將受BitLocker保護(hù)的Windows 10設(shè)備升級(jí)到新的Windows 10功能更新版本時(shí)（例如，從Windows 10版本1703升級(jí)到Windows 10版本1803），升級(jí)過(guò)程中會(huì)暫停BitLocker。

暫停并不意味著整個(gè)驅(qū)動(dòng)器在該過(guò)程中被解密; 相反，它使得加密密鑰“明確”可用，以便數(shù)據(jù)“可供所有人”使用。

寫(xiě)入磁盤(pán)的數(shù)據(jù)仍然是加密的。 設(shè)備上暫停的BitLocker保護(hù)在啟動(dòng)期間不會(huì)運(yùn)行驗(yàn)證檢查。 例如，在升級(jí)到Windows的新版本或升級(jí)設(shè)備固件之前，管理員可以使用過(guò)去的掛起B(yǎng)itLocker Powershell腳本暫停BitLocker保護(hù)。

安全研究人員在升級(jí)訪問(wèn)BitLocker加密數(shù)據(jù)期間發(fā)現(xiàn)了旁路選項(xiàng)。

Windows 10專(zhuān)業(yè)版升級(jí)過(guò)程中控制Bitlocker

在功能升級(jí)到新版本時(shí)，Windows會(huì)自動(dòng)暫停BitLocker加密。

Microsoft在Windows 10版本1803中添加了新的命令行選項(xiàng)，以在升級(jí)過(guò)程中控制BitLocker的行為：

--Setup.exe / BitLocker AlwaysSuspend - 在升級(jí)過(guò)程中始終掛起B(yǎng)itLocker。

--Setup.exe / BitLocker TryKeepActive - 在不掛起bitlocker的情況下啟用升級(jí)，但如果升級(jí)不起作用，則掛起bitlocker并完成升級(jí)。

--Setup.exe / BitLocker ForceKeepActive - 在不掛起bitlocker的情況下啟用升級(jí)，但如果升級(jí)不起作用，則升級(jí)失敗。

新的安裝選項(xiàng)適用于Windows 10版本1803及更高版本，并且僅適用于運(yùn)行Windows 10 Professional或Enterprise的設(shè)備。其他要求是需要啟用安全啟動(dòng)，并且TPM可用，并且僅使用TPM保護(hù)器。

Michael Niehaus報(bào)告說(shuō)，您可以在升級(jí)到版本1803的Windows 10版本1709機(jī)器上使用這些命令。

零售設(shè)備上的默認(rèn)升級(jí)選項(xiàng)設(shè)置為/ BitLocker AlwaysSuspend。這不會(huì)改變過(guò)去的行為，因?yàn)槿绻惶峁┢渌钚袇?shù)，則在升級(jí)過(guò)程中將會(huì)暫停BitLocker。

您可以使用/ BitLocker TryKeepActive在升級(jí)過(guò)程中嘗試保持BitLocker的啟用。 Windows 10會(huì)嘗試保持啟用狀態(tài)，但如果不起作用，則會(huì)暫停BitLocker以處理升級(jí)。

另一方面，開(kāi)關(guān)/ BitLocker ForceKeepActive在升級(jí)過(guò)程中實(shí)施BitLocker加密。如果由于啟用BitLocker而發(fā)生錯(cuò)誤，升級(jí)將失敗。

Microsoft在Windows 10內(nèi)部人員版本中將默認(rèn)命令切換到/ BitLocker TryKeepActive。微軟很可能會(huì)在未來(lái)將零售版本轉(zhuǎn)換為參數(shù)。