如何在 Windows 11 家用版上加密磁碟

微軟沒坑就不是微軟了，BitLocker算是微軟很早就推出的一個功能，主要是面對商務市場，在Win10開始，微軟強制導入TPM，也就順勢將磁碟加密納入了個人隱私保護的重要功能，除了商務市場外，他也在家用市場中導入了精簡版的磁碟加密，但就是這個精簡版，操作起來陷阱一堆，每次都讓宅龍雞飛狗跳，所以宅龍在剛跑完一輪磁碟加密程序後，決定放上這篇來做個避雷...

這很重要，但是我不想說三遍，這點在21H2上市的時候相信很多OEM都翻過一輪，因為加密動作是滿足條件就會自動開啟的，所以如果不注意，系統還原或是重裝的時候都會有狀況。

也因為這樣，所以我們先來看看系統將磁碟機加密的條件有哪些：

• BIOS 中開啟 SecureBoot

• 系統有符合 TPM2.0規範 的 實體TPM 或是 韌體 fTPM 裝置

• 在 21H2 的時候還要包含 Modern Standby，這個要求在 22H2 後被拿掉

只要你的系統滿足以上條件一跟二，在設定作業系統程序完成後，Windows就會開始自動加密你的磁碟機裝置，被加密的裝置在圖示上會有如下的鎖頭出現：

磁碟加密的功能在保護個人隱私上非常有用，但是微軟在設計磁碟加密功能的時候，主要是針對商務市場客戶在進行規劃，為了做到產品差異化，下放給 家用版 的磁碟加密功能是精簡版的，這導致在操作上非常繁瑣，甚至到了有點反人類的狀況。這也是為什麼宅龍會說，每次磁碟加密就會搞到宅龍雞飛狗跳的原因。

開啟 Windows設定 畫面，然後選擇 "隱私權與安全性"

接著在 安全性 區塊中，選擇 "磁碟加密"

接下來透過 "裝置加密" 開關來開啟或關閉磁碟加密功能

上述就是最基本的磁碟加密功能操作...

沒坑宅龍就不用寫這篇了...

基本上透過上述功能開啟裝置加密後，系統會 同時對所有磁碟機 進行加密作業，這時候就產生一個問題，如果你的處理器速度較慢，像宅龍手上這台筆電是用i3處理器，或是你剛好有速度較慢的SATA磁碟機，嗯，這東西宅龍也有，那你會發現這個加密作業可能會卡住沒進度，這時候你就要參考以下方式對單個磁碟機來管理加密作業。

宅龍因為兩個條件都滿足，所以每次玩這個功能都會卡，就算筆電是Dell的也一樣，微軟還真是一視同仁～

首先，請開啟具有管理員權限的 終端機 或是 PowerShell

最簡單的辦法就是在視窗icon上以右鍵點擊，然後選擇 終端機(系統管理員)

或是選擇 終端機，然後點選頁籤旁的 [v] 符號，接著選擇 "設定"，然後進入 預設值 頁面

接著把 以系統管理員身分執行此設定檔 選項狀態變更為 開啟

接下來儲存設定值，往後你每次開啟 PowerShell 都會是以 系統管理員 權限來執行了。

接下來，執行以下指令確認個磁碟機加密進度

Manage-bde -status

基本上加密一定需要一段時間，你可以評估一下，宅龍的作法是如果看到經過五分鐘加密進度沒有變化，就可以判定為進度卡著不會動，這時候執行以下指令

manage-bde -pause [磁碟機名稱]

請記住，在這個步驟，你需要將 所有的 磁碟機加密進度都 暫停，不然不管怎麼樣，卡住的進度就會繼續卡著，你等再久都沒用

接下來就使用以下指令一個一個開啟磁碟加密進度，但是請注意，一定要等一個磁碟完成加密後再開啟下一個磁碟，如果不這樣做，如果你的加密本來就卡住，後續你一口氣開啟仍然會導致加密進度卡著

manage-bde -resume [磁碟機名稱]

本質上，manage-bde 是一個完整的BitLocker指令，但是宅龍上面有提到，在家用版上BitLocker功能是精簡過的。

這導致你雖然可以使用 manage-bde -off [磁碟機名稱] 來針對單一分割區關閉磁碟加密，但是當你要開啟磁碟加密的時候，manage-bde -on [磁碟機名稱] 是 無法執行 的...

你只能透過前面說的 UI 功能去操作磁碟加密功能的啟用或是關閉，但這邊就出現最坑的一個問題...

如果你是夠過 manage-bde -off 的指令去關閉單一分割區的加密功能，那這時候因為還有磁碟機的狀態是被加密的，所以 UI 上面會一直顯示加密狀態為 已加密

你是無法透過 UI 針對單一磁碟機功能去重新加密磁碟的，你只能一口氣將所有的磁碟機解除加密後重新執行一次...

最精彩的就是...如果加密過程會卡住，那解密的過程一樣會卡，然後你又得敲指令去 pause / resume...宅龍實在很好奇，這樣的搞笑設計真的都沒人發現嗎？

磁碟加密對於保護個人隱私是非常重要的功能，但是因為微軟的操作程序Bug實在太好笑，所以沒辦法，宅龍只好寫個note，算是提醒自己以免每次要裝系統都得重新找一次資料...