Administrator Guide

管理服務

若要檢視和管理安裝在精簡型用戶端裝置上的服務，請使用服務視窗。若要開啟服務視窗，請前往開始 > 控制台 > 系統管理工具服

務。

1. 在元件服務主控台，從主控台樹狀目錄按一下服務圖示。

服務清單隨即顯示。

2. 以滑鼠右鍵按一下您所選擇的服務。您可以執行「啟動」、「停止」、「暫停」、「繼續」和「重新啟動」作業。

您可以在下拉式清單中選取啟動類型：

• 自動 (延遲啟動)

• 自動

• 手動

• 已停用

如需更多資訊，請參閱《元件服務管理》，網址：https://support.microsoft.com。

註: 管理這些服務時，請務必停用 Write Filter。

使用 TPM 與 BitLocker

信賴平台模組 (TPM) — TPM 是一種微晶片，可提供基本的安全性相關功能，主要與加密金鑰有關。

BitLocker 磁碟機加密 (BDE) — BDE 是一種全機加密功能，可為整個磁碟區提供加密來保護資料。依預設，此功能會使用搭配 128 位

元金鑰之加密塊鏈結 (CBC) 模式的 AES 加密演算法。這個演算法結合了 Elephant 擴散器，以提供額外的磁碟加密專屬安全性。

Windows 10 IoT 企業版不支援在 BitLocker 加密裝置上執行 Sysprep。由於這項限制，您無法加密裝置、執行 Sysprep 以及提取映

像。若要克服此問題，您必須新增或修改 TPM 指令碼。裝置在 Sysprep (提取) 前不得加密。裝置加密是由推送後執行的指令碼處

理，該指令碼會使用 C:\Windows\setup\tools\ 中的 TPM_enable.ps1 指令碼。在啟用 UWF 前和執行 Sysprep 指令碼後，都

必須納入這個推送後執行的指令碼。用於加密用戶端的 PIN 必須作為引數傳遞到指令碼。

使用 TPM 和 BitLocker 來加密快閃記憶體

事前準備作業

如果快閃記憶體先前已加密，則執行下列步驟來清除 TPM：

1. 進入 BIOS 模式。

2. 在 TPM 組態中，將變更 TPM 狀態設為清除，然後套用設定。

3. 讓裝置重新開機，並再次進入 BIOS 模式。

4. 將變更 TPM 狀態設為啟用並啟動。

若要使用 TPM 和 BitLocker 來加密快閃記憶體，請執行下列步驟：

1. 從 BIOS 功能表啟用 TPM。

2. 根據映像解決方案修改 TPM 相關的指令碼。

3. 在 C:\Windows\Setup\CustomSysprep\Modules\Post_CustomSysprep.psm1 中，取消以下行的註解，並更新 Custom

FICore 映像方法的 TPM 加密 PIN

• #cd C:\windows\setup\Tools\TPM\

• #.\TPM_enable.ps1 -pin 1234

4. 在 C:\Windows\Setup\ConfigMgrSysprep\Modules\Admin_ConfigMgrSysprep.psm1 中，取消以下行的註解，並更

新 SCCM 推送的 TPM 加密 PIN

• #cd C:\windows\setup\Tools\TPM\

• #.\TPM_enable.ps1 -pin 1234

5. 在 Post_CustomSysprep.psm1 中，取消以下行的註解，並更新非原廠環境 (WDM、WSI、USB 映像解決方案) 的 TPM 加密

• #cd C:\windows\setup\Tools\TPM\

• #.\TPM_enable.ps1 -pin 1234

22 系統管理功能