如何故障診斷硬碟加密問題
Summary: 本文提供硬碟加密的相關資訊,以及 BitLocker 的說明,以及解決 Dell 電腦上硬碟加密相關問題的故障診斷步驟。
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Instructions
目錄:
- 什麼是硬碟加密?
- 比較硬體加密與軟體加密
- 什麼是 TPM?
- 全磁碟加密 (FDE)
- 什麼是 BitLocker?
- 進階格式 512e (4 K) FDE 硬碟加密
- 加密軟體無法辨識硬碟
- 開機前問題
- 新增第三方加密軟體後,系統無法開機。
- 加密與作業系統重新安裝
- 遺失密碼或加密金鑰
1.什麼是硬碟加密?
硬碟加密是使用數學演算法,將磁碟上的資料或整個磁碟轉換為無法解讀代碼的過程,使未經授權的使用者無法存取。使用者必須提供密碼、指紋或智慧卡才能存取加密的磁碟機。加密作業可透過軟體或硬體機制來執行。在用戶端的領域,我們接觸的大多屬於軟體加密。加密可以在個別檔案進行,也可以是整個硬碟。
2.比較硬體加密與軟體加密
軟體和硬體加密之間的主要區別,在於主開機記錄 (MBR) 無法使用軟體加密機制進行加密。Dell 用戶端電腦使用 Wave Trusted Drive Manager 搭配 TPM 晶片進行軟體加密。Wave Trusted Drive Manager 是 Dell Data Protection 或 Dell ControlPoint Security Manager 套件的一部分。企業客戶可以使用 Dell Data Protection Encryption 和 DDPE 加速器模組,此模組裝於主機板插槽中,在用筆記型電腦使用迷你卡,在桌上型電腦則使用 PCIe 卡。硬體加密較為安全,因為它將磁碟機從 CPU 和作業系統隔離開來,使其非常不易受到攻擊。
3.什麼是 TPM?
信賴平台模組 (TPM) 是主機板上的一個密碼編譯微處理器,用於儲存並驗證磁碟機的加密金鑰,進而將磁碟機與電腦連結。這意味著,若加密的磁碟機從電腦遭竊後裝入其他電腦,即無法存取該磁碟機。TPM 晶片充當了進入磁碟機的「閘道」。在加密架構中使用 TPM 晶片的主要缺點,在於需要更換主機板時,使用者即可能再也無法存取該磁碟機。然而,Wave Trusted Drive Manager 可排除此問題,在硬碟上也保存一份加密金鑰。(這與更換主機板後仍可存取 RAID 陣列的狀況相似。陣列資訊會保留在磁碟機條帶及 RAID 控制器 EPROM 中。)
更多資訊:如何故障診斷並修正 TPM 和 BitLocker 的常見問題
4.全磁碟加密 (FDE)
全磁碟加密單純代表著整個磁碟機 (每一個磁區) 皆可加密,而非僅加密檔案、資料夾或檔案電腦。由於電腦竊盜與遺失事件頻發,FDE 硬碟已逐漸成為筆記型電腦的標準。「全磁碟加密」一詞原由 Seagate 提出,但如今已成為業界用語,代表所有可完整加密的硬碟。FDE 硬碟安全功能始終處於開啟狀態,並在啟用安全原則之前以一般硬碟方式運作。
一個常見的疑問是 Wave Trusted Drive Manager 加密軟體是否可在非 FDE 硬碟上使用,以保護整個磁碟。答案是否定的:Wave Trusted Drive Manager 需要 FDE 磁碟機。軟體式的加密機制,可利用 TPM 晶片或 USB 隨身碟來加密 FDE 磁碟機上的磁碟區,例如 Windows BitLocker,但無法加密硬碟的作業系統開機磁區。
若要存取以 Wave Trusted Drive Manager 完整加密的硬碟內容,需使用開機前驗證,以存取含有作業系統與使用者資料的磁區。在使用 DDPA 的用戶端電腦上,開機前驗證設定是由 Wave 軟體在 DDPA\DCPSM 中處理。
5.什麼是 BitLocker?
BitLocker 是 Windows 7 提供的全磁碟加密功能,僅適用於旗艦版和企業版。您可以使用 BitLocker To Go 來幫助保護儲存在卸除式資料磁碟機 (如外部硬碟或 USB 隨身碟) 上的所有檔案。
不同於 Trusted Drive Manager,這些磁碟機不必是 FDE 磁碟機,但 BitLocker 僅能加密磁碟區,無法加密開機磁碟區。以 BitLocker 加密的磁碟機,可在開機前使用 TPM 搭配密碼或智慧卡解除鎖定。若要使用開機前的機制存取 BitLocker,BIOS 必須能夠在開機時讀取 USB 磁碟機,且必須有 2 個分割區,其中電腦磁碟機分割區必須至少 100 MB 並已設為使用中分割區。作業系統分割區會加密,而電腦分割區則不加密,讓電腦能夠開機。
使用 BitLocker 無需具備 TPM,但是強烈建議使用以增強開機前安全。Windows 更新不需要停用 BitLocker,但其他更新可能會需要。與其他加密應用程式一樣,建議將復原金鑰 (PIN) 保存在卸除式媒體或其他安全位置。使用者如果沒有復原 PIN,就無法解除鎖定磁碟機。如果電腦無法開機進入 BitLocker 故障復原主控台,或是硬碟故障,則可以下載 BitLocker 修復工具 
並將其解壓縮至可開機的隨身碟或 CD,以從磁碟機復原資料。您必須有 PIN 才能存取資料。
如果使用者位於使用 Active Directory 的網域,且其系統管理員設定使用 BitLocker,則 PIN 可能儲存在 Active Directory 中,因此請他們自行洽詢 IT 部門。
更多資訊:如何故障診斷並修正 TPM 和 BitLocker 的常見問題
6.進階格式 512e (4 K) FDE 硬碟加密。
一個 512e (4 K) 格式磁碟機,或稱進階格式磁碟機,單純代表該磁碟機的每一個磁區皆已從 512 位元組變更為 4,096 位元組。第一代的進階格式硬碟的做法,是將 8 個 512 位元組的磁區合為單一個 4,096 位元組的磁區。在 Dell 電腦上的「512e (模擬)」的用語,來自於使用硬碟韌體內的轉換機制來模擬 4,096 位元組磁區,以相容使用 512 位元組磁區的舊版元件和軟體。進階格式 512e 硬碟上的所有讀寫動作,皆以 512 位元單位進且,但是在讀取循環中,會將整個 4,096 位元組載入記憶體。為此,512e 硬碟必須經過對齊。如果磁碟機未執行對齊,效能就可能嚴重衰減。目前隨 Dell 電腦購買的硬碟皆已經過對齊。
若要偵測您的電腦是否使用進階格式 (512e) 硬碟,請下載進階格式硬碟偵測工具。
在較舊的作業系統上須執行分割區對齊,在新的作業系統則為建議執行,以確保硬碟效能正常,並可對磁區大小不同的硬碟製作映像。
有多種工具程式皆提供磁碟機對齊功能,可從 Dell 支援網站的驅動程式與下載中,SATA 磁碟機分類下取得。
7.加密軟體無法辨識硬碟。
若使用 Wave Trusted Drive Manager,則磁碟機必須為全磁碟加密 (FDE) 的磁碟機,且 SATA 操作必須設為 ATA\AHCI\IRRT 而非 RAID On\RAID。第三方的加密程式即可能屬於此情況。
請與廠商聯繫以瞭解任何 BIOS 設定上的需求。
若使用作業系統映像,尤其是 Windows XP,則請檢查磁碟機是否對齊。加密前,請確定映像已套用所有更新。
若使用第三方加密軟體,請與廠商確認軟體相容於電腦中的硬體,並且相容整合可延伸韌體介面 (UEFI) BIOS。
8.開機前問題。
- 若使用者在開機前驗證時發生問題,請檢查他們使用的驗證機制:密碼、指紋或智慧卡
- 若是密碼,請確定他們使用正確的密碼,並檢查 CapsLock 和 NumLock 的狀態是否正確。
- 若使用指紋,請確定他們使用正確的手指,並且沒有滑動得太快。三次無效滑動應會觸發密碼提示。
- 若使用智慧卡,請確定他們使用正確的卡片、插入方式正確,並檢查是否有任何損壞。若可能,嘗試使用另一張卡。
- 若隸屬網域,請確定他們未切換為本機登入。他們必須使用與啟用加密時相同的認證。
- 若使用者表示開機前驗證在重新開機後停止運作,則檢查 BIOS 以確定未啟用略過密碼功能。此功能在早期的 BIOS 版本中無法運作,但已修正。請確定客戶使用最新版 BIOS。
- 若使用者遺失密碼或已不再受雇,Dell 將無法還原密碼以進行 Trusted Drive Manager 加密。若是第三方應用程式,請洽廠商取得支援。
9.新增第三方加密軟體後,系統無法開機。
開啟電腦電源,然後在開機過程中按下 F12 鍵,以進入 BIOS 開機功能表。您可能需要在開機過程中反覆按下按鍵,才能讓 BIOS 在正確的時間辨識到按鍵。使用方向鍵在功能表選取 <Diagnostics> (診斷),然後按下 Enter 鍵。
如此會執行增強型開機前系統評估 (ePSA) 診斷,以確保磁碟機未故障且未回報任何錯誤。若您使用進階格式 (512e) 磁碟機,請確保執行加密前磁碟機已正確對齊。
請洽第三方廠商瞭解復原選項。大多數公司皆提供復原公用程式,供使用者儲存至可開機的隨身碟或 CD。此外,請查看廠商網站的電腦平台問題,以免該軟體在此型號電腦上會遭遇問題。
10 加密與作業系統重新安裝
若加密硬碟上的作業系統損毀需重新安裝,則可能因硬碟處於鎖定狀態,導致 Windows 安裝程式無法辨識該磁碟機。若是 Wave Trusted Drive Manager 所加密的磁碟機,必須先解除鎖定磁碟機,才能重新安裝作業系統。
請參閱此處 Wave 網站上的支援文件,瞭解如何在重新安裝之前解鎖磁碟機。
若是第三方加密軟體,請先洽詢廠商確認正確程序,再嘗試重新安裝。
11 遺失密碼或加密金鑰
若使用者遺失開機前密碼、加密金鑰,或是最終使用者已離開公司,大多數加密應用程式廠商皆提供備用的復原機制。有鑑於業界標準資料處理原則,此復原機制必須由客戶啟動。實際做法,是將密碼或金鑰儲存於卸除式存儲裝置或網路位置。若實施全磁碟加密之後使用者遺失密碼或金鑰,Dell 將無法協助他們取回磁碟機的密碼或金鑰。若是此情況,使用者必須更換硬碟。此問題非屬保固範圍內,因為加密運作符合設計,可保護資料免於入侵。更換磁碟機的費用將由使用者自行承擔。Wave 可協助解決使用者名稱問題。使用者必須擁有密碼,Wave 才能幫助處理忘記的使用者名稱。若使用者忘記、遺失或沒有密碼,則很遺憾,Wave 將無法提供協助。
若上述步驟無法解決問題,請聯絡 Dell 技術支援部門以取得協助。
Additional Information
建議的文章
以下是一些與本主題相關的建議文章,您可能會感興趣。
Affected Products
Alienware, Dell All-in-One, Dell Pro All-in-One, Dell Pro Max Micro, Dell Pro Max Slim, Dell Pro Max Tower, Dell Pro Micro, Dell Pro Slim, Dell Pro Tower, Dell Slim, Dell Tower, Inspiron, Legacy Desktop Models, OptiPlex, Vostro, XPS, G Series
, G Series, Alienware, Dell Laptops, Dell Plus, Dell Pro, Dell Pro Max, Dell Pro Plus, Dell Pro Premium, Inspiron, Latitude, Dell Pro Rugged, Vostro, XPS, Legacy Laptop Models, Fixed Workstations, Mobile Workstations, Dell Pro Max Micro XE FCM2250, Dell Pro Max Slim XE FCS1250, Dell Pro Max Tower T2 XE FCT2250, Dell Pro Max 16 XE MC16250, Dell Pro Micro Plus XE QBM1250, Dell Pro Slim Plus XE5 QBS1250, Dell Pro Tower Plus XE5 QBT1250
...
Article Properties
Article Number: 000178978
Article Type: How To
Last Modified: 24 Jul 2025
Version: 12
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.