我花了无数个小时尝试在 Windows 10 Pro 操作系统驱动器(三星 980 Pro)上打开 Bitlocker 时启用硬件加密。我已阅读了互联网上有关此主题的所有内容。我希望这里有人可以帮助我越过终点线。
我现在的情况如下:
Intel NUC12 Extreme 已完全更新 BIOS 并启用了 UEFI 安全启动。英特尔支持人员向我确认,安装的 BIOS 是 UEFI 2.8,支持 EFI_STORAGE_SECURITY_COMMAND_PROTOCOL
BIOS 具有符合 Intel PTT Opal 2.0 的固件 TCP
几天前,我通过 Microsoft 网站创建的 USB 介质全新安装了 Windows 10 Pro
我的操作系统驱动器是三星 980 Pro,支持 eDrive/硬件加密
我安装了 Samsung Magician 并将我的驱动器设置为“加密驱动器准备启用”。
然后我使用 GParted 擦除驱动器中的所有分区,然后全新安装 Windows 10 Pro。
此时,MSINFO 显示在设备加密支持行上检测到不允许的 DMA 总线/设备。
经过大量试验后,我发现将 PCI TO PCI BRIDGE 和 ISA BRIDGE 的字符串添加到 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DmaSecurity\AllowedBuses 项中可以修复“检测到不允许的支持 DMA 的总线/设备”错误,并且 MSINFO 中的“设备加密支持”状态现在为“满足先决条件”。
然后我编辑了操作系统驱动器的 Bitlocker 组策略,将“配置操作系统驱动器的硬件加密使用”设置为“已启用”,并且未启用“当硬件加密不可用时使用 Bitlocker 软件加密”。这里的想法是,我不希望 Bitlocker 默默地打开软件加密...我只希望 Bitlocker 在可以使用硬件加密时打开。
但是……每当我尝试为我的操作系统驱动器(三星 980 Pro)打开 Bitlocker 时,它都会开始“验证您的 PC 是否满足其系统要求”,然后向我显示错误消息:“由于组策略配置,Bitlocker 未恢复使用 Bitlocker 软件加密”。这意味着它无法使用三星 980 Pro 的硬件加密。
我希望有人能告诉我下一步该怎么做。我已经没有主意了。MSINFO 说我的系统“满足设备加密支持的先决条件”,没有报告 DMA 冲突,而且我在 Samsung Magician 中启用了加密,那么到底是怎么回事呢?
以下是 BDE 状态的结果:可以使用 BitLocker 驱动器加密保护的磁盘卷:
卷 C: [] [操作系统卷]
Size: 930.90 GB
BitLocker Version: None
Conversion Status: Fully Decrypted
Percentage Encrypted: 0.0%
Encryption Method: None
Protection Status: Protection Off
Lock Status: Unlocked
Identification Field: None
Key Protectors: None Found
答案1
使用 GParted 清除不会触发驱动器的“配置”以通过 Bitlocker 启用硬件加密。
步骤1:
除非三星固态硬盘是全新的,否则必须先PSID 还原- 通过 Samsung Magician 执行的操作(仅当 Windows 在另一个驱动器/系统上运行,而不是正在恢复的 SSD 时才可用)。您将需要驱动器标签上的 32 个字符的 PSID 代码,并且驱动器必须本地连接,而不是连接到 USB 外壳中。
这意味着你需要一台可以运行 Windows 且仍具有可用 M.2 插槽的计算机,或者使用 USB 上的 Windows-To-Go 等三星 Magician。或者,使用 Ubuntu Live CD 或类似产品,sedutil如果您愿意的话,命令行实用程序 PSID-Revert。
第二步:
现在,您需要“安全擦除”驱动器。这只能通过从 Samsung Magician 创建可启动 USB 来完成。没有其他方法或实用程序可以“擦除”驱动器。
安全擦除后,您将从头开始安装 Windows 10,这将“配置”驱动器进行硬件加密。使用 Rufus 创建 Windows 10 安装 USB,并选中 Rufus 弹出窗口中的复选框以禁用默认软件 Bitlocker 加密。
启动 Windows 后,编辑组策略以仅允许硬件加密,然后尝试启用 Bitlocker。