从Windows 11 24H2,当您执行干净的安装或使用TPM芯片上的设备上的操作系统并启用安全启动时,所有驱动器分区自动加密。连接到计算机的所有驱动器(包括系统驱动器)都用Bitlocker加密。无论您的帐户类型(本地或Microsoft帐户)和Windows Edition(Home,Pro或Enterprise),启用了自动加密。在以前的Windows 11构建中,仅当TPM存在 +现代备用支持 +设备通过HSTI测试时,才启用自动设备加密。
设备加密是在Windows安装的最终OOBE阶段执行的。数据是加密的,但实际上不受Bitlocker键保护器的保护,直到用户首次登录并且可以在清晰的文本中轻松提取卷加密密钥。
- 使用Microsoft帐户(MSA)登录可激活保护,并将BitLocket恢复键发送到Microsoft Cloud,Entra ID或本地AD(如果Active Directory配置为存储Bitlocker恢复键)。
- 当用户使用本地帐户登录Windows 11时,直到用户手动配置密钥保护器后,数据才会受到保护。
自动设备加密可以关闭设置- >隐私与安全。滑动设备加密切换到Off。
阅读更多:
您可以使用命令检查指定的卷是否加密:
manage-bde -status
关闭卷的加密:
manage-bde –off C:
禁用所有驱动器的Bitlocker加密:
Get-BitLockerVolume | Disable-BitLocker
为防止本地驱动器在安装过程中被加密,请使用鲁弗斯要将Windows 11安装ISO映像写入USB闪存驱动器。当您用rufus燃烧ISO图像时,请确保'禁用Bitlocker自动设备加密选中选项。
或者,在Windows设置期间禁用设备加密。
- 复制Windows 11安装文件后,您的计算机将重新启动,您将被带到OOBE屏幕(区域和语言选择)。
- 按
Shift+F10从此屏幕打开命令提示符。 - 打开注册表编辑器,运行
regedit.exe - 导航到reg键
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlBitLocker并创建一个命名的dword(32位)参数预防脱位 - 将值设置为1
或使用命令创建注册表参数:REG ADD HKLMSYSTEMCurrentControlSetControlBitLocker /v PreventDeviceEncryption /t REG_DWORD /d 1 - 关闭命令提示符,然后继续安装Windows 11。将不会启用Bitlocker自动驱动器加密。