透過 Bitlocker 進行 Crucial^® 硬體加密設定 SED

Windows® 8.1 及更新版本透過稱為 BitLocker® 的應用程式自動支援 SED 加密金鑰管理。在啟用 BitLocker 硬體加密之前，您必須滿足下列條件（BitLocker 之外的加密軟體可能有其他不同條件）。

請注意 您可以透過下列步驟在支援 Microsoft® eDrive 的 Crucial SED 上，使用 BitLocker 啟用硬體加密。並非所有 Crucial SED 皆支援 Microsoft eDrive，因此應在依照本指南的步驟進行前確認您的硬碟支援此規格。如果您在不支援 Microsoft eDrive 的硬碟上依照這些步驟進行，您僅可使用 Bitlocker 啟用軟體加密，而非硬體加密。如果您擁有 Crucial MX500 系列或更舊的 SED，那麼您可以繼續進行下列步驟，如果您擁有 Crucial M.2 NVMe SED，則需要依照啟用 Crucial NVMe® SSD 的硬體加密文章的資訊進行。

• TPM 模組：BitLocker 僅支援 TPM 版本 1.2 與 2.0（或更新版本）。除此之外，您必須使用 Microsoft 提供的 TPM 驅動程式（請注意，BitLocker 也可以在沒有 TPM 情況下運作，但如此一來則需要 USB 隨身碟以設定密碼）。如果您需要協助了解 TPM 是否可用，請洽詢您的系統製造商。
• UEFI 2.3.1 或以上版本：主機電腦應有至少 UEFI 2.3.1，且已定義 EFI_STORAGE_SECURITY_COMMAND_PROTOCOL。此操作將啟用 SED 相關的安全協定命令。如果您不確定是否滿足此條件，請聯絡主機電腦製造商。
  
• 安全開機：在系統 BIOS 設定中安全開機必須啟用，大多數 Windows 8.1 以上的系統預設為自動開啟。請聯絡您的系統製造商，了解如何啟用此功能。
  
• 支援 Opal 2.0：系統必須支援 Opal 2.0 安全標準。Opal 2.0 標準沒有向下相容，Crucial SED 不相容於 Opal 1.0。如果您需要協助了解系統的 Opal 相容性，請聯絡您的系統製造商。
  
• Microsoft eDrive：Microsoft 所使用的安全性規格，藉以透過 BitLocker 或群組原則在 SED 上啟用硬體加密，並以 TCG OPAL 和 IEEE 1667 標準為基礎。只有嘗試在作業系統內使用 BitLocker 或群組政策啟用硬體加密時，才需要在 SED 上使用此安全性規格。第三方解決方案可能未嚴格要求使用此功能來啟用硬體加密。
• UEFI 模式：主機電腦必須總是透過 UEFI 進行啟動。任何「Compatibility」或「legacy」開機模式都必須停用。在安裝 Crucial SED 之前，我們建議將系統設為 UEFI-only 模式。CSM（相容支援模式）也同樣必須停用。請聯絡您的系統製造商以協助了解這些設定。 
  
• 兩個分割區（一個未加密）：SSD 必須有兩個分割區（安裝 Windows 的硬碟通常都有），且要加密的主要分割區必須是 NTFS 檔案格式。次要的未加密分割區必須有至少 1.5GB。此分割區將用來進行驗證，是加密程序運作必要的一環。
  
• 基本磁碟：BitLocker 不支援動態磁碟。Windows 8 與 Windows 10 硬碟配置為具備 GPT 分割配置的基本磁碟，是硬體加密需要的作業環境。
  

在實際進行安裝前，我們建議將主機系統 UEFI 設置為可適當接受 SED 的狀態，如以下範例所示。系統設定的細項會因為系統有別而不同，各項功能的名稱也不一樣。但其中相似的部分，以一個範例來說明就足夠了。如果需要更詳盡的特定 UEFI 設定解說，請聯絡您的電腦製造商。

1. 啟用安全開機。Microsoft 安全開機是執行任何 Windows 8.1 或更新版本系統的一項要求。任何設置為 Windows 8.1/10/11 出廠設定的電腦（如 Windows 8/10/11 貼紙上所示）均處於安全開機啟用狀態。如果主機系統原先設置為 Windows 7 或更早的作業系統，請檢查確保安全開機已啟用，如下方所示。

2. UEFI 開機模式／CSM 支援。主機電腦系統必須處在 UEFI-only 模式，如下方所示。一般來說，UEFI-only 模式會自動停用 CSM，但您應該進行確認，並在必要時停用 CSM 功能。

3. 安裝 Windows 8.1/10/11。安裝硬體加密最直接了當的方法，就是完整重新安裝作業系統。在 Windows 8.x、10 與 11 企業版與專業版內的 BitLocker 版本支援 SED 硬體加密。這項功能不需要採取特別步驟，只要按照 Microsoft 的正常 OS 安裝程序說明進行即可。  在 OS 安裝完成後，請前往啟用 BitLocker 單元。 
   請注意：在 BIOS 開機順序設定中，系統必須將 SSD 設為最優先，前面不得出現 USB 或 CD 選項。
4. 系統複製。  由於 Crucial SED 支援 eDrive 功能，啟動 BitLocker 會產生特殊分割區，讓 eDrive 功能得以發揮作用。當啟用 eDrive 的 SSD 進行複製時，這些特殊分割區可能無法被適當地複製到目標硬碟中。目標硬碟功能可能不受影響，但由於這不是有效的程序，可能會對往後的效能造成影響。如果來源磁碟曾透過 BitLocker 進行軟體加密，請先確認 BitLocker 在啟動映像檔複製到 Crucial SED 之前已經關閉。如果來源系統使用 BitLocker 進行軟體加密模式，則在關閉 BitLocker 時需要先進行解密程序。視硬碟上的使用者與 OS 資料量而定，此操作可能需要花費數小時。

1. 請按下 Windows 鍵（通常位於 <Ctrl> 和 <Alt> 之間），然後輸入本機並按下 Enter。
2. 在系統硬碟圖示上按一下右鍵，然後從跳出的功能表中選取開啟 BitLocker。

3. 接下來，訊息視窗會確認 BitLocker 正在進行設定，還有顯示一條狀態列。稍待片刻後，此程序即會完成。
4. 從 Microsoft 的概述中選取一個選項，用來儲存您的還原金鑰。雖然 Crucial 在這裡沒有可供參考的建議，但請不要忽略此步驟。在某些情況下，這會是您從 SSD 還原資料的唯一方法。如果遺失了驗證金鑰或密碼，Crucial 沒有設置原廠後門程式可供還原資料。金鑰完成儲存後，請選取下一步以繼續。
   

5. BitLocker 將詢問您您是否準備好加密這顆硬碟了？在您按下繼續後，需要進行系統重新啟動，以完成此程序。

6. 系統重新啟動後，您的系統硬碟旁邊會出現 BitLocker 的鎖頭圖示，代表 BitLocker 已啟用。

下方影片有此程序的完整展示。