TechNet
匯出 (0) 列印
全部展開
本文章是由人工翻譯。 將指標移到文章內的文字上方即可查看原文。
譯文
原文

BitLocker 常見問題集 (FAQ)

 

適用於: Windows 8.1, Windows Server 2012 R2, Windows Server 2012, Windows 8

本主題適用於 IT 專業人員,解答使用、升級、部署和管理 Bitlocker,以及 Bitlocker 重要管理原則的相關需求常見問題。

「BitLocker 磁碟機加密」是資料保護功能,在所有版本的 Windows Server 和某些版本的 Windows 作業系統中提供。 BitLocker 可加密電腦上的硬碟,增強保護電腦與卸除式磁碟機,以免於因遺失或遭竊而導致資料遭竊或暴露,以及可在報廢受 BitLocker 保護的電腦時更安全地刪除資料,因為要從加密的磁碟機復原刪除的資料,會比從未加密的磁碟機復原資料更困難。

BitLocker 與作業系統磁碟機如何搭配使用

您可以使用 BitLocker 來避免遺失或遭竊電腦上未經授權的資料存取,做法是加密所有使用者檔案和作業系統磁碟機上的系統檔案 (包括交換檔案和休眠檔案),以及檢查早期開機元件的完整性和開機設定資料。

BitLocker 如何與固定與卸除式資料磁碟機搭配使用

您可以使用 BitLocker 來加密資料磁碟機的整個內容。 您可以使用「群組原則」要求電腦上的磁碟機先啟用 BitLocker,電腦才能寫入資料到磁碟機。 可以設定 BitLocker 使用各種不同的資料磁碟機解除鎖定方法,且資料磁碟機支援多種解除鎖定方法。

如需詳細資訊,請參閱<BitLocker 磁碟機加密技術概觀>中的<運作方式>。

是,BitLocker 支援作業系統磁碟機的多重要素驗證。 如果您在有 TPM 版本 1.2 或 2.0 的電腦上啟用 BitLocker,就可以使用其他驗證形式來提供 TPM 保護。

如需詳細資訊,請參閱<BitLocker 磁碟機加密技術概觀>中的<開機順序中的驗證模式>。

若要使用所有的 BitLocker 功能,電腦必須符合<BitLocker 磁碟機加密技術概觀>中<BitLocker 支援的磁碟設定>所列的硬體與軟體需求。

System_CAPS_note注意事項

BitLocker 不支援動態磁碟。 控制台中不會顯示動態資料磁碟區。 雖然不論作業系統磁碟區是否為動態磁碟,一律會顯示在控制台中,但如果它是動態磁碟,將無法受 BitLocker 保護。

需要有兩個磁碟分割才能執行 BitLocker,原因是預先啟動驗證與系統完整性驗證必須從加密的作業系統磁碟機在個別的磁碟分割上進行。 這種組態有助於保護作業系統與加密磁碟機中的資訊。

如需詳細資訊,請參閱<BitLocker 磁碟機加密技術概觀>中的<BitLocker 架構>。

<BitLocker 磁碟機加密技術概觀>中的<需求>列出 BitLocker 支援的 TPM 版本。

有關如何執行這項作業,詳細資訊請參閱<尋找 TPM 驅動程式的資訊>。

有關如何執行這項作業,詳細資訊請參閱<尋找 TPM 驅動程式的資訊>。

是,如果 BIOS 或 UEFI 韌體能夠在開機環境中從 USB 快閃磁碟機進行讀取,您就可以在沒有 TPM 版本 1.2 或 2.0 的作業系統磁碟機上啟用 BitLocker。 這是因為由電腦的 TPM 或由含有該電腦 BitLocker 啟動金鑰的 USB 快閃磁碟機先發行 BitLocker 自己的磁碟區主要金鑰之後,BitLocker 才會解除鎖定受保護的磁碟機。 不過,沒有 TPM 的電腦無法使用 BitLocker 也能提供的系統完整性驗證功能。

若要協助判斷該電腦是否能在安裝程序時,從 USB 裝置進行讀取,請在進行 BitLocker 安裝程序時使用 BitLocker 系統檢查。 這個系統檢查會執行測試,確認電腦可以適時從 USB 裝置進行讀取,而且該電腦也符合其他 BitLocker 需求。

如需詳細資訊以了解如何在不含 TPM 的電腦上啟用 BitLocker ,請參閱 BitLocker:如何啟用 BitLocker

有關哪些 Windows 作業系統和 TPM 版本是必要的,詳細資訊請參閱<BitLocker 磁碟機加密技術概觀>中的<需求>。

請連絡電腦製造商,要求提供符合下列需求的信賴運算群組 (TCG) 相容的 BIOS 或 UEFI 開機韌體:

  • 它與標誌測試相容 (本主題開頭的<適用於>清單中指定的版本適用的標誌測試),並已通過測試。

  • 可與用戶端電腦的 TCG 標準相容。

  • 提供安全的更新機制,有助於防止在電腦上安裝惡意的 BIOS 或開機韌體。

若要在作業系統與固定資料磁碟機上,開啟、關閉或變更 BitLocker 的設定,需要有本機 Administrators 群組的成員資格。 標準使用者可以在卸除式資料磁碟機上開啟、關閉或變更 BitLocker 的設定。

如需詳細資訊,請參閱<BitLocker 磁碟機加密技術概觀>中的<需求>。

您應該設定電腦的啟動選項,讓硬碟機成為開機順序中的第一個,在其他磁碟機 (如 CD/DVD 磁碟機、USB 磁碟機) 之前。 如果硬碟不是第一個,而您通常從硬碟開機,則當開機時找到卸除式媒體,系統可能會偵測到開機順序變更或假設開機順序變更。 開機順序通常會影響 Bitlocker 驗證的系統度量,而開機順序變更會導致您必須提供 BitLocker 修復金鑰。 基於相同理由,如果您的膝上型電腦有銜接站,請確定不論是否已連接到銜接站,硬碟機都會是開機順序中的第一個。 

如需詳細資訊,請參閱<BitLocker 磁碟機加密技術概觀>中的<BitLocker 架構>。

可以。 若要在不解密作業系統磁碟機的情況下從 Windows 7 升級到 Windows 8 或 Windows 8.1,請在 Windows 7 中開啟 [BitLocker 磁碟機加密] 控制台項目,按一下 [管理 BitLocker],然後按 [暫停]。 暫停保護不會解密磁碟機,它會停用 BitLocker 使用的驗證機制,並使用磁碟機上的清除金鑰來啟用存取。 使用 Windows 8 DVD 或 Windows 8.1 升級繼續進行升級程序。 在升級完成後,開啟 [Windows 檔案總管],在該磁碟機上按一下滑鼠右鍵,然後按一下 [繼續保護]。 這樣會重新套用 BitLocker 驗證方法並刪除清除金鑰。

[解密] 會完全移除 BitLocker 保護並完全解密該磁碟機。

[暫停] 會讓資料保持在加密狀態,但會使用清除金鑰來加密 BitLocker 磁碟區主要金鑰。 清除金鑰是一個密碼編譯金鑰,以未加密且未受保護的方式儲存在磁碟機上。 以未加密的方式儲存這個金鑰,[暫停] 選項允許對該電腦進行變更或升級,節省解密和重新加密整個磁碟機的時間和成本。 完成變更並再次啟用 BitLocker 之後,BitLocker 會根據測量的元件在升級時變更成的新值重新密封加密金鑰,磁碟區主要金鑰會變更,保護裝置會更新以與之相符,而且清除金鑰會被清除。

下表列出執行升級或更新安裝前必須採取的動作。

更新類型

動作

Windows Anytime Upgrade

解密

從 Windows 7 升級至 Windows 8

暫停

非 Microsoft 軟體更新,例如:

  • 電腦製造商韌體更新

  • TPM 韌體更新

  • 修改開機元件的非 Microsoft 應用程式更新

暫停

從 Microsoft Update 進行軟體與作業系統更新

這些更新不需要解密磁碟機,或是停用或暫停 BitLocker。

System_CAPS_note注意事項

如果暫停 BitLocker,您可以在安裝升級或更新之後,繼續 BitLocker 保護功能。 繼續保護功能時,BitLocker 會根據測量的元件在升級或更新時變更成的新值,重新密封加密金鑰。 如果可套用這些升級或更新類型,而無需暫停 BitLocker,重新啟動時,您的電腦會進入修復模式,需要有修復金鑰或密碼,才能存取該電腦。

是,您可以使用 WMI 或 Windows PowerShell 指令碼,自動化部署和設定 BitLocker 與 TPM。 您選擇實作指令碼的方式,取決於您的環境。 您也可以使用 BitLocker 命令列工具 (Manage-bde.exe) 在本機或從遠端來設定 BitLocker。 有關撰寫使用 BitLocker WMI 提供者的指令碼,詳細資訊請參閱 MSDN 主題 BitLocker 磁碟機加密提供者 有關搭配 BitLocker 磁碟機加密使用 Windows PowerShell Cmdlet,詳細資訊請參閱 Windows PowerShell 中的 BitLocker Cmdlet

可以。 在 Windows Vista 中,BitLocker 只能加密作業系統磁碟機。 Windows Vista SP1 與 Windows Server 2008 新增加密固定資料磁碟機的支援。 在 Windows Server 2008 R2 和 Windows 7 中引進的功能,允許也會加密卸除式資料磁碟機的 BitLocker。

一般而言,增加的效能負載百分比只有一位數。

雖然 BitLocker 加密會在背景進行,而您可以繼續工作,系統仍可以使用,但加密時間會因加密的磁碟機類型、磁碟機大小以及磁碟機的速度而有所差異。 如果加密非常大的磁碟機,您可能想要設定在不使用該磁碟機時,才進行加密。

在 Windows 8 與 Windows Server 2012 中引進的功能,可讓您選擇在開啟 BitLocker 之後,BitLocker 應該加密整個磁碟機,或是只有磁碟機上已使用的空間。 在新的硬碟上,只加密已使用的空間會比加密整個磁碟機更快速。 選取這個加密選項時,BitLocker 會在資料儲存時自動加密,確保不會以未加密的方式儲存任何資料。

如果電腦關閉或進入休眠,BitLocker 加密與解密程序會在下次 Windows 啟動時,從停止處開始繼續作業。 即使電源突然中斷,也是如此。

否,BitLocker 不會在讀取和寫入資料時加密和解密整個磁碟機。 受 BitLocker 保護的磁碟機中加密的磁區只有在系統讀取作業要求時才會解密。 系統在將該磁碟機的區塊寫入實體磁碟之前會予以加密。 受 BitLocker 保護的磁碟機上不會儲存任何未加密的資料。

Windows 8 引進的控制項,可讓您啟用群組原則設定,要求資料磁碟機必須受 BitLocker 保護,受 BitLocker 保護的電腦才能寫入資料。 如需詳細資訊,請參閱<BitLocker 群組原則設定>主題中的 拒絕未受 BitLocker 保護之卸除式磁碟機的寫入存取權拒絕未受 BitLocker 保護之固定磁碟機的寫入存取權

這些群組設定啟用後,受 BitLocker 保護的作業系統會以唯讀狀態裝載未受 BitLocker 保護的任何資料磁碟機。

如需詳細資訊,包括如何在使用未啟用 BitLocker 的電腦時,管理可能不小心將資料儲存在未加密磁碟機的使用者,請參閱 BitLocker: How to prevent users on a network from storing data on an unencrypted drive (BitLocker:如何防止網路上的使用者將資料儲存在未加密磁碟機)。

下列系統變更類型會造成完整性檢查失敗,並阻止 TPM 發行 BitLocker 金鑰以解密受保護的作業系統磁碟機:

  • 將受 BitLocker 保護的磁碟機移至新電腦。

  • 安裝具有新 TPM 的新主機板。

  • 關閉、停用或清除 TPM。

  • 變更任何開機組態設定。

  • 變更 BIOS、UEFI 韌體、主開機記錄、開機磁區、開機管理程式、選項 ROM 或其他舊版開機元件,或是開機設定資料。

如需詳細資訊,請參閱<BitLocker 磁碟機加密技術概觀>中的<運作方式>。

由於 BitLocker 設計旨在保護電腦免於遭受許多攻擊,因此有許多理由以修復模式啟動 BitLocker。 如需這些理由的詳細資訊,請參閱<BitLocker 磁碟機加密技術概觀>中的<修復案例>。

是,如果已啟用 BitLocker,您可以交換同一部電腦上的多個硬碟,但僅限同一部電腦上受 BitLocker 保護的硬碟。 TPM 與作業系統磁碟機的 BitLocker 金鑰均是獨一無二,如果想要備份作業系統或資料磁碟機,以因應磁碟失敗的情況,您必須確定它們符合正確的 TPM。 您也可以設定不同的硬碟來用於不同的作業系統,然後使用不同的驗證方法 (例如一個只使用 TPM,一個使用 TPM+PIN),在各個硬碟上啟用 BitLocker,而不會發生任何衝突。

是,如果磁碟機是資料磁碟機,您可以使用密碼或智慧卡,就像任何其他資料磁碟機一樣,從 [BitLocker 磁碟機加密] 控制台項目加以解除鎖定。 如果資料磁碟機設定為僅自動解除鎖定,您必須使用修復金鑰才能解除鎖定。 如果作業系統磁碟機裝載在另一部電腦上 (這部電腦執行本主題開頭的<適用於>清單中指定的作業系統版本),則可以透過資料修復代理和式 (若有設定) 來解除鎖定加密的硬碟,或是使用修復金鑰來解除鎖定。

System_CAPS_note注意事項

Windows 8 引進的功能,當電腦硬碟上具有受 BitLocker 保護的磁碟機且電腦已損壞,修復電腦資訊最快速、直接的方法是將硬碟裝載在另一部電腦上。

有些磁碟機無法使用 BitLocker 來加密。 磁碟機無法加密的原因包括,磁碟大小不足、檔案系統不相容、磁碟機是動態磁碟,或是磁碟機已被指定為系統磁碟分割。 根據預設,[電腦] 視窗中會隱藏系統磁碟機 (或系統磁碟分割)。 不過,如果因自訂安裝程序而未在安裝作業系統時建立為隱藏的磁碟機,可能就會顯示該磁碟機,但無法加密。

可利用 BitLocker 來保護任意數目的內部、固定資料磁碟機。 在部分版本上,也支援 ATA 與 SATA 型、直接連結存放裝置。 如需支援的磁碟機的詳細資訊,請參閱<BitLocker 磁碟機加密技術概觀>中的<BitLocker 支援的磁碟設定>。

BitLocker 可以產生和使用多種金鑰。 有些是必要的金鑰,而有些是您可以選用的選擇性保護裝置,視您所需的安全性等級而定。

如需詳細資訊,請參閱<BitLocker 磁碟機加密技術概觀>中的<什麼是 BitLocker>。

作業系統磁碟機或固定資料磁碟機的修復密碼與修復金鑰可以儲存至資料夾、儲存至一或多個 USB 裝置、儲存至您的線上 Microsoft 帳戶或是列印出來。

對於卸除式資料磁碟機,修復密碼與修復金鑰可以儲存至資料夾、儲存至您的線上 Microsoft 帳戶或是列印出來。 根據預設,您無法在卸除式磁碟機上儲存卸除式磁碟機的修復金鑰。

網域系統管理員可另外設定群組原則,以自動化產生修復密碼,並將它們儲存在 Active Directory 網域服務 (AD DS) 以用於任何受 BitLocker 保護的磁碟機。

如需詳細資訊,請參閱 BitLocker: How to store recovery passwords and keys (BitLocker︰如何儲存修復密碼及金鑰)。

您可以使用 Manage-bde.exe 命令列工具,以多重要素驗證模式來取代僅 TPM 的驗證模式。 例如,若僅透過 TPM 驗證啟用 BitLocker,而且您想要新增 PIN 驗證,請從提升權限的命令提示字元使用下列命令,以您想要使用的數字 PIN 來取代 <4-20 位數的數字 PIN>

manage-bde –protectors –delete %systemdrive% -type tpm

manage-bde –protectors –add %systemdrive% -tpmandpin < 4-20 位數的數字 PIN>

如需詳細資訊,請參閱<BitLocker 磁碟機加密技術概觀>中的<開機順序中的驗證模式>。

BitLocker 是設計為沒有必要的驗證,就無法修復加密的磁碟機。 處於修復模式時,使用者需要修復密碼或修復金鑰,才能解除鎖定加密的磁碟機。

System_CAPS_important重要事項

將修復資訊以及您的線上 Microsoft 帳戶儲存在 AD DS 或其他安全的位置。

這在技術上來說是可行的,但使用一個 USB 快閃磁碟機儲存兩種金鑰,並非最佳做法。 如果包含啟動金鑰的 USB 快閃磁碟機遺失或遭竊,您也會無法存取修復金鑰。 此外,插入這個金鑰會規避 TPM 的系統完整性檢查,造成電腦從修復金鑰自動開機,即使 TPM 測量檔案已有所變更。

是,您可以在多個 USB 快閃磁碟機儲存電腦的啟動金鑰。 在受 BitLocker 保護的磁碟機上按一下滑鼠右鍵,然後選取 [管理 BitLocker],將提供選項讓您視需要複製修復金鑰。

是,您可以在相同的 USB 快閃磁碟機儲存不同電腦的 BitLocker 啟動金鑰。

您可以透過指令碼為同一部電腦產生不同的啟動金鑰。 不過,若為有 TPM 的電腦,建立不同的啟動金鑰會讓 BitLocker 無法使用 TPM 的系統完整性檢查。

您無法產生多種 PIN 組合。

原始資料是使用完整磁碟區加密金鑰來加密,然後使用磁碟區主要金鑰加密。 接著根據您的驗證 (也就是金鑰保護裝置或 TPM) 與修復情況,再利用數種可行方法之一來加密磁碟區主要金鑰。

如需加密金鑰的詳細資訊,包括如何使用、存放的位置,請參閱<BitLocker 磁碟機加密技術概觀>中的<什麼是 BitLocker>。

完整磁碟區加密金鑰是由磁碟區主要金鑰加密,並儲存在加密的磁碟機中。 磁碟區主要金鑰是由適當金鑰保護裝置加密,並儲存在加密的磁碟機中。 如果已暫停 BitLocker,用以加密磁碟區主要金鑰的清除金鑰,也會和加密的磁碟區主要金鑰一起儲存在加密的磁碟機中。

這個儲存程序可確保磁碟區主要金鑰絕不會以未加密的狀態儲存,而且除非您停用 BitLocker,否則都會受到保護。 金鑰也會儲存到磁碟機上的另外兩個位置,以供備援。 開機管理程式可以讀取和處理上述金鑰。

如需詳細資訊,請參閱<BitLocker 磁碟機加密技術概觀>中的<運作方式>。

在所有電腦與所有語言的開機前環境中,F1 至 F10 鍵是可用的通用對應掃描碼。 無法在所有鍵盤的開機前環境中使用數字鍵 0 至 9。

使用增強 PIN 時,使用者應該在進行 BitLocker 安裝程序期間,執行選用的系統檢查,確保能在開機前環境中正確輸入 PIN。 如需增強 PIN 的詳細資訊,請參閱<BitLocker 磁碟機加密技術概觀>中的<什麼是 BitLocker>。

執行暴力密碼破解攻擊的攻擊者有可能會發現個人識別碼 (PIN)。 攻擊者使用自動化工具不斷嘗試不同的 PIN 組合直到發現正確的組合為止時,就是發生暴力密碼破解攻擊。 對於受 BitLocker 保護的電腦,這類攻擊 (也稱為字典攻擊) 需要攻擊者實際存取該電腦。

TPM 內建偵測和對這類攻擊做出反應的功能。 因為不同製造商的 TPM 可能支援不同的 PIN 與攻擊安全防護功能,請連絡您的 TPM 製造商,來判定電腦 TPM 降低 PIN 暴力密碼破解攻擊的方式。

判斷出 TPM 製造商之後,請連絡該製造商以收集 TPM 的廠商特定資訊。 大部分製造商使用 PIN 驗證失敗計數,以指數方式增加鎖定 PIN 介面的時間。 不過,每家製造商有關何時與如何減少或重設失敗計數器的原則都各不相同。

如需詳細資訊,請參閱<尋找 TPM 驅動程式的資訊>。

如需判斷 TPM 製造商,請參閱<尋找 TPM 驅動程式的資訊>。

下列問題可幫助您詢問 TPM 製造商有關字典攻擊安全防護功能機制的設計:

  • 在鎖定之前,授權嘗試可以失敗幾次?

  • 根據嘗試失敗的次數與任何其他相關參數,決定鎖定期間的演算法為何?

  • 哪些動作可讓失敗計數與鎖定期間減少或重設?

是與否。 您可以使用 [設定用於啟動的最小 PIN 長度] 群組原則設定,來設定最短的個人識別碼 (PIN) 長度,以及啟用 [允許用於啟動的增強式 PIN] 群組原則設定,來允許使用英數字元的 PIN。 不過,您無法透過群組原則來要求 PIN 的複雜度。

BitLocker To Go 是卸除式資料磁碟機上的 BitLocker 磁碟機加密。 這包括加密 USB 快閃磁碟機、SD 記憶卡、外接式硬碟,以及使用 NTFS、FAT16、FAT32 或 exFAT 檔案系統來格式化的其他磁碟機。

如需詳細資訊,包括如何驗證或解除鎖定卸除式資料磁碟機,以及如何確保 BitLocker To Go 讀取工具不是安裝在 FAT 格式磁碟機,請參閱<BitLocker To Go 概觀>。

如需有關 BitLocker 如何與 AD DS 整合的詳細資訊,請參閱<BitLocker 磁碟機加密技術概觀>中的<與 Active Directory 網域服務 (AD DS) 整合>。

如果在套用強制備份的群組原則之前,已在磁碟機上啟用 BitLocker,當電腦加入網域,或是後續套用群組原則時,修復資訊將不會自動備份到 AD DS。 不過,在 Windows 8 中,您可以使用 [選擇如何修復受 BitLocker 保護的作業系統磁碟機]、[選擇如何修復受 BitLocker 保護的固定磁碟機] 以及 [選擇如何修復受 BitLocker 保護的卸除式磁碟機] 群組原則設定,要求先將電腦連線至網域才能啟用 BitLocker,以協助確保將組織中受 BitLocker 保護之磁碟機的修復資訊備份到 AD DS。

BitLocker Windows Management Instrumentation (WMI) 介面允許系統管理員撰寫指令碼以備份或同步處理線上用戶端的現有修復資訊;不過 BitLocker 不會自動管理這個程序。 您也可以使用 Manage-bde 命令列工具,將修復資訊手動備份到 AD DS。 例如,若要將 C: 磁碟機的所有復原資訊備份到 AD DS,您可以從提升權限的命令提示字元使用下列命令:manage-bde -protectors -adbackup C:

System_CAPS_important重要事項

在組織內處理新電腦的第一個步驟就是讓電腦加入網域。 在電腦加入網域之後,就會將 BitLocker 修復金鑰自動儲存到 AD DS (已在群組原則中啟用時)。

是,會在用戶端電腦上記錄指出 Active Directory 備份成功或失敗的事件記錄檔項目。 不過,即使事件記錄檔項目顯示「成功」,之後卻可能從 AD DS 中移除該資訊,或者重新設定 BitLocker 的方式可能使 Active Directory 資訊無法再解除鎖定磁碟機 (例如移除修復密碼金鑰保護裝置)。 此外,該記錄檔項目也可能會是詐騙。

最後,判斷 AD DS 中是否有合法的備份存在,需要使用 BitLocker 密碼檢視器工具,利用網域系統管理員認證來查詢 AD DS。

不可以。 根據設計,不會從 AD DS 中刪除 BitLocker 修復密碼項目;因此,您可能會看到每個磁碟機都有多個密碼。 若要識別最新的密碼,請檢查該物件的日期。

如果一開始備份就失敗 (例如執行 BitLocker 安裝精靈時無法與網域控制站連線),BitLocker 不會再次嘗試將修復資訊備份到 AD DS。

當系統管理員選取 [將 BitLocker 修復資訊儲存在 Active Directory 網域服務中 (Windows Server 2008 與 Windows Vista)] 原則設定的 [需要 BitLocker 備份至 AD DS] 核取方塊,或是 [選擇如何修復受 BitLocker 保護的作業系統磁碟機]、[選擇如何修復受 BitLocker 保護的固定資料磁碟機]、[選擇如何修復受 BitLocker 保護的卸除式資料磁碟機] 任一原則設定的同等 [請勿啟用 BitLocker,除非 (作業系統 | 固定資料 |卸除式資料) 磁碟機的修復資訊已儲存到 AD DS] 核取方塊時,除非電腦連線到網域且成功將 BitLocker 修復資訊備份到 AD DS,否則這樣會阻止使用者啟用 BitLocker。 如果已設定這些設定,還是備份失敗,就無法啟用 BitLocker,確保系統管理員能夠修復組織內受 BitLocker 保護的磁碟機。

當系統管理員清除這些核取方塊時,系統管理員允許磁碟機受 BitLocker 保護,而無需將修復資訊成功備份到 AD DS;不過,如果備份失敗,BitLocker 將不會自動重試備份。 系統管理員可以如先前在將電腦加入網域之前,已在該電腦上啟用 BitLocker,該怎麼辦?中所述,改為建立指令碼來進行備份,在連線恢復後才擷取資訊。

BitLocker 使用進階加密標準 (AES) 做為加密演算法,搭配 128 或 256 位元的可設定金鑰長度。 預設的加密設定是 AES-128,但您可以使用群組原則來設定選項。

在作業系統磁碟機上設定 BitLocker 的建議做法是在有 TPM 版本 1.2 或 2.0 且有信賴運算群組 (TCG) 相容的 BIOS 或 UEFI 韌體實作的電腦上,實作 BitLocker 加上 PIN。 除了 TPM 驗證之外,還要求提供使用者設定的 PIN,即使惡意的使用者可實際存取電腦,也無法輕易啟動該電腦。

在作業系統磁碟機上採用其基本設定的 BitLocker (有 TPM,但沒有進階驗證),提供休眠模式額外的安全性。 不過,搭配休眠模式設定 BitLocker 使用進階驗證模式 (TPM+PIN、TPM+USB 或 TPM+PIN+USB) 時,BitLocker 可提供較高的安全性。 這種方法較為安全,因為從休眠狀態恢復作業需要 BitLocker 驗證。 我們建議的最佳做法是停用睡眠模式,並使用 TPM+PIN 做為驗證方法。

大部分作業系統都使用共用記憶體空間,並仰賴作業系統管理實體記憶體。 TPM 是一種硬體元件,使用自己的內部韌體與邏輯電路來處理指示,因此可提供防護,不會受到外部軟體弱點影響。 攻擊 TPM 需要實際存取電腦。 此外,攻擊硬體所需的工具與技能通常較昂貴,而且通常不像攻擊軟體時那樣容易取得。 因為每個 TPM 對於將它涵蓋在內的電腦而言都是唯一的,所以攻擊多部 TPM 電腦不但困難且費時。

System_CAPS_note注意事項

搭配額外的驗證要素來設定 BitLocker,能夠針對 TPM 硬體攻擊提供更多防護。

包含在作業系統中的所有 BitLocker 版本都已取得美國聯邦資訊處理標準 (FIPS) 140-2 認證,並且經過一般條件認證 EAL4+。Windows 8 和 Windows Server 2012 已完成這些認證,Windows 8.1 和 Windows Server 2012 R2 正在進行中。

BitLocker 網路解除鎖定可以讓啟用 BitLocker 功能的桌上型電腦以及在網域環境中使用 TPM+PIN 保護方法的伺服器,在管理方面更輕鬆。 當連接有線公司網路的電腦重新開機時,網路解除鎖定可以略過 PIN 輸入提示。 它會將 Windows 部署服務伺服器提供的信任金鑰當作它的次要驗證方法,這樣就可以自動解除鎖定受 BitLocker 保護的作業系統磁碟區。

若要使用網路解除鎖定,您也必須為電腦設定一個 PIN。 當電腦未連線至網路時,您必須提供 PIN 才能予以解除鎖定。

「BitLocker 網路解除鎖定」對兩部用戶端電腦、Windows 部署服務、網域控制站有軟體和硬體需求,符合需求才能使用它。 如需這些需求的詳細資訊,請參閱<BitLocker 磁碟機加密技術概觀>中的<運作方式>。

「網路解除鎖定」使用兩個保護裝置,TPM 保護裝置以及由網路或由 PIN 提供的保護裝置;另一方面,「自動解除鎖定」使用單一保護裝置,即存放在 TPM 中的保護裝置。 如果電腦加入沒有金鑰保護裝置的網路,就會提示您輸入 PIN。 如果沒有可用的 PIN,但電腦可以連線到網路,您必須使用修復金鑰來解除鎖定電腦。 如需自動解除鎖定和網路解除鎖定的詳細資訊,請參閱<BitLocker 磁碟機加密技術概觀>中的<運作方式>。

是,您可以使用加密檔案系統 (EFS),在受 BitLocker 保護的磁碟機上加密檔案。 如需詳細資訊,請參閱<BitLocker 磁碟機加密技術概觀>中的<運作方式>。

可以。 不過,您應該在啟用 BitLocker 之前開啟偵錯工具。 開啟偵錯工具可確保在密封 TPM 時會正確計算測量,讓電腦正確啟動。 如果您需要在使用 BitLocker 時開啟或關閉偵錯功能,請務必先暫停 BitLocker,避免讓您的電腦進入修復模式。

BitLocker 有一個存放裝置驅動程式堆疊,可在 BitLocker 啟用時,確保加密記憶體傾印。

BitLocker 不支援智慧卡進行開機前驗證。 韌體中的智慧卡支援尚無單一的業界標準,而且大部分電腦都未實作適用於智慧卡的韌體支援,或是只支援特定智慧卡與讀卡機。 因為缺乏標準化,而非常難以支援。

Microsoft 不支援非 Microsoft TPM 驅動程式,並強烈建議您不要與 BitLocker 搭配使用。 嘗試搭配 BitLocker 來使用非 Microsoft TPM 驅動程式,可能會導致 BitLocker 回報電腦上沒有 TPM,而且不允許讓 TPM 與 BitLocker 搭配使用。

基於安全性、可靠性與產品支援等幾個因素,我們不建議在作業系統磁碟機受 BitLocker 保護的電腦上修改主開機記錄。 變更主開機記錄 (MBR) 會變更安全性環境,並讓電腦無法正常啟動,還會讓復原損毀的 MBR 更加複雜。 若非 Windows 對 MBR 進行的變更,則會強制電腦進入修復模式,或是完全禁止電腦開機。

系統檢查的設計目的是確保電腦的 BIOS 或 UEFI 韌體能與 BitLocker 相容,而且 TPM 可以正確運作。 系統檢查失敗的數個原因如下:

  • 電腦的 BIOS 或 UEFI 韌體無法讀取 USB 快閃磁碟機。

  • 電腦的 BIOS、uEFI 韌體或開機功能表未啟用讀取 USB 快閃磁碟機。

  • 有多個 USB 快閃磁碟機插入電腦。

  • 未正確輸入 PIN。

  • 在開機前環境中,電腦的 BIOS 或 UEFI 韌體只支援使用功能鍵 (F1–F10) 輸入數字。

  • 電腦完成重新開機之前,便移除啟動金鑰。

  • TPM 發生故障且無法解除密封金鑰。

有些電腦無法在開機前環境中讀取 USB 快閃磁碟機。 首先,檢查 BIOS 或 UEFI 韌體與開機設定,確保已啟用要使用的 USB 磁碟機。 如果未啟用,請在 BIOS 或 UEFI 韌體與開機設定中啟用要使用的 USB 磁碟機,然後嘗試再次從 USB 快閃磁碟機讀取修復金鑰。 如果仍然無法讀取,您必須在另一部電腦上,將硬碟裝載為資料磁碟機,這樣才會有作業系統,來嘗試讀取 USB 快閃磁碟機中的修復金鑰。 如果 USB 快閃磁碟機已損毀或損壞,您必須提供修復密碼,或是使用備份到 AD DS 的修復資訊。 此外,如果您在開機前環境中使用修復金鑰,請確定已使用 NTFS、FAT16 或 FAT32 檔案系統來格式化磁碟機。

若為卸除式磁碟機,預設不會顯示 [儲存到 USB] 選項。 如果無法使用該選項,表示系統管理員不允許使用修復金鑰。

作業系統磁碟機也要受 BitLocker 保護,才能自動解除鎖定固定資料磁碟機。 如果您使用的電腦沒有受 BitLocker 保護的作業系統磁碟機,就無法自動解除鎖定該磁碟機。 若為卸除式資料磁碟機,您可以在 [Windows 檔案總管] 中的磁碟機上按一下滑鼠右鍵,然後按一下 [管理 BitLocker] 來新增自動解除鎖定。 開啟 BitLocker 以解除鎖定其他電腦上的卸除式磁碟機時,您仍然可以使用提供的密碼或智慧卡認證。

可以在安全模式中使用 BitLocker,但功能有限。 您可以使用 [BitLocker 磁碟機加密] 控制台項目,來解除鎖定和解密受 BitLocker 保護的磁碟機。 處於安全模式時,您無法在 [Windows 檔案總管] 中,按一下滑鼠右鍵來存取 BitLocker 選項。

您可以使用 Manage-bde 命令列工具與 -lock 命令,來鎖定固定與卸除式資料磁碟機。

System_CAPS_note注意事項

鎖定之前,請確定已將所有資料儲存到磁碟機。 鎖定之後,將無法存取該磁碟機。

這個命令語法如下:

manage-bde <磁碟機代號> -lock

除了使用這個命令,也會在作業系統關機和重新啟動時鎖定資料磁碟機。 從電腦中移除磁碟機時,也會自動鎖定卸除式資料磁碟機。

可以。 不過,在啟用 BitLocker 之前所做的陰影複製,在軟體加密的磁碟機上啟用 BitLocker 時,都會自動予以刪除。 如果使用的是硬體加密的磁碟機,才會保留陰影複製。

可開機的 VHD 不支援 BitLocker,但資料磁碟區 VHD (例如,如果您執行 Windows 8、Windows 8.1、Windows Server 2012 或 Windows Server 2012 R2 時叢集所使用的 VHD) 支援 BitLocker。

顯示:
© 2016 Microsoft