Kingston 加密 SSD 固態硬碟

利用 eDrive 啟用及停用 BitLocker，以善用硬體加密

1

簡介

本文件說明如何啟用和停用 Microsoft 的 BitLocker eDrive 功能，以善用 Kingston SSD 固態硬碟上的

硬碟加密功能。此程序適用於支援 TCG OPAL 2.0 及 IEEE1667 功能集的 Kingston SSD 固態硬碟。如

果您沒有配備 TCG OPAL 2.0 及 IEEE1667 支援的 Kingston SSD 固態硬碟，此程序將無法正常運作。

如果您不確定，請寄送電子郵件至 www.kingston.com/support 聯絡 Kingston 技術支援服務

本文件導覽的剩餘部分會將 Microsoft 的 BitLocker with eDrive 稱為 ‘ eDrive。下述程序可能視

Windows 版本及更新而變更。

系統需求

-利用 TCG Opal 2.0 及 IEEE1667 安全性功能集的 Kingston SSD 固態硬碟

-Kingston SSD Manager 軟體 https://www.kingston.com/ssdmanager

-支援 TCG Opal 2.0 及 IEEE1667 安全性功能的系統硬體及 BIOS

OS / BIOS 需求

-Windows 8 及 8.1 (Pro 版/Enterprise 版)

-Windows 10 (Pro 版、Enterprise 版及 Education 版)

-Windows Server 2012

注意：所有加密固態硬碟均必須連接至非 RAID 控制器，才能在 Windows 8、10 及/或 Server 2012 上正常執行

若要在 Windows 8、10 或 Windows Server 2012 上將加密固態硬碟作為資料磁碟：

硬碟必須處於未初始化狀態。

硬碟必須處於安全性非啟動狀態。

對於作為 啟動硬碟的加密固態硬碟：

硬碟必須處於未初始化狀態。

硬碟必須處於安全性非啟動狀態。

電腦必須以 UEFI 2.3.1 為基礎，而且必須已定義

EFI_STORAGE_SECURITY_COMMAND_PROTOCOL。(此通訊協定可讓在 EFI 開機服務環境中

執行的程序，將安全性通訊協定命令傳送至硬碟)。

電腦必須在 UEFI 中停用相容性支援模組 (CSM)。

電腦必須隨時可從 UEFI 原生開機。

如需其他資訊，請參閱下列網址中 Microsoft 文章關於此主題的內容： https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2012-R2-and-2012/hh831627(v=ws.11)

2

在開機 SSD 固態硬碟上啟用 Microsoft eDrive

BIOS 組態

1. 請參閱系統製造商的文件，以確認您系統的 BIOS 是以 UEFI 2.3.1 為基礎，而且已定義

EFI_STORAGE_SECURITY_COMMAND_PROTOCOL。

2. 輸入 BIOS 並停用相容性支援模組 (CSM)

硬碟準備

1. 如果您尚未下載 Kingston 的 SSD Manager (KSM)，請立即下載。

https://www.kingston.com/ssdmanager

2. 使用 KSM 軟體或其他符合業界標準的方法，安全地清除目標 SSD 固態硬碟。

3. 將目標 SSD 固態硬碟安裝為次要磁碟，以確認 IEEE1667 狀態。硬碟應該處於「已停用」模式。

3

4. 選取「IEEE1667」按鈕並啟用該功能。確認已經成功切換功能。

作業系統 (OS) 安裝

注意：請勿將作業系統複製到您的目標 SSD 固態硬碟。將 OS 複製到目標 SSD 固態硬碟會防止您使用

eDrive 來啟用硬體加密。您必須將全新 OS 安裝部署到目標 SSD 固態硬碟，才能利用 eDrive 發揮硬體加密的功能。

1. 在目標 SSD 固態硬碟上安裝支援的 OS。

2. 安裝 OS 之後，安裝 Kingston SSD Manager (KSM)、執行 KSM，然後確認應用程式中的「安全性」

索引標籤會顯示下列訊息：

「IEEE 1667 is enabled an may not be changed because TCG Locking is enabled.」

(IEEE 1667 已啟用且不可變更，因為已啟用 TCG 鎖定。)

4

3. 使用 Windows Key 搜尋「Manage BitLocker」(管理 BitLocker)，然後執行應用程式。

4. 從「檔案總管」視窗選取「Turn on BitLocker」(開啟 BitLocker)。

5. 繼續依照提示文字執行以設定目標 SSD 固態硬碟。出現提示時，選取「Start encrypting」(開始加

密)。預設會選取「Run BitLocker system check 」(執行 BitLocker 系統檢查)。建議您啟用此設定，

然後再繼續執行。但是，若未檢查，您將能確認是否已啟用硬體加密，而不需要將系統重新開機。

5

注意：如果您看到畫面上的提示文字，其中要求您「Choose how much of your drive to encrypt」

(選擇要加密多少的硬碟內容)，這通常是指目標 SSD 固態硬碟將不會啟用硬體加密，而是利用軟體

加密。

6. 如有需要，將系統重新開機，然後重新啟動「Manage BitLocker」(管理 BitLocker)，以確認目標

SSD 固態硬碟裝置。

6

7. 您也可以藉由開啟 cmd.exe 和輸入下列內容來檢查目標 SSD 固態硬碟的加密狀態：

manage-bde -status

利用 Windows 10 (1903 以上版本) 啟用 Microsoft eDrive

若是 Windows 10 第 1903 版，Microsoft 已變更 Windows 10 關於 eDrive 加密的預設行為。若要在此

組建 (或可能是更新版本) 中啟用 eDrive，您將需要執行 gpedit，才能啟用硬體加密。

注意：請勿將作業系統複製到您的目標 SSD 固態硬碟。將 OS 複製到目標 SSD 固態硬碟會防止您使用

eDrive 來啟用硬體加密。您必須將全新 OS 安裝部署到目標 SSD 固態硬碟，才能利用 eDrive 發揮硬體加密的功能。

1. 在目標 SSD 固態硬碟上安裝支援的 OS。

2. 安裝 OS 之後，安裝 Kingston SSD Manager (KSM)、執行 KSM，然後確認應用程式中的「安全性」

索引標籤會顯示下列訊息：

「IEEE 1667 is enabled an may not be changed because TCG Locking is enabled.」

(IEEE 1667 已啟用且不可變更，因為已啟用 TCG 鎖定。)

7

3. 執行 gpedit.msc 以修改加密設定。

a. 瀏覽至「Administrative Templates」(管理範本) >「Windows Components」(Windows

元件) >「BitLocker Drive Encryption」(BitLocker 硬碟加密) >「Operating System Drives」

(作業系統硬碟)

b. 然後選取「Configure use of hardware-based encryption for operating systems」

(為作業系統設定硬體型加密的用途)

c. 啟用該功能，然後套用設定。

注意：若要在作業系統硬碟以外的硬碟上啟用 eDrive，您可以選取下列項目來套用相同設定：

「Administrative Templates」(管理範本) >「Windows Components」(Windows 元件) >

「BitLocker Drive Encryption」(BitLocker 硬碟加密) >「Fixed Data Drives」(固定資料硬碟) >

「Configure use of hardware-based encryption for fixed data drives」(為固定資料硬碟設定

硬體型加密的用途) (啟用，然後套用)

4. 使用 Windows Key 搜尋「Manage BitLocker」(管理 BitLocker)，然後執行應用程式。

5. 從「檔案總管」視窗選取「Turn on BitLocker」(開啟 BitLocker)。

8

6. 繼續依照提示文字執行以設定目標 SSD 固態硬碟。出現提示時，選取「Start encrypting」(開始加

密)。預設會選取「Run BitLocker system check 」(執行 BitLocker 系統檢查)。建議您啟用此設定，

然後再繼續執行。但是，若未檢查，您將能確認是否已啟用硬體加密，而不需要將系統重新開機。

注意：如果您看到畫面上的提示文字，其中要求您「Choose how much of your drive to encrypt」

(選擇硬碟要加密的多少內容)，這通常是指目標 SSD 固態硬碟將不會啟用硬體加密，而不會利用軟體

加密。

9

7. 如有需要，將系統重新開機，然後重新啟動「Manage BitLocker」(管理 BitLocker)，以確認目標

SSD 固態硬碟裝置。

8. 您也可以藉由開啟 cmd.exe 和輸入下列內容來檢查目標 SSD 固態硬碟的加密狀態：

manage-bde -status

10

停用 Microsoft eDrive 支援

若要從硬碟清除目標 SSD 固態硬碟資料和移除 BitLocker eDrive 支援，請繼續執行下列步驟。

注意：此程序會重設目標 SSD 固態硬碟，而且硬碟上的所有資料均會遺失。

1. 寫下目標 SSD 固態硬碟的 PSID 值。此值會列印在標籤上。

例如：KC2000 PSID 值

2. 將目標 SSD 固態硬碟安裝為次要硬碟並執行 Kingston SSD Manager (KSM)。

3. 選取「Security」(安全性) 索引標籤並執行「TCG Revert」，方法是輸入步驟一中取得的 32 位數

PSID 碼，然後選取「TCG Revert」(TCG 回復)。完成之 後，您就會看到「TCG Revert completed

successfully 」(TCG 回復已順利完成) 訊息。如果未出現該訊息，請重新輸入 PSID 值並重試回復

動作。

11

4. 成功回復硬碟之後，您可以選擇停用 IEEE1667 支援。請選取「IEEE1667 Disable」(IEEE1667

停用) 並等候「IEEE1667 Support Toggle completed successfully」(IEEE166 支援切換已順利完成)

訊息出現。

5. 確認已停用 IEEE1667 支援。

6. 您的目標 SSD 固態硬碟已經可供重複使用。

©2019 Kingston Technology Far East Co. Ltd (Asia Headquarters) No. 1-5, Li-Hsin Rd. 1, Science Park, Hsin Chu, Taiwan, R.O.C. 版權所有，保留所有權利。所有商標及註冊商標係屬於各自所有者之智慧財產權。