通过 Bitlocker 在 Crucial 英睿达® 英睿达 SED 上设置硬件加密
Windows® 8.1 及更高版本通过名为 BitLocker® 的应用程序自动支持 SED 的加密密钥管理。在启用 Bitlocker 硬件加密之前,必须满足以下要求(BitLocker 以外的加密软件可能有进一步或修改后的要求)。
请注意:以下步骤允许您在支持 Microsoft® eDrive 的 Crucial 英睿达 SED 上使用 BitLocker 启用硬件加密。并非所有 Crucial 英睿达 SED 都支持 Microsoft eDrive,因此在遵循本指南中的步骤之前,务必确认硬盘是否支持此规格。如果您在不支持 Microsoft eDrive 的驱动器上按照以下步骤操作,则只能使用 Bitlocker 启用软件加密,而不能使用硬件加密。如果您有 Crucial 英睿达 MX500 系列或旧款 SED,您可以继续执行以下步骤。如果您有 Crucial 英睿达 M.2 NVMe SED,您将需要遵循我们在文章“启用 Crucial 英睿达 NVMe® SSD 硬件加密”下提供的信息。
要求
- TPM 模块:BitLocker 仅支持 TPM 1.2 和 2.0 版(或更高版本)。此外,您必须使用 Microsoft 提供的 TPM 驱动程序(请注意,BitLocker 也可以在没有 TPM 的情况下工作,但需要 USB 闪存盘来设置密码)。如果您在确定 TPM 可用性方面需要帮助,请联系您的系统制造商。
- UEFI 2.3.1 或 greate r:主计算机应至少为 UEFI 2.3.1,并应定义 EFI_STORAGE_SECURITY_COMMAND_PROTOCOL。这使得安全协议命令能够从 SED 发送和发送。如果您不确定是否满足此要求,请联系您的主计算机制造商。
- 安全启动:在系统 BIOS 设置中,必须启用安全启动,大多数 Windows 8.1 和更高版本系统将自动启用。请联系您的系统制造商获取启用此设置的帮助。
- Opal 2.0 支持:系统需要支持 Opal 2.0 安全标准。Opal 2.0 标准不向后兼容;Crucial 英睿达 SED 不兼容 Opal 1.0。如需帮助验证系统的 Opal 合规性,请联系您的系统制造商。
- Microsoft eDrive:Microsoft 使用 BitLocker 或组策略在 SED 上启用硬件加密的安全规范,并且基于 TCG OPAL 和 IEEE 1667 标准。只有在 SED 上尝试使用 BitLocker 或组策略启用硬件加密时,才需要这样做。第三方解决方案可能不会严格要求此功能启用硬件加密。
- UEFI 模式:主计算机必须始终从 UEFI 启动。必须禁用任何“兼容性”或“旧款”启动模式。我们建议在安装 Crucial 英睿达 SED 之前,将系统设置为仅 UEFI 模式。还需要禁用 CSM(兼容性支持模式)。请联系您的系统制造商,获取有关这些设置的帮助。
- 两个分区(一个未加密):SSD 必须有两个分区(通常安装 Windows 的硬盘),要加密的主分区必须是 NTFS。该次要未加密分区的大小至少需要 1.5GB。此分区用于身份验证目的,是加密工作所必需的。
- 基本磁盘:BitLocker 不支持动态磁盘。Windows 8 和 Windows 10 硬盘将配置为基本磁盘,采用 GPT 分区布局,这是使用硬件加密所必需的。
设置
建议将主机系统 UEFI 配置为在物理安装之前正确接受 SED,如下例所示。系统设置的详细信息因系统而异,各种功能的名称也是如此。然而,它们很相似,一个例子就足够了。有关特定 UEFI 设置的详细信息,请联系您的计算机制造商。
- 启用安全启动。Microsoft 安全启动是运行任何 Windows 8.1 或更新系统的必要条件。出厂时已为 Windows 8.1/10/11 配置的任何计算机(如 Windows 8/10/11 标签所示)都将启用安全启动。如果主机系统最初配置为 Windows 7 或以前的操作系统,请检查以确保安全启动已启用,如下所示。
2. UEFI 启动模式/CSM 支持。主机系统必须处于仅 UEFI 模式,如下所示。通常,CSM 会在仅 UEFI 模式下自动禁用;但是,应验证这一点,并在必要时禁用 CSM。
3. 安装 Windows 8.1/10/11。实施硬件加密的最简单方法是对操作系统进行清洁的新安装。Windows 8.x、10 和 11 企业版和专业版中的 BitLocker 版本支持 SED 上的硬件加密。此功能无需特殊步骤;请遵循 Microsoft 所述的正常操作系统安装流程。 安装操作系统后,进入启用 BitLocker 部分。
注意:在 BIOS 启动优先级设置中,应将系统设置为首先启动您的 SSD,而不是首先启动 USB 或 CD。
4. 系统克隆。 由于 Crucial 英睿达 SED 支持 eDrive,因此激活 BitLocker 会创建特殊分区,这些分区是使 eDrive 功能生效所必需的。克隆 eDrive 激活的 SSD 后,这些特殊分区可能无法正确复制到目标硬盘。目标驱动器可能运行正常,但这不被视为有效的过程,可能会导致潜在的性能问题。如果源磁盘已使用 Bitlocker 中的软件加密进行加密,请先确保 BitLocker 已关闭,然后再启动图像克隆到 Crucial 英睿达 SED。如果在源系统的软件加密模式下使用 BitLocker,则需要解密过程才能关闭 BitLocker。这可能需要几个小时,具体取决于硬盘上的用户和操作系统数据量。
启用 Bitlocker
- 按 Windows 键(通常在 <Ctrl> 和 之间<Alt>);然后输入此 PC,然后按 Enter。
- 右键单击系统硬盘的图标,然后从弹出菜单中选择打开 BitLocker。
3. 接下来,将显示确认正在配置 BitLocker 的状态框以及状态栏。这将很快完成。
4. 选择 Microsoft 概述的保存恢复密钥的一个选项。虽然 Crucial 英睿达在此处没有首选选项,但不要忽视这一步骤。在某些情况下,这可能是从 SSD 恢复数据的唯一方法。Crucial 英睿达没有工厂后门方法,无法在身份验证密钥或密码丢失时恢复数据。保存密钥后,选择下一步继续。
5. BitLocker 会问,您是否准备好加密此硬盘?点击继续后,需要重新启动系统才能完成此过程。
6. 重启完成后,从系统硬盘上的 BitLocker 挂锁图标中可以看到 BitLocker 已启用。
以下视频完整介绍了这个过程。
©2024 Micron Technology Inc.(美光科技股份有限公司) 保留所有权利。信息、产品和/或规格如有变更,恕不另行通知。如排版或照相技术出现疏漏或错误,Crucial 英睿达和美光科技股份有限公司概不负责。Micron、Micron 徽标、Crucial 英睿达和 Crucial 英睿达徽标是 Micron Technology Inc.(美光科技股份有限公司) Microsoft、BitLocker 和 Windows 是 Microsoft Corporation 在美国和/或其他国家/地区的商标。所有其他商标和服务标志均归其相应所有者所有。