目前微软在 Windows 10/11 上都支持设备加密功能,其中在 Windows 10 上通常由 OEM 选择是否默认启用,而 Windows 11 系统则是全局默认启用设备加密。
启用设备加密功能的好处在于可以提升安全性,设备加密本质上就是磁盘加密,被加密后的磁盘即便被拆下放在其他 PC 中也无法读取数据,这可以大幅度提高安全性。
问题在于很多用户并不清楚设备默认情况会启用加密,如果没有使用微软账户登录则不会被保存加密密钥,这种情况下一旦出现问题数据将无法正常恢复。
哪些设备会被默认启用设备加密功能:
设备加密本质上就是通过 Microsoft Bitlocker 进行硬盘加密,在附带 TPM 可信平台模块的设备上启用安全启动后,在进入系统后就会默认启动设备加密。
启动设备加密时系统不会弹出任何提示、即便使用离线账户登录微软也不会提醒用户备份加密密钥,只有用户进入设备加密设置页面才会提醒要登录账户。
这里有个让我困惑的问题:
在 Windows 11 LTSC 2024 中进行测试,装机完成后转入设备加密页面可以看到选项已经被默认启用,但在顶部会提示登录微软账户以完成加密过程,实际上此时尽管设备加密选项被启用但硬盘并未被加密,而是显示等待激活加密流程。
也就是说只有登录微软账户后才会真正启用加密过程,我的测试情况似乎和部分网友所说的情况不同,网友们遇到的情况是即便没登录账号设备也被成功加密了,而且没有出现任何备份密钥的提示。
这种情况不知道是新版本微软已经改善了流程还是 LTSC 版设置有些不同,这个回头蓝点网可能还得找个 Windows 11 旧版本安装再次进行测试。
在测试中我们注意到了一个新情况,在未登录账号时启用设备加密后,Bitlocker 确实显示等待激活加密,但如果此时关闭设备加密,则显示设备正在解密中,Bitlocker 也显示正在解密,这意味着显示等待激活加密流程时硬盘确实已经被加密,而没有出现任何备份恢复密钥的提示。
在没有登录的情况下启动设备加密,虽然Bitlocker里现实正在加密,但随后会显示等待激活
如何启用或禁用设备加密:
在设备附带 TPM 芯片且支持设备加密功能时,其设置选项位于 Windows 11 设置、安全与隐私性、设备加密,在这里可以看到设备加密选项是被开启还是被禁用的。
如果你在安全与隐私性里看不到设备加密选项,说明你的 PC 没有附带 TPM 芯片或者没有使用安全启动等,这些情况会导致设备加密选项不存在。
登录微软账户且完成加密,则账号中心里可以查询恢复密钥
如何查找恢复密钥:
如果启用设备加密且登录微软账户完成整个加密过程,则 Microsoft Bitlocker 恢复密钥会被默认存储到微软账户中,如果后续遇到问题需要解密数据时可以前往微软账户里获取解密密钥。
具体流程:登录微软账户个人中心页面、点击设备、Bitlocker 恢复密钥,这里可以看到密钥创建时间、设备名称等信息,复制密钥进行解密即可。
如果你并不清楚设备已经被加密、也没有登录微软账户,那大概率你是永远也找不到恢复密钥的,这种情况下没有解决方案,依靠暴力破解 Bitlocker 不现实,数据只能被全部作废。
