A partir de Windows 11 24H2, se produce una situación extraña: si realizas una instalación limpia o una reinstalación en un dispositivo con chip TPM y Arranque seguro activado, prácticamente todas las particiones de disco se cifran automáticamente. Sí, todas las unidades conectadas (incluida la del sistema) se cifran con BitLocker, incluso si no lo configuras manualmente. Esto ocurre independientemente de si usas una cuenta local o de Microsoft, y de si tu Windows es Home, Pro o Enterprise. Antes de esta actualización, el cifrado automático de dispositivos era bastante impreciso: solo se aplicaba a equipos con TPM, modo de espera moderno y que pasaran la prueba HSTI. Ahora parece estar más integrado.
Un aspecto a tener en cuenta: este cifrado se produce durante la fase final de configuración al finalizar la instalación de Windows. Los datos se cifran, pero no están realmente protegidos por el protector de claves de BitLocker hasta que se inicia sesión en Windows por primera vez. Ese primer inicio de sesión es cuando la clave de cifrado de volumen se puede extraer con bastante facilidad (no es precisamente la más segura desde el primer momento).En resumen, tus datos no están completamente protegidos hasta que configures el protector de claves tú mismo posteriormente.
- Al iniciar sesión con una cuenta Microsoft (MSA), la protección se activa y la clave de recuperación de BitLocker se envía a la nube de Microsoft, Entra ID o cualquier otra configuración de AD, si la tiene configurada para almacenar claves de recuperación.
- Si inicias sesión con una cuenta local, tus datos no estarán protegidos hasta que configures explícitamente un protector de claves. Es un poco extraño, pero así es como funciona.
Si el cifrado automático del dispositivo no te convence o simplemente quieres controlarlo, puedes desactivarlo en Configuración → Privacidad y seguridad. Simplemente desliza el interruptor de Cifrado del dispositivoOff a la posición. Es bastante fácil, pero para un control más profundo, como detenerlo durante la instalación, existen algunos trucos de la línea de comandos y del registro.
Para comprobar si su volumen está cifrado, abra un símbolo del sistema o una ventana de PowerShell y ejecute:
manage-bde -statusSi desea desactivar el cifrado de inmediato en una unidad específica (por ejemplo, C:), ejecute:
manage-bde -off C:Y si realmente te tomas esto en serio y quieres desactivar BitLocker por completo en todas las unidades, puedes ejecutar esto desde PowerShell con derechos de administrador:
Get-BitLockerVolume | Disable-BitLockerOtra cosa: si quieres evitar que las unidades se cifren durante la instalación de Windows, puedes usar Rufus para crear el medio de instalación. Solo asegúrate de marcar la opción » Deshabilitar el cifrado automático de dispositivos de BitLocker » al grabar la ISO. Esto debería evitar que el sistema operativo cifre las unidades inesperadamente. Por supuesto, para un control total, también puedes desactivar el cifrado de dispositivos durante la instalación.
Así es como funciona:
- Después de copiar los archivos de Windows 11, la PC se reinicia en la pantalla OOBE (región, idioma, etc.).
- Presione
Shift+F10para abrir un símbolo del sistema allí mismo. - Si desea modificar el registro, ejecute
regedit.exe. - Vaya a HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\BitLocker. A continuación, cree un nuevo parámetro DWORD (32 bits) llamado PreventDeviceEncryption.
- Establezca ese valor en 1. O bien, desde la línea de comandos, puede ejecutar:
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\BitLocker /v PreventDeviceEncryption /t REG_DWORD /d 1 /fLuego, simplemente cierre el editor de registro o el símbolo del sistema y continúe con la instalación de Windows. El dispositivo no cifrará las unidades automáticamente de esta manera. Es un poco extraño, pero funciona; a veces a la primera, a veces no, así que podría ser necesario reiniciar.