微软本周宣布推出硬件加速的BitLocker，取代传统的CPU加速方式，以提升Windows 11设备的运行效率，并降低密钥泄露风险。该功能已于9月随Windows 11 24H2/25H2更新上线，并计划通过新一代CPU/SoC逐步推广至下一代PC。

微软指出，过去BitLocker带来的性能损耗通常仅为个位数百分比，几乎难以察觉，这是因为传统SSD的I/O速度本身较慢。但随着高速非易失性内存Express（NVMe）磁盘的快速普及，BitLocker对系统性能的影响变得更为显著。对于需要高I/O和高数据吞吐量的应用场景，如处理大型视频文件的专业用户、编译大型代码库的开发者，或对延迟极为敏感的游戏玩家而言，在兼顾数据安全与性能时，BitLocker造成的性能下降和CPU占用已变得难以接受。

为在高性能与安全性之间取得平衡，微软在上个月的Ignite大会上推出了硬件加速的BitLocker（Hardware-Accelerated BitLocker）。微软强调，这一新版BitLocker并非简单优化，而是引入了全新的架构性功能。

微软表示，新BitLocker包含两项重大改进：一是将加密运算任务从CPU卸载至专用加密引擎，使主CPU资源可专注于核心任务，从而提升整体性能并降低功耗；二是密钥由硬件层保护。若设备的SoC芯片支持，BitLocker将自动切换，将加密密钥交由硬件隔离与封装，避免密钥暴露于CPU或内存中，有效降低旁路攻击和内存漏洞导致密钥泄露的风险。微软称，这是在TPM（可信平台模块）防护机制之外新增的一层安全防护。

Windows 11 24H2的9月更新及Windows 11 25H2均已内置新版BitLocker。

新版BitLocker也将随未来搭载新型SoC和CPU的Windows设备陆续推出。首批支持的CPU/SoC包括Intel Core Ultra Series 3（代号Panther Lake），微软计划后续持续扩展对其他厂商和平台的支持。

Windows PC支持自动加密、手动启用、策略驱动或脚本启动等多种BitLocker部署方式。若设备搭载NVMe磁盘且SoC芯片支持硬件加速，Windows将默认启用新的硬件加速BitLocker与TS-AES-256加密算法。

但若企业策略指定了不支持的加密算法、密钥长度，或启用了特定组策略，系统将回退至传统的软件型BitLocker。

配合NVMe磁盘的普及，微软近日宣布Windows Server 2025将原生支持NVMe，预计可使NVMe I/O性能最高提升80%。