A ativação do BitLocker iniciará um processo em segundo plano que criptografa todos os dados existentes. (Nos HDDs isso é tradicionalmente um processo longo, pois ele precisa ler e reescrever cada setor de partição - em discos de autocriptografia, ele pode ser instantâneo.) Assim, quando se diz que somente os dados recém-gravados são criptografados, isso se refere ao estado < em> imediatamente após a ativação do BitLocker e não é mais verdadeira depois que a tarefa de criptografia em segundo plano é concluída. O status desse processo pode ser visto na mesma janela do painel de controle do BitLocker e pausado, se necessário.
O artigo da Microsoft precisa ser lido com atenção: ele realmente fala sobre criptografar somente as áreas usadas do disco. Eles meramente anunciam isso como tendo o maior impacto em sistemas novos, onde você não tem nenhum dado ainda além do SO base (e, portanto, todos dados serão "escritos recentemente" "). Ou seja, o Windows 10 irá criptografar todos os seus arquivos existentes após a ativação - simplesmente não perderá tempo criptografando os setores de disco que ainda não contêm nada. (Você pode desativar essa otimização por meio da Política de Grupo.)
(O artigo também aponta uma desvantagem: áreas que anteriormente continham arquivos apagados também serão ignoradas como "não usadas". Então, se criptografar um sistema bem usado, faça um apagamento de espaço livre usando uma ferramenta e deixe o Windows execute o TRIM se você tiver um SSD, tudo antes de ativar o BitLocker ou use a Diretiva de Grupo para desabilitar esse comportamento.
No mesmo artigo, há uma menção a versões recentes do Windows que suportam SSDs de autocriptografia usando o padrão OPAL. Portanto, a razão pela qual você não vê qualquer E / S de segundo plano pode ser porque o SSD foi criptografado internamente desde o primeiro dia, e o BitLocker reconheceu isso e só assumiu o Gerenciamento de chave no nível SSD em vez de duplicar o esforço de criptografia no nível do sistema operacional. Ou seja, o SSD não se desbloqueia mais ao ligar, mas requer que o Windows faça isso. Isso pode ser desativado por meio da Política de Grupo, se você preferir que o SO manipule a criptografia independentemente.
A suspensão do BitLocker faz com que uma cópia de texto simples da chave 'mestre' seja gravada diretamente no disco. (Geralmente, essa chave mestra é primeiro criptografada com sua senha ou com um TPM.) Enquanto estiver suspensa, isso permite que o disco seja desbloqueado sozinho - claramente um estado inseguro, mas permite que o Windows Update reprograme o TPM para corresponder ao sistema operacional atualizado , por exemplo. A retomada do BitLocker simplesmente limpa essa chave simples do disco.
O BitLocker não está relacionado ao EFS - o último funciona no nível do arquivo, associando chaves a contas de usuário do Windows (permitindo configurações refinadas, mas impossibilitando a criptografia dos próprios arquivos do SO), enquanto o primeiro funciona no nível de disco inteiro . Eles podem ser usados juntos, embora o BitLocker principalmente torne o EFS redundante.
(Observe que o BitLocker e EFS possuem mecanismos para que os administradores corporativos do Active Directory recuperem os dados criptografados - seja fazendo backup da chave mestra do BitLocker no AD ou adicionando um EFS data de recuperação de dados para todos os arquivos.)