通过 Bitlocker 在 Crucial^® 英睿达自加密硬盘上设置硬件加密

Windows® 8.1 及更新版本通过名为 BitLocker® 的应用程序自动支持 自加密硬盘的加密密钥管理。启用 Bitlocker 硬件加密之前，应满足以下要求（除 BitLocker 以外的加密软件可能会有进一步或经修改的要求）。

请注意：以下步骤允许您在支持 Microsoft® eDrive 的 Crucial 英睿达 SED 上使用 BitLocker 启用硬件加密。并非所有 Crucial 英睿达 SED 均支持 Microsoft eDrive，因此在遵循本指南中的步骤前，务必确认您的硬盘是否支持此规格。如果在不支持 Microsoft eDrive 的硬盘上执行以下步骤，则只能使用 Bitlocker 启用软件加密，而不能启用硬件加密。如果您有 Crucial 英睿达 MX500 系列或更旧版本的 SED，则可以继续执行以下步骤。如果您有 Crucial 英睿达 M.2 NVMe SED，您将需要遵循我们在文章《为 Crucial 英睿达 NVMe® 固态硬盘启用硬件加密》中提供的信息。

• TPM 模块：BitLocker 仅支持 TPM 1.2 和 2.0 版（或更新版本）。此外，您应使用 Microsoft 提供的 TPM 硬盘（请注意，BitLocker 也可以在无 TPM 的情况下工作，但需要 USB 闪存盘来设置密码）。如果您在确定 TPM 可用性方面需要帮助，请联系您的系统制造商。
• UEFI 2.3.1 或更高版本：主机应至少符合 UEFI 2.3.1 规范，并应定义了 EFI_STORAGE_SECURITY_COMMAND_PROTOCOL，这样才可以向自加密硬盘发送安全协议命令，并从自加密硬盘发送这些命令。如果您不确定是否满足这个要求，请联系主机制造商。
  
• 安全启动：系统 BIOS 设置中应启用了安全启动，大多数 Windows 8.1 及更高版本的系统会自动启用此选项。如果您需要帮助来启用此选项，请联系系统制造商。
  
• Opal 2.0 支持：系统应能够支持 Opal 2.0 安全标准。Opal 2.0 标准不向下兼容；Crucial 英睿达自加密硬盘不兼容 Opal 1.0。 如果您需要帮助来验证您的系统是否兼容 Opal，请联系系统制造商。
  
• Microsoft eDrive：Microsoft 使用 BitLocker 或组策略在 SED 上启用硬件加密的安全规范基于 TCG OPAL 和 IEEE 1667 标准。只有在 SED 上尝试使用 BitLocker 或组策略启用硬件加密时才需要这样做。第三方解决方案可能不会严格要求使用此功能启用硬件加密。
• UEFI 模式：主机应始终从 UEFI 启动。应禁用任何“兼容性”或“传统”启动模式。我们建议安装 Crucial 英睿达自加密硬盘之前将系统设置为“仅限 UEFI”模式。此外还应禁用 CSM（兼容性支持模式）。请联系系统制造商获取这些设置方面的帮助。 
  
• 两个分区（其中一个不加密）：固态硬盘应有两个分区（Windows 中的硬盘通常是这样），而且要加密的主分区须为 NTFS。不加密的辅助分区至少应有 1.5GB 的容量。该分区用于验证，应有该分区才能进行加密。
  
• 基本磁盘： BitLocker 不支持动态磁盘。Windows 8 和 Windows 10 磁盘默认配置为基本磁盘并采用 GPT 分区布局——这是使用硬件加密的必要条件。     
  

建议安装之前将主机系统 UEFI 配置为可正确接受自加密硬盘，如以下示例所示。系统设置详细信息因系统而异，各种功能的名称也是如此，但相似度仍然很高，因此，用一个例子说明已经足够。有关具体 UEFI 设置的详细信息，请联系电脑制造商。

1. 启用安全启动。Microsoft 安全启动是运行任意 Windows 8.1 或较新版本系统的必要条件。在出厂前配置了 Windows 8.1/10/11 的任何电脑中（以 Windows 8/10/11 标签作为识别），“安全启动”功能默认已启用。如果主机系统最初配置为 Windows 7 或更低版本的操作系统，请进行检查，以确保安全启动已启用，如下所示。

2. UEFI 启动模式/CSM 支持。主机系统应处于“仅限 UEFI”模式，如下所示。在“仅限 UEFI”模式下，CSM 通常会自动禁用，但仍应进行检查，以便确认，如果 CSM 未禁用，则应将其禁用。

3. 安装 Windows 8.1/10/11。要实施硬件加密，一种较为直接的方法是重新安装操作系统。Windows 8.x、10 和 Windows 11 企业版和专业版中的 BitLocker 版本支持对自加密硬盘进行硬件加密。此功能无需执行特别步骤；只需按照 Microsoft 说明的常规操作系统安装过程进行操作即可。  安装操作系统后，进入启用 BitLocker 部分。 
   注意：在 BIOS 启动优先级设置中，应将系统设置为首先启动您的 SSD，而不是首先启动 USB 或 CD。
4. 系统克隆。 由于 Crucial 英睿达自加密硬盘支持 eDrive，因此，激活 BitLocker 会创建一些特殊分区，以使 eDrive 功能实际可用。克隆激活 eDrive 的 SSD 时，这些特殊分区可能无法正确复制到目标硬盘。这种情况下，目标硬盘可能仍可工作，但这个过程被视为无效，而且可能会造成潜在的性能问题。如果源磁盘已使用 Bitlocker 的软件加密功能进行加密，在对 Crucial 英睿达自加密硬盘初始化映像克隆前，应先确保 BitLocker 已关闭。如果在源系统中软件加密模式下使用 BitLocker，需要进行解密过程才能关闭 BitLocker。这个过程可能需要几小时，具体取决于硬盘的使用量和操作系统数据量。

1. 按 Windows 键（通常位于 <Ctrl> 键和 <Alt> 键之间）；然后输入此电脑并按 Enter 键。
2. 右键单击系统硬盘图标，并从弹出菜单中选择启用 BitLocker。

3. 将会出现一个确认正在配置 BitLocker 的状态框以及状态栏。这个过程片刻即可完成。
4. 选择 Microsoft 提供的恢复密钥保存选项之一。虽然 Crucial 英睿达对此没有偏好，但您不能遗漏这个步骤。某些情况下，这可能是从固态硬盘恢复数据的难得方法。对于验证密钥或密码丢失的情况，Crucial 英睿达没有什么秘密途径可以恢复数据。保存密钥后，单击下一步继续。
   

5. BitLocker 会询问您是否已经准备好加密此硬盘？单击继续后，需要重启系统，完成整个过程。

6. 重启完毕后，系统硬盘会带有 BitLocker 挂锁图标，这表示 BitLocker 已启用。