从 Windows 11 24H2 版本开始,微软降低了 BitLocker 驱动器加密功能的硬件要求,放宽了该功能的使用门槛,让更多设备可以实现自动或手动加密。具体变化包括:
- 设备不再需要具备硬件安全测试接口 (HSTI)和新式待机功能。
- 不再检查直接内存访问 (DMA) 保护接口,设备制造商也不用再在注册表中添加相关设置了。
这些硬件要求曾是 Windows 11 BitLocker 驱动器加密的必要条件,但从 24H2 开始已经取消,这意味着,自动或手动加密功能将普及到更广泛的设备中。
这些变更将自动更新到 Windows Hardware Lab Kit 的测试要求中,设备制造商无需额外操作即可符合新标准。
Windows 11 24H2:全新安装默认开启 BitLocker
BitLocker 并不是一项全新功能,而且在 23H2 版本时,一些新款旗舰设备(如 HP Spectre)已经默认启用 BitLocker 自动设备加密,但大多数设备并未默认启用此功能。
从 Windows 11 24H2 起,在全新安装系统时,BitLocker 将自动开启并加密所有驱动器,无论用户是否愿意。
「自动设备加密」功能也被微软称为 Auto_DE,是 Automatic Device Encryption 的缩写。它不仅会在 Windows 11 专业版及更高版本上自动启用,如果电脑厂商在 UEFI 中设置了相关标志,Windows 11 家庭版也会自动开启 BitLocker。
全新安装 Windows 11 24H2 时,默认加密所有驱动器
需要注意的是:
- 之前 BitLocker 的 HSTI、新式待机、DMA 等要求在 Windows 11 24H2 中已经被取消。
- 要启用「自动设备加密」,设备需要支持受信任的平台模块 (TPM) 和 UEFI 安全启动,这也是 Windows 11 的硬件要求之一。
- 加密在 OOBE 阶段就会开始,但只有在登录 Microsoft 账户后才会完全激活。使用「本地账户」的设备不会自动加密,但用户可以手动启用 BitLocker。
- 通过「Windows 更新」升级到 Windows 11 24H2 的设备不会自动加密硬盘。
1、从 Rufus 官网下载最新版本并运行。
2、插入一个容量至少为 8GB 的 U 盘,并在「设备」下拉列表中选择该 U 盘。
3、点击「选择」按钮,打开下载好的 Windows 11 安装镜像。
4、其他选项按如下设置,然后点击「开始」:
镜像选项:「标准 Windows 安装」分区类型:「GPT」目标系统类型:UEFI(非 CSM)
5、在弹出窗口中勾选「禁用 BitLocker 自动设备加密」,然后点击「OK」。
使用 Rufus 创建禁用 BitLocker 自动设备加密的安装 U盘
确认格式化 U 盘并完成写入后,使用该 U 盘安装系统时,会跳过自动设备加密。
方法 2:在 OOBE 设置时跳过 BitLocker 加密
1、使用 Windows 11 启动 U 盘安装系统,并按向导操作。
2、在 OOBE 设置开始时,按Shift + F10
打开「命令提示符」窗口,并执行 regedit
打开注册表编辑器。
3、依次展开以下路径:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControl
4、在 BitLocker 下新建一个名为PreventDeviceEncryption
的 DWORD (32 位) 值,并将其值设置为 1
,以禁用 BitLocker 自动设备加密。
在 OOBE 阶段更改注册表跳过 BitLocker 加密
5、关闭「注册表编辑器」和「命令提示符」窗口,继续按向导完成 OOBE 设置。
通过以上两种方法,你都可以在安装 Windows 11 24H2 时主动跳过 BitLocker 加密。如果你后知后觉,在安装好系统后才发现驱动器被加密了,可以手动关闭 BitLocker 并解密分区/卷,希望大家喜欢,请继续关注风君子博客。