Bitlocker 概觀
BitLocker 是一項 Windows 安全性功能,可為整個磁碟區提供加密,以解決數據竊取或暴露於遺失、遭竊或不當解除委任裝置的威脅。
實際應用
遺失或遭竊裝置上的數據很容易遭到未經授權的存取,方法是對其執行軟體攻擊工具,或將裝置的硬碟傳輸到不同的裝置。 BitLocker 藉由增強檔案和系統保護,在解除委任或回收受 BitLocker 保護的裝置時,轉譯無法存取的數據,有助於降低未經授權的數據存取。
BitLocker 和 TPM
BitLocker 可在搭配信賴平臺模組 (TPM) 使用時提供最大保護,這是安裝在 Windows 裝置上的通用硬體元件。 TPM 可與 BitLocker 搭配運作,以確保裝置在系統離線時未遭到竄改。
除了 TPM 之外,BitLocker 還可以鎖定正常啟動程式,直到使用者提供個人標識碼 (PIN) 或插入包含啟動密鑰的卸除式裝置為止。 這些安全性措施提供多重要素驗證,並保證裝置在顯示正確的 PIN 或啟動密鑰之前,無法從休眠狀態啟動或繼續。
在沒有 TPM 的裝置上,BitLocker 仍然可以用來加密作業系統磁碟驅動器。 此實作需要使用者執行下列其中一個動作:
- 使用啟動密鑰,這是儲存在用來啟動裝置的卸載式磁碟驅動器上的檔案,或從休眠狀態繼續時的檔案
- 使用密碼。 此選項不安全,因為它會受到暴力密碼破解攻擊,因為沒有密碼鎖定邏輯。 因此,預設不建議使用密碼選項並加以停用
這兩個選項都不提供 BitLocker 搭配 TPM 所提供的預先啟動系統完整性驗證。
具有啟動金鑰的 BitLocker 預先啟動畫面:
具有 PIN 的 BitLocker 預先啟動畫面:
具有密碼的 BitLocker 預先啟動畫面:
系統需求
BitLocker 有下列需求:
若要讓 BitLocker 使用 TPM 提供的系統完整性檢查,裝置必須有 TPM 1.2 或更新版本。 如果裝置沒有 TPM,在啟用 BitLocker 時,必須在卸載式磁碟驅動器上儲存啟動密鑰
具有 TPM 的裝置也必須具有信 賴運算群組 (TCG) 相容的 BIOS 或 UEFI 韌體。 BIOS 或 UEFI 韌體會為啟動前啟動建立信任鏈結,而且它必須包含 TCG 指定之靜態信任度量根的支援。 沒有 TPM 的電腦不需要符合 TCG 規範的韌體
TPM 和非 TPM 裝置的系統 BIOS 或 UEFI 韌體 () 必須支援 USB 大量儲存裝置類別,並在預先啟動環境中讀取 USB 磁碟驅動器上的檔案
注意
舊版和相容性支援模組 (CSM) BIOS 模式不支援 TPM 2.0。 具有 TPM 2.0 的裝置必須將其 BIOS 模式設定為僅限原生 UEFI。 必須停用舊版和 CSM 選項。 若要新增安全性,請啟用 安全開機 功能。
在舊版模式的硬體上安裝的操作系統會在 BIOS 模式變更為 UEFI 時停止作業系統開機。 變更 BIOS 模式之前,請先使用此工具
mbr2gpt.exe
,以準備作業系統和磁碟以支援 UEFI。硬碟必須至少分割為兩個磁碟機:
操作系統磁碟驅動器 (或開機磁碟驅動器) 包含 OS 及其支援檔案。 它必須使用NTFS檔案系統進行格式化
系統磁碟驅動器包含開機、解密和載入作業系統所需的檔案。 BitLocker 在這個磁碟機上尚未啟用。 若要讓 BitLocker 運作,系統磁碟驅動器:
- 不得加密
- 必須與操作系統磁碟驅動器不同
- 在使用 UEFI 型韌體的電腦上,或使用使用 BIOS 韌體之電腦上的 NTFS 檔案系統,必須使用 FAT32 檔案系統格式化
- 建議大小大約為 350 MB。 開啟 BitLocker 之後,它應該會有大約 250 MB 的可用空間
重要
安裝在新裝置上時,Windows 會自動建立 BitLocker 所需的分割區。
如果磁碟驅動器已備妥為單一連續空間,BitLocker 需要新的磁碟區來保存開機檔案。
BdeHdCfg.exe
可以建立磁碟區。 如需使用工具的詳細資訊,請參閱 Command-Line 參考中的 Bdehdcfg 。
注意
在伺服器上安裝 BitLocker 選用元件時,必須安裝 增強記憶體 功能。 此功能可用來支援硬體加密磁碟驅動器。
Windows 版本和授權需求
以下資料表列出支援 BitLocker 啟用的 Windows 版本:
Windows 專業版 | Windows 企業版 | Windows 專業教育版/SE | Windows 教育版 |
---|---|---|---|
是 | 是 | 是 | 是 |
下列授權會授與 BitLocker 啟用授權權利:
Windows 專業版/專業教育版/SE | Windows 企業版 E3 | Windows 企業版 E5 | Windows 教育版 A3 | Windows 教育版 A5 |
---|---|---|---|---|
是 | 是 | 是 | 是 | 是 |
如需 Windows 授權的詳細資訊,請參閱 Windows 授權概觀。
注意
BitLocker 啟用的授權需求與 BitLocker 管理的授權需求不同。 若要深入瞭解,請檢閱操作指南: 設定 BitLocker。
裝置加密
裝置加密 是一項 Windows 功能,可讓某些裝置以簡單的方式自動啟用 BitLocker 加密。 裝置加密可在所有 Windows 版本上使用,而且需要裝置符合 新式待命 或 HSTI 安全性需求。 裝置加密不能有允許 DMA 存取的外部可存取埠。 裝置加密只會加密 OS 磁碟驅動器和固定磁碟驅動器,不會加密外部/USB 磁碟驅動器。
重要
從 Windows 11 版本 24H2 開始,會移除 DMA 和 HSTI/新式待命的必要條件。 因此,有更多裝置符合自動和手動裝置加密的資格。 如需詳細資訊,請參閱 適用於 OEM 的 Windows 11 中的 BitLocker 磁碟驅動器加密。
不同於標準 BitLocker 實作,裝置加密會自動啟用,讓裝置一律受到保護。 當 Windows 的全新安裝完成且全新體驗完成時,裝置會準備好供第一次使用。 在此準備過程中,裝置加密會在操作系統磁碟驅動器上初始化,而計算機上的固定數據磁碟驅動器會使用相當於標準 BitLocker 暫停狀態的清除密鑰。 在此狀態下,磁碟驅動器會在 Windows 檔案總管中顯示警告圖示。 建立 TPM 保護裝置並備份修復金鑰之後,會移除黃色警告圖示。
- 如果裝置已Microsoft加入 Entra 或 Active Directory 網域,則一旦修復密鑰成功備份至 Microsoft Entra ID 或 Active Directory Domain Services (AD DS) ,就會移除清除密鑰。 必須啟用下列原則設定,才能備份修復密鑰: 選擇如何復原受 BitLocker 保護的作業系統磁碟驅動器
- 針對Microsoft加入 Entra 的裝置:當使用者向 Microsoft Entra ID 進行驗證時,系統會自動建立修復密碼,然後將修復密鑰備份至 Microsoft Entra ID、建立 TPM 保護裝置,並移除清除密鑰
- 針對已加入 AD DS 的裝置:當電腦加入網域時,系統會自動建立修復密碼。 接著會將修復金鑰備份至 AD DS、建立 TPM 保護裝置,並移除清除金鑰
- 如果裝置未Microsoft加入 Entra 或 Active Directory 網域,則需要具有裝置系統管理許可權的Microsoft帳戶。 當系統管理員使用Microsoft帳戶登入時,會移除清除密鑰、將修復密鑰上傳至在線Microsoft帳戶,並建立 TPM 保護裝置。 如果裝置需要修復密鑰,系統會引導使用者使用替代裝置,並流覽至修復密鑰存取 URL,以使用其Microsoft帳戶認證來擷取修復金鑰
- 如果裝置只使用本機帳戶,則即使數據已加密,仍不會受到保護
重要
裝置加密預設會使用 XTS-AES 128-bit
加密方法。 如果您將原則設定設定為使用不同的加密方法,您可以使用 [註冊狀態] 頁面來避免裝置使用預設方法開始加密。 BitLocker 的邏輯會在註冊狀態頁面裝置設定階段完成後,直到 OOBE 結束時才會開始加密。 此邏輯可讓裝置有足夠的時間接收 BitLocker 原則設定,再開始加密。
如果需要不同的加密方法和/或加密強度,但裝置已加密,則必須先將它解密,才能套用新的加密方法和/或加密強度。 裝置解密之後,您可以套用不同的 BitLocker 設定。
如果裝置一開始不符合裝置加密資格,但接著會進行變更,讓裝置符合 (例如,開啟 安全開機) ,裝置加密會在偵測到 BitLocker 時立即自動啟用 BitLocker。
您可以在系統資訊應用程式中檢查裝置是否符合裝置加密需求 () msinfo32.exe
。 如果裝置符合需求,系統資訊會顯示一行,其內容如下:
項目 | 值 |
---|---|
裝置加密支援 | 符合必要條件 |
BitLocker 與裝置加密之間的差異
- 裝置加密會在符合裝置加密資格的裝置上自動開啟 BitLocker,且修復密鑰會自動備份至 Microsoft Entra ID、AD DS 或使用者的Microsoft帳戶
- 裝置加密會在 [設定] 應用程式中新增裝置加密設定,可用來開啟或關閉裝置加密
- 在加密完成之前,[設定] UI 不會顯示已啟用裝置加密
注意
如果裝置加密已關閉,未來將不再自動啟用。 用戶必須在 [設定] 中手動啟用
停用裝置加密
建議您針對支援裝置的任何系統,保持裝置加密。 不過,您可以變更下列登錄設定來防止自動裝置加密程式:
路徑 | 名稱 | 類型 | 值 |
---|---|---|---|
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\BitLocker |
PreventDeviceEncryption |
REG_DWORD | 0x1 |
如需裝置加密的詳細資訊,請參閱 BitLocker 裝置加密硬體需求。
後續步驟
瞭解可防範 BitLocker 加密金鑰攻擊的技術和功能: