​​Автоматическое шифрование BitLocker в Windows 11 Начиная с Windows 11 24H2 все предустановленные системы или чистые установки на компьютеры с TPM и SecureBoot автоматически включается шифрование BitLocker для всех локальных дисков. Редакция ОС и тип учетной записи роли не играют, шифрование начинается сразу после завершения этапа OOBE во время установки или при первом запуске предустановленной ОС. После чего диски оказываются зашифрованы, но не защищены. Что это значит? А это значит, что к их содержимому получит доступ любой, кто имеет физический доступ к компьютеру. Достаточно загрузиться в любую систему с поддержкой BitLocker и он автоматически расшифрует диски при помощи TPM. Если вы попробуете получить доступ к диску отдельно от ПК, то система попросит у вас 48-символьный пароль, которого у вас пока нет и быть не может. Чтобы получить доступ к данным достаточно вернуть диск в физическую систему. Т.е. слить данные сняв диск у вас больше не получится. Используйте для этого среду восстановления или WinPE. Также следует иметь ввиду, что автоматически зашифрованы будут все подключенные к компьютеру диски, кроме съемных. Поэтому перенос информации на временно подключенный к ПК локальный диск тоже может преподнести сюрпризы. Все меняется после того, как пользователь войдет с учетной записью Microsoft или Azure Active Directory, а также Active Directory с активированной соответствующей политикой. Диски будут сразу-же защищены, т.е. для них будет сформирован 48-символьный пароль восстановления и доступ к дискам будет доступен только после входа в систему. Данный пароль в случае входа с облачными аккаунтами передается и хранится в облаке, а при доменной учетной записи – в Active Directory. Теперь если вы не можете загрузить систему, либо загрузились в среду восстановления то для доступа к данным вам понадобится этот пароль. Тоже самое будет если вы переустановили систему и отформатировали только диск C, для доступа к другим дискам потребуется знать пароль. В целом это не страшно, ведь облачный аккаунт у вас есть, если вы смогли войти с его помощью, а значит есть и ключ. Но многие, особенно неопытные пользователи и администраторы пугаются и часто совершают фатальные для данных поступки. Для облачной учетной записи Microsoft ключи восстановления BitLocker вы можете посмотреть на странице https://account.microsoft.com/devices/recoverykey В каких случаях вы можете безвозвратно потерять данные? Если у вас диск был зашифрован, но не защищен и вы более не владеете исходным ПК, например, вынули диск из ноутбука и продали его. В этом случае остается только помахать данным ручкой. Тоже самое произойдет, если вы активируете защиту дисков BitLocker вручную и нигде не сохраните пароль восстановления (в этом случае он не передается ни в какое облако). Узнать текущий статус дисков можно командой:

Get-BitLockerVolume

В статусе вы можете увидеть FullyDecrypted – полностью расшифровано или FullyEncrypted – полностью зашифровано. В последнем случае смотрим колонку ProtectionStatus, если там стоит Off, то защита выключена и для доступа к содержимому достаточно физического доступа к компьютеру. Если On – то включена и вам потребуется пароль восстановления. В этом случае также будет заполнено поле KeyProtector, где будет указано RecoveryPassword. Узнать его здесь и сейчас можно командой:

(Get-BitLockerVolume C:).KeyProtector.RecoveryPassword

Где C: имя интересующего тома. Ну и наконец вы можете отключить BitLocker для тома командой:

Disable-BitLocker -MountPoint "C:"

Следует ли это делать? Скорее нет, чем да, особенно если устройство переносное. Как ни крути, а шифрование серьезно повышает безопасность в случае кражи или потери девайса. В общем, каждый решает сам. Но знать основы и особенности технологии автоматического шифрования нужно, дабы не попасть в неудобные ситуации.