早前提到Windows1124H2RTM預覽版已經在默認情況下啟用BitLocker加密,也就是如果用戶全新安裝Windows1124H2版時將會默認對磁盤啟用BitLocker加密。從Windows10開始已經有部分OEM制造商會默認啟用全盤加密,但這並不是微軟的默認選項、也不是OEM必須啟用的。
但從 Windows 11 24H2 版開始無論是傢庭版還是專業版都會采用全盤加密,微軟公司也證實確實已經進行調整以便啟用設備加密功能。
微軟在聲明中表示:
我們已經進行一些調整 (刪除現代待機 / HSTI 驗證和不受信任的 DMA 端口檢查) 以啟用設備加密,在全新安裝 Windows 11 時自動啟動設備加密 (這個聲明和微軟在 2023 年在博客中的說法是完全相同的)
全盤加密的工作原理:
當用戶全新安裝 Windows 11 24H2 及以上版本時 (或者購買預裝 Windows 11 24H2 及以上版本的 PC 時),Windows 11 會為系統盤采用 BitLocker 全盤加密。
在 OOBE 安裝階段不會有任何提醒,安裝完成時用戶登錄微軟賬戶,則 BitLocker 的恢復密鑰會保存到賬戶中心中,如果用戶需要恢復數據時就會用到恢復密鑰。
日常使用時用戶可能不會註意到已經被加密,因為這和手動對硬盤進行 BitLocker 加密不同,手動加密時需要輸入設定的密碼才能解鎖,或者輸入密碼後選擇自動解鎖,Windows 11 默認的全盤加密則是自動解鎖,不需要用戶設置和輸入任何密碼,因此用戶可能不會註意到已經被加密。
潛在影響:
如果用戶使用本地賬戶登錄則有數據丟失風險,即恢復密鑰無法保存到微軟賬戶中心裡,如果用戶沒註意到這點,系統掛的時候需要重裝那麼數據可能就無法解密。
這也是從 Windows 10 開始就經常有用戶吐槽設備被加密重裝丟失所有數據的原因,用戶應當平時做好重要數據的備份。
所以如果用戶比較排斥全盤加密的話,可以考慮在 OOBE 階段通過修改註冊表禁用 BitLocker 加密,這樣繼續使用本地賬戶也沒問題。
另外對於受支持的設備,在完成安裝後轉到 Windows 11 設置、隱私和安全、設備加密裡,也可以關閉加密功能。