Vanaf Windows 11 24H2 is er een vreemd fenomeen waarbij, als je een schone installatie of herinstallatie uitvoert op een apparaat met een TPM-chip en Secure Boot ingeschakeld, vrijwel alle schijfpartities automatisch worden versleuteld. Ja, alle aangesloten schijven (inclusief de systeemschijf) worden versleuteld met BitLocker, zelfs als je dit niet handmatig instelt. Dit geldt ongeacht of je een lokaal account of een Microsoft-account gebruikt, en ongeacht of je Windows Home, Pro of Enterprise is. Vóór deze update was automatische apparaatversleuteling nogal wisselvallig – alleen op machines met TPM + Modern Standby + die de HSTI-test doorstonden. Nu lijkt het een meer ingebouwde functie te zijn.
Een belangrijk punt om te onthouden: deze versleuteling vindt plaats tijdens de laatste OOBE-fase aan het einde van de Windows-installatie. De gegevens worden versleuteld, maar ze worden pas echt beschermd door de BitLocker-sleutelbeveiliging wanneer iemand voor het eerst inlogt op Windows. Bij die eerste aanmelding kan de volumeversleutelingssleutel vrij gemakkelijk worden achterhaald (niet bepaald de veiligste optie direct na installatie).Kortom, uw gegevens zijn niet optimaal beveiligd totdat u zelf de sleutelbeveiliging instelt.
- Bij het aanmelden met een Microsoft-account (MSA) wordt de beveiliging geactiveerd en wordt de BitLocker-herstelsleutel naar de Microsoft-cloud, Entra ID of uw Active Directory-configuratie verzonden (mits deze is ingesteld voor het opslaan van herstelsleutels).
- Als je inlogt met een lokaal account, zijn je gegevens pas beschermd nadat je expliciet een sleutelbeveiliger hebt ingesteld. Een beetje vreemd, maar zo werkt het nu eenmaal.
Als automatische apparaatversleuteling niet je ding is, of als je er gewoon controle over wilt hebben, kun je het uitschakelen in Instellingen → Privacy en beveiliging. Schuif de schakelaar voor apparaatversleuteling naar Off. Simpel genoeg, maar voor meer controle, zoals het stoppen ervan tijdens de installatie, zijn er een aantal trucs via de opdrachtregel en het register.
Om te controleren of uw volume versleuteld is, opent u een opdrachtprompt of PowerShell-venster en voert u het volgende commando uit:
manage-bde -statusAls je de encryptie direct op een specifieke schijf (bijvoorbeeld C:) wilt uitschakelen, voer dan het volgende commando uit:
manage-bde -off C:En als je het echt serieus aanpakt en BitLocker volledig wilt uitschakelen op alle schijven, kun je dit uitvoeren vanuit PowerShell met beheerdersrechten:
Get-BitLockerVolume | Disable-BitLockerNog iets: als je wilt voorkomen dat de schijven tijdens de Windows-installatie worden versleuteld, kun je Rufus gebruiken om je installatiemedia te maken. Zorg er wel voor dat je bij het branden van de ISO de optie ‘ Automatische apparaatversleuteling van BitLocker uitschakelen ‘ aanvinkt. Dit voorkomt dat het besturingssysteem schijven onverwacht versleutelt. Voor volledige controle kun je de apparaatversleuteling natuurlijk ook tijdens het installatieproces uitschakelen.
Zo werkt dat:
- Na het kopiëren van de Windows 11-bestanden start de pc opnieuw op en verschijnt het OOBE-scherm (regio, taal, enz.).
- Druk op
Shift+F10deze knop om direct een opdrachtprompt te openen. - Als je het register wilt wijzigen, voer dan het volgende commando uit:
regedit.exe. - Navigeer naar HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\BitLocker. Maak vervolgens een nieuwe DWORD-parameter (32-bits) aan met de naam PreventDeviceEncryption.
- Stel die waarde in op 1. Of, vanaf de commandoregel kunt u het volgende uitvoeren:
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\BitLocker /v PreventDeviceEncryption /t REG_DWORD /d 1 /fSluit vervolgens de registereditor of de opdrachtprompt en ga verder met de Windows-installatie. Het apparaat zal op deze manier geen schijven automatisch versleutelen. Een beetje vreemd, maar het werkt – soms in één keer, soms niet, dus een herstart kan nodig zijn.