Вопрос или проблема
Несмотря на то, что в Интернете доступно много контента, мне нужна достоверная информация.
Я купил ноутбук Dell 3140, который поставлялся с предустановленной Windows 11 Pro. Я сделал DISKPART CLEAN на всем диске и proceeded с чистой установкой Windows 11 23H2 Pro. На последнем этапе настройки я использовал трюк oobe bypassnro и не подключился к сети, а вместо этого создал локальную учетную запись администратора.
После этого я никогда не входил в свою учетную запись MS ни в операционной системе, ни в любых приложениях, таких как MS Edge. Тем не менее, я замечаю, что все мои диски (ОС + данные) зашифрованы с помощью BitLocker. У меня сложилось впечатление, что BitLocker включен, когда вы входите в Windows 11 с учетной записью MS во время настройки. Однако не совсем понятно, почему он был включен по умолчанию. Я также не очень уверен, если BitLocker автоматически включается только в Windows 11 24H2 или даже в более ранних версиях Windows 11.
Я провел некоторые исследования и пришел к пониманию, что для OEM-устройств, если шифрование устройства включено в микропрограмме (UEFI), тогда BitLocker будет включен. Неясно, связано ли это поведение с учетной записью MS или нет.
Это оставляет у меня следующие вопросы
- При каких условиях BitLocker включен по умолчанию при чистой установке Windows 11 и в каких версиях? Только в 24H2 или даже в предыдущих? Если только в 24H2, почему это произошло в 23H2?
- Существует ли такая опция, как шифрование устройства в микропрограмме Dell 3140? Я не очень уверен, где искать и как она точно называется. Я искал в базе знаний Dell в Интернете, но не нашел никаких ссылок.
- Rufus предлагает создание USB-установщика, который изменен, чтобы предотвратить автоматическое шифрование BitLocker. Я протестировал его в виртуальной машине, но работает ли он даже если такая установка (шифрование устройства) включена в микропрограмме?
На данный момент я отключил BitLocker. Однако получение правильной технической ясности поможет мне убедиться, что в следующий раз при чистой установке BitLocker не будет включен автоматически в Windows 11. Мне это не нужно на диске ОС.
Для вашего сведения, вот настройки шифрования из приложения Параметры перед тем, как я отключил BitLocker. Единственное, что там написано, это то, что это управляется BitLocker. Также обратите внимание, что msinfo32 показывает Поддержка шифрования устройства - соответствует требованиям.
При каких условиях BitLocker включен по умолчанию при чистой установке Windows 11 и в каких версиях? Только в 24H2 или даже в предыдущих? Если только в 24H2, почему это произошло в 23H2?
Насколько я помню, это происходило даже в ранних версиях Windows 10 (и возможно даже в 8.1).
Существует ли такая опция, как шифрование устройства в микропрограмме Dell 3140? Я не очень уверен, где искать и как она точно называется. Я искал в базе знаний Dell в Интернете, но не нашел никаких ссылок.
Такой настройки в микропрограмме нет. “Шифрование устройства” не является функцией микропрограммы – это по-прежнему то же самое шифрование BitLocker Windows, только под другим названием и с более строгим списком требований (т.е. различные другие функции микропрограммы), которые должны быть выполнены. Windows Home ограничивается “Шифрованием устройства”; Windows Pro может по-прежнему отображать BitLocker как “Шифрование устройства”, когда требования выполнены.
(Например, UEFI с безопасной загрузкой и привязкой PCR7 является одним из требований, насколько я помню.)
Документация Microsoft содержит страницу, перечисляющую требования OEM для шифрования устройства:
-
https://learn.microsoft.com/en-us/windows-hardware/design/device-experiences/oem-bitlocker
Автоматическое шифрование устройства BitLocker включается, когда:
- Устройство содержит TPM (модуль доверенной платформы), либо TPM 1.2, либо TPM 2.0.
- Включена безопасная загрузка UEFI. См. Безопасная загрузка для получения дополнительной информации.
- Включена безопасная загрузка платформы.
- Платформа соответствует требованиям Modern Standby или HSTI (это требование было удалено с Windows 11 24H2).
- Нет неразрешенных интерфейсов прямого доступа к памяти (DMA) (это требование было удалено с Windows 11 24H2).
Rufus предлагает создание USB-установщика, который изменен, чтобы предотвратить автоматическое шифрование BitLocker. Я протестировал его в виртуальной машине, но работает ли он даже если такая установка (шифрование устройства) включена в микропрограмме?
Микропрограмма не принимает решение; это делает операционная система.
Ответ или решение
Условия автоматической активации BitLocker в Windows 11
Введение
Понимание условий, при которых BitLocker активируется по умолчанию на чистой установке Windows 11, требует учета нескольких факторов, включая версию операционной системы, аппаратные спецификации устройства и настройки конфигурации.
Условия автоматической активации BitLocker
-
Версии Windows 11
BitLocker может автоматически активироваться в различных версиях Windows 11, но для этого необходимо учитывать целый ряд условий. В частности, устройство должно соответствовать определенным стандартам, включая наличие TPM (Trusted Platform Module), установленный UEFI Secure Boot и другие параметры, описанные в официальной документации. Начина с версии 23H2 BitLocker может автоматически включаться даже без входа через учетную запись Microsoft, если выполняются необходимые аппаратные и программные требования. -
Аппаратные требования
- TPM: Устройство должно быть оснащено модулем TPM 1.2 или 2.0.
- UEFI Secure Boot: Эта функция должна быть активирована в BIOS/UEFI вашего устройства.
- Совместимость с современными стандартами: Некоторые факторы, такие как совместимость с Modern Standby и HSTI, также могут влиять на решение о автоматическом шифровании, однако начиная с версии 24H2 некоторые из этих требований были упразднены.
- Отсутствие запрещенного доступа: Устройство не должно иметь неразрешенные интерфейсы прямого доступа к памяти (DMA).
Таким образом, BitLocker может быть активирован автоматически в версиях Windows 11 начиная с 23H2, если устройство соответствует перечисленным требованиям.
Запросы по настройкам оборудования
-
Настройка шифрования в BIOS
В современных устройствах нет отдельного параметра, называемого "Device Encryption" в BIOS/UEFI. Эта функция фактически является частью BitLocker, но включается автоматически при соблюдении других условий. Например, вы можете обнаружить опцию "Secure Boot" или "TPM" в настройках UEFI.Для проверки наличия TPM:
- Войдите в BIOS/UEFI, нажмите соответствующую клавишу (обычно F2, Delete или Esc) во время загрузки.
- Найдите раздел, связанный с безопасностью или конфиденциальностью (может называться по-разному в зависимости от производителя).
- Убедитесь, что TPM включен, а также что активирован Secure Boot.
Использование Rufus для установки
- Программа Rufus
Rufus предлагает инструменты, которые могут помочь создать загрузочный USB-накопитель с отключенной автоматической активацией BitLocker. Однако важно отметить, что решение о шифровании принимает сама операционная система на основе конфигурации аппаратного обеспечения. Если Device Encryption активирован в BIOS/UEFI, то даже использование Rufus с модифицированным установщиком не гарантирует отсутствие автоматического шифрования после установки операционной системы.
Заключение
Для ограничения автоматического включения BitLocker в будущих установках Windows 11, важно проверить настройки UEFI и аппаратные спецификации вашего устройства. В частности, убедитесь, что TPM и Secure Boot активированы, но, при необходимости, вы можете рассмотреть возможность отключения технологии Device Encryption через соответствующие как программные, так и аппаратные методы. Ознакомление с консультациями и документацией от производителя вашего оборудования, а также использование надежных источников информации, таких как официальные страницы Microsoft, поможет вам избегать неожиданных ситуаций с шифрованием данных в будущем.