微软证实Windows 11 24H2将默认采用全盘加密 但旧版本升级不会加密
早前提到 Windows 11 24H2 RTM 预览版已经在默认情况下启用 BitLocker 加密,也就是如果用户全新安装 Windows 11 24H2 版时将会默认对磁盘启用 BitLocker 加密。从 Windows 10 开始已经有部分 OEM 制造商会默认启用全盘加密,但这并不是微软的默认选项、也不是 OEM 必须启用的。
但从 Windows 11 24H2 版开始无论是家庭版还是专业版都会采用全盘加密,微软公司也证实了确实已经进行调整以便启用设备加密功能。
微软在声明中表示:
我们已经进行了一些调整 (删除现代待机 / HSTI 验证和不受信任的 DMA 端口检查) 以启用设备加密,在全新安装 Windows 11 时自动启动设备加密 (这个声明和微软在 2023 年在博客中的说法是完全相同的)
全盘加密的工作原理:
当用户全新安装 Windows 11 24H2 及以上版本时 (或者购买预装 Windows 11 24H2 及以上版本的 PC 时),Windows 11 会为系统盘采用 BitLocker 全盘加密。
在 OOBE 安装阶段不会有任何提醒,安装完成时用户登录微软账户,则 BitLocker 的恢复密钥会保存到账户中心中,如果用户需要恢复数据时就会用到恢复密钥。
日常使用时用户可能不会注意到已经被加密,因为这和手动对硬盘进行 BitLocker 加密不同,手动加密时需要输入设定的密码才能解锁,或者输入密码后选择自动解锁,Windows 11 默认的全盘加密则是自动解锁,不需要用户设置和输入任何密码,因此用户可能不会注意到已经被加密。
潜在影响:
如果用户使用本地账户登录则有数据丢失风险,即恢复密钥无法保存到微软账户中心里,如果用户没注意到这点,系统挂了的时候需要重装那么数据可能就无法解密了。
这也是从 Windows 10 开始就经常有用户吐槽设备被加密重装丢失所有数据的原因,用户应当平时做好重要数据的备份。
所以如果用户比较排斥全盘加密的话,可以考虑在 OOBE 阶段通过修改注册表禁用 BitLocker 加密,这样继续使用本地账户也没问题。
另外对于受支持的设备,在完成安装后转到 Windows 11 设置、隐私和安全、设备加密里,也可以关闭加密功能。