Отключить автоматическое шифрование устройства в Windows 11

Начиная с Windows 11 24H2 при чистой установке или переустановке операционной системы на компьютере с TPM чипом будет выполнено автоматическое шифрование всех разделов. Все подключенные к компьютеру диски (включая системный) шифруются с помощью BitLocker. Автоматическое шифрование активируется независимо от типа учетной записи (локальная или учетная запись Microsoft) и редакции Windows (Home, Pro или Enterprise). В предыдущих версиях Windows 11 автоматическое шифрование включалось при наличии TPM + поддержка Modern Standby + соответствие устройства тесту HSTI.

Шифрование устройства выполняется на завершающем OOBE этапе установки Windows. Данные фактически шифруются, но на самом деле еще не защищены с помощью Bitlocker key protector до первого входа пользователя, и ключ шифрования тома можно легко извлечь в открытом виде.

• При входе под онлайн учетной записью Microsoft (MSA), активируется защита и ключ восстановления Bitlocket отправляется в облако Microsoft, Entra ID или наземную AD, если настроена политика сохранения ключей восстановления BitLocker)
• При входе в Windows 11 с локальной учетной записью, данные фактически не будут защищены, пока вы вручную не настроите key protector.

Отключить автоматическое шифрование устройства в Windows можно в разделе Settings -> Privacy & Security. Отключите опцию Device encryption.

Проверить, зашифрован ли указанный том можно с помощью команды:

manage-bde -status

Чтобы отключить шифрование для тома, выполните:

manage-bde –off C:

Если вы не хотите, чтобы Windows не шифровало диски при установке, можно воспользоваться утилитой Rufus для записи установочного ISO образа с Windows 11 на USB флешку. При записи ISO образа в Rufus можно включить опцию Disable BitLocker automatic device encryption.

Либо вы можете отключить шифрование устройства во время установки Windows.

1. После того, как установочные файлы Windows 11 будут скопированы на устройство, компьютер перезагрузится и вы попадете на экран OOBE (Out Of the Box Experience), где нужно выбрать регион и язык
2. Прямо на этом экране нажмите сочетание клавиш Shift+F10 чтобы открыть командную строку
3. Выполните команду regedit чтобы открыть редактор реестра
4. Перейдите в ветку HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlBitLocker и создайте Dword (32-bit) параметр с именем PreventDeviceEncryption
5. Задайте значение 1
   
   Или создайте параметр реестра командой: REG ADD HKLMSYSTEMCurrentControlSetControlBitLocker /v PreventDeviceEncryption /t REG_DWORD /d 1
6. Закройте командную строку и продолжите установку Windows 11. При дальнейшей установке, автоматические шифрование не будет активировано.