資安指南
BitLocker 與「裝置加密」的區別 —— 同一技術的完整版與自動·簡易版
Windows 的 BitLocker 和「裝置加密」是兩回事嗎?——它們的底層是同一套加密技術,但裝置加密是 Home 也能用的『自動·簡易版』,BitLocker 則是 Pro 及以上的『完整功能版』。本文從防禦視角梳理兩者在版本、自動化、設定項、還原金鑰上的區別,教你判斷自己的 PC 用的是哪一個,以及用哪個就夠。
「BitLocker,和設定裡出現的『裝置加密』,是兩個不同的東西嗎?」——這是個常見疑問,本文來回答它。先把結論放在前面:底層是同一套技術,不同的只是打包方式。這裡不涉及攻擊手法。
同一底層,不同打包
自動·簡易(Home 可用)
完整控制(Pro 及以上)
一覽兩者的區別
| 維度 | 裝置加密 | BitLocker |
|---|---|---|
| 適用版本 | Home 也可用 | Pro / Enterprise / Education |
| 啟用方式 | 滿足條件即自動(Microsoft 帳戶) | 自己手動啟用·設定 |
| 設定項 | 極少(基本全託管) | 豐富(方式·對象·維運) |
| 啟動 PIN | 基本沒有 | 可設定(提升防盜強度) |
| 外接/USB 加密 | 不支援 | 可用 BitLocker To Go |
| 還原金鑰的保存 | 自動備份到 Microsoft 帳戶 | 保存位置自己選 |
| 管理命令 | 幾乎沒有 | 用 manage-bde 做詳細管理 |
| 加密的效果(本質) | 相同(保護靜態資料) | 相同 |
我的 PC 是哪一種?確認方法
在設定裡找『裝置加密』
Pro 及以上看『管理 BitLocker』
用命令查看狀態
manage-bde -status。是否加密、採用的方式、保護狀態都會一覽顯示。務必確認還原金鑰在哪
用哪個就夠?
多數個人場景下裝置加密就夠
- 目的是「失竊·遺失時不讓別人讀到裡面的內容」
- 只要自動開啟,那個最關鍵的效果就已經拿到了
- 首要任務是先做到處於已加密狀態
需要 BitLocker(Pro)的場景
- 想用啟動 PIN 提升防盜強度
- 想把外接/USB 也加密(To Go)
- 想對方式·維運做精細管理
也許早已在不知情中被加密了=立刻確認還原金鑰在哪
近來的 Windows,越來越多支援的 Home PC 在初次設定時就會自動開啟『裝置加密』。方便歸方便,但「沒意識到已經被加密」的話,一旦 TPM 狀態發生變化或更換硬體,就可能被要求輸入還原金鑰而把自己擋在門外。請趁現在確認:還原金鑰是否已備份到 Microsoft 帳戶(或存在另一個安全的地方)。
本站的觀點:比起產品名,更要看『狀態』
「是 BitLocker 還是裝置加密」,對個人而言並非本質。重要的只有兩點——①靜態資料已被加密 ②你清楚還原金鑰在 PC 之外的何處。只要做到這個狀態,叫什麼名字都好,失竊·遺失的損失就能縮小到「只是丟了塊硬體」。反過來,哪怕用的是完整功能的 BitLocker,一旦丟了還原金鑰,照樣會把自己鎖在門外。本站建議養成的習慣,不是去記「功能的名字」,而是去確認「此刻我的 PC 處於什麼狀態(是否已加密·有沒有還原金鑰)」。
接著讀
- 術語:什麼是 BitLocker(磁碟加密)
- 隨身攜帶:攜帶筆記型電腦外出時的安全對策
- 盤點:安全盤點清單
FAQ
QBitLocker 和裝置加密是兩回事嗎?
底層是同一套。「裝置加密」內部使用的就是和 BitLocker 相同的加密技術,只是把它自動化、簡化成 Windows Home 也能用的形式。區別在於打包方式和管理功能:裝置加密在用 Microsoft 帳戶登入後會自動啟用、設定項極少;而 BitLocker(Pro/Enterprise/Education)可以做啟動 PIN、外接磁碟機加密(BitLocker To Go)等更精細的控制。
QWindows Home 也能做磁碟加密嗎?
可以。在支援的硬體(如 TPM)上,只要用 Microsoft 帳戶登入,就能使用「裝置加密」(多數情況下會自動開啟)。完整功能的 BitLocker 管理介面需要 Pro 及以上,但把靜態資料變成密文這個最關鍵的效果,Home 的裝置加密同樣能拿到。
Q怎麼確認自己的 PC 是用哪一種加密的?
在設定裡搜尋,如果出現「裝置加密」,那用的就是它。Pro 及以上在搜尋裡開啟「管理 BitLocker」即可看到各磁碟機的狀態。要用命令,就在系統管理員權限的終端機裡執行 manage-bde -status,便能看出是否加密以及採用的方式。無論哪種,關鍵都是:確實處於已加密狀態,並且清楚還原金鑰存放在哪裡。