Отключить автоматическое шифрование устройства в Windows 11

Начиная с Windows 11 24H2 при чистой установке или переустановке операционной системы на компьютере с TPM чипом будет выполнено автоматическое шифрование всех разделов . Все подключенные к компьютеру диски (включая системный) шифруются с помощью BitLocker. Автоматическое шифрование активируется независимо от типа учетной записи (локальная или учетная запись Microsoft) и редакции Windows (Home, Pro или Enterprise). В предыдущих версиях Windows 11 автоматическое шифрование включалось при наличии TPM + поддержка Modern Standby + соответствие устройства тесту HSTI.

Шифрование устройства выполняется на завершающем OOBE этапе установки Windows. Данные фактически шифруются, но на самом деле еще не защищены с помощью Bitlocker key protector до первого входа пользователя, и ключ шифрования тома можно легко извлечь в открытом виде.

• При входе под онлайн учетной записью Microsoft (MSA), активируется защита и ключ восстановления Bitlocket отправляется в облако Microsoft, Entra ID или наземную AD, если настроена политика сохранения ключей восстановления BitLocker )
• При входе в Windows 11 с локальной учетной записью , данные фактически не будут защищены, пока вы вручную не настроите key protector.

Отключить автоматическое шифрование устройства в Windows можно в разделе Settings -> Privacy & Security . Отключите опцию Device encryption .

Проверить, зашифрован ли указанный том можно с помощью команды:

manage-bde -status

Чтобы отключить шифрование для тома, выполните:

manage-bde –off C:

Если вы не хотите, чтобы Windows не шифровало диски при установке, можно воспользоваться утилитой Rufus для записи установочного ISO образа с Windows 11 на USB флешку. При записи ISO образа в Rufus можно включить опцию Disable BitLocker automatic device encryption .

Либо вы можете отключить шифрование устройства во время установки Windows.

1. После того, как установочные файлы Windows 11 будут скопированы на устройство, компьютер перезагрузится и вы попадете на экран OOBE (Out Of the Box Experience), где нужно выбрать регион и язык
2. Прямо на этом экране нажмите сочетание клавиш Shift+F10 чтобы открыть командную строку
3. Выполните команду regedit чтобы открыть редактор реестра
4. Перейдите в ветку HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlBitLocker и создайте Dword (32-bit) параметр с именем PreventDeviceEncryption
5. Задайте значение 1
   
   
   Или создайте параметр реестра командой: REG ADD HKLMSYSTEMCurrentControlSetControlBitLocker /v PreventDeviceEncryption /t REG_DWORD /d 1

6. Закройте командную строку и продолжите установку Windows 11. При дальнейшей установке, автоматические шифрование не будет активировано.