微软将在Windows11的下一次重大更新中将BitLocker设备加密作为默认功能。如果您全新安装将在未来几个月推出的24H2版本,则当您首次登录或使用Microsoft帐户或工作/学校帐户设置设备时,设备加密将默认启用。
设备加密旨在通过在Windows安装驱动器上自动启用BitLocker加密并将恢复密钥备份到Microsoft帐户或EntraID来提高Windows机器的安全性。
在Windows11版本24H2中,微软降低了自动设备加密的硬件要求,向更多设备开放了此功能,包括运行Windows11家庭版的设备。设备加密不再需要硬件安全测试接口(HSTI)或现代待机,即使检测到不受信任的直接内存访问(DMA)总线/接口也会启用加密。
最新的Windows11版本24H2更新预装在Microsoft的CopilotPlus系列PC上,预计将于9月底在现有机器上推出。这意味着,如果您在今年晚些时候全新安装Windows11或购买安装了24H2的新PC,BitLocker设备加密将默认启用。如果您只是升级到24H2,Microsoft将不会自动启用设备加密。
该功能可能会影响某些设备的SSD性能。Tom'sHardware去年测试了此版本的BitLocker软件,发现它可能会使驱动器速度降低高达45%。自5月初以来,我们多次要求微软对默认启用BitLocker设备加密发表评论,但该公司仅通过支持文档确认了其计划,其中未提及任何潜在的性能影响。
如果您在全新安装的Windows11版本24H2上使用本地帐户,则可以避免自动设备加密。首次设置新机器并使用本地帐户登录时,系统会提示您使用Microsoft帐户登录以完成设备加密。不过,仍然可以使用本地帐户上的BitLocker控制面板手动启用BitLocker。您还可以通过Windows11设置界面的隐私和安全部分中的切换按钮禁用设备加密。
微软开始通过要求使用现代处理器、安全启动和TPM(可信平台模块)来显著提高Windows11的安全性。这些要求虽然存在争议,但两年前,微软也允许默认启用其虚拟化内存完整性功能,以更好地保护Windows11系统免受恶意代码的侵害。