加密與資料保護

當人們使用其計算機移動時，其機密資訊會隨身移動。 無論機密資料儲存在何處，不管是透過實體裝置竊取或透過惡意應用程式，都必須受到保護，以防止未經授權的存取。

BitLocker

BitLocker 是一項數據保護功能，可與操作系統整合，以解決數據遭竊或遺失、遭竊或不當解除委任裝置所造成的威脅。 它會使用 XTS 或 CBC 模式的 AES 演算法搭配 128 位或 256 位密鑰長度來加密磁碟區上的數據。 在初始設定期間，當 BitLocker 在 OOBE 期間啟用，且使用者第一次登入其Microsoft帳戶時，BitLocker 會視需要自動將其修復密碼儲存至Microsoft帳戶以進行擷取。 如果使用者手動啟用 BitLocker，他們也可以選擇匯出修復密碼。 修復密鑰內容可以儲存至 OneDrive 或 Azure^[4] 上的雲端記憶體。

對於組織而言，BitLocker 可以透過組策略或裝置管理解決方案來管理，例如 Microsoft Intune^[3]。 它使用像是硬體安全性測試介面 (HSTI) 、新式待命、UEFI 安全開機和 TPM 等技術， (BitLocker To Go) 提供 OS、固定數據和抽取式數據磁碟驅動器的加密。

Windows 11 版本 24H2 的新功能

如果復原密碼儲存至 MSA，BitLocker 預先啟動復原畫面會包含 MSA) 提示 (Microsoft帳戶。 此提示可協助使用者瞭解用來儲存修復密鑰資訊的 MSA 帳戶。

瞭解更多資訊

• Bitlocker 概觀

BitLocker To Go

BitLocker To Go 是指卸除式數據磁碟驅動器上的 BitLocker。 BitLocker To Go 包含 USB 快閃磁碟驅動器、SD 卡和外部硬碟的加密。 磁碟驅動器可以使用密碼、智慧卡上的憑證或修復密碼來解除鎖定。

瞭解更多資訊

• BitLocker 常見問題

裝置加密

裝置加密是一項 Windows 功能，可簡化在特定裝置上啟用 BitLocker 加密的程式。 它可確保只有 OS 磁碟驅動器和固定磁碟驅動器會加密，而外部 /USB 磁碟驅動器則會保持未加密狀態。 此外，具有允許 DMA 存取之外部可存取埠的裝置不符合裝置加密的資格。 不同於標準 BitLocker 實作，裝置加密會自動啟用以確保持續保護。 一旦 Windows 的全新安裝完成且全新體驗完成後，裝置便已準備好第一次使用，且加密已就緒。

組織可以選擇停用裝置加密，以支援完整的 BitLocker 實作。 這可讓您更精細地控制加密原則和設定，確保符合組織的特定安全性需求。

Windows 11 版本 24H2 的新功能

已移除 DMA 和 HSTI/Modern 待命的裝置加密必要條件。 這項變更可讓更多裝置同時符合自動和手動裝置加密的資格。

瞭解更多資訊

• 裝置加密

加密的硬碟

加密硬碟是在硬體層級自行加密的硬碟類別。 它們允許全磁碟硬體加密，而且對使用者而言是透明的。 這些磁碟驅動器結合 BitLocker 所提供的安全性與管理優點，以及自我加密磁碟驅動器的功能。

透過將密碼編譯作業卸載至硬體，加密硬碟會提高 BitLocker 效能並減少 CPU 使用率與耗電量。 由於加密硬碟會快速加密資料，因此 BitLocker 部署可以跨企業裝置擴充，對生產力的影響很少或沒有影響。

加密硬碟可啟用：

• 順暢的效能：整合到磁碟驅動器控制器中的加密硬體可讓磁碟驅動器以完整數據速率運作，而不會降低效能
• 以硬體為基礎的強式安全性：加密一律開啟，且加密的密鑰永遠不會離開硬碟。 磁碟驅動器會在解除鎖定之前，從操作系統獨立驗證使用者
• 容易使用：加密對使用者而言是透明的，而且使用者不需要啟用它。 使用上線加密金鑰可輕鬆清除加密的硬碟。 不需要重新加密磁碟驅動器上的數據
• 較低的擁有成本：因為 BitLocker 會使用現有的基礎結構來儲存復原資訊，所以不需要新的基礎結構來管理加密密鑰。 您的裝置運作更有效率，因為不需要將處理器迴圈用於加密程式

瞭解更多資訊

• 加密的硬碟

個人資料加密

個人資料加密是使用者驗證的加密機制，其設計目的是要保護用戶的內容。 個人資料加密會使用 Windows Hello 企業版 作為其新式驗證配置，並搭配 PIN 或生物特徵辨識驗證方法。 個人資料加密所使用的加密金鑰會安全地儲存在 Windows Hello 容器內。 當使用者使用 Windows Hello 登入時，容器會解除鎖定，讓密鑰可供解密用戶的內容。

Windows 11 22H2 版中個人資料加密的初始版本引進了一組公用 API，應用程式可以採用這些 API 來保護內容。

Windows 11 版本 24H2 的新功能

個人資料加密會透過 已知資料夾的個人資料加密進一步增強，其可將保護延伸到 Windows 資料夾：檔、圖片和桌面。

瞭解更多資訊

• 個人資料加密

Email 加密

Email 加密可讓使用者保護電子郵件訊息和附件，讓只有具有數字識別 (標識碼) 或憑證的預定收件者可以讀取它們^[8]。 使用者也可以 數字簽署 訊息，以驗證寄件者的身分識別，並確保訊息未遭到竄改。

Windows 11 中包含的新 Outlook 應用程式支援各種類型的電子郵件加密，包括 Microsoft Purview 郵件加密、S/MIME 和資訊版權管理 (IRM) 。

使用安全/多用途因特網郵件擴充功能 (S/MIME) 時，使用者可以將加密的郵件傳送給組織內的人員，以及具有適當加密憑證的外部聯繫人。 如果收件者具有對應的解密密鑰，則只能讀取加密的郵件。 如果加密的郵件傳送給加密憑證無法使用的收件者，Outlook 會要求您在傳送電子郵件之前先移除這些收件者。

瞭解更多資訊

• Exchange Online 中訊息簽署和加密的 S/MIME
• 開始使用新的 Windows 版 Outlook
• Email 加密