10月27日消息,自Windows 11 24H2版本起,微软在新设备初始化设置过程中引入了一项重要调整:系统将在开箱即用体验阶段自动启用设备级加密功能。这项原本属于专业版独占的BitLocker技术,如今正式成为家用版的标准配置。
虽然加密功能本身旨在提升数据安全性,但这一措施的最大问题在于缺乏透明度——Windows既不会主动询问用户是否需要加密,甚至不会提示系统已对所有磁盘进行了加密处理。这导致许多用户在遇到极端情况时,因无法找回恢复密钥而面临数据永久丢失的风险。
一、如何判断和关闭"设备级加密"
"设备级加密"是用户在OOBE阶段登录微软账户后系统自动开启的全盘加密。虽然同样基于BitLocker技术实现,但用户对其感知度极低。
设备级加密需要系统配备TPM可信平台模块。您可以在Windows 11设置中,依次进入"隐私和安全性">"设备加密"选项。
若在此页面看到"设备加密"选项,则代表您的设备满足加密要求。如果此前已登录微软账户,那么很可能已经自动开启了加密功能。
通常情况下,若是在OOBE阶段登录微软账户后自动开启的加密,恢复密钥会自动安全保存在微软账户中。但在某些特殊情况下(如用户未登录账户时手动开启),则可能导致没有生成恢复密钥。
在上述"设备加密"设置页面中,您可以选择关闭设备加密。关闭后,微软将自动对已加密数据进行解密处理。
二、检查和禁用"BitLocker硬盘加密"
BitLocker硬盘加密是用户手动操作的一种加密方式,默认处于关闭状态。启用时系统会弹出明确提示,要求用户妥善保管恢复密钥(密钥同时也会保存至微软账户)。
用户可以打开文件资源管理器,查看各个硬盘分区的图标状态。如果分区图标上带有BitLocker标志(一个小锁图案),则说明该分区已启用BitLocker加密。
用户可通过控制面板>"BitLocker驱动器加密"选项,根据实际需求对一个或多个硬盘分区进行启用或禁用操作。
如果是自行全新安装Windows 11而非购买预装系统的设备,可以在安装过程中预先禁用设备加密。推荐使用Rufus制作Windows 11安装U盘,在刻录系统镜像时会弹出选项,允许用户选择是否禁用设备加密功能。

