名詞解釋
BitLocker 是什麼 — 用 Windows 磁碟加密,在裝置被竊或遺失時保護資料
BitLocker 是 Windows 內建的磁碟加密功能。啟用後,即使你的電腦或被拔出的磁碟機被偷走,沒有你的憑證或還原金鑰也無法讀取裡面的內容。本文從防禦視角講解它的原理、啟用步驟,以及最容易踩雷的『還原金鑰的保管』注意事項。
「筆電掉了/被偷了——裡面的資料沒事吧?」。為這種情況做準備的,就是 BitLocker。本文講解它的原理、啟用步驟,以及最容易踩的雷。
它保護什麼,不保護什麼
加密並非萬能。要正確掌握它在哪些場景生效。
| 情形 | BitLocker 有效嗎? |
|---|---|
| 筆電遺失/被竊(關機狀態) | ◎ 內容是密文。沒有憑證/還原金鑰無法讀取 |
| 只拔出硬碟接到另一台電腦 | ◎ 同上。實體帶走也沒用 |
| 已登入、使用中的電腦被偷看/被操作 | ✗ 不保護(→ 屬於強登入+自動鎖定的範疇) |
| 惡意軟體感染、釣魚 | ✗ 不保護(需要另外的對策) |
原理(大致)
金鑰由 TPM(電腦的安全晶片)持有,並與硬體的完整性綁定,在開機時解鎖。想要更強,可以設定成開機時要求輸入 PIN。
最大的雷:還原金鑰的保管
使用 BitLocker 真正會遇到的麻煩,與其說是「被破解」,不如說是把自己鎖在門外。
一旦遺失還原金鑰,你自己的資料將永遠打不開
TPM 狀態變化、更換主機板、韌體更新等情況下,BitLocker 可能會要求輸入48 位的還原金鑰。如果你沒有備份它,作為正當擁有者的你就會被鎖在自己的資料之外。保管的鐵律是「放在加密電腦的『外部』」——只存在同一台電腦裡,在被鎖定時是取不出來的。
啟用步驟
確認版本
啟用,並把還原金鑰存到『外部』
想更強就要求輸入 PIN
行動硬碟/隨身碟用 BitLocker To Go
本站的視角:隨身攜帶裝置的『地板』級對策
對要帶出門的裝置來說,磁碟加密是最低限度的地板(理所當然的地基)。筆電裡塞滿了儲存的密碼、SSH 金鑰、業務檔案等「一旦外洩就會連鎖的」東西。如果沒有加密,一旦被偷,硬碟當場就會被拔出來全部讀走。啟用 BitLocker(Mac 則是 FileVault),並把還原金鑰備份到電腦外部——僅這兩點,就能把遺失、被竊的損失縮小到「只是丟了一台硬體」。但加密守的是『關機狀態』,所以請務必與強登入+自動鎖定搭配使用。
接下來讀
- 隨身攜帶:帶筆電出門時的安全對策
- 盤點:安全盤點(檢查放了金鑰的電腦)
- 保管:如何選擇密碼管理器
- 對比:BitLocker 與裝置加密的區別
FAQ
QBitLocker 能防住什麼?
它保護處於關機狀態、或磁碟機被實體拔出狀態下的資料(靜態資料)。即使筆電被偷、或只有硬碟被拔走,沒有你的憑證或還原金鑰,裡面的內容仍是密文,無法讀取。但它無法保護已經登入、正在使用中的電腦(這種情況要靠強登入和自動鎖定)。
Q最需要注意的是什麼?
還原金鑰(48 位數字)的保管。BitLocker 會把金鑰與硬體狀態綁定,因此 TPM 狀態變化、更換主機板等情況下可能會要求輸入還原金鑰。一旦遺失,作為正當擁有者的你會被鎖在自己的資料之外。務必把它備份到加密電腦的『外部』——Microsoft 帳戶、列印出來、或另一個安全的地方。
QWindows Home 也能用嗎?
BitLocker 本體面向 Windows Pro/Enterprise/Education。Windows Home 上有一個輕量版叫『裝置加密』,在受支援的硬體上會自動啟用,理念相同(對靜態資料加密)。Mac 上的對應功能是 FileVault。