在 Windows 11 中禁用 BitLocker 自動驅動器加密

開始於Windows 11 24H2，當您在啟用了 TPM 芯片和安全啟動的設備上執行全新安裝或重新安裝操作系統時，所有驅動器分區自動加密。連接到計算機的所有驅動器（包括系統驅動器）均使用 BitLocker 進行加密。無論您的帳戶類型（本地或 Microsoft 帳戶）和 Windows 版本（家庭版、專業版或企業版）如何，都會啟用自動加密。在以前的 Windows 11 版本中，僅當 TPM 存在 + 現代待機支持 + 設備通過 HSTI 測試時才會啟用自動設備加密。

設備加密是在 Windows 安裝的最後 OOBE 階段執行的。數據已加密，但在用戶首次登錄之前實際上並未受到 Bitlocker 密鑰保護程序的保護，並且可以輕鬆以明文形式提取卷加密密鑰。

參見：如何在沒有 TPM 的情況下在 Windows 10 上啟用 BitLocker 加密

• 使用 Microsoft 帳戶 (MSA) 登錄會激活保護並將 Bitlocket 恢復密鑰發送到 Microsoft 雲、Entra ID 或本地 AD（如果 Active Directory 配置為存儲 BitLocker 恢復密鑰）。
• 當用戶使用本地帳戶登錄 Windows 11 時，除非用戶手動配置 Key Protector，否則數據不會受到保護。

可以在以下位置關閉自動設備加密設定->隱私與安全。滑動設備加密切換到Off。

您可以使用以下命令檢查指定卷是否已加密：

manage-bde -status

要關閉卷的加密：

manage-bde –off C:

禁用所有驅動器的 BitLocker 加密：

Get-BitLockerVolume | Disable-BitLocker

要防止本地驅動器在安裝過程中被加密，請使用魯弗斯將 Windows 11 安裝 ISO 映像寫入 USB 閃存驅動器。當您使用 Rufus 刻錄 ISO 映像時，請確保 '禁用 BitLocker 自動設備加密' 選項被選中。

或者，在 Windows 安裝過程中禁用設備加密。

1. 複製 Windows 11 安裝文件後，您的計算機將重新啟動，您將進入 OOBE 屏幕（包含區域和語言選擇）。
2. 按Shift+F10從此屏幕打開命令提示符。
3. 要打開註冊表編輯器，請運行regedit.exe
4. 導航到 reg 鍵HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlBitLocker並創建一個名為的 DWORD（32 位）參數防止設備加密
5. 將值設置為1
   或者使用以下命令創建註冊表參數：
   REG ADD HKLMSYSTEMCurrentControlSetControlBitLocker /v PreventDeviceEncryption /t REG_DWORD /d 1
6. 關閉命令提示符並繼續安裝 Windows 11。將不會啟用 BitLocker 自動驅動器加密。