Microsoft przechowuje Twój klucz szyfrowania Windows 10 do OneDrive

Microsoft automatycznie szyfruje twoje nowe urządzenie z systemem Windows i przechowuje klucz szyfrowania urządzenia Windows 10 w usłudze OneDrive po zalogowaniu się przy użyciu konta Microsoft. Ten post mówi o tym, dlaczego Microsoft to robi. Zobaczymy także, jak usunąć ten klucz szyfrowania i wygenerować własny klucz, bez konieczności udostępniania go firmie Microsoft.

Klucz szyfrowania urządzenia Windows 10

Jeśli kupiłeś nowy komputer z systemem Windows 10 i zalogowałeś się przy użyciu swojego konta Microsoft Twoje urządzenie będzie szyfrowane przez system Windows, a klucz szyfrowania zostanie automatycznie zapisany w usłudze OneDrive. Nie jest to nic nowego od czasu Windows 8, ale niektóre pytania dotyczące jego bezpieczeństwa zostały ostatnio podniesione.

Aby ta funkcja była dostępna, twój sprzęt musi obsługiwać tryb gotowości zgodny z zestawem Windows Hardware Certification Kit (HCK) dla systemów TPM i SecureBoot w systemach ConnectedStandby. Jeśli twoje urządzenie obsługuje tę funkcję, zobaczysz ustawienia w Ustawienia> System> Informacje. Tutaj możesz wyłączyć lub włączyć szyfrowanie urządzenia.

Szyfrowanie dysku lub urządzenia w systemie Windows 10 to bardzo dobra funkcja, która jest domyślnie włączona w systemie Windows 10. Funkcja ta polega na tym, że szyfruje ona twoje urządzenie i następnie przechowuj klucz szyfrowania w usłudze OneDrive na swoim koncie Microsoft.

Szyfrowanie urządzenia jest włączane automatycznie, dzięki czemu urządzenie jest zawsze chronione, mówi TechNet. Poniższa lista przedstawia sposób, w jaki jest to realizowane:

1. Po zakończeniu czystej instalacji systemu Windows 8.1 / 10 komputer jest gotowy do pierwszego użycia. W ramach tego przygotowania szyfrowanie urządzeń jest inicjowane na dysku systemu operacyjnego i na stałych dyskach danych na komputerze za pomocą czystego klucza.
2. Jeśli urządzenie nie jest połączone z domeną, konto Microsoft, któremu przyznano uprawnienia administracyjne na urządzeniu jest wymagane. Kiedy administrator korzysta z konta Microsoft do logowania, usuwany klucz jest usuwany, klucz odzyskiwania jest przesyłany do internetowego konta Microsoft, a protektor TPM jest tworzony. Jeśli urządzenie wymaga klucza odzyskiwania, użytkownik zostanie poproszony o skorzystanie z alternatywnego urządzenia i przejście do adresu URL dostępu do klucza odzyskiwania w celu pobrania klucza odzyskiwania przy użyciu danych logowania do konta Microsoft.
3. Jeśli użytkownik zaloguje się przy użyciu konta domeny, Klawisz wyczyść nie zostanie usunięty, dopóki użytkownik nie połączy urządzenia z domeną, a klucz odzyskiwania zostanie pomyślnie utworzony z powrotem do usług domenowych w usłudze Active Directory.

A więc różni się to od funkcji BitLocker, od której należy uruchomić program Bitlocker i postępować zgodnie z procedurą, podczas gdy wszystko to odbywa się automatycznie, bez wiedzy i ingerencji użytkowników komputera. Po włączeniu funkcji BitLocker konieczne jest utworzenie kopii zapasowej klucza odzyskiwania, ale dostępne są trzy opcje: zapisz ją na koncie Microsoft, zapisz na dysku USB lub wydrukuj.

Mówi badacz:

Gdy klucz odzyskiwania pozostawi twój komputer, nie masz możliwości poznania jego przeznaczenia. Haker mógł włamać się już na twoje konto Microsoft i może zrobić kopię klucza odzyskiwania, zanim zdążysz go usunąć. Lub sama firma Microsoft może zostać zhakowana lub mogła zatrudnić fałszywego pracownika z dostępem do danych użytkownika. Organy ścigania lub agencja szpiegowska mogą wysłać do firmy Microsoft żądanie wszystkich danych na koncie, które zgodnie z prawem zmusiłyby go do przekazania klucza odzyskiwania, co może zrobić, nawet jeśli pierwszą rzeczą, którą zrobisz po skonfigurowaniu komputera, jest usunięcie go..

W odpowiedzi Microsoft ma to do powiedzenia:

Kiedy urządzenie przechodzi w tryb odzyskiwania, a użytkownik nie ma dostępu do klucza odzyskiwania, dane na dysku staną się trwale niedostępne. W oparciu o możliwość tego wyniku i szeroką ankietę dotyczącą opinii klientów, zdecydowaliśmy się automatycznie wykonać kopię zapasową klucza odzyskiwania użytkownika. Klucz odzyskiwania wymaga fizycznego dostępu do urządzenia użytkownika i bez niego nie jest użyteczny.

W związku z tym Microsoft postanowił automatycznie tworzyć kopie zapasowe kluczy szyfrowania na swoich serwerach, aby zapewnić, że użytkownicy nie utracą swoich danych, jeśli urządzenie przejdzie w tryb odzyskiwania i nie mają dostępu do klucza odzyskiwania.

Widać więc, że w tym celu Aby wykorzystać tę funkcję, osoba atakująca musi mieć zarówno dostęp do obu kopii zapasowych klucza szyfrowania, jak i fizyczny dostęp do urządzenia komputerowego. Ponieważ wygląda to na bardzo rzadką możliwość, uważam, że nie ma powodu do paranoi. Upewnij się, że całkowicie zabezpieczyłeś swoje konto Microsoft i domyślnie pozostawiłeś ustawienia szyfrowania urządzenia.

Niemniej jednak, jeśli chcesz usunąć ten klucz szyfrowania z serwerów Microsoftu, oto jak możesz to zrobić.

Jak usunąć klucz szyfrowania

Nie ma możliwości, aby nowe urządzenie z systemem Windows nie przesłało klucza odzyskiwania przy pierwszym logowaniu się do konta Microsoft, ale możesz usunąć przesłany klucz.

Jeśli nie chcę, aby Microsoft przechowywał twój klucz szyfrowania w chmurze, musisz odwiedzić stronę OneDrive i usunąć klucz . Następnie musisz wyłączyć funkcję szyfrowania dysku . Pamiętaj, że jeśli to zrobisz, nie będziesz mógł korzystać z tej wbudowanej funkcji ochrony danych w przypadku zgubienia lub kradzieży komputera.

Po usunięciu klucza odzyskiwania z konta na tej stronie, zostanie on usunięty natychmiast, a kopie przechowywane na dyskach zapasowych również zostaną wkrótce skasowane.

Hasło klucza odzyskiwania jest usuwane natychmiast z profilu online klienta. Ponieważ dyski używane do przełączania awaryjnego i tworzenia kopii zapasowych są synchronizowane z najnowszymi danymi, klucze są usuwane, mówi Microsoft.

Jak wygenerować własny klucz szyfrowania

Użytkownicy Windows 10 Pro i Enterprise mogą generować nowe szyfrowanie klucze, które nigdy nie są wysyłane do firmy Microsoft. W tym celu należy najpierw wyłączyć funkcję BitLocker, aby odszyfrować dysk, a następnie ponownie włączyć funkcję BitLocker. Podczas wykonywania tej czynności zostaniesz zapytany, gdzie chcesz utworzyć kopię zapasową klucza odzyskiwania BitLocker Drive Encryption. Klucz ten nie zostanie udostępniony firmie Microsoft, ale upewnij się, że przechowujesz go bezpiecznie, ponieważ w przypadku jego utraty możesz utracić dostęp do wszystkich zaszyfrowanych danych.