面板] 內的 [ 開啟 BitLocker ]，以開始 [BitLocker 磁碟驅動器加密精靈]。

管理 BitLocker 保護工具

BitLocker 保護裝置的管理包含新增、移除及備份保護裝置。

使用下列指示選取最符合您需求的選項，以受控 BitLocker 保護裝置。

列出保護工具

您可以執行下列命令來列出範例) 中磁碟區 (C: 可用的保護裝置清單：

PowerShell

(Get-BitLockerVolume -mountpoint C).KeyProtector

命令提示字元

 manage-bde.exe -protectors -get C:

控制台

此資訊無法在 [控制面板] 中取得。

新增保護工具

新增修復密碼保護裝置

PowerShell

Add-BitLockerKeyProtector -MountPoint C -RecoveryPasswordProtector

命令提示字元

manage-bde.exe -protectors -add -recoverypassword C:

控制台

從 BitLocker 磁碟驅動器加密 控制面板小程式中，選取您要新增保護裝置的磁碟區，然後選取 [ 備份修復金鑰] 選項。

新增密碼保護裝置

數據磁碟區的常見保護裝置是密碼保護裝置。 在下一個範例中，密碼保護裝置會新增至磁碟區。

PowerShell

Add-BitLockerKeyProtector -MountPoint D -PasswordProtector

命令提示字元

manage-bde.exe -protectors -add -pw D:

控制台

從 [BitLocker 磁碟驅動器加密 控制面板] 小程式中，展開您要新增密碼保護裝置的磁碟驅動器，然後選取 [ 新增密碼] 選項。 出現提示時，輸入並確認密碼以解除鎖定磁碟驅動器。 選 取 [完成 ] 以完成程式。

新增 Active Directory 保護裝置

Active Directory 保護裝置是 SID 型保護裝置，可同時新增至作業系統和數據磁碟區，但不會解除鎖定啟動前環境中的操作系統磁碟區。 保護裝置需要網域帳戶或群組的 SID 才能與保護裝置連結。 BitLocker 可以藉由新增叢集名稱物件的 SID 型保護裝置來保護叢集感知磁碟 (CNO) ，讓磁碟能夠正確故障轉移並解除鎖定至叢集的任何成員計算機。

重要

在操作系統磁碟區上使用 SID 型保護裝置時，需要使用額外的保護裝置，例如 TPM、PIN、修復密鑰等。

注意

Microsoft加入 Entra 的裝置無法使用此選項。

在此範例中，網域 SID 型保護裝置會新增至先前加密的磁碟區。 使用者知道他們想要新增之使用者帳戶或群組的 SID，並使用下列命令：

PowerShell

Add-BitLockerKeyProtector C: -ADAccountOrGroupProtector -ADAccountOrGroup "<SID>"

若要將保護裝置新增至磁碟區，需要網域 SID 或前面加上網域的組名和反斜杠。 在下列範例中， CONTOSO\Administrator 帳戶會新增為數據磁碟區 G 的保護裝置。

Enable-BitLocker G: -AdAccountOrGroupProtector -AdAccountOrGroup CONTOSO\Administrator

若要使用帳戶或群組的 SID，第一個步驟是判斷與安全性主體相關聯的 SID。 若要在 Windows PowerShell 中取得使用者帳戶的特定 SID，請使用下列命令：

Get-ADUser -filter {samaccountname -eq "administrator"}

注意

使用此命令需要 RSAT-AD-PowerShell 功能。

提示

您可以使用下列方式找到本機登入使用者和群組成員資格的相關信息： whoami.exe /all。

命令提示字元

manage-bde.exe -protectors -add -sid <user or group>

控制台

此選項無法在 [控制面板] 中使用。

拿掉保護工具

PowerShell

若要移除磁碟區上現有的保護裝置，請使用 Remove-BitLockerKeyProtector Cmdlet。 必須提供與要移除之保護裝置相關聯的 GUID。

下列命令會傳回金鑰保護裝置和 GUIDS 的清單：

$vol = Get-BitLockerVolume C
$keyprotectors = $vol.KeyProtector
$keyprotectors

藉由使用這項資訊，可以使用 命令來移除特定磁碟區的金鑰保護裝置：

Remove-BitLockerKeyProtector <volume> -KeyProtectorID "{GUID}"

注意

BitLocker Cmdlet 需要以引弧括住的密鑰保護裝置 GUID 才能執行。 請確定命令中包含具有大括號的整個 GUID。

命令提示字元

下列命令會傳回金鑰保護裝置的清單：

manage-bde.exe -status C:

下列命令會移除特定類型的金鑰保護裝置：

manage-bde.exe -protectors -delete C: -type TPMandPIN

控制台

從 [BitLocker 磁碟驅動器加密 控制面板] 小程式中，展開您要移除保護裝置的磁碟驅動器，並在可用時選取要移除它的選項。

注意

對於任何 BitLocker 加密的磁碟驅動器，您必須至少有一個解除鎖定方法。

暫止和繼續

某些設定變更可能需要暫停 BitLocker，然後在套用變更之後繼續進行。

使用下列指示，選取最符合您需求的選項，暫停並繼續 BitLocker。

暫止 BitLocker

PowerShell

Suspend-BitLocker -MountPoint D

命令提示字元

manage-bde.exe -protectors -disable d:

控制台

使用 [控制面板] 時，您只能暫停 OS 磁碟驅動器的 BitLocker 保護。

從 [BitLocker 磁碟驅動器加密 控制面板] 小程式中，選取 OS 磁碟驅動器，然後選取 [ 暫停保護] 選項。

繼續 BitLocker

PowerShell

Resume-BitLocker -MountPoint D

命令提示字元

manage-bde.exe -protectors -enable d:

控制台

從 BitLocker 磁碟驅動器加密 控制面板小程式中，選取 OS 磁碟驅動器，然後選取 [ 繼續保護] 選項。

重設和備份修復密碼

建議您在使用修復密碼之後使其失效。 在此範例中，系統會從OS磁碟驅動器移除修復密碼保護裝置、新增新的保護裝置，並備份至 Microsoft Entra ID 或 Active Directory。

PowerShell

從 OS 磁碟區移除所有修復密碼：

(Get-BitLockerVolume -MountPoint $env:SystemDrive).KeyProtector | `
  where-object {$_.KeyProtectorType -eq 'RecoveryPassword'} | `
  Remove-BitLockerKeyProtector -MountPoint $env:SystemDrive

為 OS 磁碟區新增 BitLocker 修復密碼保護裝置：

Add-BitLockerKeyProtector -MountPoint $env:SystemDrive -RecoveryPasswordProtector

取得新修復密碼的識別碼：

(Get-BitLockerVolume -mountpoint $env:SystemDrive).KeyProtector | where-object {$_.KeyProtectorType -eq 'RecoveryPassword'} | ft KeyProtectorId,RecoveryPassword

注意

如果原則設定 [ 選擇如何復原受 BitLocker 保護的作業系統磁碟驅動器 ] 設定為 [需要將 BitLocker 備份至 AD DS]，則不需要執行下一個步驟。

從輸出複製修復密碼的識別碼。

使用上一個步驟中的 GUID，取代 {ID} 下列命令中的 ，並使用下列命令來備份修復密碼以Microsoft Entra ID：

BackuptoAAD-BitLockerKeyProtector -MountPoint $env:SystemDrive -KeyProtectorId "{ID}"

或者，使用下列命令將修復密碼備份至 Active Directory：

Backup-BitLockerKeyProtector -MountPoint $env:SystemDrive -KeyProtectorId "{ID}"

注意

大括弧 {} 必須包含在標識符字串中。

命令提示字元

從 OS 磁碟區移除所有修復密碼：

manage-bde.exe -protectors -delete C: -type RecoveryPassword

為 OS 磁碟區新增 BitLocker 修復密碼保護裝置：

manage-bde.exe -protectors -add C: -RecoveryPassword

取得新修復密碼的識別碼：

manage-bde.exe -protectors -get C: -Type RecoveryPassword

注意

如果 [ 選擇如何復原受 BitLocker 保護的操作系統磁碟驅動器 ] 原則設定為 [需要將 BitLocker 備份至 AD DS]，則不需要執行下列步驟。

使用上一個步驟中的 GUID，取代 {ID} 下列命令中的 ，並使用下列命令來備份修復密碼以Microsoft Entra ID：

manage-bde.exe -protectors -aadbackup C: -id {ID}

或者，使用下列命令將修復密碼備份至 Active Directory：

manage-bde.exe -protectors -adbackup C: -id {ID}

注意

大括弧 {} 必須包含在標識符字串中。

控制台

無法使用 [控制面板] 來完成此程式。 請改用其中一個其他選項。

停用 BitLocker

停用 BitLocker 會解密並移除磁碟區中任何相關聯的保護裝置。 當不再需要保護時，應該進行解密，而不是作為疑難解答步驟。

使用下列指示，選取最符合您需求的選項來停用 BitLocker。

PowerShell

Windows PowerShell 提供一次解密多個磁碟驅動器的能力。 在下列範例中，使用者有三個想要解密的加密磁碟區。

使用 Disable-BitLocker 命令，他們可以同時移除所有保護裝置和加密，而不需要更多命令。 這個指令的範例為：

Disable-BitLocker

若要避免個別指定每個裝入點，請在陣列中使用 -MountPoint 參數，將相同的命令排序成一行，而不需要額外的用戶輸入。 範例：

Disable-BitLocker -MountPoint C,D

命令提示字元

使用 解密 manage-bde.exe 可提供不需要使用者確認即可啟動程式的優點。 Manage-bde 會使用 -off 命令來啟動解密程式。 解密的範例命令如下：

manage-bde.exe -off C:

此命令會在解密磁碟區時停用保護裝置，並在解密完成時移除所有保護裝置。

控制台

使用 [控制面板] 的 BitLocker 解密是使用精靈來完成。 開啟 BitLocker 控制面板小程式之後，請選 取 [關閉 BitLocker ] 選項以開始程式。 若要繼續，請選取確認對話方塊。 確認 關閉 BitLocker 之後 ，磁碟驅動器解密程式就會開始。

解密完成後，磁碟驅動器會在 [控制面板] 中更新其狀態，並可供加密。

解除鎖定磁碟驅動器

如果您將磁碟驅動器作為次要磁碟驅動器連線到裝置，而且您有 BitLocker 修復金鑰，您可以使用下列指示解除鎖定已啟用 BitLocker 的磁碟驅動器。

在下一個範例中 D ，磁碟驅動器是要解除鎖定的磁碟驅動器。 選取最符合您需求的選項。

PowerShell

Unlock-BitLocker -MountPoint D -RecoveryPassword xxxxxx-xxxxxx-xxxxxx-xxxxxx-xxxxxx-xxxxxx-xxxxxx-xxxxxx

如需詳細資訊，請參閱 Unlock-BitLocker

命令提示字元

manage-bde.exe -unlock D: -recoverypassword xxxxxx-xxxxxx-xxxxxx-xxxxxx-xxxxxx-xxxxxx-xxxxxx-xxxxxx

如需詳細資訊，請 參閱 manage-bde unlock

控制台

您可以從 [控制面板] 或 [總管] 解除鎖定磁碟驅動器。 開啟 BitLocker 控制面板小程式之後，請選取 [ 解除鎖定磁碟驅動器 ] 選項以開始程式。 出現提示時，輸入 48 位數的修復金鑰。