Windows 11 會自動開啟這件事,應該不少人都知道。事實上,完整的 BitLocker 功能僅限於專業版以上版本,家用版的稱為裝置加密 (Device Encryption),無法讓你自由選擇加密目標,而且只有在硬體符合條件時才會自動啟用。再來,由於預設初始化步驟需要連線到網路並登入微軟帳號,如果你的硬體符合裝置加密啟用條件,就會強制加密內接 SSD / 硬碟,不過加密狀態下會稍微損失一些讀寫效能,但仍是可以手動關閉加密的。
之前張文事件不少媒體都有報導,不過筆者有注意到張文曾就讀資工系這件事。不少懂電腦的使用者,通常會想要在系統初始化時,略過連線並登入微軟帳號,以加速進入桌面,因此華碩先前表示張文的筆電使用本機帳號登入,筆者認為這個說法是有道理的。
那麼為何筆者會說有道理呢?根據筆者的印象,筆電符合裝置加密啟用條件的機率比一般組裝機高,考慮到張文有資工背景,推測他對電腦有一定的興趣,因此在系統初始化時跳過連線跟登錄帳號,改用本機帳號同樣很合理。這邊有一點需要注意,本機帳號登錄是一回事,如果沒有利用方法繞過,一樣會貼心幫你加密,但這邊的加密狀態卻有點玄!
Windows 11 BitLocker 裝置加密
剛好筆者的平台 Core Ultra 9 285 + ROG Strix Z890-I Gaming WiFi 符合需求,安裝完 Windows 11 25H2 後,在隱私與安全性內能顯示裝置加密 (硬體條件不符合就不會顯示),因此筆者先開啟裝置加密,然後等待它加密完成。
因筆者尚未登入微軟帳號,所以設定左上角仍顯示本機帳戶,並且裝置加密上方出現「請登入您的 Microsoft 帳戶以完成此裝置的加密」。加密狀態可透過「manage-bde -status」指令檢查,沒登入微軟帳號前,轉換狀態應該是「僅加密已使用空間完成」,但保護狀態則是「保護關閉」。
接著重新開機,利用 Linux Live CD 去讀取內接磁碟,正常來說既然保護還沒打開,應該是可以讀取的吧?筆者也這樣想,現實卻是需要密碼。
再來筆者嘗試了 PE 系統,這次就能正常讀取。
這邊筆者產生一個疑問,如果沒加密,為何 Live CD 要求密碼,可是有加密的話,怎麼 PE 系統能直接讀取內容,真的很玄阿!至於張文的筆電,筆者覺得必須摸索實際機器才能確定,只要系統有顯示裝置加密選項,而且有登入微軟帳號,那麼有開啟加密的機率不低,不過加密可以關,像筆者的筆電也是把加密關掉。若只有裝置加密選項出現,卻沒登入微軟帳號,可以當作沒加密來看,畢竟不管有開沒開,PE 系統都能正常讀取磁碟。
另外筆者要聲明一下,上述測試系統碟沒有拆下來換到別台電腦上,理論上既然保護未開啟,即使轉移到另一台電腦讀取,應該還是可以正常讀取才對。
離線狀態取得 BitLocker 修復金鑰
微軟其實有宣導修復金鑰可以登入帳號後取得,不過對於離線取得方法就比較低調。其實只要以系統管理員權限開啟命令提示字元,假設你想取得 C 槽的金鑰,只需輸入「manage-bde -protectors -get C:」並按 Enter,畫面就會顯示修復金鑰。
若想將內容輸出到 txt 文字檔,可參考 Chen Mars 提供的方法,輸入「manage-bde -protectors -get C: > "$env:USERPROFILE\Desktop\BitLockerKey_C.txt"」,金鑰會存到桌面的 BitLockerKey_C.txt 內。
喜歡我們的文章歡迎分享,別忘了追蹤 UNIKO's Hardware 的 X 專頁與 Facebook 粉絲專頁,並每天到 UNIKO's Hardware 網站逛逛,才不會錯過各種軟硬體資訊喔!
