Imagine ligar o computador numa manhã normal e deparar-se com um ecrã a pedir uma chave de 48 dígitos que nunca viu na vida. Sem essa chave, o sistema não arranca. Os seus ficheiros ficam completamente inacessíveis. Pior ainda, nem o suporte técnico da Microsoft consegue ajudar. Parece um pesadelo distante, mas é uma realidade que milhares de utilizadores do Windows 11 já viveram — e muitos outros vão viver em breve sem saber porquê.
A razão tem nome: BitLocker automático. A mudança que o tornou ainda mais abrangente chegou silenciosamente com a actualização Windows 11 24H2, lançada no final de 2024.
O Que Mudou com o Windows 11 24H2
O BitLocker não é novidade. Durante anos, funcionou como uma ferramenta de segurança disponível principalmente nas versões Pro do Windows — algo que os utilizadores domésticos raramente encontravam. Antes da versão 24H2, a encriptação já estava activa em alguns dispositivos premium como o HP Spectre, mas para a grande maioria dos computadores essa não era a realidade.
Com a chegada do Windows 11 24H2, porém, a Microsoft alargou drasticamente esse alcance. A encriptação passa a ser activada de forma automática e silenciosa durante a configuração inicial do sistema, abrangendo agora também as versões Home e até computadores de secretária — que historicamente ficavam de fora deste tipo de protecção.
Na prática, o processo funciona assim: quando faz uma instalação limpa do Windows 11 24H2 e inicia sessão com uma conta Microsoft durante a configuração, o disco começa a ser encriptado em segundo plano. Sem avisos. Sem pedidos de confirmação. Sem qualquer indicação visual de que algo mudou.
Vale notar, no entanto, que o BitLocker não é activado automaticamente quando actualiza de uma versão anterior do Windows para a 24H2 — esse comportamento aplica-se apenas a instalações limpas ou reinstalações do sistema. Ainda assim, trata-se de uma mudança de grande impacto, especialmente para quem compra computadores novos ou formata o sistema com frequência.
Por Que é que a Microsoft Fez Isto?
A justificação da empresa é simples: segurança. Um computador encriptado é muito mais difícil de comprometer em caso de roubo ou perda. Em termos técnicos, o BitLocker protege os dados tornando-os inacessíveis quando um dispositivo é descomissionado, reciclado, ou cai nas mãos erradas.
Além disso, a versão 24H2 removeu dois requisitos de hardware que antes eram obrigatórios: a validação HSTI/Modern Standby e a verificação de interfaces DMA não confiáveis. Por isso, muito mais dispositivos são agora elegíveis para a encriptação automática — incluindo hardware mais antigo que antes ficava de fora.
O resultado prático? Mais utilizadores protegidos. Mas, em contrapartida, também mais utilizadores apanhados de surpresa — sem saber que têm um disco encriptado, sem ter guardado a chave de recuperação, e completamente vulneráveis a um bloqueio total do sistema.
O Risco Real: Ficar Trancado Fora do Próprio Computador
A encriptação em si não é o problema. Na verdade, o verdadeiro risco surge da combinação de duas coisas: a falta de comunicação clara da Microsoft e a natureza absolutamente inflexível da chave de recuperação.
O sistema de encriptação baseia-se no chip TPM (Trusted Platform Module), que monitoriza o ambiente de arranque do computador. Sempre que detecta uma alteração considerada suspeita, entra em modo de recuperação e exige a chave de 48 dígitos. Entre as situações que podem disparar este bloqueio, destacam-se:
- Actualizar o firmware ou a BIOS da placa-mãe
- Substituir a placa-mãe por outra
- Desactivar o Secure Boot ou limpar o chip TPM manualmente
Adicionar memória RAM ou trocar a placa gráfica normalmente não causa problemas. Todavia, uma simples actualização de BIOS pode ser suficiente para o sistema ficar completamente inacessível.
Se perder o acesso à sua conta Microsoft, perde também o acesso ao computador. Não há atalhos. Não existe porta traseira. Ou tem a chave, ou perde os dados — sem excepções.
Impacto no Desempenho: Algo Que a Microsoft Não Publicita
Para além do risco de bloqueio, existe outro efeito colateral que merece atenção. Testes realizados pela Tom’s Hardware revelaram que a encriptação BitLocker pode reduzir o desempenho de SSDs em até 45%, dependendo do tipo de operação. Quando o sistema usa a versão em software — e não aceleração por hardware — as tarefas de encriptação sobrecarregam o processador de forma considerável.
Consequentemente, utilizadores que trabalham com edição de vídeo, jogos exigentes ou bases de dados volumosas podem sentir essa penalização no desempenho do dia-a-dia. É um custo que a Microsoft raramente menciona nas suas comunicações oficiais.
Como Verificar Se o Seu Disco Já Está Encriptado
Antes de mais, convém perceber a situação actual do seu computador. Para isso, abra o Terminal ou a Linha de Comandos como administrador e escreva:
manage-bde -status
Se o resultado mostrar “Protection On” ou “Encryption in Progress”, o seu disco já está encriptado ou em processo de encriptação. Caso contrário, ainda está a tempo de tomar decisões informadas antes que a situação mude.
O Que Fazer Agora: Passos Práticos
Se a encriptação estiver activa, não entre em pânico — mas tome medidas imediatamente:
1. Guarde a chave de recuperação. Aceda a account.microsoft.com/devices/recoverykey com a conta Microsoft que usou para configurar o computador. Durante a configuração inicial, a chave é automaticamente enviada para essa conta. Copie-a e guarde-a num local seguro fora do computador — pode ser num papel impresso, numa pen USB separada, ou num serviço de notas seguro.
2. Antes de actualizar a BIOS, suspenda o BitLocker. Vá às Definições → Privacidade e Segurança → Encriptação do Dispositivo e suspenda temporariamente a protecção. Após concluir a actualização, pode reactivá-la sem perda de dados.
3. Avalie se realmente precisa da encriptação. Para quem usa o computador em casa, sem dados sensíveis, e que nunca sai com o equipamento, a encriptação pode representar mais um risco do que uma protecção. Nesse caso, pode desactivá-la nas mesmas definições acima referidas.
4. Para instalações futuras, considere usar o Rufus. Esta ferramenta gratuita permite criar um USB de arranque com o Windows 11 24H2 já configurado para desactivar a encriptação automática — sendo a opção mais acessível para quem não está familiarizado com o registo do sistema.
Conta Local vs. Conta Microsoft: Uma Escolha Com Consequências
Quem optar por usar uma conta local durante a configuração inicial do Windows 11 24H2 consegue escapar à encriptação automática, uma vez que o BitLocker só é activado quando se inicia sessão com uma conta Microsoft. Esta é uma distinção importante que a empresa não torna óbvia durante o processo de configuração — que, por defeito, empurra o utilizador para a criação ou uso de uma conta online.
Em comparação com sistemas como o macOS, onde o FileVault (o equivalente ao BitLocker da Apple) apresenta um aviso explícito e pede confirmação antes de activar a encriptação, a abordagem da Microsoft parece claramente mais opaca. O utilizador do Mac sabe exactamente o que está a acontecer. O do Windows, muitas vezes, não.
Conclusão: Protecção Que Pode Virar-se Contra Si
O BitLocker é uma ferramenta legítima e eficaz. Para empresas, profissionais em mobilidade, ou qualquer pessoa que transporte dados sensíveis num portátil, a encriptação automática faz todo o sentido e representa uma camada de segurança genuinamente útil.
Contudo, o problema não é a tecnologia em si — é a ausência de transparência. Activar uma funcionalidade desta magnitude sem um aviso claro, sem garantir que o utilizador sabe onde está a chave de recuperação, e sem explicar as consequências de a perder, é uma falha de comunicação grave da parte da Microsoft.
Portanto, se usa o Windows 11 e ainda não verificou o estado da encriptação do seu disco, este é o momento certo para o fazer. Não espere pelo dia em que o sistema pede uma chave que nunca guardou.