W systemie Windows 11 szyfrowanie dysków możesz włączyć z poziomu ustawień lub Panelu sterowania, ale najpierw komputer musi spełniać wymagania sprzętowe – UEFI Secure Boot, TPM 2.0 i osobna partycja systemowa z min. 250 MB wolnego miejsca. Dla automatycznego szyfrowania w edycji Home liczy się też obsługa trybu Modern Standby. Po poprawnym uruchomieniu szyfrowania dostajesz 48‑cyfrowy klucz odzyskiwania, bez którego nikt – także Microsoft – nie odblokuje zaszyfrowanego dysku. Szyfrowanie wykorzystuje algorytm AES z pomocą sprzętowej akceleracji w procesorze, więc nie powoduje zauważalnego spadku wydajności. Jeśli chcesz poznać krok po kroku, jak to włączyć, skonfigurować i używać w Windows 11 w 2026 roku, czytaj dalej.
Czym jest BitLocker w Windows 11?
W Windows 11 są w praktyce dwie powiązane funkcje: automatyczne szyfrowanie urządzenia oraz klasyczne szyfrowanie dysków. Pierwsza to Device Encryption, która na zgodnych komputerach (głównie laptopy z Windows 11 Home) włącza szyfrowanie zaraz po ukończeniu OOBE i zalogowaniu na konto Microsoft. W przypadku tej funkcji Microsoft wymaga, aby platforma sprzętowa obsługiwała nowoczesny stan czuwania Modern Standby, dzięki czemu laptop pozostaje zabezpieczony także w trybach uśpienia i szybkiego wznowienia.
Druga to BitLocker Drive Encryption – rozbudowany mechanizm zarządzania szyfrowaniem dla edycji Pro, Enterprise i Education.
Samo szyfrowanie chroni dane „w spoczynku”: jeśli ktoś wyjmie dysk, podłączy go do innego komputera lub spróbuje uruchomić system spoza zaufanego środowiska, zawartość woluminów pozostaje nieczytelna. Funkcja korzysta z modułu TPM, który przechowuje klucze w sprzęcie i weryfikuje integralność rozruchu przy użyciu m.in. rejestru PCR7 powiązanego z UEFI Secure Boot.
Na poziomie algorytmu zarówno BitLocker, jak i Device Encryption wykorzystują szyfrowanie AES. Nowoczesne procesory (Intel, AMD) posiadają wbudowane instrukcje AES‑NI, które przyspieszają obliczenia kryptograficzne, dzięki czemu operacje odczytu i zapisu odbywają się w locie, bez odczuwalnego spadku komfortu pracy użytkownika.
Szyfrowane mogą być różne typy nośników. Dysk systemu operacyjnego zawiera sam Windows, „stałe dyski danych” to dodatkowe wewnętrzne woluminy, a wymienne pamięci USB zabezpiecza wariant BitLocker To Go. Wszystko to obsługujesz z jednego miejsca – apletu Szyfrowanie dysków funkcją BitLocker w Panelu sterowania albo konsoli zarządzania uruchamianej z wyszukiwania „Zarządzaj funkcją BitLocker”.
Szyfrowanie dysków w Windows 11 chroni dane offline i przy starcie systemu, ale nie jest tarczą antywirusową – złośliwe oprogramowanie ma dostęp do plików, gdy system działa, a dysk jest odblokowany.
Jak sprawdzić, czy Twój Windows 11 obsługuje BitLocker?
Najpierw liczy się edycja systemu. Windows 11 Home nie ma pełnego BitLocker Drive Encryption, ale na większości nowych urządzeń oferuje Device Encryption. Dla tej funkcji, oprócz TPM i UEFI, istotne jest wsparcie trybu Modern Standby (S0 Low Power Idle) przez płytę główną i procesor – bez niego automatyczne szyfrowanie urządzenia nie będzie dostępne, nawet jeśli inne warunki są spełnione.
Z kolei Windows 11 Pro, Enterprise i Education umożliwiają pełne szyfrowanie wszystkich typów dysków, także z dodatkowymi opcjami zasad i trybów szyfrowania.
Do poprawnego działania potrzebne są też określone komponenty. Windows 11 wymaga standardowo UEFI Secure Boot oraz modułu TPM 2.0, a dla partycji systemowej szyfrowania – osobnego woluminu z co najmniej 250 MB wolnej przestrzeni. Tę konfigurację sprawdzisz w narzędziu msinfo32, wybierając „Informacje systemowe” i sekcję „Obsługa szyfrowania urządzeń”. Komunikaty w tym miejscu jasno piszą, czy problemem jest brak TPM, wyłączony bezpieczny rozruch, brak skonfigurowanego WinRE lub brak obsługi Modern Standby.
Ważna jest także wersja samego systemu. W wydaniu Windows 11 24H2 zmniejszono wymagania dla Auto‑DE – automatycznego szyfrowania urządzeń. Nie jest już konieczny test HSTI (Hardware Security Test Interface) ani konfigurowanie listy bezpiecznych magistral DMA w kluczu HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DmaSecurity\AllowedBuses. Dzięki temu więcej nowych laptopów spełnia warunki automatycznego szyfrowania zaraz po pierwszym uruchomieniu.
W nielicznych przypadkach przeszkodą może być tryb rozruchu. Konfiguracje działające w Legacy boot mode wymagają starszego TPM 1.2, a nowoczesny UEFI boot mode pozwala użyć zarówno TPM 1.2, jak i TPM 2.0. W praktyce na sprzęcie sprzedawanym z Windows 11 w 2026 roku spotykasz już wyłącznie nowszą wersję modułu.
Jak włączyć BitLocker w Windows 11?
Metoda zależy od edycji systemu i tego, czy chcesz skorzystać z pełnego apletu szyfrowania dysków, czy z automatycznego szyfrowania urządzenia. Zawsze warto najpierw włączyć moduł TPM i bezpieczny rozruch w UEFI, a dopiero potem przejść do konfiguracji w systemie.
Na starszych lub niestandardowych platformach, które nie spełniają wymagań dotyczących modułu TPM, Windows nadal potrafi szyfrować dysk, ale wymaga zmiany zasad w edytorze zasad grupy i stosuje inne mechanizmy uwierzytelniania (np. hasło albo klucz na pamięci USB) zamiast automatycznego odblokowania przez TPM. Rozwiązanie to bywa używane w środowiskach testowych i laboratoryjnych, natomiast na sprzęcie produkcyjnym Microsoft zaleca korzystanie z pełnego łańcucha zaufania opartego na TPM 2.0.
BitLocker Drive Encryption w Windows 11 Pro
Na komputerach z edycją Pro, Enterprise lub Education pełne szyfrowanie włączysz z poziomu klasycznego Panelu sterowania. W tym celu wykonaj następujące kroki:
- Wejdź na konto z uprawnieniami administratora.
- W menu Start wpisz „BitLocker” i wybierz „Zarządzaj funkcją BitLocker”, aby otworzyć aplet Szyfrowanie dysków funkcją BitLocker.
- Na liście dysków znajdź dysk systemu operacyjnego i – w razie potrzeby – dodatkowe „stałe dyski danych”.
- Przy wybranym woluminie kliknij „Włącz funkcję BitLocker”.
- Wybierz sposób odblokowywania (np. hasło przy starcie, moduł TPM z dodatkowymi wymaganiami PIN, klucz na USB).
- Zapisz klucz odzyskiwania w co najmniej jednym miejscu.
- Wskaż zakres szyfrowania i tryb (tylko używane miejsce lub cały dysk, nowy lub zgodny).
- Zaznacz opcję „Uruchom test systemowy funkcji BitLocker”, a następnie zrestartuj komputer, aby zacząć szyfrowanie.
Proces może potrwać od 20 minut do kilku godzin, zależnie od rozmiaru dysku oraz tego, czy wybrałeś tylko używane sektory, czy całą przestrzeń. W czasie szyfrowania możesz nadal pracować, ale nie powinieneś dopuszczać do przechodzenia komputera w głęboki stan uśpienia podczas pierwszej fazy.
Device Encryption w Windows 11 Home
Na wielu laptopach z Windows 11 Home dostępne jest uproszczone szyfrowanie urządzenia, oparte na tej samej technologii, ale zarządzane z poziomu aplikacji Ustawienia. Aby je znaleźć, konieczna jest zgodność sprzętowa i zalogowanie na konto Microsoft, bo podczas pierwszego logowania klucz odzyskiwania jest tam automatycznie wysyłany.
Oprócz wymagań UEFI i TPM, kluczowym warunkiem jest właśnie obsługa Modern Standby przez platformę sprzętową. Jeśli msinfo32 raportuje, że „Stan czuwania (S0 Low Power Idle)” jest niedostępny, sekcja „Szyfrowanie urządzenia” może w ogóle nie pojawić się w ustawieniach.
Gdy funkcja jest dostępna, ścieżka jest prosta. W tym celu wykonaj następujące kroki:
- Otwórz Ustawienia (skrót Win + I).
- Przejdź do sekcji „Prywatność i zabezpieczenia”.
- Wybierz pozycję „Szyfrowanie urządzenia”.
- Przesuń przełącznik Device Encryption na pozycję „Włączone”.
Od wydania Windows 11 24H2 nowe instalacje systemu mają szyfrowanie domyślnie aktywne, jeśli sprzęt i konto spełniają wymagania. Wyłączenie automatycznego szyfrowania przez producentów OEM jest dopuszczalne tylko wtedy, gdy na urządzeniu stosują własną technologię szyfrowania i przestrzegają zasady „secure by default”.
Jak wybrać tryb i zakres szyfrowania?
Podczas włączania szyfrowania dysków otrzymujesz kilka istotnych decyzji. Pierwsza dotyczy zakresu:
- „Szyfruj tylko używane miejsce” – szybsza opcja, szyfruje wyłącznie sektory z danymi; idealna dla nowych komputerów lub świeżo zainstalowanego systemu.
- „Zaszyfruj cały dysk twardy” – wolniejsza, ale dokładna; sprawdza się na dyskach używanych od dawna, gdzie pliki były już kasowane.
Druga decyzja to wybór trybu samego algorytmu. Nowy tryb szyfrowania (domyślny) jest przeznaczony dla wewnętrznych stałych dysków w nowszych wersjach systemu. Z kolei tryb „zgodny” wybierasz wtedy, gdy nośnik ma być używany także na starszych wersjach Windows, które mogą nie obsługiwać nowszego formatu metadanych.
| Rodzaj funkcji | Gdzie dostępna | Do czego służy |
| Device Encryption (Auto-DE) | Głównie Windows 11 Home | Automatyczne szyfrowanie całego urządzenia po OOBE i logowaniu na konto Microsoft |
| BitLocker Drive Encryption | Windows 11 Pro/Enterprise/Education | Ręczne szyfrowanie dysku systemowego i dodatkowych dysków danych z większą liczbą ustawień |
| BitLocker To Go | Pro/Enterprise/Education | Szyfrowanie dysków wymiennych, np. pendrive’ów i zewnętrznych HDD/SSD |
Czy BitLocker spowalnia komputer?
Wielu użytkowników obawia się, że ciągłe szyfrowanie i deszyfrowanie danych obniży wydajność systemu. W praktyce w Windows 11 wpływ na szybkość działania jest minimalny, ponieważ wszystkie mechanizmy szyfrowania opierają się na algorytmie AES wspieranym sprzętowo przez procesor.
Nowoczesne jednostki CPU udostępniają zestaw instrukcji AES‑NI, które przyspieszają operacje kryptograficzne na poziomie mikroarchitektury. Oznacza to, że proces szyfrowania bloków danych jest wykonywany niemal „przy okazji” standardowych operacji odczytu i zapisu, a różnice w wydajności w porównaniu z nieszyfrowanym dyskiem są dla większości scenariuszy pracy niezauważalne.
Jak używać i zarządzać BitLockerem na co dzień?
Po pierwszej konfiguracji szyfrowanie działa w tle. W codziennej pracy ważniejsza staje się umiejętność sprawdzenia stanu zabezpieczeń, czasowego wstrzymania ochrony przed aktualizacją oprogramowania układowego oraz świadomego wyłączenia szyfrowania, gdy planujesz zmienić komputer lub sprzedać nośnik.
Jak sprawdzić stan szyfrowania?
Najszybciej zrobisz to w graficznej konsoli. Po uruchomieniu „Zarządzaj funkcją BitLocker” przy każdym dysku zobaczysz status („Włączona”, „Wstrzymana”, „Wyłączona”) oraz ikonę kłódki. Gdy proces szyfrowania nadal trwa, obok pojawia się opis wykonywanej operacji.
Osoby preferujące wiersz polecenia mogą użyć narzędzia manage‑bde. W tym celu wykonaj następujące kroki:
- Otwórz menu Start, wpisz „cmd”.
- Kliknij prawym przyciskiem „Wiersz polecenia” i wybierz „Uruchom jako administrator”.
- Wpisz komendę manage-bde -status i naciśnij Enter.
- W wyświetlonym raporcie odczytaj procent zaszyfrowanej przestrzeni, użyty tryb szyfrowania oraz informację, czy ochrona jest aktywna.
Jak wstrzymać i wyłączyć ochronę?
Wstrzymanie przydaje się przy aktualizacji BIOS/UEFI, wymianie sprzętu lub dużych modyfikacjach konfiguracji rozruchu. Bez tego urządzenie może zażądać klucza odzyskiwania, bo wykryje zmianę w łańcuchu zaufania zapisanym w PCR7. W tym celu wykonaj następujące kroki:
- Otwórz konsolę „Zarządzaj funkcją BitLocker”.
- Przy wybranym dysku wybierz „Wstrzymaj ochronę”.
- Potwierdź ostrzeżenie i zrestartuj komputer dopiero po zakończeniu krytycznych czynności.
- Po aktualizacji wróć do tego samego okna i kliknij „Wznów ochronę”.
W skryptach administracyjnych rolę wstrzymania pełni metoda DisableKeyProtectors w WMI, która tymczasowo wyłącza mechanizmy odblokowywania. Po restarcie i zastosowaniu zmian szyfrowanie można wznowić, minimalizując ryzyko zbędnych monitów o odzyskiwanie.
Całkowite wyłączenie oznacza odszyfrowanie dysku. W tym celu wykonaj następujące kroki:
- Przejdź do apletu szyfrowania dysków.
- Przy danym woluminie wybierz „Wyłącz funkcję BitLocker”.
- Potwierdź decyzję – proces odszyfrowania rozpocznie się w tle.
- Komputer pozostaw włączony, aż status zmieni się na „Wyłączona”.
Aktualizacje oprogramowania układowego a szyfrowanie
Aktualizacja BIOS/UEFI, zmiana konfiguracji UEFI Secure Boot czy dołożenie kontrolera podłączanego przez Thunderbolt potrafią zmienić to, jak mierzony jest łańcuch zaufania zapisany w rejestrach TPM. Z perspektywy mechanizmu szyfrowania oznacza to potencjalne ryzyko ataku, więc system może wejść w stan wymagający klucza odzyskiwania.
Aby tego uniknąć, przy aktualizacjach firmware’u stosuje się prostą zasadę: najpierw wstrzymanie ochrony z poziomu konsoli lub WMI, potem zastosowanie aktualizacji, restart urządzenia, a na końcu wznowienie ochrony. Dzięki temu kod rozruchowy zostaje przeliczony już po zmianach, a moduł TPM traktuje nowy zestaw pomiarów jako referencyjny.
Przed każdą istotną zmianą w UEFI lub sprzęcie – w szczególności na komputerze powiązanym z PCR7 – warto na krótko wstrzymać ochronę, aby uniknąć nieoczekiwanego żądania klucza odzyskiwania przy starcie.
Jak bezpiecznie obchodzić się z kluczem odzyskiwania?
Najwięcej dramatycznych historii z forów zaczyna się zdaniem „nie ustawiałem żadnej blokady i nie mam klucza”. W praktyce szyfrowanie zostało wtedy włączone automatycznie – Auto‑DE podczas pierwszego logowania na konto Microsoft – a klucz odzyskiwania trafił do chmury lub na nośnik, którego użytkownik nie kojarzy.
Gdzie może być zapisany klucz?
BitLocker recovery key ma zawsze tę samą postać: 48‑cyfrowy numer, do którego przypisany jest identyfikator (pierwsze 8 cyfr). Podczas włączania szyfrowania możesz wybrać kilka form kopii zapasowej:
- zapis w koncie Microsoft – dostępny przez stronę aka.ms/myrecoverykey po zalogowaniu z innego urządzenia,
- zapis w koncie organizacyjnym (Azure Active Directory) – pod adresem aka.ms/aadrecoverykey,
- plik tekstowy na innym dysku lub pamięci USB,
- wydruk papierowy przechowywany razem z dokumentami urządzenia.
Od wersji Windows 11 24H2 ekran odzyskiwania potrafi wyświetlić podpowiedź, z którym kontem Microsoft jest skojarzony dany klucz. To ułatwia znalezienie właściwej kopii, zwłaszcza gdy masz kilka różnych kont lub kiedy urządzenie konfigurowała inna osoba.
Co zrobić, jeśli nie masz klucza?
W sytuacji, w której przy starcie systemu pojawia się ekran odzyskiwania i komunikat o konieczności podania 48‑cyfrowego kodu, system znalazł się w stanie BitLocker recovery required. Przyczyną może być zmiana sprzętu, wyłączenie bezpiecznego rozruchu, modyfikacja układu partycji czy próba uruchomienia z innego nośnika. Najpierw warto spisać 8 pierwszych cyfr identyfikatora, który pomaga dopasować właściwy klucz spośród wielu zapisanych kopii.
Kolejność działań jest zawsze podobna. W tym celu wykonaj następujące kroki:
- Sprawdź konto Microsoft pod adresem aka.ms/myrecoverykey – także te, których używała inna osoba konfigurująca komputer.
- Jeśli urządzenie było kiedykolwiek podłączone do organizacji (konto służbowe), sprawdź klucze na koncie Azure Active Directory lub poproś dział IT.
- Odłóż na bok wszystkie wydruki, pendrive’y i pliki tekstowe, które mogły powstać przy pierwszym uruchomieniu.
- Porównaj identyfikator z ekranu z identyfikatorami przy znalezionych kluczach.
Jeśli żadna z kopii zapasowych nie istnieje albo nie masz do niej dostępu, pozostaje tylko jedna możliwość – użycie opcji odzyskiwania systemu Windows, czyli przywrócenie lub reset urządzenia, co usuwa wszystkie dane na zaszyfrowanym dysku. To twarde ograniczenie konstrukcji samego mechanizmu.
Microsoft ani pomoc techniczna nie mają żadnej technicznej możliwości odczytania, udostępnienia lub odtworzenia utraconego klucza odzyskiwania – jego brak oznacza definitywną utratę dostępu do zaszyfrowanych danych.
Z tego powodu po włączeniu szyfrowania warto od razu zweryfikować, gdzie trafił klucz odzyskiwania, zapisać go w co najmniej dwóch niezależnych miejscach i raz na jakiś czas upewnić się, że w razie awarii jesteś w stanie go fizycznie odnaleźć. Jedno sprawdzenie dziś może oszczędzić całkowitej utraty danych jutro.
FAQ – najczęściej zadawane pytania
Jakie wymagania sprzętowe musi spełniać komputer, aby włączyć szyfrowanie dysków w Windows 11?
Komputer musi obsługiwać UEFI Secure Boot, posiadać moduł TPM 2.0 oraz osobną partycję systemową z minimum 250 MB wolnego miejsca. W przypadku automatycznego szyfrowania (Device Encryption), zwłaszcza w wersji Windows 11 Home, wymagana jest również obsługa trybu Modern Standby.
Czym różni się funkcja Device Encryption od BitLocker Drive Encryption?
Device Encryption to uproszczona wersja szyfrowania, dostępna m.in. w Windows 11 Home, która aktywuje się automatycznie po zalogowaniu na konto Microsoft i wymaga obsługi trybu Modern Standby. BitLocker Drive Encryption to pełna, rozbudowana wersja przeznaczona dla systemów Windows 11 Pro, Enterprise i Education, dająca użytkownikowi zaawansowane możliwości zarządzania i dodatkowe ustawienia szyfrowania.
Czy szyfrowanie BitLocker powoduje spowolnienie działania komputera?
Wpływ szyfrowania na wydajność komputera jest minimalny i niezauważalny podczas codziennej pracy. Wynika to z faktu, że algorytm AES korzysta ze sprzętowej akceleracji (instrukcji AES-NI) wbudowanej w nowoczesne procesory Intel oraz AMD.
W jakich sytuacjach należy wstrzymać ochronę BitLocker i jak to zrobić?
Ochronę należy wstrzymać przed aktualizacją BIOS/UEFI, zmianą sprzętu lub konfiguracji rozruchu, aby uniknąć konieczności wpisywania klucza odzyskiwania. Można to zrobić w aplecie 'Zarządzaj funkcją BitLocker’, wybierając opcję 'Wstrzymaj ochronę’ przy wybranym dysku.
Gdzie mogę znaleźć mój 48-cyfrowy klucz odzyskiwania BitLocker?
Klucz odzyskiwania może znajdować się na Twoim koncie Microsoft (aka.ms/myrecoverykey), na koncie organizacyjnym Azure Active Directory (aka.ms/aadrecoverykey), w zapisanym pliku tekstowym na innym dysku/USB lub na wydruku papierowym wykonanym podczas konfiguracji.
Co się stanie, jeśli zgubię klucz odzyskiwania BitLocker, a system zablokuje dostęp do dysku?
W przypadku utraty klucza odzyskiwania nie ma możliwości technicznych, aby odblokować dysk – nawet z pomocą wsparcia technicznego Microsoft. Jedynym rozwiązaniem jest przywrócenie lub zresetowanie urządzenia, co wiąże się z bezpowrotnym usunięciem wszystkich danych z zaszyfrowanego nośnika.