bitlocker
驅動器加密軟體
WindowsBitLocker驅動器加密通過加密Windows操作系統卷上存儲的所有數據可以更好地保護計算機中的數據。BitLocker還可以在沒有TPM的情況下使用。若要在計算機上使用BitLocker而不使用TPM,則必須通過使用組策略更改BitLocker安裝嚮導的默認行為,或通過使用腳本配置BitLocker。使用BitLocker而不使用TPM時,所需加密密鑰存儲在USB快閃記憶體驅動器中,必須提供該驅動器才能解鎖存儲在卷上的數據。
BitLocker驅動器加密它是在WindowsVista中新增的一種數據保護功能,主要用於解決一個人們越來越關心的問題:由計算機設備的物理丟失導致的數據失竊或惡意泄漏。在新一代操作系統windows7中也能使用此加密驅動。隨同WindowsServer2008一同發布的有BitLocker實用程序,該程序能夠通過加密邏輯驅動器來保護重要數據,還提供了系統啟動完整性檢查功能。
BitLocker使用TPM幫助保護Windows操作系統和用戶數據,並幫助確保計算機即使在無人參與、丟失或被盜的情況下也不會被篡改。
受信任的平台模塊(TPM)是一個內置在計算機中的微晶元。它用於存儲加密信息,如加密密鑰。存儲在TPM上的信息會更安全,避免受到外部軟體攻擊和物理盜竊。BitLocker可加密存儲於Windows操作系統卷上的所有數據,默認情況下,使用TPM以確保早期啟動組件的完整性(組件用於啟動進程的更早時期),以及“鎖定”任何BitLocker保護卷,使之在即便計算機受到篡改也得到保護。
但是BitLocker有一項不足,打開加密盤后,再次進入就不需要密碼了,那麼如何才能使每次訪問加密盤都要密碼呢?這恐怕是微軟後續改進的問題了,但是目前,我們可以在開始任務欄里輸入“cmd”,然後以管理員身份運行,輸入manage-bde(空格)-lock(空格)X:,x為加密磁碟盤符。這樣就可以再次鎖住加密盤了。
通過加密整個Windows操作系統卷保護數據。
如果計算機安裝了兼容TPM,BitLocker將使用TPM鎖定保護數據的加密密鑰。因此,在TPM已驗證計算機的狀態之後,才能訪問這些密鑰。加密整個卷可以保護所有數據,包括操作系統本身、Windows註冊表、臨時文件以及休眠文件。因為解密數據所需的密鑰保持由TPM鎖定,因此攻擊者無法通過只是取出硬碟並將其安裝在另一台計算機上來讀取數據。
在啟動過程中,TPM將釋放密鑰,該密鑰僅在將重要操作系統配置值的一個哈希值與一個先前所拍攝的快照進行比較之後解鎖加密分區。這將驗證Windows啟動過程的完整性。如果TPM檢測到Windows安裝已被篡改,則不會釋放密鑰。
默認情況下,BitLocker安裝嚮導配置為與TPM無縫使用。管理員可以使用組策略或腳本啟用其他功能和選項。
為了增強安全性,可以將TPM與用戶輸入的PIN或存儲在USB快閃記憶體驅動器上的啟動密鑰組合使用。
在不帶有兼容TPM的計算機上,BitLocker可以提供加密,而不提供使用TPM鎖定密鑰的其他安全。在這種情況下,用戶需要創建一個存儲在USB快閃記憶體驅動器上的啟動密鑰。
TPM是一個微晶元,設計用於提供基本安全性相關功能,主要涉及加密密鑰。TPM通常安裝在台式計算機或者攜帶型計算機的主板上,通過硬體匯流排與系統其餘部分通信。
合併了TPM的計算機能夠創建加密密鑰並對其進行加密,以便只可以由TPM解密。此過程通常稱作“覆蓋”或“綁定”密鑰,可以幫助避免泄露密鑰。每個TPM有一個主覆蓋密鑰,稱為“存儲根密鑰(SRK)”,它存儲在TPM的內部。在TPM中創建的密鑰的隱私部分從不暴露給其他組件、軟體、進程或者人員。
合併了TPM的計算機還可以創建一個密鑰,該密鑰不僅被覆蓋,而且還被連接到特定硬體或軟體條件。這稱為“密封”密鑰。首次創建密封密鑰時,TPM將記錄配置值和文件哈希的快照。僅在這些當前系統值與快照中的值相匹配時才“解封”或釋放密封密鑰。BitLocker使用密封密鑰檢測對Windows操作系統完整性的攻擊。
使用TPM,密鑰對的隱私部分在操作系統控制的內存之外單獨保存。因為TPM使用自身的內部固件和邏輯電路來處理指令,所以它不依賴於操作系統,也不會受外部軟體漏洞的影響。
首先需要強調的是,並不是所有的WindowsVista(orWindows7)版本都支持BitLocker驅動器加密,相應的功能只有WindowsVista的Enterprise版和Ultimate版才能夠實現。其目標即是讓WindowsVista(orWindows7)用戶擺脫因PC硬體丟失、被盜或不當的淘汰處理而導致由數據失竊或泄漏構成的威脅,
BitLocker保護的WindowsVista計算機的日常使用對用戶來說是完全透明的。在具體實現方面,BitLocker主要通過兩個主要子功能,完整的驅動器加密和對早期引導組件的完整性檢查,及二者的結合來增強數據保護。其中:
驅動器加密能夠有效地防止未經授權的用戶破壞WindowsVista(orWindows7)文件以及系統對已丟失或被盜計算機的防護,通過加密整個Windows捲來實現。利用BitLocker,所有用戶和系統文件都可加密,包括交換和休眠文件。
對早期引導組件進行完整性檢查有助於確保只有在這些組件看起來未受干擾時才執行數據解密,還可確保加密的驅動器位於原始計算機中。通過BitLocker,還可選擇鎖定正常的引導過程,直至用戶提供PIN(類似於ATM卡PIN)或插入含有密鑰資料的USB快閃記憶體驅動器為止。這些附加的安全措施可實現多因素驗證,並確保在提供正確的PIN或USB快閃記憶體驅動器之前計算機不會從休眠狀態中啟動或恢復。
BitLocker緊密集成於WindowsVista(orWindows7)中,為企業提供了無縫、安全和易於管理的數據保護解決方案。例如,BitLocker可選擇利用企業現有的ActiveDirectory域服務基礎結構來遠程委託恢復密鑰。BitLocker還具備一個與早期引導組件相集成的災難恢復控制台,以供用於“實地”數據檢索。
BitLocker主要有兩種工作模式:TPM模式和U盤模式,為了實現更高程度的安全,我們還可以同時啟用這兩種模式。
要使用TPM模式,要求計算機中必須具備不低於1.2版TPM晶元,這種晶元是通過硬體提供的,一般只出現在對安全性要求較高的商用電腦或工作站上,家用電腦或普通的商用電腦通常不會提供。
要想知道電腦是否有TPM晶元,可以運行“devmgmt.msc”打開設備管理器,然後看看設備管理器中是否存在一個叫做“安全設備”的節點,該節點下是否有“受信任的平台模塊”這類的設備,並確定其版本即可。
如果要使用U盤模式,則需要電腦上有USB介面,計算機的BIOS支持在開機的時候訪問USB設備(能夠流暢運行WindowsVista(orWindows7)的計算機基本上都應該具備這樣的功能),並且需要有一個專用的U盤(U盤只是用於保存密鑰文件,容量不用太大,但是質量一定要好)。使用U盤模式后,用於解密系統盤的密鑰文件會被保存在U盤上,每次重啟動系統的時候必須在開機之前將U盤連接到計算機上。
受信任的平台模塊是實現TPM模式BitLocker的前提條件。
對硬碟分區的要求
硬體滿足上述要求后,還要確保硬碟分區的安排可以滿足要求。通常情況下,我們可能習慣這樣給硬碟分區:首先,在第一塊硬碟上劃分一個活動主分區,用於安裝Windows,這個分區是系統盤;其次,對於剩下的空間繼續劃分更多主分區,或者創建一個擴展分區,然後在上面創建邏輯驅動器。簡單來說,我們已經習慣於讓第一塊硬碟的第一個分區成為系統盤,並在上面安裝Windows。
傳統方式下的硬碟分區情況。
在一台安裝WindowsVista(orWindows7)的計算機上運行“diskmgmt.msc”后即可看到硬碟分區情況。
這裡重點需要關注的是,硬碟上是否有超過一個的活動分區。如果該磁碟上有兩個分區,對應的盤符分別是“C”和“D”,其中“C”就是第一塊硬碟上的第一個分區,屬於系統盤而且是活動的。但問題在於,如果除了系統盤外,硬碟上不存在其他活動分區,這種情況下是無法直接啟用BitLocker的(無論是TPM模式還是U盤模式)。原因很簡單,源於其工作原理,BitLocker功能實際上就是將操作系統或者機密數據所在的硬碟分區進行加密,在啟動系統的時候,我們必須提供解密的密鑰,來解密原本被加密的文件,這樣才能啟動操作系統或者讀取機密文件。但這就有一個問題,用於解密的密鑰可以保存在TPM晶元或者U盤中,但是解密程序應該放在哪裡?難道就放在系統盤嗎?可是系統盤已經被加密了,這就導致了一種很矛盾的狀態:因為用於解密的程序被加密了,因此無法運行,導致無法解密文件。
所以如果要順利使用BitLocker功能,硬碟上必須至少有兩個活動分區,除了系統盤外,額外的活動分區必須保持未加密狀態(且必須是NTFS文件系統),同時可用空間不能少於1.5GB。為了保證可靠性,這個專門的活動分區最好專用,不要在上面保存其他文件或者安裝額外的操作系統。
遺憾的是,一般情況下,很少有人會在自己的硬碟上創建多個活動分區。那麼我們又該怎樣設置硬碟,以滿足BitLocker的要求?如果是在安裝WindowsVista(orWindows7)之前看到了這段內容,並且打算安裝好之後使用BitLocker功能,那麼我們可以在安裝的時候直接將分區準備好。
如果是在安裝了WindowsVista(orWindows7),並且在打算使用BitLocker的時候才看到這段內容,而硬碟分區已經按照傳統的方式劃分好了,那麼也不用擔心。通過一些方法,我們可以在不破壞現有系統以及所有數據的前提下為BitLocker騰出一部分空間來創建另一個分區。
如果還沒有安裝Vista(orWindows7)
如果正打算在一塊新硬碟上安裝WindowsVista(orWindows7)企業版或旗艦版,那麼就可以在安裝的過程中創建出符合BitLocker要求的分區結構。具體的過程如下:
準備好WindowsVista(orWindows7)安裝光碟,並在計算機的BIOS設置中設定通過光碟引導計算機(具體的設置方法請參考計算機或主板的說明書);
打開電源,立刻將WindowsVista(orWindows7)安裝光碟放入計算機。如果設置無誤,那麼計算機會自動從光碟引導,稍等片刻,屏幕上就會出現一個綠色的滾動條,就像WindowsVista(orWindows7)正常啟動時候那樣;
當看到“安裝Windows”對話框之後,選擇要安裝的語言、時間和貨幣格式,以及鍵盤和輸入方法,設置好之後單擊“下一步”按鈕;
單擊窗口左下角的“修復安裝”鏈接;
隨後可以看到“系統恢複選項”對話框,因為這是一塊新硬碟,因此不會列出任何內容,直接單擊“下一步”按鈕;
在接下來看到的“系統恢複選項”對話框中,單擊“命令提示符”鏈接;
通過“命令提示符”創建符合要求的分區
當打開“命令提示行”窗口后,依次運行下面列出的命令(除了第一條和最後兩條命令外,其他所有命令都需要在“diskpart>”提示符下運行,括弧內的文字是對命令的解釋,不用輸入。):
Diskpart(啟動diskpart.exe,這是一個命令行界面下的硬碟分區調整程序。)
SelectDisk0(將第一塊硬碟選中,作為後續操作的目標盤。如果有多塊硬碟,並且希望將WindowsVista(orWindows7)安裝到其他硬碟上,請更改數字“0”為目標硬碟的編號。如果想知道分別有哪些硬碟,各自的編號是什麼,請首先運行“listdisk”命令。)
Clean(清空所選硬碟上的分區表信息。注意:目標硬碟上如果有數據,將被全部清除。)
CreatePartitionPrimarySize=1500(創建一個體積為1.5GB的主分區,這個分區用於日後保存引導文件。)
AssignLetter=S(將這個1.5GB分區的盤符設置為“S”,或者其他任何想要使用的字母,但不建議使用“C”,畢竟很多人都習慣於將Windows安裝到C盤。)
Active(將這個1.5GB的分區設置為活動分區。)
CreatePartitionPrimary(用所有剩餘空間創建一個主分區,如果希望除了這個主分區外還創建其他分區,請使用“size=xxx”參數指定這個主分區的大小。)
AssignLetter=C(將這個分區的盤符設置為“C”,接下來會將Windows安裝到這個分區,同時最終被BitLocker加密的也是這個分區。)
ListVolume(查看已經分好的區,正常情況下可以看到劃分好的分區界面。)
Exit(退出Diskpart程序。)
FormatC:/Y/Q/FS:NTFS(用NTFS文件系統快速格式化C盤。)
FormatS:/Y/Q/FS:NTFS(用NTFS文件系統快速格式化S盤。)
經過上述設置,我們可以重新啟動計算機,並再次使用WindowsVista(orWindows7)安裝光碟引導系統,完成操作系統的安裝工作。在安裝過程中需要注意,系統必須安裝到C盤,而不能安裝到S盤。
在命令提示行下創建好的分區
如果已經安裝了Vista(orWindows7)
如果已經安裝好了WindowsVista(orWindows7)旗艦版或企業版,並在打算啟用BitLocker的時候才發現系統被安裝到磁碟0分區1上,也不用擔心。只要分區0可用空間足夠,我們完全可以將其中一部分空間拆借出來,創建一個新的磁碟0分區1。
雖然有很多第三方軟體可以做到這一點,不過往往需要付費購買,而且因為在系統盤的前面添加了一個新的分區,導致盤符變化,可能會使得Windows無法正常啟動,因此不建議使用這類第三方軟體。
安裝了BitLocker和EFS增強工具后,請這樣操作:
從“開始”菜單下的“所有程序”“附件”“系統工具”“BitLocker”路徑下啟動“BitLocker驅動器準備工具”,在授權協議頁面上單擊“我接受”,隨後該軟體將自動檢查本機的配置情況。
閱讀屏幕上顯示的注意事項,按照提示照做后單擊“繼續”按鈕。
隨後程序會自動調整硬碟分區,整個過程分為三個步驟:縮小(壓縮)現有的系統盤;利用壓縮獲得的可用空間創建一個用於保存引導文件的新分區;然後根據BitLocker的要求調整新分區的設置。
這個過程大概需要三分鐘左右,完成後單擊“完成”按鈕,系統會自動重啟動。這時準備工作已經全部完成。通過上述操作,在本機會出現一個盤符為“S”,可用空間為1.5GB的新分區,引導文件和啟動過程中的臨時文件會保存在這裡。
另外,在使用BitLocker和EFS增強工具調整硬碟分區的時候,還必須保證之前的系統盤在減少1.5GB的可用空間后保留的可用空間不小於分區總容量的10%。
默認情況下,Vista中只能使用TPM模式的BitLocker,因此要使用U盤模式,我們必須配置組策略將其啟用。好在支持BitLocker功能的WindowsVista版本都是具有組策略的。具體做法如下:
運行“gpedit.msc”打開組策略編輯器,從編輯器窗口左側的控制台樹形圖中定位到“計算機配置”“管理模板”“Windows組件”“BitLocker驅動器加密”。
在右側的控制台窗口中找到並雙擊打開“控制面板設置:啟用高級啟動選項”這個策略,選擇“已啟用”。
單擊“確定”保存設置,這樣我們已經在本機啟用了U盤模式的BitLocker。
啟用BitLocker
在安裝SP1之後的Vista企業版和旗艦版中,我們可以使用三種模式的BitLocker:
純TPM模式,要求系統中具有TPM晶元,這樣用於解密的密鑰以及用於驗證引導文件完整性的相關文件都會保存在TPM晶元中。
純U盤模式,要求系統符合上文中提到的和USB設備有關的條件,這樣用於解密的密鑰會被保存在U盤中。
混合模式,可以使用TPM+U盤,TPM+PIN,以及TPM+U盤+PIN的形式進一步增強系統安全。
那麼這些模式分別要怎樣使用?讓我們來看看。
純U盤模式
因為目前具有TPM晶元的電腦還不是很多,因此我們首先介紹純U盤模式的使用方法,畢竟這種方式才適合最多人使用。
打開控制面板,依次單擊“安全”“BitLocker驅動器加密”,我們可以看到BitLocker加密驅動器的界面。
這裡已經列出了當前安裝電腦的所有本地硬碟分區,對於想要加密的分區,單擊對應的“啟用BitLocker”鏈接,隨後可以看到設置啟動首選項的界面,在這裡我們需要選擇BitLocker的工作方式。因為沒有TPM晶元,因此只能選擇最後一個選項,這樣以後每次啟動系統的時候都必須提供保存了密鑰的U盤,不過系統啟動后就不再需要了。因此在這裡直接單擊“每一次啟動時要求啟動USB密鑰”選項。
選擇要使用的BitLocker工作模式。
將準備好的U盤連接到計算機,等程序界面上顯示了這個U盤后,單擊將其選中,然後單擊“保存”按鈕,這樣用於解密被BitLocker加密的分區所需的密鑰就會被保存在所選的U盤上。
隨後可以看到保存恢復密碼的界面,在這裡我們需要決定恢復密碼的處理方式。需要注意,在平時的使用過程中,並不需要提供恢復密碼,我們只要提供之前一步操作中指定的U盤即可,而恢復密碼是在U盤不可用(例如,丟失或者損壞)時使用的,因此建議將其妥善處理。例如,如果本機安裝了印表機,可以將恢復密碼列印在紙上,並將這張紙保存在安全的地方。同時因為非常重要,建議同時保留恢復密碼的多個副本,例如多次列印,然後將列印的密碼分別保存在不同的安全位置,或者保存在另外的U盤上(最好不要將恢復密碼和啟動密碼保存在同一個U盤上)。
保管好恢復密碼后單擊“下一步”按鈕,隨後程序會對我們的操作進行一個概述。同時為了進一步確認本機可以正常使用BitLocker功能,請保持選中“運行BitLocker系統檢查”選項,這樣程序會在進行加密之前先對系統中的各項設置進行檢查。如果確認無誤,請單擊“繼續”按鈕(注意:在整個過程中,最先使用的U盤一定不能拔下來,如果需要將恢復密碼保存在其他U盤上,請將第二塊U盤連接到計算機的其他USB介面上)。
接下來需要重新啟動系統,準備好之後單擊“現在重啟動”按鈕。重啟動完成,並成功登錄后,桌面右下角會顯示一個氣泡圖標,提示我們系統正在進行加密,單擊這個氣泡圖標后可以看到顯示加密進度的對話框。在這裡我們可以暫停加密操作,並在稍後繼續進行,但是無法停止或者撤銷加密操作。
加密操作需要一定的時間,主要取決於系統盤的大小以及計算機的硬體速度。不過好在這個操作只需要進行一次。而且在日後的使用過程中,系統的運行速度並不會有太大的降低,因此可以放心使用。加密完成後單擊“完成”按鈕即可。經過上述操作,BitLocker功能已經被成功啟用。但是還有幾點問題需要注意:
應用BitLocker加密后,當WindowsVista啟動后,我們查看系統文件時將不會看到文件帶有任何與“加密”有關的屬性,這屬於正常現象,因為BitLocker的加密是在系統底層,從文件系統上實現的,而在用戶看來,啟動了的系統里的系統文件並沒有被加密。但如果換個角度來看,例如一台計算機上安裝了兩個系統,或者將裝有系統的硬碟拆掉,連接到其他計算機上,在試圖訪問應用了BitLocker的系統所在的分區時,我們會收到拒絕訪問的信息,而且拒絕的原因是目標分區沒有被格式化。這都屬於正常現象,而且也證明了BitLocker正在保護我們操作系統的安全(設想一下,連訪問分區都無法實現,又如何進行離線攻擊?)。
另外,保存了啟動密鑰的U盤,直接在Windows資源管理器下查看的時候,完全看不到其中保存的密鑰文件。這也是為了安全。同時建議這個U盤只用於保存BitLocker的啟動密鑰,而不要用作其他用途。這主要是為了盡量避免U盤因為各種原因,例如病毒感染或者頻繁寫入損壞而造成系統無法訪問。而且需要注意,密鑰盤只是在啟動系統的時候需要,只要系統啟動完成,我們就可以將其拔出,並妥善保管起來。操作系統的正常運行過程中並不需要我們反覆提供密鑰盤。
最後一點,在加密過程中,系統盤的可用磁碟空間將會急劇減少。這屬於正常情況,因為這個過程中會產生大量臨時文件。加密完成後這些文件會被自動刪除,同時可用空間數量會恢復正常。在解密被加密的系統盤時也會遇到類似的情況。
在應用了U盤模式的BitLocker后,每次啟動系統前都必須將保存了啟動密鑰的U盤連接到計算機,否則系統會提示需要BitLocker驅動器加密密鑰。這就要求我們必須將保存了啟動密鑰的U盤連接到計算機后重啟動,才能完成Windows的啟動和載入過程。如果因為某些原因,例如保存了啟動密鑰的U盤損壞或者丟失,只要還保留有啟用BitLocker時創建的恢復密碼,那麼可以在這個界面上按下回車鍵進行恢復。
BitLocker支持“受信平台模塊(TPM:TrustedPlatformModule)”1.2及其後版本,可實現基於硬體的全盤加密,以增強數據保護,並確保運行WindowsVista的PC在系統離線時不被瀏覽與修改;BitLocker使用128或256位的AES加密演演算法。(甚至有傳言BitLocker將使用1024位加密,是否屬實有待考證);BitLocker可通過組策略設置;在系統中採用BitLocker驅動器加密對系統性能的影響很小,這是一個好消息;BitLocker密鑰可存儲在磁碟、USB盤,甚至可以列印出來。也可通過組策略自動生成並保存於ActiveDirectory中;
進入控制面板\系統和安全\BitLocker驅動器加密,選擇你被加密的盤符,點旁邊的“解除BitLocker”,就行了。
因為XP系統沒有集成BitLocker,所以是通過內置在加密磁碟中的BitLockerToGo程序來瀏覽文件而不是Windows的資源管理器。經BitLocker加密的U盤在xp系統中只能讀不能寫.
使用BitLocker保護WindowsToGo驅動器
如果WindowsToGo設備丟失或被盜,敏感數據和網路資源可能處於危險之中。幸運的是,可以通過BitLocker保護WindowsToGo驅動器。BitLocker是Windows7和Windows8內置的全盤加密功能。BitLocker使用進階加密標準演演算法保護128位或256位加密卷。
通常情況下,BitLocker依賴可信平台模塊標準認證來引導路徑和保護加密密鑰。因為這種方法是不支持WindowsToGo驅動器,BitLocker使用用戶定義的密碼來加密和解密磁碟。用戶必須提供驅動器的解鎖密碼並引導到WindowsToGo工作區。只要密碼本身是安全的,未經授權的用戶通常不能訪問受保護的數據或安全的網路資源。
如果計劃部署WindowsToGo驅動器,提供這些支持的設備應該啟用BitLocker。但是這並不總是可行的。舉個例子,如果提供多個驅動器,可能想使用USB驅動器複印器來簡化這個過程,不幸的是,BitLocker驅動器不能進行複製。這意味著你必須首先提供驅動器,然後為其配置Windows8特性。
如果正在使用許多驅動器——使用複印器時可能出現的情況,可能想要通過BitLocker將數據給你的用戶。這個過程本身是很容易的。桌面版本為Windows8和Windows8.1的用戶可以簡單地遵循BitLocker安裝嚮導中的步驟。
更大的技巧是確保用戶真正實現了BitLocker。因為沒有辦法確認WindowsToGo是否已經被保護,只有你可以確保你的用戶妥善保護了自己的密碼。
1、保存好恢復文件
根據提示,一步一步進行加密設置,一般來說選擇使用密碼加密即可,但是特別需要注重的是需要把恢復密碼保存到非加密的分區文件中,而且不能保存在根目錄下。而且一定要記住保存位置,牢記密碼。
2、加密后的U盤怎樣才能在XP下使用
U盤只要是FAT32格式就能在xp系統中使用,如果不是FAT32格式在xp系統中只會提示你U盤沒有格式化而如果你格式化了將丟失所有數據。
3、加密速度偏慢
該軟體的加密速度並不快,根據文件的大小不同加密的時間不同,一般來說4G的文件加密速度需要10幾分鐘。
4、BitLocker加密功能的開啟
正常下的windows7系統,右擊盤符就可啟用BitLocker,如果右鍵菜單中沒有的話,可能是關閉這個服務了,需要我們去開啟。方法是開啟系統服務中的“ShellHWDetection”和“BDESVC”服務就可以了。