早前提到 Windows 11 24H2 RTM 预览版已经在默认情况下启用 BitLocker 加密,也就是如果用户全新安装 Windows 11 24H2 版时将会默认对磁盘启用 BitLocker 加密。从 Windows 10 开始已经有部分 OEM 制造商会默认启用全盘加密,但这并不是微软的默认选项、也不是 OEM 必须启用的。
但从 Windows 11 24H2 版开始无论是家庭版还是专业版都会采用全盘加密,微软公司也证实了确实已经进行调整以便启用设备加密功能。
微软在声明中表示:
我们已经进行了一些调整 (删除现代待机 / HSTI 验证和不受信任的 DMA 端口检查) 以启用设备加密,在全新安装 Windows 11 时自动启动设备加密 (这个声明和微软在 2023 年在博客中的说法是完全相同的)
全盘加密的工作原理:
当用户全新安装 Windows 11 24H2 及以上版本时 (或者购买预装 Windows 11 24H2 及以上版本的 PC 时),Windows 11 会为系统盘采用 BitLocker 全盘加密。
在 OOBE 安装阶段不会有任何提醒,安装完成时用户登录微软账户,则 BitLocker 的恢复密钥会保存到账户中心中,如果用户需要恢复数据时就会用到恢复密钥。
日常使用时用户可能不会注意到已经被加密,因为这和手动对硬盘进行 BitLocker 加密不同,手动加密时需要输入设定的密码才能解锁,或者输入密码后选择自动解锁,Windows 11 默认的全盘加密则是自动解锁,不需要用户设置和输入任何密码,因此用户可能不会注意到已经被加密。
潜在影响:
如果用户使用本地账户登录则有数据丢失风险,即恢复密钥无法保存到微软账户中心里,如果用户没注意到这点,系统挂了的时候需要重装那么数据可能就无法解密了。
这也是从 Windows 10 开始就经常有用户吐槽设备被加密重装丢失所有数据的原因,用户应当平时做好重要数据的备份。
所以如果用户比较排斥全盘加密的话,可以考虑在 OOBE 阶段通过修改注册表禁用 BitLocker 加密,这样继续使用本地账户也没问题。
另外对于受支持的设备,在完成安装后转到 Windows 11 设置、隐私和安全、设备加密里,也可以关闭加密功能。