UNIKO's Hardware
  • 評測
    • 處理器
    • 主機板
    • 顯示卡
    • 記憶體
    • 儲存 | SSD | HDD | 外接盒
    • 水冷散熱器 | 空冷散熱器 | 風扇
    • 機殼 | 電源 | 配件
    • 顯示器
    • 周邊 | 鍵盤 | 滑鼠 | 耳機 | 麥克風
    • 筆記型電腦 | 桌上型電腦 | 電競掌機
    • 手機 | 分享器 | 無線網路
    • 顯示卡驅動 | 晶片組驅動
    • 其他硬體
  • 新聞
  • 新聞稿
  • 軟體
  • 聯絡
  • ZH-TW
    • ZH-TW
    • ZH-CN
    • EN
    • JA
    • KO
No Result
View All Result
UNIKO's Hardware
No Result
View All Result
UNIKO's Hardware
Home 軟體

實測 Windows 11 24H2 發現有條件預設啟用 BitLocker 加密,教你關閉方式!

軟硬體要先符合條件才會自動開啟

Dayking by Dayking
2024-05-10
in 軟體
0
Share on FacebookShare on Twitter

實測 Windows 11 24H2 發現有條件預設啟用 BitLocker 加密,教你關閉方式!

最近有國外媒體如 Neowin 報導,稱 Windows 11 24H2 可能在安裝過程中,預設啟用 BitLocker 加密功能。對該功能不清楚的讀者可能覺得沒什麼,不過對 IT 或電腦相關從業人員來說,問題可不小,因為在沒有備份金鑰的前提下,萬一系統出錯無法開機,只能跟你存在磁碟或 SSD 裡的資料說再見。上述說法經 Windows Latest 向微軟確認,證實在符合一定條件下,Windows 11 會自動開啟 BitLocker。

為此,筆者下載了 Windows 11 24H2 組建 26100 的 ISO 檔,想確認到底是不是像國外媒體所說,24H2 會自動開啟 BitLocker,結果出乎意料發現不是 24H2 才開始多出這項功能,即使是 23H2 依舊會自動幫你把磁碟加密。雖然預設可能會開啟,也有方法避免自動開啟,文章最後會附上開機碟製作工具 Rufus 所採用的關閉 BitLocker 解決方案,給大家做使用。

  • Windows 11 24H2 有條件預設啟用 BitLocker
  • 避免 Windows 11 安裝後自動開啟 BitLocker
    • 手動修改登錄檔
    • 以 Rufus 製作預設關閉 BitLocker 的系統安裝碟

Windows 11 24H2 有條件預設啟用 BitLocker

Neowin 引用的來源是德國媒體 Deskmodder.de,該文作者公開了畫面截圖,由於上面文字不是筆者熟悉的中文,筆者提供 Google 智慧鏡頭翻譯後的中文版本,可以看出在設定的隱私與安全性中,多出一個裝置加密的選項畫面,且裝置加密的功能呈現開啟狀態。他認為這除了影響 Windows 11 專業版與更高版本外,還會影響家用版,而多數家用版使用者是相對比較不熟悉電腦的人,可能造成這些人出現極高資料被鎖住的風險。


筆者發現,文章中並沒有公開他使用的組建號,也沒有提到他是專業版或家用版,所以筆者就以預定的 24H2 組建 26100 最新版下去實際安裝 (安裝檔取得來源),首先在虛擬機未網路連線下,分別安裝家用版與專業版各一次,截圖畫面如下,沒有發現隱私與安全性中出現裝置加密的功能。筆者也實際在實體電腦上 (未連線至網路),全新安裝一次家用版,同樣沒有在隱私與安全性中看到裝置加密功能。

家用版使用者可以到「設定 - 系統 - 儲存體」,找到並點開「進階儲存空間設定」,接著點選「磁碟和磁碟區」,假設你想確定 C 槽是否有開啟 BitLocker,那就在 C: 右邊的屬性按鍵上按一下。下圖中 C 槽的 BitLocker 狀態顯示未加密,專業版使用者還可以在「控制台 - 所有控制台項目 (在右上角檢視方式改為大或小圖示) - BitLocker 磁碟機加密」裡檢查 BitLocker 是否有開啟。

BitLocker 如果有開啟,在磁碟管理中一樣可以看出來 (在搜尋框中輸入電腦管理並執行它),未加密的磁碟只顯示良好 (基本資料磁碟分割),加密後會多出 BitLocker 加密字樣。

Neowin 提供命令提示字元的檢查方式,在搜尋框中輸入「cmd」,然後按滑鼠右鍵選擇「以系統管理員身份執行」,輸入「manage-bde -status」按 Enter,如果磁碟區的轉換狀態顯示已完全解密,那就是沒有加密。

manage-bde -status


本來以為這可能是地區限定的功能,但是據 Windows Latest 最新說法,微軟向他們表示,已經對 Windows 11 啟用 BitLocker 的先決條件進行調整,當符合條件時,使用者進行全新安裝,裝置加密就會啟用,那麼這或許不是地區限定了。

“We have adjusted (removal of Modern Standby/HSTI validation and untrusted DMA ports check) to enable device encryption so that it is automatically enabled when doing clean installs of Windows 11,” Microsoft said in a statement.

Copilot 翻譯如下:

"我們已經進行了調整 (移除了現代待機 / HSTI 驗證和不受信任的 DMA 埠口檢查),以便啟用裝置加密,因此在進行 Windows 11 的乾淨安裝時,它將自動啟用,"微軟在一份聲明中說。

他們也公布了畫面截圖,其中有出現裝置加密功能。於是筆者在一臺配備 i7-12700KF + Z690 主機板的電腦上全新安裝 Windows 11 24H2 專業版,初始化過程有連線到網路並登入微軟帳號,還是沒有看到該功能出現。


筆者認為微軟既然證實功能的確存在,那應該有哪邊步驟不對才看不到該功能,又繼續搜尋資料,發現華碩網頁上一篇 2023/7/18 更新的文章,就有出現裝置加密的選項。根據查到的資料,UX425EA 是一台 2020 年推出的筆電,系統是 Windows 10 家用版 (可升級 Windows 11),從網頁上的文字與圖片來判斷,裝置加密選項已經開啟,只是尚未登入微軟帳號,所以還沒完全生效。

來源:華碩網站。
來源:華碩網站。

剛好筆者的好夥伴 Rich 毛有一台 ROG 筆電,而且他表示他設定的隱私權與安全性裡,有出現裝置加密功能,特別請他重灌 Windows 11 23H2 家用版和專業版,看看預設會不會啟用裝置加密,結果真的無論家用版還是專業版都自動啟用裝置加密,微軟這做法令筆者感到意外。

Windows 11 23H2 家用版預設啟用。
Windows 11 23H2 家用版預設啟用。
Windows 11 23H2 專業版預設啟用。
Windows 11 23H2 專業版預設啟用。

由此可見裝置加密這個功能並非是 24H2 才會有,只要你的電腦符合特定條件,裝置加密這個功能就會顯示在設定的隱私權與安全性畫面裡,而且 Windows 11 還貼心的自動幫你打開並加密磁碟,只是需要登入微軟帳號才能完成整個流程。

至此筆者判斷 Deskmodder 跟 Windows Latest 的說法,各有一部分是正確的,其正確的地方在於無論 Windows 11 24H2 是專業版或家用版,都會預設開啟裝置加密。而錯誤的地方,則是預設開啟的前提要符合某些條件,且並非只存在即將推出的 24H2,從微軟的影片中日期顯示 2022/8/9 來看,或許在 Windows 11 22H2 就有了 (這部分就沒花時間確認囉)。結果經過一番搜尋,在華碩網站上找到蛛絲馬跡,發現這個功能傳承自 Windows 10,怪不得筆者印象中 Window 10 有類似爭議,只是筆者沒遇到,就沒特別研究。

來源:華碩網站。
來源:華碩網站。

筆者發現華碩網站上有提供一個確認方法,就是在搜尋框內輸入「裝置加密設定」,搜尋結果如果有出現裝置加密設定,表示你的電腦有符合啟用條件,趕緊開啟設定檢查一下。如果沒出現,那就是電腦不符合或尚未符合啟用條件,可以放心。

來源:華碩網站。
來源:華碩網站。

避免 Windows 11 安裝後自動開啟 BitLocker

Deskmodder 文章有提出 2 個解決方式,筆者簡單做個教學給大家參考。

手動修改登錄檔

在安裝完重開機,會出現地區選擇畫面,按鍵盤的 Shift + F10,輸入「regedit」後按 Enter 開啟登錄編輯程式。

在左側找到以下路徑「HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\BitLocker」,接著點選 BitLocker,於右側窗格內按滑鼠右鍵選擇「新增 - DWORD (32-位元) 值」,然後按右鍵命名為 PreventDeviceEncryption,再以左鍵連點兩下 (或按右鍵選擇修改),數值資料輸入 1,按確定後關閉登錄編輯程式。

以 Rufus 製作預設關閉 BitLocker 的系統安裝碟

筆者之前有寫過 Rufus 使用教學,在 Windows 使用者體驗中可以勾選「關閉 BitLocker 自動設備加密」,這樣就不用擔心系統自動開啟 BitLocker。

那麼 Rufus 是怎麼實現的呢?答案就在 sources 資料夾內的 $OEM$ 資料夾裡,裡面有個回應檔 unattend.xml,如果只單獨勾選關閉 BitLocker,那麼回應檔開啟後可以看到以下內容:

<?xml version="1.0" encoding="utf-8"?>
<unattend xmlns="urn:schemas-microsoft-com:unattend">
<settings pass="oobeSystem">
<component name="Microsoft-Windows-SecureStartup-FilterDriver" processorArchitecture="amd64" language="neutral" xmlns:wcm="http://schemas.microsoft.com/WMIConfig/2002/State" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" publicKeyToken="31bf3856ad364e35" versionScope="nonSxS">
<PreventDeviceEncryption>true</PreventDeviceEncryption>
</component>
<component name="Microsoft-Windows-EnhancedStorage-Adm" processorArchitecture="amd64" language="neutral" xmlns:wcm="http://schemas.microsoft.com/WMIConfig/2002/State" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" publicKeyToken="31bf3856ad364e35" versionScope="nonSxS">
<TCGSecurityActivationDisabled>1</TCGSecurityActivationDisabled>
</component>
</settings>
</unattend>

<PreventDeviceEncryption>true</PreventDeviceEncryption> 這筆參數,根據微軟的資料,可以避免 BitLocker 在初始化時加密系統與資料磁碟,而 <TCGSecurityActivationDisabled>1</TCGSecurityActivationDisabled> 這筆參數,則是指定 Windows 不會自動加密 eDrive,詳情一樣可參考微軟資料。

筆者把包含 unattend.xml 的整個 $OEM$ 資料夾放到 ISO 的 sources 資料夾內,然後在虛擬機內測試,依照上面的手動修改登錄檔步驟開啟路徑,發現有自動建立 DWORD 值。

假設你習慣使用微軟官方的媒體建立工具製作 Windows 11 系統安裝碟,那麼只要下載筆者擷取出來的回應檔 (按此前往下載),解壓縮後把 $OEM$ 資料夾整個放到系統安裝碟內的 sources 資料夾裡,就具有自動關閉 BitLocker 的能力,喜歡用 Ventoy 的讀者,可以另外做成 ISO 檔使用。


結論是,Windows 11 的裝置加密功能 (透過 BitLocker),針對的是整台電腦 (裝置),當系統判定軟硬體環境有支援,才會顯示並幫你自動啟用,加密範圍限定這台電腦 (本機) 內固定式磁碟,沒有匯出 (備份) 金鑰的功能,但會自動將修復金鑰同步到你的微軟帳號。而專業版以上才有完整的 BitLocker 加密功能,可以自行對特定磁碟設定密碼進行加密與解密,也能備份金鑰。

假如你的電腦已經預設開啟,為了安全不想關閉,請盡早登入微軟帳號,以免哪天系統出錯進不去,想把硬碟 / SSD 拆下救資料 (或是用 PE、Live CD 救援),卻沒有修復金鑰無法解密資料。即使有登入微軟帳號,最好把修復金鑰另外存下 (請參考微軟資料),搭配平常做好資料備份,才能避免遇到緊急狀況束手無策。

雖然不曉得 24H2 正式推出後,裝置加密自動開啟的條件會不會調整,但大家可以先學習怎麼避免它自動打開,有需要再自行手動開啟即可。

以上就是本次的驗証與教學文,剛好是筆者比較熟悉的東西,就花了時間研究,大家喜歡的話不妨多多分享出去,記得把這篇文存起來,或許之後能幫到你也說不定呢!

資料來源 1

資料來源 2

資料來源 3

Tags: 教學WIN11
Previous Post

270° 全景性價比新王者!Antec CX200M RGB ELITE 機殼開箱評測

Next Post

NVIDIA 合作夥伴 Manli 拒絕燒毀的 RTX 4090 顯示卡送修,稱這是使用者的問題

Dayking

Dayking

UNIKO’s Hardware 網站編輯、3C 愛好者、青學的支柱、地球的希望,太陽系的未來、宇宙的救贖。

Next Post
NVIDIA 合作夥伴 Manli 拒絕燒毀的 RTX 4090 顯示卡送修,稱這是使用者的問題

NVIDIA 合作夥伴 Manli 拒絕燒毀的 RTX 4090 顯示卡送修,稱這是使用者的問題

溫馨五月來臨,BIOSTAR 映泰感恩母親節歡樂送

溫馨五月來臨,BIOSTAR 映泰感恩母親節歡樂送

AMD 以領先業界的高效能 Chiplet 小晶片設計,獲得 IEEE 2024 企業創新獎肯定

AMD 以領先業界的高效能 Chiplet 小晶片設計,獲得 IEEE 2024 企業創新獎肯定

發佈留言 取消回覆

發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *

這個網站採用 Akismet 服務減少垃圾留言。進一步了解 Akismet 如何處理網站訪客的留言資料。

ROG-玩家共和國專頁
computexCloudways 主機

關於我們

UNIKO’s Hardware Follow us for the latest PC hardware news, unboxing, reviews and everything in-between!

UNIKO’s Hardware 玩家觀點看產品,真實呈現! 華人圈最可愛的電腦硬體評測開箱、3C業界新聞、電腦改裝、遊戲電競!

熱門標籤

主機板 (213) 儲存 | SSD | HDD | 外接盒 (69) 其他硬體 (7) 周邊 | 鍵盤 | 滑鼠 | 耳機 | 麥克風 (100) 手機 | 分享器 | 無線網路 (45) 新聞 (3920) 新聞稿 (1586) 機殼 | 電源 | 配件 (125) 水冷散熱器 | 空冷散熱器 | 風扇 (112) 筆記型電腦 | 桌上型電腦 | 電競掌機 (47) 處理器 (117) 記憶體 (60) 評測開箱 (1510) 軟體 (516) 顯示卡 (197) 顯示卡驅動 | 晶片組驅動 (346) 顯示器 (10)

熱門架站軟體教學

  • 什麼是 WordPress?
  • WordPress 架站的五大步驟
  • WordPress 三大新手主機完整比較
  • 如何用 WordPress 自架部落格
  • 如何用 WordPress 自架形象官網
  • 如何用 WordPress 自架型錄購物網站
  • 評測
  • 新聞
  • 軟體
  • 聯絡

Copyright © © 2025 UNIKO's Hardware All rights reserved. | 網頁設計: 帶路姬數位科技有限公司.

No Result
View All Result
  • 評測 & 開箱
    • 處理器
    • 主機板
    • 顯示卡
    • 記憶體
    • 儲存 | SSD | HDD | 外接盒
    • 水冷散熱器 | 空冷散熱器 | 風扇
    • 機殼 | 電源 | 配件
    • 顯示器
    • 周邊 | 鍵盤 | 滑鼠 | 耳機 | 麥克風
    • 筆記型電腦 | 桌上型電腦 | 電競掌機
    • 手機 | 分享器 | 無線網路
    • 顯示卡驅動 | 晶片組驅動
    • 其他硬體
  • 新聞
  • 新聞稿
  • 軟體
  • 聯絡

Copyright © © 2025 UNIKO's Hardware All rights reserved. | 網頁設計: 帶路姬數位科技有限公司.