微软在Windows 11 24H2版本中，于新电脑开箱即用体验（OOBE）阶段自动启用设备级加密，将BitLocker功能普及至家用版。此功能旨在提升安全性，但其最大的问题在于缺乏透明度，用户在不知情的情况下硬盘被加密，且系统不主动提示保存恢复密钥，一旦遇到极端情况，可能因找不到密钥而面临数据丢失风险。文章介绍了如何判断和关闭“设备级加密”，以及检查和禁用“BitLocker硬盘加密”的方法，并建议用户在全新安装系统时考虑禁用此功能。

🔒 **Win11家庭版默认启用设备级加密**：从Windows 11 24H2版本开始，微软在新电脑的开箱即用体验（OOBE）阶段，会自动启用设备级加密功能，将原本专业版才有的BitLocker功能引入家用版，以期提升整体安全性。

⚠️ **透明度不足导致数据丢失风险**：该功能最大的问题在于其隐蔽性。系统在启用加密时不会主动询问用户，也不会提示用户系统已加密所有磁盘，这使得许多用户在遇到特殊情况时，因无法找到恢复密钥而面临数据丢失的风险。

🔍 **如何判断和管理设备加密**：用户可以通过“设置”>“隐私和安全性”>“设备加密”来检查设备是否已启用加密。如果看到该选项，则表示设备满足加密要求。在此页面，用户可以选择关闭设备加密，系统将自动解密数据。对于自行安装系统的用户，可以在使用Rufus制作安装U盘时选择禁用设备加密。

🔐 **区分BitLocker与设备级加密**：BitLocker是用户可手动操作的硬盘加密方式，开启时会提示用户保存恢复密钥。而设备级加密则是在OOBE阶段自动开启，恢复密钥通常保存在微软账户中，但存在丢失风险。用户可通过文件资源管理器查看硬盘分区图标上的锁标志来判断是否启用了BitLocker。

快科技10月27日消息，从Windows 11 24H2版本开始，微软在用户设置新电脑时引入了一项改变：系统会在开箱即用体验（OOBE）阶段自动启用设备级加密，原本属于专业版独占的BitLocker功能，成为了家用版的新标准。

虽然加密功能本身是为了增强安全性，但其最大的问题在于缺乏透明度，Windows不会主动询问用户是否需要加密，甚至不会提示用户系统加密了所有磁盘，这导致许多用户在遇到极端情况时，因找不到恢复密钥而面临数据丢失的风险。

一、如何判断和关闭“设备级加密”

“设备级加密”是用户在OOBE阶段登录微软账号后系统自动开启的全盘加密，它也基于BitLocker，但用户感知度极低。

设备级加密需要系统配备TPM可信平台模块，可以打开Windows 11设置，导航至隐私和安全性>设备加密。

如果在此处能看到“设备加密”选项，则代表你的设备满足加密要求，如果此前登录了微软账号，则很可能已开启加密。

正常情况下，如果是在OOBE阶段登录微软账号后自动开启的加密，恢复密钥会安全保存在微软账户，但在某些特殊情况下（如用户在未登录账号时主动开启），则可能导致没有恢复密钥。

在上述“设备加密”设置页面中，可以选择关闭设备加密，关闭后，微软将自动对数据进行解密。

二、检查和禁用“BitLocker硬盘加密”

BitLocker硬盘加密是用户手动操作的一种加密方式，它默认不会开启，开启时系统会弹出提示要求用户保存恢复密钥（密钥同时也会保存到微软账户）。

用户可以打开文件资源管理器，查看各个硬盘分区图标，如果分区图标上带有BitLocker标志（一个小锁），则说明该分区已启用BitLocker加密。

用户可以在控制面板> BitLocker驱动器加密选项，对一个或多个硬盘分区根据自己的需要进行启用或禁用操作。

如果是自行全新安装Windows 11而非购买预装系统的设备，可以在安装过程中预先禁用设备加密，则可以考虑使用Rufus制作Windows 11安装U盘，在刻录系统镜像时，会弹出选项允许选择是否要禁用设备加密。