加密和数据保护

• 适用于:

  Windows 11

当人们带着电脑旅行时，他们的机密信息会随电脑一起传输。 无论机密数据存储在何处，都必须防止未经授权的访问，既包括物理设备盗窃也包括恶意应用程序。

BitLocker

BitLocker 是一项数据保护功能，它与操作系统集成，以解决因设备丢失、被盗或不当解除授权而遭受数据盗窃或泄露的威胁。 它在 XTS 或 CBC 模式下使用具有 128 位或 256 位密钥长度的 AES 算法来加密卷上的数据。 在初始设置期间，在 OOBE 期间启用 BitLocker 并且用户首次登录到其Microsoft帐户时，BitLocker 会自动将其恢复密码保存到 Microsoft 帐户以供检索（如果需要）。 如果用户手动启用 BitLocker，还可以选择导出恢复密码。 恢复密钥内容可以保存到 OneDrive 或 Azure 上的云存储^[4]。

对于组织，可以通过组策略或设备管理解决方案（如 Microsoft Intune^[3]）管理 BitLocker。 它使用硬件安全测试接口 (HSTI) 、新式待机、UEFI 安全启动和 TPM 等技术，为 OS、固定数据和可移动数据驱动器 (BitLocker To Go) 提供加密。

Windows 11版本 24H2 中的新增功能

BitLocker 预启动恢复屏幕包括Microsoft帐户 (MSA) 提示（如果恢复密码保存到 MSA）。 此提示可帮助用户了解使用哪个 MSA 帐户来存储恢复密钥信息。

了解更多信息

• BitLocker 概述

BitLocker To Go

BitLocker To Go 是指可移动数据驱动器上的 BitLocker。 BitLocker To Go 包括 USB 闪存驱动器、SD 卡和外部硬盘驱动器的加密。 可以使用密码、智能卡证书或恢复密码解锁驱动器。

了解更多信息

• BitLocker 常见问题解答

设备加密

设备加密是一项 Windows 功能，可简化在某些设备上启用 BitLocker 加密的过程。 它确保仅对 OS 驱动器和固定驱动器进行加密，而外部/USB 驱动器保持未加密状态。 此外，具有允许 DMA 访问的外部可访问端口的设备不符合设备加密的条件。 与标准 BitLocker 实现不同，设备加密会自动启用，以确保持续保护。 完成 Windows 的全新安装并完成全新体验后，设备将准备好在加密已到位的情况下首次使用。

组织可以选择禁用设备加密，以支持完整的 BitLocker 实现。 这允许对加密策略和设置进行更精细的控制，确保满足组织的特定安全要求。

Windows 11版本 24H2 中的新增功能

删除了 DMA 和 HSTI/新式待机的设备加密先决条件。 此更改使更多设备符合自动和手动设备加密的条件。

了解更多信息

• 设备加密

加密硬盘驱动器

加密硬盘驱动器是在硬件级别自加密的一类硬盘驱动器。 它们允许全磁盘硬件加密，并且对用户透明。 这些驱动器结合了 BitLocker 提供的安全和管理优势以及自加密驱动器的强大功能。

通过将加密操作卸载到硬件上，加密的硬盘驱动器将会增加 BitLocker 性能，并减少 CPU 使用率和电源消耗。 由于加密的硬盘驱动器能迅速地加密数据，企业设备可以在最小化生产效率影响的同时扩展 BitLocker 部署。

加密硬盘驱动器启用：

• 性能流畅：集成到驱动器控制器中的加密硬件允许驱动器以完整数据速率运行，而不会降低性能
• 基于硬件的强安全性：加密始终处于打开状态，用于加密的密钥永远不会离开硬盘驱动器。 驱动器在解锁之前独立于操作系统对用户进行身份验证
• 易用性：加密对用户是透明的，用户不需要启用它。 使用载入加密密钥可以轻松擦除加密的硬盘驱动器。 无需重新加密驱动器上的数据
• 更低的拥有成本：由于 BitLocker 使用现有基础结构来存储恢复信息，因此无需使用新的基础结构来管理加密密钥。 设备运行效率更高，因为无需将处理器周期用于加密过程

了解更多信息

• 加密硬盘驱动器

个人数据加密

个人数据加密是一种经过用户身份验证的加密机制，旨在保护用户的内容。 个人数据加密使用 Windows Hello 企业版 作为其新式身份验证方案，并采用 PIN 或生物识别身份验证方法。 个人数据加密使用的加密密钥安全地存储在 Windows Hello 容器中。 当用户使用 Windows Hello 登录时，容器将解锁，使密钥可用于解密用户的内容。

Windows 11版本 22H2 中首次发布的个人数据加密引入了一组公共 API，应用程序可以采用这些 API 来保护内容。

Windows 11版本 24H2 中的新增功能

个人数据加密通过 已知文件夹的个人数据加密得到进一步增强，该加密将保护扩展到 Windows 文件夹：文档、图片和桌面。

了解更多信息

• 个人数据加密

Email加密

Email加密允许用户保护电子邮件和附件，以便只有具有数字标识 (ID) 或证书的预期收件人才能读取它们^[8]。 用户还可以 对邮件进行数字签名 ，这将验证发件人的身份并确保邮件未被篡改。

Windows 11中包含的新 Outlook 应用支持各种类型的电子邮件加密，包括Microsoft Purview 邮件加密、S/MIME 和信息权限管理 (IRM) 。

使用安全/多用途 Internet 邮件扩展 (S/MIME) 时，用户可以向其组织内的人员和具有适当加密证书的外部联系人发送加密邮件。 如果收件人具有相应的解密密钥，则只能读取加密邮件。 如果向加密证书不可用的收件人发送加密邮件，Outlook 会要求你在发送电子邮件之前删除这些收件人。

了解更多信息

• 用于Exchange Online中消息签名和加密的 S/MIME
• 新 Outlook for Windows 入门
• Email加密