近期，越来越多 Windows 11 用户因系统更新或更换微软账号（MSA）而永久失去重要数据。这与微软在 Windows 11 24H2 中默认启用 BitLocker 有关。

用户在不知情的情况下开启了 BitLocker

从 Windows 11 24H2 开始，用户使用微软账号（MSA）完成首次开机设置（OOBE）时，BitLocker 功能会被默认启用，并且 BitLocker 的恢复密钥会被上传至对应的微软账号（MSA）。整个 OOBE 过程几乎没有明确提示用户 BitLocker 已被启用，也没有解释恢复密钥的重要性。这导致许多用户在系统发生故障或重装系统时由于丢失微软账号（MSA）的访问权而导致无法恢复设备中存储的数据。

更严重的是，一些用户在后续将系统从在 微软账号（MSA）切换为本地账户后，系统可能会出于隐私或清理目的删除微软账号（MSA），而系统并不会提示用户的微软账号（MSA）中还存有恢复密钥。此时，设备仍然处于加密状态，数据却已经没有任何方式解锁，风险极高。

有部分技术人员认为：

“如果没有强制性的恢复密钥备份机制，BitLocker 根本算不上是在‘保护数据’，反而是在制造大规模数据灾难的隐患。” 微软所谓的 “Secure by default” 策略，正在无形中伤害那些并不具备 IT 背景的普通用户。

避免出现此问题的相关建议

在 OOBE 过程明确告知并给予选择权

在 Windows 初始设置过程中，应明确提示用户 BitLocker 已被启用，并解释其带来的好处与风险。BitLocker 启用依然可以是推荐选项，但用户必须被告知：

一旦系统故障且无法访问 Microsoft 账户，将无法恢复任何数据。
同时，也应提示用户可以在设置完成后选择关闭 BitLocker（虽然很多人可能不会主动这么做）。

建立实时风险监控机制

Windows 应定期后台检测当前设备的恢复密钥是否存在于有效的 Microsoft 账户中。一旦检测到用户退出了账户，或账户状态异常，应立刻弹出高风险提示，说明：

当前设备仍受 BitLocker 加密保护，若后续系统出现故障，你将可能失去对全部数据的访问权限。
这样的机制可以在灾难发生前，给用户足够的时间保存密钥或重新绑定账户，避免不可逆的损失。

补充内容

“如果全新安装了 Windows 11 24H2 或者购买了一台预装了 24H2 的新电脑，BitLocker 将默认启用。如果你只是从旧版本升级到 24H2，微软不会自动启用 BitLocker。”

这意味着：新设备用户或进行系统重装的用户，将最容易中招。如果他们在未察觉的情况下删除了 Microsoft 账户，后果极其严重。

微软当前的 BitLocker 策略，优先保障数据的“保密性”，但忽视了“可用性”的基本前提。对普通用户而言，能够取回自己的数据，远比数据被加密更重要。

via Reddit