许多消费者SSD声称支持加密，BitLocker对此深信不疑。但是，正如我们去年了解到的那样，这些驱动器往往没有安全地加密文件。微软刚刚改变了Windows10，不再信任那些粗略的固态硬盘，而默认使用软件加密。

总而言之，固态硬盘和其他硬盘可以宣称是“自加密的”。如果是这样，即使您手动启用了BitLocker，BitLocker也不会执行任何加密。从理论上讲，这很好：驱动器可以在固件级别自行执行加密，加快了加密过程，降低了CPU使用率，还可能节省一些电量。在现实中，情况很糟糕：许多驱动器的主密码都是空的，还有其他可怕的安全故障。我们了解到消费者固态硬盘不能被信任来实施加密。

现在，微软已经改变了一些事情。默认情况下，BitLocker将忽略声称是自加密的驱动器，并在软件中执行加密工作。即使你有一个声称支持加密的驱动器，BitLocker也不会相信。

这一变化出现在2019年9月24日发布的Windows 10的KB4516071更新中。这是SwiftOnSecurity在推特上发现的：

安装了BitLocker的现有系统不会自动迁移，如果它们最初是这样设置的，将继续使用硬件加密。如果您的系统上已经启用了BitLocker加密，则必须解密驱动器，然后再次加密，以确保BitLocker使用的是软件加密而不是硬件加密。此Microsoft安全公告包含一个命令，您可以使用该命令检查您的系统使用的是基于硬件的加密还是基于软件的加密。

正如SwiftOnSecurity指出的那样，现代CPU可以在软件中执行这些操作，当BitLocker切换到基于软件的加密时，您应该不会看到明显的速度减慢。

如果您愿意，BitLocker仍然可以信任硬件加密。默认情况下，该选项处于禁用状态。对于具有他们信任的固件的驱动器的企业，组策略中计算机配置\管理模板\Windows组件\BitLocker驱动器加密\固定数据驱动器下的“为固定数据驱动器配置基于硬件的加密”选项将允许他们重新激活基于硬件的加密的使用。其他人都不应该管它。

很遗憾，微软和我们其他人不能信任磁盘制造商。但这是有道理的：当然，你的笔记本电脑可能是由戴尔、惠普甚至微软自己制造的。但你知道那台笔记本电脑里装的是什么驱动器吗？是谁制造的？您是否相信该驱动器的制造商会安全地处理加密，并在出现问题时发布更新？据我们所知，你可能不应该这么做。现在，Windows也不会这么做了。

相关：您不能信任BitLocker在Windows 10上加密SSD