关于Win11 24H2是否自动开启bitlocker加密的测试

nn1122

测试平台：联想tiny8商用迷你机，13100T+铠侠XG8 512G，带有标准的TPM2.0模块，用24H2正式版镜像 zh_cn_windows_11_business_editions_version_24h2_x64_dvd_5f9e5858.iso进行安装测试


1.打开TPM2.0模块，关闭安全启动，选择专业版进行安装，整体顺利安装完成，OOBE阶段出现联网提示仍可用shift+F10呼出CMD窗口输入oobe\bypassnro即可跳过，采用本地账户登录。进入系统后查看bitlocker状态，C盘和D盘均显示关闭（但可以手动打开加密），测得SSD速率如下






2.重启打开安全启动，则bitlocker界面C盘和D盘均显示“正在加密”，一小段时间后显示“等待激活中”，测得SSD速率如下，4K写入速率减半，由此可见已经进入半加密状态（重启用PE可正常打开此SSD），需要手动开启并备份密钥才能完全加密







3.关闭安全启动和TPM2.0模块，开机启动会出现需要BitLocker恢复密钥的蓝底界面，也相当于此SSD被拿到其他电脑上启动的情况，此时用PE进去查看SSD分区也需要恢复密钥


4.对于系统里已存在等待激活中的这种半加密情况，为了恢复SSD的正常4K写入水平，可用命令关闭半加密：CMD下执行manage-bde -off X:或者power shell命令Disable-BitLocker -MountPoint "X:"，X代表所在加密分区盘符


总结：对于同时开启了安全启动和TPM2.0的机器，24H2的却会自动完成加密过程，但需要用户手动确认加密完成并备份密钥，所以不必担心数据会读不出来，经测试自动加密过程对于专业版/企业版/教育版/专业教育版/专业工作站版以及LTSC版均适用

另外根据微软文章特别指出，OEM系统譬如笔记本预装win11系统用微软帐户登陆系统，会直接启用完全加密，备份秘要会上传到微软帐户里，这就是我喜欢用本地帐户登陆的原因，见文章https://learn.microsoft.com/zh-c ... ences/oem-bitlocker

nn1122

自我顶一下，让更多的人看见

yorklee_sh

赞！感谢楼主提供实测信息

nomad

赞实践精神， 明白了

ws513

感谢lz bitlocker真的是个头疼的东西，一不小心数据可能就读不到。

nnjohnnie

最可笑的是，win11主推的bitlocker的设置界面只在控制面板里有

wjqok

一不小心就锁了，还可能pe都不能看见分区，坑很多，就怕不小心数据就完蛋，微软连bios都插手修改了

咖啡泡沫

我就是担心这个 用rufus制作镜像安装 屏蔽bitlocker

hcym

rufus安装的，看了一眼没看见

nn1122

wjqok 发表于 2024-10-4 11:37
一不小心就锁了，还可能pe都不能看见分区，坑很多，就怕不小心数据就完蛋，微软连bios都插手修改了 ...

你要手动点击启用bitlocker，然后下一步是让你备份密钥才会彻底开启加密，显示正在等待激活这种情况是可以从外部读取硬盘数据的，即使拆下来用其他设备都能读写硬盘

nn1122

咖啡泡沫 发表于 2024-10-4 11:44
我就是担心这个 用rufus制作镜像安装 屏蔽bitlocker

原版系统在安装完成后，可以用文中的命令解除加密状态，后面也不会再次加密

wjqok

nn1122 发表于 2024-10-4 13:55
你要手动点击启用bitlocker，然后下一步是让你备份密钥才会彻底开启加密，显示正在等待激活这种情况是可 ...

一些人会大意，忽视加密的后果，默认搞上加密真没必要

nn1122

wjqok 发表于 2024-10-4 14:02
一些人会大意，忽视加密的后果，默认搞上加密真没必要

一般人不会跳到控制面板中的bitlocker选项中去设置“开启”，默认只是等待激活中，此状态并没完成最终加密且可随意读写，只是硬盘的速度有所降低

tide~

win10时试过，<安全启动>是关键，有些bios没有子项<custom mode>（选它、打开安全启动后也不会主动bitlocker），只有<standard mode>就是主动加密的；
TPM：我那NUC电脑bios里反而没有TPM选项，默认就是一直开着的情况下测试的

Oxyer

rufu安装直接就把bitlocker给删了

nn1122

更新了OEM预装系统开启加密情况，所以不推荐用微软帐户登陆系统，详情见：https://learn.microsoft.com/zh-c ... ences/oem-bitlocker

hhu88

据说加密密钥还要交给三哥保管？

nn1122

hhu88 发表于 2024-10-5 09:57
据说加密密钥还要交给三哥保管？

可以保存在本地，比如U盘等介质，不用微软帐户作为登陆方式就不会自动上传密钥

chdd

只要主板禁用tpm模块，微软账户登录是不是永远不会启用bitlocker加密？

LRJ

我今天刚全新安装的专业工作站版没有启用硬盘加密(tpm 安全启动 在线账户样样都有）
在这之前我用笔记本也全新安装了好几个版本的24h2全都有开启自动硬盘加密
设置‘隐私和安全性’那边也没有“设备加密”这个选项（控制面板那边是有的）
不知道什么情况...虽然我加密本来就不想打开 不过这样搞得像是我系统有问题一样

LRJ

tide~ 发表于 2024-10-4 17:31
win10时试过，是关键，有些bios没有子项（选它、打开安全启动后也不会主动bitlocker），只有就是主动加密的 ...

哈哈 找到原因了 我主板安全启动就是这个custom mode 怪不得没有主动给我硬盘加密
看上楼我回复的 一开始还很奇怪呢

nn1122

chdd 发表于 2024-10-5 15:37
只要主板禁用tpm模块，微软账户登录是不是永远不会启用bitlocker加密？

禁用TPM或者安全启动都可以阻止启用加密，不管有没有微软帐户登陆，但考虑到有极小概率的BIOS设置被还原的情况，可以从注册表入手禁止系统bitlocker加密

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\BitLocker]
"PreventDeviceEncryption"=dword:00000001

jim9606

这个阉割版Bitlocker从Win10就有，但家庭版只有系统设置里有入口没有Bitlocker控制面板，除了开关内不能修改其他配置。
现在这玩意开始引人关注是因为24H2起取消了现代待机和DMA保护的要求，相当多机子不满足前者，而后者依赖OEM注册表预配，重装基本会被洗掉。
想性能损失少需要硬件加密，由于部分SSD固件出过严重漏洞，现在Windows默认禁用硬件加密，得用组策略开，而且支持硬件加密的盘还不好买到，好像就只有三星的盘标配。
理论上不拆硬盘这个加密机制不会有问题，你们重装系统和换机换硬盘时还是要提高姿势水平。

LRJ

tide~ 发表于 2024-10-4 17:31
win10时试过，是关键，有些bios没有子项（选它、打开安全启动后也不会主动bitlocker），只有就是主动加密的 ...

今天因为vbs搞得系统一团糟 重装了系统 bios安全启动设为standard 进入系统后还是不会自动加密硬盘 设置隐私与安全那里面也没有设备加密

guevrar

咖啡泡沫 发表于 2024-10-4 11:44
我就是担心这个 用rufus制作镜像安装 屏蔽bitlocker

请详细说说可以吗？

咖啡泡沫

guevrar 发表于 2024-10-7 01:44
请详细说说可以吗？

https://www.sysgeek.cn/windows-11-24h2-bypass-bitlocker-auto-de/

niqian6666163

我的很奇怪，VBS，安全启动，TPM全部是打开的，用微软官方工具制作的启动U盘全新格盘安装，装好之后没有自动开启bitlocker加密，并且虚拟化安全也用远景论坛的轻松设置工具一键关闭了。。。在用这个工具禁用WD的时候，这工具直接把WD删了还。。。。我也是摸不着头脑。。。。

niqian6666163

LRJ 发表于 2024-10-5 15:41
我今天刚全新安装的专业工作站版没有启用硬盘加密(tpm 安全启动 在线账户样样都有）
在这之前我用笔记本也 ...

我跟你一样，TPM，VBS，安全启动全部都是打开的，全新安装的系统没有自动加密硬盘，整得像我电脑有啥问题一样，就很奇怪。

LRJ

niqian6666163 发表于 2024-10-17 19:33
我跟你一样，TPM，VBS，安全启动全部都是打开的，全新安装的系统没有自动加密硬盘，整得像我电脑有啥问题 ...

要满足自动加密的条件才会给你加密的 用管理员打开系统信息那边可以查看 我笔记本自动加密是满足条件的 台式机没有

2ndWeapon

我去，这可要小心了。