Windows10自帶的“BitLocker加密”功能可以加密整個驅(qū)動器（磁盤分區(qū)），這對于隱私或保密數(shù)據(jù)比較龐大的用戶來說很是方便實用。本來BitLocker有自己的一套加密算法（例如XTS-AES 128），但BitLocker比較謙虛，一旦發(fā)現(xiàn)驅(qū)動器有自己的硬件加密方式（例如某些SSD固態(tài)硬盤的加密功能），就會采用該硬件加密方式，而摒棄自己的軟件加密方式。

Win10

問題就出在這里，因為——部分型號的鎂光和三星固態(tài)硬盤存在加密漏洞，甚至無需密碼即可打開加密磁盤，導(dǎo)致硬件加密形同虛設(shè)。所以，在固態(tài)硬盤廠商解決該問題之前，或者避免以后再爆雷受影響，讓BitLocker禁用硬件加密，用回自己的加密方式才是可靠之選。下面就介紹一下BitLocker禁用硬件加密的方法。

配置BitLocker禁用硬件加密組策略

首先，需要關(guān)閉BitLocker（解密BitLocker加密驅(qū)動器）。

然后，打開組策略編輯器，在左側(cè)導(dǎo)航窗格中依次定位至“計算機配置 - 管理模板 - Windows組建 - BitLocker驅(qū)動器加密”，然后根據(jù)自己的BitLocker加密驅(qū)動器類型選擇“操作系統(tǒng)驅(qū)動器”、“固定數(shù)據(jù)驅(qū)動器”，或者“可移動數(shù)據(jù)驅(qū)動器”。然后在右側(cè)窗格中即可看到相應(yīng)的“配置對操作系統(tǒng)驅(qū)動器使用基于硬件的加密”、“配置對固定數(shù)據(jù)驅(qū)動器使用基于硬件的加密”，或者“配置對可移動數(shù)據(jù)驅(qū)動器使用基于硬件的加密”配置項。如圖：

雙擊該項打開配置窗口。如圖：

我們可以在“幫助”窗格中看到對該配置項的詳細描述：

使用此策略設(shè)置，可以管理 BitLocker 在固定數(shù)據(jù)驅(qū)動器上使用基于硬件的加密的方式，以及指定它可以將哪種加密算法用于基于硬件的加密。使用基于硬件的加密可以提高涉及頻繁讀取或?qū)懭腧?qū)動器數(shù)據(jù)的驅(qū)動器操作的性能。

如果啟用此策略設(shè)置，則可以指定其他選項，控制是否在不支持基于硬件的加密的計算機上使用 BitLocker 基于軟件的加密，而不是基于硬件的加密，以及是否希望限制用于基于硬件的加密的加密算法和密碼套件。

如果禁用此策略設(shè)置，則 BitLocker 無法將基于硬件的加密用于操作系統(tǒng)驅(qū)動器，并且在加密驅(qū)動器時將默認(rèn)使用 BitLocker 基于軟件的加密。

如果未配置此策略設(shè)置，則 BitLocker 將對驅(qū)動器使用基于硬件的加密以及加密算法集。如果基于硬件的加密不可用，則轉(zhuǎn)而使用 BitLocker 基于軟件的加密。

注意:“選擇驅(qū)動器加密方法和密碼長度”策略設(shè)置不適用于基于硬件的加密。基于硬件的加密所使用的加密算法在驅(qū)動器分區(qū)時進行設(shè)置。默認(rèn)情況下，BitLocker 將使用驅(qū)動器上配置的算法來加密驅(qū)動器。使用“限制可用于基于硬件的加密的加密算法和密碼套件”選項，可以限制 BitLocker 可用于硬件加密的加密算法。如果驅(qū)動器的算法集不可用，則 BitLocker 將禁用基于硬件的加密。

加密算法由對象標(biāo)識符(OID)指定。例如:

- AES 128 (CBC 模式) OID: 2.16.840.1.101.3.4.1.2

- AES 256 (CBC 模式) OID: 2.16.840.1.101.3.4.1.42

配置為“已禁用”，確定。這樣BitLocker就禁用了硬件加密方式。

然后你再開啟BitLocker加密，使用的就是BitLocker自己的AES 128或AES 256軟件加密方式了。

驗證BitLocker加密方式

那么如何知道自己的Win10電腦的BitLocker加密方式呢？只需以管理員身份運行命令提示符，運行以下命令即可：

manage-bde.exe -status

如果BitLocker加密分區(qū)的“加密方法”顯示為“XTS-AES 128”、“XTS-AES 256”等，而非“硬件加密”，那么使用的就是BitLocker自己的軟件加密方式了。