最近有國外媒體如 Neowin 報導,稱 Windows 11 24H2 可能在安裝過程中,預設啟用 BitLocker 加密功能。對該功能不清楚的讀者可能覺得沒什麼,不過對 IT 或電腦相關從業人員來說,問題可不小,因為在沒有備份金鑰的前提下,萬一系統出錯無法開機,只能跟你存在磁碟或 SSD 裡的資料說再見。上述說法經 Windows Latest 向微軟確認,證實在符合一定條件下,Windows 11 會自動開啟 BitLocker。
為此,筆者下載了 Windows 11 24H2 組建 26100 的 ISO 檔,想確認到底是不是像國外媒體所說,24H2 會自動開啟 BitLocker,結果出乎意料發現不是 24H2 才開始多出這項功能,即使是 23H2 依舊會自動幫你把磁碟加密。雖然預設可能會開啟,也有方法避免自動開啟,文章最後會附上開機碟製作工具 Rufus 所採用的關閉 BitLocker 解決方案,給大家做使用。
Windows 11 24H2 有條件預設啟用 BitLocker
Neowin 引用的來源是德國媒體 Deskmodder.de,該文作者公開了畫面截圖,由於上面文字不是筆者熟悉的中文,筆者提供 Google 智慧鏡頭翻譯後的中文版本,可以看出在設定的隱私與安全性中,多出一個裝置加密的選項畫面,且裝置加密的功能呈現開啟狀態。他認為這除了影響 Windows 11 專業版與更高版本外,還會影響家用版,而多數家用版使用者是相對比較不熟悉電腦的人,可能造成這些人出現極高資料被鎖住的風險。
筆者發現,文章中並沒有公開他使用的組建號,也沒有提到他是專業版或家用版,所以筆者就以預定的 24H2 組建 26100 最新版下去實際安裝 (安裝檔取得來源),首先在虛擬機未網路連線下,分別安裝家用版與專業版各一次,截圖畫面如下,沒有發現隱私與安全性中出現裝置加密的功能。筆者也實際在實體電腦上 (未連線至網路),全新安裝一次家用版,同樣沒有在隱私與安全性中看到裝置加密功能。
家用版使用者可以到「設定 - 系統 - 儲存體」,找到並點開「進階儲存空間設定」,接著點選「磁碟和磁碟區」,假設你想確定 C 槽是否有開啟 BitLocker,那就在 C: 右邊的屬性按鍵上按一下。下圖中 C 槽的 BitLocker 狀態顯示未加密,專業版使用者還可以在「控制台 - 所有控制台項目 (在右上角檢視方式改為大或小圖示) - BitLocker 磁碟機加密」裡檢查 BitLocker 是否有開啟。
BitLocker 如果有開啟,在磁碟管理中一樣可以看出來 (在搜尋框中輸入電腦管理並執行它),未加密的磁碟只顯示良好 (基本資料磁碟分割),加密後會多出 BitLocker 加密字樣。
Neowin 提供命令提示字元的檢查方式,在搜尋框中輸入「cmd」,然後按滑鼠右鍵選擇「以系統管理員身份執行」,輸入「manage-bde -status」按 Enter,如果磁碟區的轉換狀態顯示已完全解密,那就是沒有加密。
本來以為這可能是地區限定的功能,但是據 Windows Latest 最新說法,微軟向他們表示,已經對 Windows 11 啟用 BitLocker 的先決條件進行調整,當符合條件時,使用者進行全新安裝,裝置加密就會啟用,那麼這或許不是地區限定了。
“We have adjusted (removal of Modern Standby/HSTI validation and untrusted DMA ports check) to enable device encryption so that it is automatically enabled when doing clean installs of Windows 11,” Microsoft said in a statement.
Copilot 翻譯如下:
"我們已經進行了調整 (移除了現代待機 / HSTI 驗證和不受信任的 DMA 埠口檢查),以便啟用裝置加密,因此在進行 Windows 11 的乾淨安裝時,它將自動啟用,"微軟在一份聲明中說。
他們也公布了畫面截圖,其中有出現裝置加密功能。於是筆者在一臺配備 i7-12700KF + Z690 主機板的電腦上全新安裝 Windows 11 24H2 專業版,初始化過程有連線到網路並登入微軟帳號,還是沒有看到該功能出現。
筆者認為微軟既然證實功能的確存在,那應該有哪邊步驟不對才看不到該功能,又繼續搜尋資料,發現華碩網頁上一篇 2023/7/18 更新的文章,就有出現裝置加密的選項。根據查到的資料,UX425EA 是一台 2020 年推出的筆電,系統是 Windows 10 家用版 (可升級 Windows 11),從網頁上的文字與圖片來判斷,裝置加密選項已經開啟,只是尚未登入微軟帳號,所以還沒完全生效。
剛好筆者的好夥伴 Rich 毛有一台 ROG 筆電,而且他表示他設定的隱私權與安全性裡,有出現裝置加密功能,特別請他重灌 Windows 11 23H2 家用版和專業版,看看預設會不會啟用裝置加密,結果真的無論家用版還是專業版都自動啟用裝置加密,微軟這做法令筆者感到意外。
由此可見裝置加密這個功能並非是 24H2 才會有,只要你的電腦符合特定條件,裝置加密這個功能就會顯示在設定的隱私權與安全性畫面裡,而且 Windows 11 還貼心的自動幫你打開並加密磁碟,只是需要登入微軟帳號才能完成整個流程。
至此筆者判斷 Deskmodder 跟 Windows Latest 的說法,各有一部分是正確的,其正確的地方在於無論 Windows 11 24H2 是專業版或家用版,都會預設開啟裝置加密。而錯誤的地方,則是預設開啟的前提要符合某些條件,且並非只存在即將推出的 24H2,從微軟的影片中日期顯示 2022/8/9 來看,或許在 Windows 11 22H2 就有了 (這部分就沒花時間確認囉)。結果經過一番搜尋,在華碩網站上找到蛛絲馬跡,發現這個功能傳承自 Windows 10,怪不得筆者印象中 Window 10 有類似爭議,只是筆者沒遇到,就沒特別研究。
筆者發現華碩網站上有提供一個確認方法,就是在搜尋框內輸入「裝置加密設定」,搜尋結果如果有出現裝置加密設定,表示你的電腦有符合啟用條件,趕緊開啟設定檢查一下。如果沒出現,那就是電腦不符合或尚未符合啟用條件,可以放心。
避免 Windows 11 安裝後自動開啟 BitLocker
Deskmodder 文章有提出 2 個解決方式,筆者簡單做個教學給大家參考。
手動修改登錄檔
在安裝完重開機,會出現地區選擇畫面,按鍵盤的 Shift + F10,輸入「regedit」後按 Enter 開啟登錄編輯程式。
在左側找到以下路徑「HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\BitLocker」,接著點選 BitLocker,於右側窗格內按滑鼠右鍵選擇「新增 - DWORD (32-位元) 值」,然後按右鍵命名為 PreventDeviceEncryption,再以左鍵連點兩下 (或按右鍵選擇修改),數值資料輸入 1,按確定後關閉登錄編輯程式。
以 Rufus 製作預設關閉 BitLocker 的系統安裝碟
筆者之前有寫過 Rufus 使用教學,在 Windows 使用者體驗中可以勾選「關閉 BitLocker 自動設備加密」,這樣就不用擔心系統自動開啟 BitLocker。
那麼 Rufus 是怎麼實現的呢?答案就在 sources 資料夾內的 $OEM$ 資料夾裡,裡面有個回應檔 unattend.xml,如果只單獨勾選關閉 BitLocker,那麼回應檔開啟後可以看到以下內容:
<?xml version="1.0" encoding="utf-8"?>
<unattend xmlns="urn:schemas-microsoft-com:unattend">
<settings pass="oobeSystem">
<component name="Microsoft-Windows-SecureStartup-FilterDriver" processorArchitecture="amd64" language="neutral" xmlns:wcm="http://schemas.microsoft.com/WMIConfig/2002/State" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" publicKeyToken="31bf3856ad364e35" versionScope="nonSxS">
<PreventDeviceEncryption>true</PreventDeviceEncryption>
</component>
<component name="Microsoft-Windows-EnhancedStorage-Adm" processorArchitecture="amd64" language="neutral" xmlns:wcm="http://schemas.microsoft.com/WMIConfig/2002/State" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" publicKeyToken="31bf3856ad364e35" versionScope="nonSxS">
<TCGSecurityActivationDisabled>1</TCGSecurityActivationDisabled>
</component>
</settings>
</unattend>
<PreventDeviceEncryption>true</PreventDeviceEncryption> 這筆參數,根據微軟的資料,可以避免 BitLocker 在初始化時加密系統與資料磁碟,而 <TCGSecurityActivationDisabled>1</TCGSecurityActivationDisabled> 這筆參數,則是指定 Windows 不會自動加密 eDrive,詳情一樣可參考微軟資料。
筆者把包含 unattend.xml 的整個 $OEM$ 資料夾放到 ISO 的 sources 資料夾內,然後在虛擬機內測試,依照上面的手動修改登錄檔步驟開啟路徑,發現有自動建立 DWORD 值。
假設你習慣使用微軟官方的媒體建立工具製作 Windows 11 系統安裝碟,那麼只要下載筆者擷取出來的回應檔 (按此前往下載),解壓縮後把 $OEM$ 資料夾整個放到系統安裝碟內的 sources 資料夾裡,就具有自動關閉 BitLocker 的能力,喜歡用 Ventoy 的讀者,可以另外做成 ISO 檔使用。
結論是,Windows 11 的裝置加密功能 (透過 BitLocker),針對的是整台電腦 (裝置),當系統判定軟硬體環境有支援,才會顯示並幫你自動啟用,加密範圍限定這台電腦 (本機) 內固定式磁碟,沒有匯出 (備份) 金鑰的功能,但會自動將修復金鑰同步到你的微軟帳號。而專業版以上才有完整的 BitLocker 加密功能,可以自行對特定磁碟設定密碼進行加密與解密,也能備份金鑰。
假如你的電腦已經預設開啟,為了安全不想關閉,請盡早登入微軟帳號,以免哪天系統出錯進不去,想把硬碟 / SSD 拆下救資料 (或是用 PE、Live CD 救援),卻沒有修復金鑰無法解密資料。即使有登入微軟帳號,最好把修復金鑰另外存下 (請參考微軟資料),搭配平常做好資料備份,才能避免遇到緊急狀況束手無策。
雖然不曉得 24H2 正式推出後,裝置加密自動開啟的條件會不會調整,但大家可以先學習怎麼避免它自動打開,有需要再自行手動開啟即可。
以上就是本次的驗証與教學文,剛好是筆者比較熟悉的東西,就花了時間研究,大家喜歡的話不妨多多分享出去,記得把這篇文存起來,或許之後能幫到你也說不定呢!
