在 Windows 11 中禁用 BitLocker 自动驱动器加密

从 Windows 11 24H2 开始，当您在启用了 TPM 芯片和安全启动的设备上执行全新安装或重新安装操作系统时，所有驱动器分区都会自动加密。连接到计算机的所有驱动器（包括系统驱动器）均使用 BitLocker 进行加密。无论您的帐户类型（本地或 Microsoft 帐户）和 Windows 版本（家庭版、专业版或企业版）如何，都会启用自动加密。在以前的 Windows 11 版本中，仅当 TPM 存在 + 现代待机支持 + 设备通过 HSTI 测试时才会启用自动设备加密。

设备加密是在 Windows 安装的最后 OOBE 阶段执行的。数据已加密，但在用户首次登录之前实际上并未受到 Bitlocker 密钥保护程序的保护，并且可以轻松以明文形式提取卷加密密钥。

• 使用 Microsoft 帐户 (MSA) 登录会激活保护并将 Bitlocket 恢复密钥发送到 Microsoft 云、Entra ID 或本地 AD（如果 Active Directory 配置为存储 BitLocker 恢复密钥）。

• 当用户使用本地帐户登录 Windows 11 时，除非用户手动配置 Key Protector，否则数据不会受到保护。

可以在设置 -> 隐私和安全中关闭自动设备加密。将设备加密开关滑动到

Off

您可以使用以下命令检查指定卷是否已加密：

manage-bde -status

要关闭卷的加密：

manage-bde -off C:

禁用所有驱动器的 BitLocker 加密：

Get-BitLockerVolume | Disable-BitLocker

为了防止本地驱动器在安装过程中被加密，请使用 Rufus 将 Windows 11 安装 ISO 映像写入 USB 闪存驱动器。当您使用 Rufus 刻录 ISO 映像时，请确保选中“禁用 BitLocker 自动设备加密”选项。

或者，在 Windows 安装过程中禁用设备加密。

1. 复制 Windows 11 安装文件后，您的计算机将重新启动，您将进入 OOBE 屏幕（包含区域和语言选择）。

2. 按

   Shift+F10

   从此屏幕打开命令提示符。

3. 要打开注册表编辑器，请运行

   regedit.exe

4. 导航到 reg 键

   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\BitLocker

   并创建一个名为 PreventDeviceEncryption 的 DWORD（32 位）参数

5. 将值设置为1
   

   

   REG ADD HKLM\SYSTEM\CurrentControlSet\Control\BitLocker /v PreventDeviceEncryption /t REG_DWORD /d 1

6. 关闭命令提示符并继续安装 Windows 11。将不会启用 BitLocker 自动驱动器加密。