Win11为何强制执行OOBE？微软这样回应

安卓

现在，几乎所有商业化操作系统都配备了OOBE向导。购买一台定制UI的安卓设备、iphone或iPad，甚至是苹果的macOS系统设备，在首次启动时都会出现引导设置的向导。这种功能并非新鲜事物，Windows系统也有类似的体验。实际上，从Windows XP时代起就已存在开机引导（OOBE），那时的背景音乐还是熟悉的title.wma文件。类似的初次使用引导功能，macOS早在10.1版本中也已引入，为用户提供了便捷的初始设置流程。任何系统的初次使用向导，实际上都是为首次使用做准备，是正式启用操作系统前的最后几项配置。重置或恢复出厂设置后，大多数系统会重新进入初次使用状态，因此出现向导界面属于正常现象，这是系统开始新旅程的一部分。不过，Windows 11 的首次设置向导确实存在一些争议点。从 Win11 开始，微软强制要求用户登录微软账户才能完成系统初始化并正常使用。这一改动引发了众多用户的不满。纵观市面上的操作系统，除了 ChromeOS 因其生态特性需要绑定谷歌账户外（但 ChromeOS 用户群体相对较小，且还有基于 ChromiumOS 的 FydeOS 等替代方案），几乎没有其他离线为主的系统会有类似要求。而 Windows 作为一个并不完全依赖在线功能的系统，这样的设计显得有些多余。更令人困惑的是，这种限制不仅存在于家庭版中，连面向专业人士和企业的版本也需要通过微软账户或机构账户登录。尽管对于学校和企业用户来说，使用组织分配的账户可以理解，因为这有助于集中管理，但对于普通用户而言，这种统一策略显然不够灵活。这也让不少用户对微软的这一决策感到费解。也许你还不知道，Windows 11强制使用微软账户登录以及提升硬件门槛，部分原因是为了推动其自带的Bitlocker加密功能，也就是所谓的设备加密。众所周之，Windows 11新增了对TPM 2.0的支持，而TPM 2.0正是运行Bitlocker的必要条件。如果你用新电脑并通过微软账户正常进入系统，会发现资源管理器中系统驱动器图标上多了一个锁标志，这表明Bitlocker已启用。起初，Windows 11仅对系统盘中的分区进行加密，即分盘加密。然而，从Windows 11 24H2版本开始，微软计划全面推行全盘加密，这项功能将覆盖整个硬盘，适用范围进一步扩大，数据保护力度也显著增强。微软强制登录微软账户的要求与BitLocker存在一定联系。在Win11最新版的BitLocker中，系统会自动把加密密钥备份至微软账户。当后续需要解锁时，可借助其他联网设备登录账户完成操作，从而提升便捷性和数据安全性。

获取恢复密钥很简单。更令人意想不到的是，Windows 11最新版本中出现了更为棘手的问题。即便通过OOBEBypassNRO命令或手动修改注册表绕过了微软账户登录，BitLocker加密功能仍可能被触发激活。如果用户在此之前没有将解锁密钥保存到本地，一旦系统进入BitLocker恢复界面，而用户又无法提供正确的恢复密钥，数据将彻底无法访问。由于BitLocker的加密机制非常强大，破解几乎不可能实现，因此用户的唯一选择只能是重新格式化硬盘，这意味着所有未备份的数据都将永久丢失。虽然微软声称，通过微软账户登录可以自动备份BitLocker密钥，从而避免这种困境，但强制要求使用微软账户登录是否真的合理？首先，即使登录了微软账户，密钥也不一定总是能成功备份。有些用户反馈，他们在登录微软账户后，某次系统启动时突然弹出了BitLocker解锁界面，却发现自己的微软账户上并没有保存任何恢复密钥记录。这种情况让人措手不及，数据安全也因此受到严重威胁。此外，还有另一种常见问题：一些用户在注册微软账户时设置了密码，但后来忘记了密码，同时又没有提前将BitLocker密钥保存到本地。在这种情况下，即使尝试找回微软账户密码，也可能因为流程复杂或失败而最终导致数据无法恢复。这些问题表明，尽管微软的设计初衷可能是为了提升安全性，但在实际操作中却带来了诸多不便和潜在风险。此外，据说Bitlocker会对读写性能产生影响（尽管我不确定这一说法的真实性）。因此，许多优化教程建议用户关闭Bitlocker。虽然它能够极大地保障数据安全，但如果遇到需要手动解锁却无密钥的情况，数据丢失了，安全又有什么意义？而且，微软在首次设置系统（OOBE）时，并未明确告知用户设备加密会默认启用，也不会提示恢复密钥的备份事宜（仅在通过控制面板手动加密时才会出现相关提示）。实际上，普通用户通常无需使用加密功能，除非涉及高度机密的文件。对于大多数用户而言，开启Bitlocker并非必要选择，甚至不推荐使用。

微软声称其相关举措是为了保障用户数据安全，但忽略了BitLocker本身尚存稳定性问题，一旦出现问题，影响可能十分严重。这正是引发用户不满的主要原因。实际上，这一行为更像是在推动自家服务，而非单纯出于安全性考量。此外，类似事件还在继续发生，例如最近Windows的更新导致部分双系统用户无法正常启动linux。有人猜测，可能是linux发行版的UEFI安全启动证书被撤销所致。尽管尚未有确凿证据，但作为UEFI标准的制定者之一，微软要求安全启动仅信任其自身的证书，这种做法难免让人觉得其态度依旧强势而封闭。这种行为反映出微软在生态系统合作上的某些局限性，也让用户对其开放性产生质疑。目前，Win10/11跳过OOBE初始设置暂无方法，包括第三方方式也已失效。因此，只能按照正常流程完成OOBE设置。如果不想使用微软账户，可在登录微软账户后，将新建的账户更改为本地账户登录。需要注意的是，虽然目前oobebypassnro命令仍有效，但未来版本中可能失效，建议根据实际需求提前做好规划。

iphone

登录微软账户对我来说并不难，毕竟我已使用多年。不过还是要说，产品经理应关注用户真实需求，而不是随意添加功能。希望他们能重视这一点。