匯出 (0) 列印
全部展開

BitLocker 常見問題集 (FAQ)

發佈時間: 2012年2月

更新日期: 2013年5月

適用於: Windows 8, Windows Server 2012

BitLocker 磁碟機加密是 Windows 8 專業版、Windows 8 企業版以及所有 Windows Server 2012 版本提供的資料保護功能。本主題涵蓋 Windows 8 中 BitLocker 的常見問題集。

  1. 概觀與需求

    1. 什麼是 BitLocker?它如何運作?

    2. BitLocker 是否支援多重要素驗證?

    3. 有哪些 BitLocker 硬體與軟體需求?

    4. 為什麼需要兩個磁碟分割?為什麼系統磁碟機必須這麼大?

    5. BitLocker 支援哪種信賴平台模組 (TPM)?

    6. 如何知道我的電腦上是否有 TPM?

    7. 我可以在沒有 TPM 的作業系統磁碟機上使用 BitLocker 嗎?

    8. 如何在電腦上取得 TPM 的 BIOS 支援?

    9. 需要哪些認證才能使用 BitLocker?

  2. 升級



BitLocker 可加密電腦上的硬碟,增強保護電腦與卸除式磁碟機,以免於因遺失或遭竊而導致資料遭竊或暴露,以及可在報廢受 BitLocker 保護的電腦時更安全地刪除資料,因為要從加密的磁碟機復原刪除的資料,會比從未加密的磁碟機復原資料更困難。

BitLocker 與作業系統磁碟機如何搭配使用

惡意使用者可以在遺失或遭竊的電腦上執行軟體攻擊工具,或者將電腦的硬碟轉移到其他電腦,即可在未經授權的情況下存取電腦上的資料。BitLocker 可透過下列方式協助減少在未經授權的情況下,存取遺失或遭竊電腦上的資料:

  • 加密硬碟上的整個 Windows 作業系統磁碟機。BitLocker 可加密作業系統磁碟機上的所有使用者檔案和系統檔案,包括分頁檔與休眠檔案。

  • 檢查早期開機元件與開機設定資料的完整性。在具有信賴平台模組 (TPM) 版本 1.2 或 2.0 的電腦上,BitLocker 可使用增強的 TPM 安全性功能,協助確保只有在電腦的開機元件未經更改且加密的磁碟位在原始的電腦中時,才能夠存取資料。

BitLocker 已整合到 Windows 8,並提供可讓企業輕鬆管理和設定的增強資料保護功能。例如,BitLocker 可以使用現有的 Active Directory 網域服務 (AD DS) 基礎結構在遠端儲存 BitLocker 修復金鑰。

BitLocker 如何與固定與卸除式資料磁碟機搭配使用

BitLocker 也可以用來保護固定與卸除式資料磁碟機。與資料磁碟機搭配使用時,BitLocker 會加密整個磁碟機內容,並可使用群組原則加以設定,要求在磁碟機上啟用 BitLocker 後,電腦才能將資料寫入磁碟機。可設定 BitLocker 使用下列方法來解除鎖定資料磁碟機:

  • 自動解除鎖定。固定資料磁碟機可在已加密作業系統磁碟機的電腦上,設定為自動解除鎖定。卸除式資料磁碟機可在執行 Windows 8 的電腦上,設定為一開始使用密碼或智慧卡解除鎖定磁碟機之後,自動解除鎖定。不過,除了自動解除鎖定方法之外,卸除式資料磁碟機必須要有密碼或智慧卡解除鎖定方法。

  • 密碼。當使用者嘗試開啟磁碟機時,系統會提示他們輸入密碼,然後才會解除鎖定該磁碟機。這種方法可在執行 Windows Vista 或 Windows XP 的電腦上與 BitLocker To Go 讀取工具搭配使用,以唯讀狀態開啟受 BitLocker 保護的磁碟機。

  • 智慧卡。當使用者嘗試開啟磁碟機時,系統會提示他們插入智慧卡,然後才會解除鎖定該磁碟機。

  • Active Directory 帳戶或群組。金鑰可以指派給 Active Directory 使用者、群組或電腦帳戶,並在提供那些認證時,才解除鎖定磁碟機。

磁碟機可支援多種解除鎖定方法。例如,設定卸除式資料磁碟機位在主要的工作電腦時可自動解除鎖定,但若使用另一部電腦,就會要求您提供密碼。

是,BitLocker 支援作業系統磁碟機的多重要素驗證。如果您在有 TPM 版本 1.2 或 2.0 的電腦上啟用 BitLocker,就可以使用其他驗證形式來提供 TPM 保護。BitLocker 提供鎖定一般開機程序的選項,直到使用者提供密碼 (其可以是個人識別碼 (PIN)、複雜密碼或密碼) 或插入含有 BitLocker 啟動金鑰的 USB 裝置 (例如快閃磁碟機),或是同時提供密碼與 USB 裝置兩者為止。這些額外的安全性措施提供多重要素驗證,並有助於確保在提供正確的驗證方法之前,電腦將無法從休眠狀態啟動或繼續作業。

note備註
使用 Manage-bde 命令列工具設定使用 USB 與密碼搭配 TPM。您無法使用 BitLocker 安裝精靈來指定這個保護方法。

若要使用所有 BitLocker 功能,電腦必須符合下表所列的硬體與軟體需求。

作業系統磁碟機的 BitLocker 硬體與軟體需求

需求 描述

硬體設定

電腦必須符合 Windows 8 的基本需求。如需 Windows 8 需求的詳細資訊,請參閱 Windows 8 網站

作業系統

Windows 8 或 Windows Server 2012

note備註
BitLocker 是 Windows Server 2012 的選用功能。使用伺服器管理員,在執行 Windows Server 2012 的電腦上安裝 BitLocker。

硬體 TPM

TPM 版本 1.2 或 2.0

BitLocker 不一定需要 TPM,不過,只有含有 TPM 的電腦可提供額外的預先啟動系統完整性驗證與多重要素驗證的安全性。

BIOS 設定

  • 信賴運算群組 (TCG) 相容的 BIOS 或 UEFI 韌體。

  • 開機順序必須設定為先從硬碟啟動,而不是 USB 磁碟機或 CD 光碟機。

  • 啟動期間必須要能從 USB 快閃磁碟機讀取韌體。

檔案系統

對於原本使用 UEFI 韌體開機的電腦,系統磁碟機至少要有一個 FAT32 磁碟分割,而作業系統磁碟機要有一個 NTFS 磁碟分割。

對於使用舊版 BIOS 韌體的電腦,至少要有兩個 NTFS 磁碟分割,分別用於系統磁碟機與作業系統磁碟機。

對於任一種韌體,系統磁碟機磁碟分割必須至少要有 350 MB 且設定為作用中的磁碟分割。

硬體加密磁碟的先決條件 (選用)

若要使用硬體加密磁碟機做為開機磁碟機,該磁碟機必須處於未初始化且非作用中的安全性狀態。 此外,系統務必要在原始 UEFI 版本 2.3.1 或更新版本與 CSM (若有的話) 處於停用的狀態下開機。

資料磁碟機的 BitLocker 硬體與軟體需求

需求 描述

檔案系統

對於受 BitLocker 保護的固定或卸除式資料磁碟機,都必須使用 exFAT、FAT16、FAT32 或 NTFS 檔案系統格式化。

note備註
若要使用 BitLocker To Go 讀取工具讀取卸除式資料磁碟機的資料,該磁碟機必須使用 exFAT、FAT16 或 FAT32 檔案系統格式化。如果是 NTFS 格式的磁碟機,只有在執行 Windows Server 2008 R2 或 Windows 7 或更新版本的電腦上才能解除鎖定。舊版 Windows 作業系統將無法辨識該磁碟機,並會提示您格式化該磁碟機。

磁碟機大小

磁碟機的大小必須至少有 64 MB。

需要有兩個磁碟分割才能執行 BitLocker,原因是預先啟動驗證與系統完整性驗證必須從加密的作業系統磁碟機在個別的磁碟分割上進行。這種組態有助於保護作業系統與加密磁碟機中的資訊。系統磁碟機也可以用來儲存 Windows 修復環境 (Windows RE) 與安裝或升級程式專用的其他檔案。電腦製造商與企業客戶也可以在這個磁碟機上儲存系統工具或其他修復工具,這樣將使所需的系統磁碟機大小增加。例如,使用系統磁碟機來儲存 Windows RE 與 BitLocker 啟動檔案,將使系統磁碟機大小增加至 350 MB。預設會隱藏系統磁碟機,而且不會指派磁碟機代號。安裝 Windows 8 時,就會自動建立系統磁碟機。

BitLocker 支援 TPM 版本 1.2 與 2.0。BitLocker 不支援舊版的 TPM。版本 1.2 與更新版本的 TPM 可提高標準化、增強安全性以及改善舊版的功能。此外,您必須使用 Microsoft 提供的 TPM 驅動程式。若要查看 TPM 驅動程式提供者,請按 Windows 標誌鍵 + R,在 [開啟] 方塊中,輸入 devmgmt.msc,然後按 ENTER 以開啟 [裝置管理員]。展開 [安全性裝置],在 TPM 上按一下滑鼠右鍵,然後按一下 [內容]。按一下 [驅動程式] 索引標籤,然後確認 [驅動程式提供者] 欄位顯示 [Microsoft]。

Important重要
搭配 TPM 使用 BitLocker 時,建議您在重新啟動電腦之後,立即開啟 BitLocker。如果在開啟 BitLocker 之前,電腦已從睡眠狀態恢復,TPM 可能無法正確測量電腦上的開機前元件。在這種情況下,之後當使用者嘗試要解除鎖定電腦時,TPM 驗證檢查會失敗,而且電腦會進入 BitLocker 修復模式,並提示使用者提供修復資訊,然後才會解除鎖定磁碟機。

Windows 標誌鍵 + Q 以開啟 [應用程式]。在 [搜尋] 面板中,按一下 [設定],輸入 BitLocker,然後按一下 [開啟 BitLocker]。如果電腦沒有相容的 TPM 或是沒有與 TPM 相容的 BIOS,您就會收到通知您找不到 TPM 的下列錯誤訊息。

如果您在有 TPM 的電腦上收到這個錯誤訊息,請檢查該電腦是否有下列情況:

  • 由於 BIOS 或 UEFI 設定預設會隱藏 TPM,而且必須先在 BIOS 或 UEFI 韌體啟用 TPM 才能使用 TPM,具有 TPM 的一些電腦不會顯示在 Windows 8 TPM Microsoft Management Console 嵌入式管理單元 (tpm.msc) 中。如果 BIOS 或 UEFI 中會隱藏 TPM, 請參閱製造商的文件以取得顯示或啟用 TPM 的指示。

  • 一些電腦可能有舊版的 TPM,或是有與 BitLocker 不相容的舊版系統 BIOS。請連絡電腦製造商,確認該電腦已有 TPM 版本 1.2 或是取得 BIOS 更新。

是,如果 BIOS 或 UEFI 韌體能夠在開機環境中從 USB 快閃磁碟機進行讀取,您就可以在沒有 TPM 版本 1.2 或 2.0 的作業系統磁碟機上啟用 BitLocker。這是因為由電腦的 TPM 或由含有該電腦 BitLocker 啟動金鑰的 USB 快閃磁碟機先發行 BitLocker 自己的磁碟區主要金鑰之後,BitLocker 才會解除鎖定受保護的磁碟機。不過,沒有 TPM 的電腦無法使用 BitLocker 也能提供的系統完整性驗證功能。

若要協助判斷該電腦是否能在安裝程序時,從 USB 裝置進行讀取,請在進行 BitLocker 安裝程序時使用 BitLocker 系統檢查。這個系統檢查會執行測試,確認電腦可以適時從 USB 裝置進行讀取,而且該電腦也符合其他 BitLocker 需求。

若要在沒有 TPM 的電腦上啟用 BitLocker,您必須啟用 [啟動時需要其他驗證] 群組原則設定,此設定位於 [電腦設定\系統管理範本\Windows 元件\BitLocker 磁碟機加密\作業系統磁碟機]。您必須選取 [在不含相容 TPM 的情形下允許使用 BitLocker] 核取方塊。在本機電腦套用這個設定之後,BitLocker 安裝精靈中就會出現非 TPM 設定。

請連絡電腦製造商,要求提供符合下列需求的信賴運算群組 (TCG) 相容的 BIOS 或 UEFI 開機韌體:

  1. 可與 Windows 8 相容,並已通過 Windows 8 標誌測試。

  2. 可與用戶端電腦的 TCG 標準相容。

  3. 提供安全的更新機制,有助於防止在電腦上安裝惡意的 BIOS 或開機韌體。

若要在作業系統與固定資料磁碟機上,開啟、關閉或變更 BitLocker 的設定,需要有本機 Administrators 群組的成員資格。標準使用者可以在卸除式資料磁碟機上開啟、關閉或變更 BitLocker 的設定。停用 [控制卸除式磁碟機上 BitLocker 的使用方式] 原則設定 (位於 [電腦設定\系統管理範本\Windows 元件\BitLocker 磁碟機加密\卸除式資料磁碟機]),限制標準使用者開啟或關閉卸除式資料磁碟機上的 BitLocker。在 Windows 8 與 Windows Server 2012 中,標準使用者也可以在提供目前的 PIN 或密碼之後,變更作業系統磁碟機與固定資料磁碟機上的 PIN 或密碼。

可以。若要在不解密作業系統磁碟機的情況下,從 Windows 7 升級至 Windows 8,請在 Windows 7 中,開啟 [BitLocker 磁碟機加密] 控制台項目,按一下 [管理 BitLocker],然後按一下 [暫停]。暫停保護不會解密磁碟機,它會停用 BitLocker 使用的驗證機制,並使用磁碟機上的清除金鑰來啟用存取。使用 Windows 8 DVD 繼續進行升級程序。在升級完成後,開啟 [Windows 檔案總管],在該磁碟機上按一下滑鼠右鍵,然後按一下 [繼續保護]。這樣會重新套用 BitLocker 驗證方法並刪除清除金鑰。

[解密] 會完全移除 BitLocker 保護並完全解密該磁碟機。

暫停 BitLocker 時,BitLocker 會讓資料保持在加密狀態,但會使用清除金鑰來加密 BitLocker 磁碟區主要金鑰。清除金鑰是一個密碼編譯金鑰,以未加密且未受保護的方式儲存在磁碟機上。以未加密的方式儲存這個金鑰,[暫停] 選項允許對該電腦進行變更或升級,節省解密和重新加密整個磁碟機的時間和成本。完成變更並再次啟用 BitLocker 之後,BitLocker 會根據測量的元件在升級時變更成的新值重新密封加密金鑰,磁碟區主要金鑰會變更,保護裝置會更新以與之相符,而且清除金鑰會被清除。

從 Windows Anytime Upgrade 升級作業系統,需要在安裝之前解密作業系統磁碟機。如果從 Windows 7 升級至 Windows 8 或是安裝其他非 Microsoft 更新,您需要停用或暫停 BitLocker,如此可在套用升級或更新之後,取得系統的新測量。從 Microsoft Update 進行軟體與作業系統更新,不需要解密磁碟機,或是停用或暫停 BitLocker。

請參閱下表來判斷是否必須停用或暫停 BitLocker,或是在執行安裝升級或更新之前解密磁碟機。

 

更新類型 動作

Windows Anytime Upgrade

解密

從 Windows 7 升級至 Windows 8

暫停

非 Microsoft 軟體更新,例如:

  • 電腦製造商韌體更新

  • TPM 韌體更新

  • 修改開機元件的非 Microsoft 應用程式更新

暫停

如果暫停 BitLocker,您可以在安裝升級或更新之後,繼續 BitLocker 保護功能。繼續保護功能時,BitLocker 會根據測量的元件在升級或更新時變更成的新值,重新密封加密金鑰。如果可套用這些升級或更新類型,而無需暫停 BitLocker,重新啟動時,您的電腦會進入修復模式,需要有修復金鑰或密碼,才能存取該電腦。

是,您可以使用 WMI 或 Windows PowerShell 指令碼,自動化部署和設定 BitLocker 與 TPM。您選擇實作指令碼的方式,取決於您的環境。您也可以使用 BitLocker 命令列工具 (Manage-bde.exe) 在本機或從遠端來設定 BitLocker。如需撰寫使用 BitLocker WMI 提供者的指令碼詳細資訊,請參閱 MSDN 主題 BitLocker 磁碟機加密提供者。 如需搭配 BitLocker 磁碟機加密使用 Windows PowerShell Cmdlet 的詳細資訊,請參閱使用 Windows PowerShell 管理 BitLocker

可以。在 Windows Vista 中,BitLocker 只能加密作業系統磁碟機。Windows Vista SP1 與 Windows Server 2008 新增加密固定資料磁碟機的支援。在 Windows 8、Windows Server 2012、Windows 7 以及 Windows Server 2008 R2 中,BitLocker 可以加密作業系統磁碟機、固定資料磁碟機以及卸除式資料磁碟機。

一般而言,增加的效能負載百分比只有一位數。

BitLocker 加密會在背景進行,而您可以繼續工作,系統仍可以使用,但加密時間會因加密的磁碟機類型、磁碟機大小以及磁碟機的速度而有所差異。如果加密非常大的磁碟機,您可能想要設定在不使用該磁碟機時,才進行加密。

在 Windows 8 與 Windows Server 2012 中,您可以選擇在開啟 BitLocker 之後,BitLocker 應該加密整個磁碟機,或是只有磁碟機上已使用的空間。在新的硬碟上,只加密已使用的空間會比加密整個磁碟機更快速。選取這個加密選項時,BitLocker 會在資料儲存時自動加密,確保不會以未加密的方式儲存任何資料。

如果電腦關閉或進入休眠,BitLocker 加密與解密程序會在下次 Windows 啟動時,從停止處開始繼續作業。即使電源突然中斷,也是如此。

否,BitLocker 不會在讀取和寫入資料時加密和解密整個磁碟機。受 BitLocker 保護的磁碟機中加密的磁區只有在系統讀取作業要求時才會解密。系統在將該磁碟機的區塊寫入實體磁碟之前會予以加密。受 BitLocker 保護的磁碟機上不會儲存任何未加密的資料。

在 Windows 8 中,您可以啟用群組原則設定,要求資料磁碟機必須受 BitLocker 保護,受 BitLocker 保護的電腦才能寫入資料。您使用的原則設定有:

  • 電腦設定\系統管理範本\Windows 元件\BitLocker 磁碟機加密\固定資料磁碟機\拒絕未受 BitLocker 保護之固定磁碟機的寫入存取權

  • 電腦設定\系統管理範本\Windows 元件\BitLocker 磁碟機加密\卸除式資料磁碟機\拒絕未受 BitLocker 保護之卸除式磁碟機的寫入存取權

這些群組設定啟用後,受 BitLocker 保護的作業系統會以唯讀狀態裝載未受 BitLocker 保護的任何資料磁碟機。

如果您擔心在使用未啟用 BitLocker 的電腦時,使用者可能會意外將資料儲存在未加密的磁碟機,可以使用存取控制清單 (ACL) 與群組原則,設定該磁碟機的存取控制或是隱藏該磁碟機代號。

如需如何隱藏磁碟機代號的詳細資料,請參閱 Microsoft 知識庫的文章 231289 (http://go.microsoft.com/fwlink/?LinkId=83219)。

下列系統變更類型會造成完整性檢查失敗,並阻止 TPM 發行 BitLocker 金鑰以解密受保護的作業系統磁碟機:

  • 將受 BitLocker 保護的磁碟機移至新電腦。

  • 安裝具有新 TPM 的新主機板。

  • 關閉、停用或清除 TPM。

  • 變更任何開機組態設定。

  • 變更 BIOS、UEFI 韌體、主開機記錄、開機磁區、開機管理程式、選項 ROM 或其他舊版開機元件,或是開機設定資料。

此功能是原本的設計;BitLocker 會將任何舊版開機元件未經授權的修改視為潛在攻擊,而將系統放入修復模式。授權的系統管理員可以更新開機元件,無需事先停用 BitLocker 來進入修復模式。

下列清單提供在嘗試啟動作業系統磁碟機時,會造成 BitLocker 進入修復模式的特定事件範例:

  • 變更開機順序,讓其他磁碟機在硬碟之前開機。

  • 在 BIOS 開機順序中,讓 CD 或 DVD 光碟機在硬碟之前,然後插入或移除 CD 或 DVD。

  • 從網路磁碟機開機失敗後,再從硬碟開機。

  • 泊接或卸除可攜式電腦。在某些情況 (取決於電腦製造商與 BIOS) 中,可攜式電腦的泊接情況是系統測量的一部分,而且在驗證系統狀態與解除鎖定 BitLocker 時必須保持一致。這表示如果可攜式電腦在 BitLocker 開啟時連接到其銜接站,之後解除鎖定時,該電腦也必須連接到銜接站。相反地,如果可攜式電腦在 BitLocker 開啟時未連接到其銜接站,之後解除鎖定時,該電腦必須與銜接站中斷連線。

  • 磁碟上的 NTFS 磁碟分割表有所變更,包括建立、刪除或調整主要磁碟分割大小。

  • 輸入太多次錯誤的個人識別碼 (PIN),因而啟動 TPM 的 Anti-Hammering 邏輯。Anti-Hammering 邏輯是讓 PIN 暴力密碼破解攻擊難以得逞的軟體或硬體方法,它會在一段時間內不再接受任何 PIN 輸入。

  • 如果您使用 USB 金鑰,而不是 TPM,請關閉從 BIOS 或 UEFI 韌體讀取開機前環境中的 USB 裝置的支援。

  • 關閉、停用或清除 TPM。

  • 升級重要的初期啟動元件、例如 BIOS 或 UEFI 韌體升級,導致相關的開機測量有所變更。

  • 在已啟用 PIN 驗證情況下忘記 PIN。

  • 更新選項 ROM 韌體。

  • 升級 TPM 韌體。

  • 新增或移除硬體。例如,在電腦中插入新的介面卡,包括一些 PCMIA 無線網路介面卡。

  • 移除、插入或完全消耗可攜式電腦上的 Smart Battery 電池電力。

  • 變更磁碟上的主開機記錄。

  • 變更磁碟上的開機管理程式。

  • 在作業系統隱藏 TPM。有些 BIOS 或 UEFI 設定可用來避免對作業系統列舉 TPM。實作時,這個選項可以讓 TPM 從作業系統中隱藏。隱藏 TPM 時,會停用 BIOS 與 UEFI 安全啟動功能,而且 TPM 不會回應任何軟體的命令。

  • 使用不能正確輸入 PIN 的不同鍵盤,或是其鍵盤對應和開機前環境所假設的鍵盤對應不相符。這種情況會阻止輸入增強 PIN。

  • 修改 TPM 驗證設定檔使用的平台設定暫存器 (PCR)。例如,包含 PCR[1] 會造成 BitLocker 測量 BIOS 設定的大部分變更,導致在變更非開機關鍵的 BIOS 設定時,讓 BitLocker 進入修復模式。

    note備註
    某些電腦的 BIOS 設定會略過測量特定的 PCR,例如 PCR[2]。變更 BIOS 中的這個設定會導致 BitLocker 進入修復模式,因為 PCR 測量將會不同。

  • 將受 BitLocker 保護的磁碟機移至新電腦。

  • 將主機板升級為具有新 TPM 的新主機板。

  • 在已啟用啟動金鑰驗證情況下,遺失含有啟動金鑰的 USB 快閃磁碟機。

  • TPM 自我測試失敗。

  • 具有 BIOS、UEFI 韌體或和用戶端電腦的相關信賴運算群組標準不相容的選項 ROM 元件。例如,不相容的實作會在 TPM 測量中記錄動態資料 (例如時間),造成每次啟動的測量都不同,導致 BitLocker 開始進入修復模式。

  • 將 TPM 儲存根金鑰的使用授權變更成非零的值。

    note備註
    BitLocker TPM 初始程序可將使用授權值設定為零,所以另一個使用者或程序必須明確變更這個值。

  • 停用程式碼完整性檢查,或是在 Windows 開機管理程式 (Bootmgr) 啟用測試簽署。

  • 在開機過程中,按 F8 或 F10 鍵。

  • 新增或移除附加介面卡 (例如視訊或網路介面卡) 或是升級附加介面卡上的韌體。

  • 在開機過程中使用 BIOS 快速鍵來將開機順序變更成硬碟以外的項目。

是,如果已啟用 BitLocker,您可以交換同一部電腦上的多個硬碟,但僅限同一部電腦上受 BitLocker 保護的硬碟。TPM 與作業系統磁碟機的 BitLocker 金鑰均是獨一無二,如果想要備份作業系統或資料磁碟機,以因應磁碟失敗的情況,您必須確定它們符合正確的 TPM。您也可以設定不同的硬碟來用於不同的作業系統,然後使用不同的驗證方法 (例如一個只使用 TPM,一個使用 TPM+PIN),在各個硬碟上啟用 BitLocker,而不會發生任何衝突。

是,如果磁碟機是資料磁碟機,您可以使用密碼或智慧卡,就像任何其他資料磁碟機一樣,從 [BitLocker 磁碟機加密] 控制台項目加以解除鎖定。如果資料磁碟機設定為僅自動解除鎖定,您必須使用修復金鑰才能解除鎖定。如果該作業系統磁碟機裝載在執行 Windows 7 或更新版本的另一部電腦上,可以透過資料修復代理 (若已設定) 來解除鎖定加密的硬碟,或是使用修復金鑰來解除鎖定。

note備註
若要將硬碟上具有受 BitLocker 保護的磁碟機且已損壞之電腦的資訊修復,最快速、直接的方法是在另一部執行 Windows 8 的電腦上裝載硬碟。

有些磁碟機無法使用 BitLocker 來加密。磁碟機無法加密的原因包括,磁碟大小不足、檔案系統不相容,或是將磁碟機指定為系統磁碟分割。根據預設,[電腦] 視窗中會隱藏系統磁碟機 (或系統磁碟分割)。不過,如果因自訂安裝程序而未在安裝作業系統時建立為隱藏的磁碟機,可能就會顯示該磁碟機,但無法加密。

在 Windows Server 2012、Windows Server 2008 以及 Windows 8 中,可利用 BitLocker 來保護任意數目的內部、固定資料磁碟機。也支援 ATA 與 SATA 型、直接連結存放裝置。下表詳細說明 BitLocker 支援和不支援的磁碟設定。

 

磁碟設定 支援 不支援

網路

網路檔案系統 (NFS)

分散式檔案系統 (DFS)

光學媒體

CD 檔案系統 (CDFS)

Live File System

國際磁碟格式 (UDF)

軟體

基本磁碟區

軟體式的 RAID 系統

可開機與不可開機的虛擬硬碟 (VHD)

動態磁碟區

RAM 磁碟

檔案系統

NTFS

FAT16

FAT32

ExFAT

CD 檔案系統

磁碟機連線

USB

Firewire

SATA

SAS

ATA

IDE

SCSI

eSATA

iSCSI (僅 Windows 8 與 Windows Server 2012)

光纖通道 (僅 Windows 8 與 Windows Server 2012)

Bluetooth

裝置類型

固態硬碟,例如 USB 快閃磁碟機

硬體式的 RAID 系統

硬碟

如果上個問題中未列出您的磁碟設定,表示 Microsoft 尚未完全測試該設定。

BitLocker 可以產生和使用多種金鑰。有些是必要的金鑰,而有些是您可以選用的選擇性保護裝置,視您所需的安全性等級而定。

TPM 擁有者密碼

在含有 TPM 版本 1.2 或更新版本的電腦上啟用 BitLocker 之前,您必須初始化 TPM。該初始化程序會產生 TPM 擁有者密碼,它是針對 TPM 設定的密碼。您必須能提供 TPM 擁有者密碼,才能變更 TPM 的狀態,例如在啟用或停用 TPM 或是重設 TPM 鎖定狀態。

修復密碼與修復金鑰

設定 BitLocker 時,您必須選擇在指定的解除鎖定方法無法使用的情況下 (例如,若 TPM 無法驗證開機元件、忘記個人識別碼 (PIN) 或是忘記密碼),要如何存取受 BitLocker 保護的磁碟機來加以修復。在這些情況下,您必須能提供修復金鑰或修復密碼,才能解除鎖定磁碟機上的加密資料。在 BitLocker 使用者介面中,使用的「修復金鑰」一詞通常是指修復金鑰檔案與修復密碼。在提供修復資訊時,您可以使用下列任一種格式:

  • 修復密碼包含 48 位數字,共分成八組。進行修復時,您必須使用鍵盤上的功能鍵,將這個密碼輸入 BitLocker 修復主控台。

  • BitLocker 修復主控台會直接讀取 USB 快閃磁碟機上的金鑰檔案。修復期間,您必須插入這個 USB 裝置。

密碼

密碼可以用來保護固定與卸除式資料磁碟機,以及作業系統磁碟機。與作業系統磁碟機一起使用時,它可以視為 USB 金鑰的替代金鑰來使用,以在沒有 TPM 的電腦上使用 BitLocker。密碼可包含 8 至 255 個字元 (由 [設定作業系統磁碟機的密碼使用方式]、[設定卸除式資料磁碟機的密碼使用方式]以及 [設定資料磁碟機的密碼使用方式] 群組原則設定指定),並在內部以 256 位元雜湊的方式儲存輸入的字元。不會對使用者顯示這個值。

Warning警告
如果啟用僅 FIPS 相容,就無法使用密碼。[電腦設定\原則\Windows 設定\安全性設定\本機原則\安全性選項] 中的 [系統加密編譯: 使用 FIPS 相容演算法於加密,雜湊,以及簽章] 原則設定,可指定是否啟用僅 FIPS 相容。

PIN 與增強 PIN

若要透過 TPM 提供更高的安全性等級,您可以使用已輸入的個人識別碼 (PIN) 來設定 BitLocker。PIN 是使用者建立的值,電腦每次從休眠狀態啟動或繼續作業時都必須輸入此值。

PIN 可包含 4 至 20 位數 (由 [設定用於啟動的最小 PIN 長度] 群組原則設定指定),並在內部以 256 位元雜湊的方式儲存輸入的 Unicode 字元。不會對使用者顯示這個值。在與 TPM 驗證一起使用時,PIN 是用來提供另一個驗證要素。

若要透過 TPM 提供更高的安全性等級,您可以設定 BitLocker 來使用增強 PIN。增強 PIN 是除了數字集以外,還使用整個鍵盤字元集的 PIN,允許提供更多種 PIN 組合,而且長度介於 4 至 20 個字元之間。若要使用增強 PIN,您必須先啟用 [允許用於啟動的增強式 PIN] 群組原則設定,才能將 PIN 新增至磁碟機。啟用這個原則,就可以使用整個鍵盤字元來建立所有 PIN。

note備註
若要使用增強 PIN,電腦的 BIOS 或 UEFI 韌體必須支援在開機前環境中使用整個鍵盤。在進行 BitLocker 安裝程序時,使用者可以執行選用的系統檢查,確保能在開機前環境中正確輸入 PIN。在要求組織使用增強 PIN 之前,您應該確認組織中的電腦可以相容。

使用 BitLocker 安裝精靈、Manage-bde 命令列工具或是透過 Windows Management Instrumentation (WMI) 遠端管理來設定 BitLocker PIN 時,您可以使用寬字元集。不過,在系統啟動期間,系統韌體 (BIOS 或整合可延伸韌體介面 (UEFI)) 可能只支援標準 EN-US 鍵盤與快速鍵。此外,在輸入 PIN 時,BIOS 系統會限制為使用 7 位元 ASCII 輸入。因此,使用非英文字元或是和 EN-US 快速鍵位置不同的按鍵 (例如 QWERTZ 與 AZERTY 鍵盤) 可能會導致在開機時輸入 PIN 失敗。如果電腦受到這項限制的影響,BitLocker 安裝精靈應該會在執行系統檢查期間予以識別。如果未能在系統檢查時識別出來,而且無法輸入 PIN,您必須提供修復金鑰,才能解除鎖定磁碟機。

建議使用者在輸入增強 PIN 期間,將鍵盤配置設定為 EN-US,以避免在開機前環境中輸入 PIN 失敗。即使在將鍵盤配置設定為 EN-US 之後,如果仍無法從鍵盤來輸入增強 PIN,您必須使用純數字的 PIN。

下列清單指出系統韌體目前不支援的字元:

  • 鍵盤上使用非 EN-US 快速鍵的羅馬字元。例如,德文鍵盤上的 "Z" 與 "Y",以及法文鍵盤上的 "Q" 與 "A"。

  • 7 位元 ASCII 中無法使用的字元。例如,變音符號、抑音符號以及波狀符號的字元。

  • 7 位元 ASCII 中無法使用的符號。例如,平方上標、分數、著作權、商標以及國際貨幣符號。

啟動金鑰

設定啟動金鑰是透過 TPM 提供更高安全性等級的另一種方法。啟動金鑰是儲存在 USB 快閃磁碟機的金鑰,而且每次電腦啟動時都必須插入 USB 快閃磁碟機。在與 TPM 驗證一起使用時,啟動金鑰是用來提供另一個驗證要素。若要使用 USB 快閃磁碟機做為啟動金鑰,USB 快閃磁碟機必須使用 NTFS、FAT 或 FAT32 檔案系統來格式化。

作業系統磁碟機或固定資料磁碟機的修復密碼與修復金鑰可以儲存至資料夾、儲存至一或多個 USB 裝置、儲存至您的線上 Microsoft 帳戶或是列印出來。

對於卸除式資料磁碟機,修復密碼與修復金鑰可以儲存至資料夾、儲存至您的線上 Microsoft 帳戶或是列印出來。根據預設,您無法在卸除式磁碟機上儲存卸除式磁碟機的修復金鑰。

網域系統管理員可另外設定群組原則,以自動化產生修復密碼,並將它們儲存在 Active Directory 網域服務 (AD DS) 以用於任何受 BitLocker 保護的磁碟機。

您可以使用 Manage-bde.exe 命令列工具,以多重要素驗證模式來取代僅 TPM 的驗證模式。例如,若僅透過 TPM 驗證啟用 BitLocker,而且您想要新增 PIN 驗證,請從提升權限的命令提示字元使用下列命令,以您想要使用的數字 PIN 來取代 <4-20 位數的數字 PIN>

manage-bde –protectors –delete %systemdrive% -type tpm

manage-bde –protectors –add %systemdrive% -tpmandpin <4-20 位數的數字 PIN>

BitLocker 是設計為沒有必要的驗證,就無法修復加密的磁碟機。處於修復模式時,使用者需要修復密碼或修復金鑰,才能解除鎖定加密的磁碟機。因此,強烈建議您將修復資訊儲存在 AD DS、您的線上 Microsoft 帳戶或其他安全的位置。

這在技術上來說是可行的,但使用一個 USB 快閃磁碟機儲存兩種金鑰,並非最佳做法。如果包含啟動金鑰的 USB 快閃磁碟機遺失或遭竊,您也會無法存取修復金鑰。此外,插入這個金鑰會規避 TPM 的系統完整性檢查,造成電腦從修復金鑰自動開機,即使 TPM 測量檔案已有所變更。

是,您可以在多個 USB 快閃磁碟機儲存電腦的啟動金鑰。在受 BitLocker 保護的磁碟機上按一下滑鼠右鍵,然後選取 [管理 BitLocker],將提供選項讓您視需要複製修復金鑰。

是,您可以在相同的 USB 快閃磁碟機儲存不同電腦的 BitLocker 啟動金鑰。

您可以透過指令碼為同一部電腦產生不同的啟動金鑰。不過,若為有 TPM 的電腦,建立不同的啟動金鑰會讓 BitLocker 無法使用 TPM 的系統完整性檢查。

您無法產生多種 PIN 組合。

原始資料是使用完整磁碟區加密金鑰來加密,然後使用磁碟區主要金鑰加密。接著根據您的驗證 (也就是金鑰保護裝置或 TPM) 與修復情況,再利用數種可行方法之一來加密磁碟區主要金鑰。

完整磁碟區加密金鑰是由磁碟區主要金鑰加密,並儲存在加密的磁碟機中。磁碟區主要金鑰是由適當金鑰保護裝置加密,並儲存在加密的磁碟機中。如果已暫停 BitLocker,用以加密磁碟區主要金鑰的清除金鑰,也會和加密的磁碟區主要金鑰一起儲存在加密的磁碟機中。

這個儲存程序可確保磁碟區主要金鑰絕不會以未加密的狀態儲存,而且除非您停用 BitLocker,否則都會受到保護。金鑰也會儲存到磁碟機上的另外兩個位置,以供備援。開機管理程式可以讀取和處理上述金鑰。

在所有電腦與所有語言的開機前環境中,F1 至 F10 鍵是可用的通用對應掃描碼。無法在所有鍵盤的開機前環境中使用數字鍵 0 至 9。

使用增強 PIN 時,使用者應該在進行 BitLocker 安裝程序期間,執行選用的系統檢查,確保能在開機前環境中正確輸入 PIN。如需增強 PIN 的詳細資訊,請參閱 TPM 擁有者密碼、修復密碼、修復金鑰、密碼、PIN、增強 PIN 以及啟動金鑰之間有何差異?

執行暴力密碼破解攻擊的攻擊者有可能會發現個人識別碼 (PIN)。攻擊者使用自動化工具不斷嘗試不同的 PIN 組合直到發現正確的組合為止時,就是發生暴力密碼破解攻擊。對於受 BitLocker 保護的電腦,這類攻擊 (也稱為字典攻擊) 需要攻擊者實際存取該電腦。

TPM 內建偵測和對這類攻擊做出反應的功能。因為不同製造商的 TPM 可能支援不同的 PIN 與攻擊安全防護功能,請連絡您的 TPM 製造商,來判定電腦 TPM 降低 PIN 暴力密碼破解攻擊的方式。

在判定 TPM 製造商 (請參閱如何判斷 TPM 的製造廠商?) 之後,請連絡該製造商來收集 TPM 的廠商特定資訊。大部分製造商使用 PIN 驗證失敗計數,以指數方式增加鎖定 PIN 介面的時間。不過,每家製造商有關何時與如何減少或重設失敗計數器的原則都各不相同。

若要判斷 TPM 的製造廠商,請使用下列程序。

  1. 在 [開始] 畫面,輸入 tpm.msc

  2. TPM 製造廠商會列在主窗格的 [TPM 製造廠商資訊] 底下。

note備註
[TPM 製造廠商資訊] 清單中的 [製造廠商名稱] 欄位是 TPM 提供的資訊,通常會是縮寫 (例如 ATML 代表 Atmel、BRCM 代表 Broadcomm 或 IFX 代表 Infineon)。

下列問題可幫助您詢問 TPM 製造商有關字典攻擊安全防護功能機制的設計:

  • 在鎖定之前,授權嘗試可以失敗幾次?

  • 根據嘗試失敗的次數與任何其他相關參數,決定鎖定期間的演算法為何?

  • 哪些動作可讓失敗計數與鎖定期間減少或重設?

是與否。您可以使用 [設定用於啟動的最小 PIN 長度] 群組原則設定,來設定最短的個人識別碼 (PIN) 長度,以及啟用 [允許用於啟動的增強式 PIN] 群組原則設定,來允許使用英數字元的 PIN。不過,您無法透過群組原則來要求 PIN 的複雜度。

BitLocker To Go 是卸除式資料磁碟機上的 BitLocker 磁碟機加密。這包括加密 USB 快閃磁碟機、SD 記憶卡、外接式硬碟,以及使用 NTFS、FAT16、FAT32 或 exFAT 檔案系統來格式化的其他磁碟機。

您可以使用密碼或智慧卡,來解除鎖定卸除式資料磁碟機。開始加密之後,也可以為特定使用者帳戶自動解除鎖定特定電腦上的磁碟機。系統管理員可以設定使用者可用的選項,以及密碼複雜性與最小長度需求。

在大部分情況下,Windows XP 與 Windows Vista 將無法辨識受 BitLocker 保護、NTFS 格式的卸除式磁碟機。在許多情況下,將會提示使用者格式化該磁碟機。因此,使用 BitLocker 時,建議您使用 FAT、FAT32 或 exFAT 檔案系統來格式化卸除式磁碟機。

是。群組原則可以防止將該應用程式安裝在磁碟機上。首要選擇是停用允許執行 Windows Vista、Windows XP 含 Service Pack 3 (SP3) 或是 Windows XP 含 Service Pack 2 (SP2) 的電腦開啟受 BitLocker 保護的資料磁碟機的原則設定。這些原則設定位於下列位置:

  • 電腦設定\系統管理範本\Windows 元件\BitLocker 磁碟機加密\卸除式資料磁碟機\允許從舊版 Windows 存取受 BitLocker 保護的卸除式資料磁碟機

  • 電腦設定\系統管理範本\Windows 元件\BitLocker 磁碟機加密\固定資料磁碟機\允許從舊版 Windows 存取受 BitLocker 保護的固定資料磁碟機

    若要允許執行 Windows Vista、Windows XP 含 SP3 或是 Windows XP 含 SP2 的電腦開啟受 BitLocker 保護的資料磁碟機,但不在磁碟機上安裝 BitLocker To Go 讀取工具應用程式,請啟用這些原則設定,然後在各自的原則設定上,選取 [不要在 FAT 格式的卸除式磁碟機上安裝 BitLocker To Go 讀取裝置] 與 [不要在 FAT 格式的固定磁碟機上安裝 BitLocker To Go 讀取裝置] 核取方塊。

note備註
在從磁碟機中刪除 BitLocker To Go 讀取工具之前,BitLocker 會檢查磁碟機的識別欄位是否為空白或是與您組織的識別欄位相符。

否。BitLocker To Go 讀取工具只能唯讀存取受 BitLocker 保護的卸除式磁碟機。

這種狀況最常見的原因是該磁碟機並非使用 FAT、FAT32 或 exFAT 檔案系統來格式化。若要檢查是否為這種狀況,請在執行 Windows 7 或更新版本的電腦上插入該磁碟機,在磁碟機上按一下滑鼠右鍵,然後按一下 [內容],查看該磁碟機的檔案格式。另一個原因可能是系統管理員使用 BitLocker 群組原則設定,停用從舊版 Windows 存取卸除式磁碟機的權限。若要檢查是否為這種狀況,請在執行 Windows XP 或 Windows Vista 且未加入網域的電腦上,嘗試存取該磁碟機。

Important重要
您應該確定 BitLocker 已在磁碟機上完成加密程序,才能嘗試使用 BitLocker To Go 讀取工具來檢視該磁碟機。

這取決於作業系統與 AD DS 實作方式。

Windows Server 2003 含 Service Pack 1 (SP1)

在 Windows Server 2003 含 SP1 中,必須延伸架構才能支援儲存 BitLocker 與 TPM 修復與密碼資訊。

Windows Server 2008、Windows Server 2008 R2 以及 Windows Server 2012

這些伺服器的架構已經納入必要的屬性。

AD DS 中可以儲存三種主要的資訊。下表詳細說明這項資訊。

 

儲存的資訊 描述

TPM 擁有者密碼的雜湊

只有在 TPM 擁有該密碼並且使用 Windows 功能 (例如 BitLocker 安裝精靈或 TPM 嵌入式管理單元) 取得擁有權時,才能儲存密碼雜湊。

BitLocker 修復密碼

發生事件需要進行修復時,修復密碼可讓您解除鎖定和存取磁碟機。網域系統管理員可以使用 BitLocker 修復密碼檢視器來檢視 BitLocker 修復密碼。

BitLocker 金鑰封裝

金鑰封裝可協助您修復會阻止標準修復的硬碟損壞情況。使用金鑰封裝進行修復需要 BitLocker 修復工具 Repair-bde。

是,使用 Kerberos 驗證通訊協定,從執行 Windows 7 或更新版本的電腦將修復資訊傳輸至 AD DS 會受到保護。特別是使用 ADS_SECURE_AUTHENTICATION、ADS_USE_SEALING 以及 ADS_USE_SIGNING 驗證旗標的連線。

如需 Active Directory 驗證旗標的詳細資訊,請參閱 ADS_AUTHENTICATION_ENUM 列舉 (http://go.microsoft.com/fwlink/?LinkId=79643)。

note備註
傳輸修復資訊之後,AD DS 不會以加密格式儲存 BitLocker 與 TPM 修復資訊。不過,會設定存取控制權限,以便在伺服器連線時,只讓網域系統管理員或適當的委派可以讀取儲存的資訊。擔心分公司伺服器上會發生離線攻擊的企業,應該考慮在那些伺服器上啟用 BitLocker。我們也建議您設定網域控制站來支援加密的密封方式,如此組織中使用的任何修復擷取應用程式,才會使用密封功能。

如需開發在網路上交換加密資料的應用程式詳細資訊,請參閱 MSDN 的下列文章:

如需設定伺服器以支援加密的密封方式的詳細資訊,請參閱下列文章:

是,修復資訊是以未加密的形式儲存在 AD DS,但有存取控制清單 (ACL) 的項目只限網域系統管理員才能存取。

如果攻擊者取得 AD DS 的完整存取權,就會危害到網域中所有電腦的安全,包括受 BitLocker 保護的電腦。如需保護存取 AD DS 的詳細資訊,請參閱保障 Active Directory 管理群組和帳戶的安全 (http://go.microsoft.com/fwlink/?LinkId=83266)。

如果在套用強制備份的群組原則之前,已在磁碟機上啟用 BitLocker,當電腦加入網域,或是後續套用群組原則時,修復資訊將不會自動備份到 AD DS。不過,在 Windows 8 中,您可以使用 [選擇如何修復受 BitLocker 保護的作業系統磁碟機]、[選擇如何修復受 BitLocker 保護的固定磁碟機] 以及 [選擇如何修復受 BitLocker 保護的卸除式磁碟機] 群組原則設定,要求先將電腦連線至網域才能啟用 BitLocker,以協助確保將組織中受 BitLocker 保護之磁碟機的修復資訊備份到 AD DS。

BitLocker Windows Management Instrumentation (WMI) 介面允許系統管理員撰寫指令碼以備份或同步處理線上用戶端的現有修復資訊;不過 BitLocker 不會自動管理這個程序。您也可以使用 Manage-bde 命令列工具,將修復資訊手動備份到 AD DS。例如,若要將 C: 磁碟機的所有修復資訊備份到 AD DS,您可以從提升權限的命令提示字元使用下列命令:manage-bde -protectors -adbackup C:

Important重要
在組織內處理新電腦的第一個步驟就是讓電腦加入網域。在電腦加入網域之後,就會將 BitLocker 修復金鑰自動儲存到 AD DS (已在群組原則中啟用時)。

是,會在用戶端電腦上記錄指出 Active Directory 備份成功或失敗的事件記錄檔項目。不過,即使事件記錄檔項目顯示「成功」,之後卻可能從 AD DS 中移除該資訊,或者重新設定 BitLocker 的方式可能使 Active Directory 資訊無法再解除鎖定磁碟機 (例如移除修復密碼金鑰保護裝置)。此外,該記錄檔項目也可能會是詐騙。

最後,判斷 AD DS 中是否有合法的備份存在,需要使用 BitLocker 密碼檢視器工具,利用網域系統管理員認證來查詢 AD DS。

否。根據設計,不會從 AD DS 中刪除 BitLocker 修復密碼項目;因此,您可能會看到每個磁碟機都有多個密碼。若要識別最新的密碼,請檢查該物件的日期。

如果一開始備份就失敗 (例如執行 BitLocker 安裝精靈時無法與網域控制站連線),BitLocker 不會再次嘗試將修復資訊備份到 AD DS。

當系統管理員選取 [將 BitLocker 修復資訊儲存在 Active Directory 網域服務中 (Windows Server 2008 與 Windows Vista)] 原則設定的 [需要 BitLocker 備份至 AD DS] 核取方塊,或是 [選擇如何修復受 BitLocker 保護的作業系統磁碟機]、[選擇如何修復受 BitLocker 保護的固定資料磁碟機]、[選擇如何修復受 BitLocker 保護的卸除式資料磁碟機] 任一原則設定的同等 [請勿啟用 BitLocker,除非 (作業系統 | 固定資料 |卸除式資料) 磁碟機的修復資訊已儲存到 AD DS] 核取方塊時,除非電腦連線到網域且成功將 BitLocker 修復資訊備份到 AD DS,否則這樣會阻止使用者啟用 BitLocker。如果已設定這些設定,還是備份失敗,就無法啟用 BitLocker,確保系統管理員能夠修復組織內受 BitLocker 保護的磁碟機。

當系統管理員清除這些核取方塊時,系統管理員允許磁碟機受 BitLocker 保護,而無需將修復資訊成功備份到 AD DS;不過,如果備份失敗,BitLocker 將不會自動重試備份。系統管理員可以如先前在將電腦加入網域之前,已在該電腦上啟用 BitLocker,該怎麼辦?中所述,改為建立指令碼來進行備份,在連線恢復後才擷取資訊。

BitLocker 使用進階加密標準 (AES) 做為加密演算法,搭配 128 或 256 位元的可設定金鑰長度。預設的加密設定是 AES-128,但您可以使用群組原則來設定選項。

在作業系統磁碟機上設定 BitLocker 的建議做法是在有 TPM 版本 1.2 或 2.0 且有信賴運算群組 (TCG) 相容的 BIOS 或 UEFI 韌體實作的電腦上,實作 BitLocker 加上 PIN。除了 TPM 驗證之外,還要求提供使用者設定的 PIN,即使惡意的使用者可實際存取電腦,也無法輕易啟動該電腦。

在作業系統磁碟機上採用其基本設定的 BitLocker (有 TPM,但沒有進階驗證),提供休眠模式額外的安全性。不過,搭配休眠模式設定 BitLocker 使用進階驗證模式 (TPM+PIN、TPM+USB 或 TPM+PIN+USB) 時,BitLocker 可提供較高的安全性。這種方法較為安全,因為從休眠狀態恢復作業需要 BitLocker 驗證。我們建議的最佳做法是停用睡眠模式,並使用 TPM+PIN 做為驗證方法。

大部分作業系統都使用共用記憶體空間,並仰賴作業系統管理實體記憶體。TPM 是一種硬體元件,使用自己的內部韌體與邏輯電路來處理指示,因此可提供防護,不會受到外部軟體弱點影響。攻擊 TPM 需要實際存取電腦。此外,攻擊硬體所需的工具與技能通常較昂貴,而且通常不像攻擊軟體時那樣容易取得。因為每個 TPM 對於將它涵蓋在內的電腦而言都是唯一的,所以攻擊多部 TPM 電腦不但困難且費時。

note備註
搭配額外的驗證要素來設定 BitLocker,能夠針對 TPM 硬體攻擊提供更多防護。

包含在作業系統中的所有 BitLocker 版本都已取得美國聯邦資訊處理標準 (FIPS) 140-2 認證,並且經過一般條件認證 EAL4+。這些認證也可針對 Windows 8 與 Windows Server 2012 進行。

BitLocker 網路解除鎖定可以讓啟用 BitLocker 功能的桌上型電腦以及在網域環境中使用 TPM+PIN 保護方法的伺服器,在管理方面更輕鬆。當連接有線公司網路的電腦重新開機時,網路解除鎖定可以略過 PIN 輸入提示。它會將 Windows 部署服務伺服器提供的信任金鑰當作它的次要驗證方法,這樣就可以自動解除鎖定受 BitLocker 保護的作業系統磁碟區。

使用 BitLocker 網路解除鎖定之前,請確定必須符合以下的軟體和硬體需求:

用戶端電腦需求

  • 以 UEFI 韌體實作的 DHCP 驅動程式

  • 信賴平台模組 (TPM) 1.2 或 TPM 2.0

  • 作業系統磁碟區已啟用 BitLocker

Windows 部署服務伺服器需求

  • 已安裝 BitLocker 網路解除鎖定功能

  • FVENKP 憑證存放區中有 2,048 位元 RSA 公開/私密金鑰組 X.509 憑證

網域控制站需求

  • 來自網域控制站的 Windows 部署服務伺服器之 BitLocker 網路解除鎖定憑證複本,以便設定網路解除鎖定的群組原則設定。

自動解除鎖定使用儲存在 TPM 中的單一保護裝置。網路解除鎖定使用兩個保護裝置,TPM 保護裝置和由網路或由 PIN 提供的保護裝置。如果電腦加入沒有金鑰保護裝置的網路,就會提示您輸入 PIN。如果沒有可用的 PIN,但電腦可以連線到網路,您必須使用修復金鑰來解除鎖定電腦。

若要使用網路解除鎖定,您也必須為電腦設定一個 PIN。當電腦未連線至網路時,您必須提供 PIN 才能予以解除鎖定。

是,您可以使用加密檔案系統 (EFS),在受 BitLocker 保護的磁碟機上加密檔案。BitLocker 可協助保護整個作業系統,不受離線攻擊的侵害,其中 EFS 針對同一部電腦的多位使用者之間的個別安全性,提供額外的使用者檔案層級加密。您也可以使用 EFS,在未受 BitLocker 加密的其他磁碟機上加密檔案。EFS 的根密碼預設會儲存在作業系統磁碟機;因此,如果已為作業系統磁碟機啟用 BitLocker,EFS 在其他磁碟機上加密的資料也會間接由 BitLocker 保護。

可以。不過,您應該在啟用 BitLocker 之前開啟偵錯工具。開啟偵錯工具可確保在密封 TPM 時會正確計算測量,讓電腦正確啟動。如果您需要在使用 BitLocker 時開啟或關閉偵錯功能,請務必先暫停 BitLocker,避免讓您的電腦進入修復模式。

BitLocker 有一個存放裝置驅動程式堆疊,可在 BitLocker 啟用時,確保加密記憶體傾印。

BitLocker 不支援智慧卡進行開機前驗證。韌體中的智慧卡支援尚無單一的業界標準,而且大部分電腦都未實作適用於智慧卡的韌體支援,或是只支援特定智慧卡與讀卡機。因為缺乏標準化,而非常難以支援。

Microsoft 不支援非 Microsoft TPM 驅動程式,並強烈建議您不要與 BitLocker 搭配使用。嘗試搭配 BitLocker 來使用非 Microsoft TPM 驅動程式,可能會導致 BitLocker 回報電腦上沒有 TPM,而且不允許讓 TPM 與 BitLocker 搭配使用。

基於安全性、可靠性與產品支援等幾個因素,我們不建議在作業系統磁碟機受 BitLocker 保護的電腦上修改主開機記錄。變更主開機記錄 (MBR) 會變更安全性環境,並讓電腦無法正常啟動,還會讓復原損毀的 MBR 更加複雜。若非 Windows 對 MBR 進行的變更,則會強制電腦進入修復模式,或是完全禁止電腦開機。

系統檢查的設計目的是確保電腦的 BIOS 或 UEFI 韌體能與 BitLocker 相容,而且 TPM 可以正確運作。系統檢查失敗的數個原因如下:

  • 電腦的 BIOS 或 UEFI 韌體無法讀取 USB 快閃磁碟機。

  • 電腦的 BIOS、uEFI 韌體或開機功能表未啟用讀取 USB 快閃磁碟機。

  • 有多個 USB 快閃磁碟機插入電腦。

  • 未正確輸入 PIN。

  • 在開機前環境中,電腦的 BIOS 或 UEFI 韌體只支援使用功能鍵 (F1–F10) 輸入數字。

  • 電腦完成重新開機之前,便移除啟動金鑰。

  • TPM 發生故障且無法解除密封金鑰。

有些電腦無法在開機前環境中讀取 USB 快閃磁碟機。首先,檢查 BIOS 或 UEFI 韌體與開機設定,確保已啟用要使用的 USB 磁碟機。如果未啟用,請在 BIOS 或 UEFI 韌體與開機設定中啟用要使用的 USB 磁碟機,然後嘗試再次從 USB 快閃磁碟機讀取修復金鑰。如果仍然無法讀取,您必須在另一部電腦上,將硬碟裝載為資料磁碟機,這樣才會有作業系統,來嘗試讀取 USB 快閃磁碟機中的修復金鑰。如果 USB 快閃磁碟機已損毀或損壞,您必須提供修復密碼,或是使用備份到 AD DS 的修復資訊。此外,如果您在開機前環境中使用修復金鑰,請確定已使用 NTFS、FAT16 或 FAT32 檔案系統來格式化磁碟機。

若為卸除式磁碟機,預設不會顯示 [儲存到 USB] 選項。如果無法使用該選項,表示系統管理員不允許使用修復金鑰。

作業系統磁碟機也要受 BitLocker 保護,才能自動解除鎖定固定資料磁碟機。如果您使用的電腦沒有受 BitLocker 保護的作業系統磁碟機,就無法自動解除鎖定該磁碟機。若為卸除式資料磁碟機,您可以在 [Windows 檔案總管] 中的磁碟機上按一下滑鼠右鍵,然後按一下 [管理 BitLocker] 來新增自動解除鎖定。開啟 BitLocker 以解除鎖定其他電腦上的卸除式磁碟機時,您仍然可以使用提供的密碼或智慧卡認證。

可以在安全模式中使用 BitLocker,但功能有限。您可以使用 [BitLocker 磁碟機加密] 控制台項目,來解除鎖定和解密受 BitLocker 保護的磁碟機。處於安全模式時,您無法在 [Windows 檔案總管] 中,按一下滑鼠右鍵來存取 BitLocker 選項。

您可以使用 Manage-bde 命令列工具與 -lock 命令,來鎖定固定與卸除式資料磁碟機。

note備註
鎖定之前,請確定已將所有資料儲存到磁碟機。鎖定之後,將無法存取該磁碟機。

這個命令語法如下:

manage-bde <磁碟機代號> -lock

除了使用這個命令,也會在作業系統關機和重新啟動時鎖定資料磁碟機。從電腦中移除磁碟機時,也會自動鎖定卸除式資料磁碟機。

可以。不過,在啟用 BitLocker 之前所做的陰影複製,在軟體加密的磁碟機上啟用 BitLocker 時,都會自動予以刪除。如果使用的是硬體加密的磁碟機,才會保留陰影複製。

BitLocker 不支援加密 VHD,但允許在受 BitLocker 保護的磁碟機上儲存 VHD。

不支援在虛擬機器內使用 BitLocker。請不要在虛擬機器內執行 BitLocker 磁碟機加密。您可以在虛擬機器管理作業系統中使用 BitLocker,來保護包含設定檔、虛擬硬碟以及快照的磁碟區。

本文對您有任何幫助嗎?
(剩餘 1500 個字元)
感謝您提供意見

社群新增項目

新增
Microsoft 正展開一份線上問卷調查,了解您對於 MSDN 網站的看法。 如果您選擇參加,您離開 MSDN 網站時即會顯示線上問卷調查。

您是否想要參加?
顯示:
© 2014 Microsoft