硬件加速的BitLocker

启用 BitLocker 加密时，NVMe 硬盘的 I/O 吞吐量极高，从而导致 BitLocker 的加/解密操作需要占用大量 CPU 周期。这就造成了一个尴尬的局面——硬盘越快，CPU 负担反而越重。

尤其是在玩游戏、视频剪辑等高负载场景下，开启 BitLocker 不仅会极大拖慢系统的整体响应速度，还会造成 CPU 占用率飙升，变成了实实在在的性能瓶颈。

硬件加速的 BitLocker

微软推出了「硬件加速的 BitLocker」（Hardware-accelerated BitLocker），目标是在不牺牲安全性的前提下，彻底释放出 NVMe 硬盘的性能潜力。

从 Windows 11 24H2（Build 26100.6584）和 Windows 11 25H2 版本开始，BitLocker 将利用新一代 SoC 与 CPU 的能力，引入 2 大关键技术革新：

一、加密任务卸载（Crypto offloading）

BitLocker 不再让「主 CPU」承担繁重的「批量数据加密」运算，而是「甩锅」给 SoC 上专用的加密引擎。这不仅解除了 I/O 瓶颈，释放出 CPU 资源用于其他任务，还能显著提升笔记本设备的电池续航。

二、硬件级密钥保护（Hardware protected keys）

在支持该特性的 SoC 上，BitLocker 的「批量加密密钥」会被硬件封装。相比以往只依靠 TPM 保护中间密钥的方式，新方案进一步减少了密钥在 CPU 和内存中的暴露风险，从物理层面上阻断了多种「侧信道攻击」的可能。

硬件加速的 BitLocker：所有加密运算在「SoC 专用引擎」上完成，主 CPU 只负责调度指挥，密钥也由 SoC 硬件直接保护。

根据微软内部测试，硬件加速的 BitLocker 表现相当亮眼：

存储性能：在顺序读写和随机读写等关键指标上，开启硬件加速后的表现几乎可以媲美未加密（裸奔）状态的 NVMe 硬盘。

能效飞跃：相比传统软件加密，硬件加速模式平均节省了约 70% 的 CPU 周期。这意味着，在高强度办公或娱乐时，风扇噪音更小，电池续航也更持久。

如何启用 BitLocker 硬件加速

硬件要求：首批支持该功能的设备包括搭载了 Intel Core Ultra Series 3（代号 Panther Lake）处理器的 Intel vPro 设备。

系统要求：Windows 11 24H2 Build 26100.6584 及更高版本。

一、右键点击「开始」菜单，选择「终端管理员」，以管理员身份打开「Windows 终端」。

二、（可选）如果分区已加密，需要先解密整个分区：

manage-bde -off D:

三、解密完成后，使用 XTS-AES 256 算法重新加密已使用空间：

manage-bde -on D: -s -used -em xts_aes256

四、执行以下命令，查看「Encryption Method」（加密方式）一栏。

manage-bde -status D:

可看到“Encryption Method：XTS-AES 256（Hardware accelerated）”，就表示 BitLocker 已经由 SoC 硬件接管加速了。

BitLocker硬件加速