Начиная с Windows 11 24H2 при чистой установке или переустановке операционной системы на компьютере с TPM чипом будет выполнено автоматическое шифрование всех разделов. Все подключенные к компьютеру диски (включая системный) шифруются с помощью BitLocker. Автоматическое шифрование активируется независимо от типа учетной записи (локальная или учетная запись Microsoft) и редакции Windows (Home, Pro или Enterprise). В предыдущих версиях Windows 11 автоматическое шифрование включалось при наличии TPM + поддержка Modern Standby + соответствие устройства тесту HSTI.
Шифрование устройства выполняется на завершающем OOBE этапе установки Windows. Данные фактически шифруются, но на самом деле еще не защищены с помощью Bitlocker key protector до первого входа пользователя, и ключ шифрования тома можно легко извлечь в открытом виде.
- При входе под онлайн учетной записью Microsoft (MSA), активируется защита и ключ восстановления Bitlocket отправляется в облако Microsoft, Entra ID или наземную AD, если настроена политика сохранения ключей восстановления BitLocker)
- При входе в Windows 11 с локальной учетной записью, данные фактически не будут защищены, пока вы вручную не настроите key protector.
Отключить автоматическое шифрование устройства в Windows можно в разделе Settings -> Privacy & Security. Отключите опцию Device encryption.
Проверить, зашифрован ли указанный том можно с помощью команды:
manage-bde -status
Чтобы отключить шифрование для тома, выполните:
manage-bde –off C:
Если вы не хотите, чтобы Windows не шифровало диски при установке, можно воспользоваться утилитой Rufus для записи установочного ISO образа с Windows 11 на USB флешку. При записи ISO образа в Rufus можно включить опцию Disable BitLocker automatic device encryption.
Либо вы можете отключить шифрование устройства во время установки Windows.
- После того, как установочные файлы Windows 11 будут скопированы на устройство, компьютер перезагрузится и вы попадете на экран OOBE (Out Of the Box Experience), где нужно выбрать регион и язык
- Прямо на этом экране нажмите сочетание клавиш
Shift+F10чтобы открыть командную строку - Выполните команду
regeditчтобы открыть редактор реестра - Перейдите в ветку
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\BitLockerи создайте Dword (32-bit) параметр с именем PreventDeviceEncryption - Задайте значение 1
Или создайте параметр реестра командой:REG ADD HKLM\SYSTEM\CurrentControlSet\Control\BitLocker /v PreventDeviceEncryption /t REG_DWORD /d 1 - Закройте командную строку и продолжите установку Windows 11. При дальнейшей установке, автоматические шифрование не будет активировано.
А что делает rufus что бы по умолчанию на стадии установки оно вырубало шифрование без лишних телодвижений ?
Скорее всего вносятся изменения в реестра в install.WIM файл, ну или подкладывается файл ответов. Кому не лень — можете проверить как именно )
Посмотрел то что создается в
\sources\$OEM$\$$\Panther\unattend.xmlничего относящего к BitLocker
в логах Rufus-а вижу только одну строчку касаемо BitLocker
Selected Windows User Experience options:• Bypass SB/TPM/RAM
• Bypass online account requirement
• Disable data collection
• Use 'User' for local account name
• Use the same regional options as this user's
• Disable bitlocker
Это список выбранных опций при записи образа, а далее по логу не видно что он делает для отключения шифрования
сверил файлы на источнике ISO и назначении на флэшку
кроме добавленного unattend.xml, изменены файлы appraiserres.dll и boot.wim
если с первым понятно, там было что то про снятие ограничений на 4G и т.д.
видимо интересующие меня изменения в boot.wim
Как посмотреть что он изменил в WIM файле?
Исходный код программы на Github.
А именно 220-233 строки в файле wue.c
Эти параметры вижу в unattend.xml
а чего он лезет в boot.wim и что там меняет?
В том же файле строки с 850 по 951, в которой происходит размонитрование файла boot.wim.
Применение настроек SECUREBOOT, TPM, MINRAM путём редактирование веток реестра в boot.wim.