许多消费类SSD声称支持加密，BitLocker相信它们。但是，正如我们去年了解到的那样，这些驱动器通常不能安全地加密文件。微软刚刚修改了windows10，不再信任那些粗略的ssd，而是默认使用软件加密。

总而言之，固态驱动器和其他硬盘可以声称是“自加密”的。如果是这样，BitLocker将不会执行任何加密，即使您手动启用了BitLocker。从理论上讲，这是好的：驱动器可以在固件级别执行加密本身，加快进程，减少CPU使用，并可能节省一些电源。事实上，这很糟糕：许多驱动器都有空的主密码和其他可怕的安全故障。我们了解到消费者SSD不能被信任来实现加密。

现在，微软改变了一切。默认情况下，BitLocker将忽略声称是自加密的驱动器，并在软件中执行加密工作。即使你有一个声称支持加密的驱动器，BitLocker也不会相信。

这一变化出现在Windows10于2019年9月24日发布的KB4516071更新中。这是由迅捷安全公司在Twitter上发现的：

Microsoft gives up on SSD manufacturers: Windows will no longer trust drives that say they can encrypt themselves, BitLocker will default to CPU-accelerated AES encryption instead. This is after an exposé on broad issues with firmware-powered encryption.https://t.co/6B357jzv46 pic.twitter.com/fP7F9BGzdD

— SwiftOnSecurity (@SwiftOnSecurity) September 27, 2019

带有BitLocker的现有系统不会自动迁移，如果它们最初是以这种方式设置的，则将继续使用硬件加密。如果系统上已启用BitLocker加密，则必须解密驱动器，然后再次加密，以确保BitLocker使用的是软件加密而不是硬件加密。此Microsoft安全公告包含一个命令，可用于检查系统是否使用基于硬件或软件的加密。

正如SwiftOnSecurity所指出的，现代cpu可以处理在软件中执行这些操作，并且当BitLocker切换到基于软件的加密时，您不应该看到明显的速度减慢。

如果您愿意，BitLocker仍然可以信任硬件加密。默认情况下，该选项处于禁用状态。对于拥有其信任的固件驱动器的企业，组策略中“计算机配置\管理模板\Windows组件\BitLocker驱动器加密\固定数据驱动器”下的“为固定数据驱动器配置基于硬件的加密的使用”选项将允许其重新激活基于硬件的加密的使用。其他人都不要管它。

很遗憾，微软和我们其他人不能信任磁盘**商。但这是有道理的：当然，你的笔记本电脑可能是由戴尔，惠普，甚至微软自己。但你知道那台笔记本电脑里有什么驱动器，是谁**的吗？您是否信任该驱动器的**商安全地处理加密并在出现问题时发布更新？我们已经了解到，你可能不应该。现在，Windows也不会。

相关：你不能信任BitLocker在Windows10上加密你的SSD