如何启用硬件加速的 BitLocker，让 SSD 读写不再掉速

长久以来，我们在考虑要不要启用 Windows 11 上的 BitLocker 加密时，一直都面临着数据安全与系统性能之间的「两难抉择」。

• 过去，BitLocker 的性能损耗通常能控制在「个位数」百分比。但面对如今速度狂飙的 NVMe SSD 大时代，事情正在起变化 😏。

• 现代 NVMe 硬盘的 I/O 吞吐量极高，从而导致 BitLocker 的加/解密操作需要占用大量 CPU 周期。这就造成了一个尴尬的局面——硬盘越快，CPU 负担反而越重。

尤其是在玩游戏、视频剪辑等高负载场景下，开启 BitLocker 不仅会极大拖慢系统的整体响应速度，还会造成 CPU 占用率飙升，变成了实实在在的性能瓶颈。

什么是硬件加速的 BitLocker

为了打破这一僵局，微软推出了「硬件加速的 BitLocker」（Hardware-accelerated BitLocker），目标是在不牺牲安全性的前提下，彻底释放出 NVMe 硬盘的性能潜力。

核心进化：把加密任务丢给 SoC

从 Windows 11 24H2（Build 26100.6584）和 Windows 11 25H2 版本开始，BitLocker 将利用新一代 SoC 与 CPU 的能力，引入 2 大关键技术革新：

1. 加密任务卸载（Crypto offloading）

BitLocker 不再让「主 CPU」承担繁重的「批量数据加密」运算，而是「甩锅」给 SoC 上专用的加密引擎。这不仅解除了 I/O 瓶颈，释放出 CPU 资源用于其他任务，还能显著提升笔记本设备的电池续航。

2.硬件级密钥保护（Hardware protected keys）

在支持该特性的 SoC 上，BitLocker 的「批量加密密钥」会被硬件封装。相比以往只依靠 TPM 保护中间密钥的方式，新方案进一步减少了密钥在 CPU 和内存中的暴露风险，从物理层面上阻断了多种「侧信道攻击」的可能。

Bitlocker 硬件加速工作原理

上图展示了传统软件模式与硬件加速模式的数据流向差异（虚线代表未加密数据，实线代表加密数据）：

• 软件 BitLocker：所有读取和写入的加密运算都在「主 CPU」上完成，然后再发送给硬盘。
• 硬件加速的 BitLocker：所有加密运算在「SoC 专用引擎」上完成，主 CPU 只负责调度指挥，密钥也由 SoC 硬件直接保护。

性能实测：CPU 占用暴降 70%

根据微软内部测试，硬件加速的 BitLocker 表现相当亮眼：

• 存储性能：在顺序读写和随机读写等关键指标上，开启硬件加速后的表现几乎可以媲美未加密（裸奔）状态的 NVMe 硬盘。
• 能效飞跃：相比传统软件加密，硬件加速模式平均节省了约 70% 的 CPU 周期。这意味着，在高强度办公或娱乐时，风扇噪音更小，电池续航也更持久。

如何启用 BitLocker 硬件加速

前提条件

• 硬件要求：首批支持该功能的设备包括搭载了 Intel Core Ultra Series 3（代号 Panther Lake）处理器的 Intel vPro 设备。
• 系统要求：Windows 11 24H2 Build 26100.6584 及更高版本。

启用和验证方法

微软计划在 2026 年春季的「Windows 更新」中调整 BitLocker 策略逻辑——只要硬件和驱动就位，系统将默认使用 XTS-AES-256 算法来启用 BitLocker 硬件加速：

• 如果加密策略设定为 AES-XTS-128，系统会自动升级到 AES-XTS-256 以匹配「硬件加速」标准。
• 如果策略强制使用 AES-CBC 模式（无论是 128 位还是 256 位），则无法享受硬件加速的性能优势。

当然，如果你的硬件和系统版本已经满足基本条件，也可通过以下命令手动切换到 AES-XTS-256 加密，提前开启硬件加速：

1右键点击「开始」菜单，选择「终端管理员」，以管理员身份打开「Windows 终端」。

2（可选）如果分区已加密，需要先解密整个分区：

manage-bde -off D:

3解密完成后，使用 XTS-AES 256 算法重新加密已使用空间：

manage-bde -on D: -s -used -em xts_aes256

4执行以下命令，查看「Encryption Method」（加密方式）一栏。

如果你看到「Hardware accelerated」字样，就表示你的 BitLocker 已经由 SoC 硬件接管加速了。