Hvorfor Microsoft lagrer Windows 10 Enhetskrypteringsnøkkel til OneDrive
Microsoft krypterer automatisk den nye Windows-enheten og lagrer Windows 10-enhetskrypteringsnøkkelen på OneDrive, når du logger deg på med din Microsoft-konto. Dette innlegget snakker om hvorfor Microsoft gjør dette. Vi vil også se hvordan du sletter denne krypteringsnøkkelen og genererer din egen nøkkel, uten å måtte dele den med Microsoft.
Windows 10-enhetskrypteringsnøkkel
Hvis du kjøpte en ny Windows 10-datamaskin og logget på med din Microsoft-konto, blir enheten din kryptert av Windows, og krypteringsnøkkelen lagres automatisk på OneDrive. Dette er ikke noe nytt egentlig og har vært aroud siden Windows 8, men visse spørsmål knyttet til sikkerheten har blitt reist nylig.
For at denne funksjonen skal være tilgjengelig, må maskinvaren din støtte til tilkoblet ventemodus som oppfyller kravene til maskinvare sertifiseringssett (HCK) for TPM og Sikker oppstart på ConnectedStandby systemer. Hvis enheten din støtter denne funksjonen, ser du innstillingen under Innstillinger> System> Om. Her kan du slå av eller slå på Enhetskryptering.
Disk eller enhetskryptering i Windows 10 er en veldig god funksjon som er slått på som standard på Windows 10. Hva denne funksjonen gjør er at den krypterer enheten og deretter lagrer krypteringsnøkkelen til OneDrive, i din Microsoft-konto.
Enhetskryptering er aktivert automatisk slik at enheten alltid er beskyttet, sier TechNet. Følgende liste beskriver hvordan dette oppnås:
- Når en ren installasjon av Windows 8.1 / 10 er fullført, er datamaskinen forberedt for første gangs bruk. Som en del av dette forberedelsen initialiseres enhetskryptering på operativsystemstasjonen og faste datadrifter på datamaskinen med en klar nøkkel.
- Hvis enheten ikke er domeneforbundet, er det nødvendig med en Microsoft-konto som har fått administrative rettigheter på enheten. Når administratoren bruker en Microsoft-konto for å logge på, fjernes clearingsnøkkelen, en gjenopprettingsnøkkel lastes opp til online Microsoft-konto og TPM-beskytter er opprettet. Hvis en enhet krever gjenopprettingsnøkkelen, blir brukeren veiledet til å bruke en alternativ enhet og navigere til en nettadresse for gjenopprettingsnøkkel for å hente gjenopprettingsnøkkelen ved hjelp av deres Microsoft-kontoinformasjon.
- Hvis brukeren logger på ved bruk av en domenekonto, fjernes ikke nøkkelen til brukeren slutter seg til enheten til et domene, og gjenopprettingsnøkkelen er sikkerhetskopiert til Active Directory Domain Services.
Så dette er forskjellig fra BitLocker, hvor du må starte Bitlocker og følge en prosedyre, mens alt dette gjøres automatisk uten at datamaskinens brukere har kunnskaper eller forstyrrelser. Når du slår på BitLocker, må du sikkerhetskopiere gjenopprettingsnøkkelen, men du får tre alternativer: Lagre den i Microsoft-kontoen din, lagre den på en USB-pinne eller skriv den ut.
Sier en forsker:
Så snart gjenopprettingsnøkkelen går ut av datamaskinen, har du ingen mulighet til å kjenne sin skjebne. En hacker kunne allerede hacket din Microsoft-konto og kan lage en kopi av gjenopprettingsnøkkelen din før du har tid til å slette den. Eller Microsoft selv kunne bli hacket, eller kunne ha ansatt en skurk ansatt med tilgang til brukerdata. Eller en rettshåndhevelse eller spionagentur kunne sende Microsoft en forespørsel om alle dataene i kontoen din, noe som juridisk ville tvinge den til å overgi gjenopprettingsnøkkelen, som den kunne gjøre selv om det første du gjør etter at du har konfigurert datamaskinen, er slettet.
Som svar har Microsoft dette å si:
Når en enhet går i gjenopprettingsmodus, og brukeren ikke har tilgang til gjenopprettingsnøkkelen, blir dataene på stasjonen permanent utilgjengelige. Basert på muligheten for dette resultatet og en bred undersøkelse av tilbakemeldinger fra kunder valgte vi å automatisk sikkerhetskopiere brukergjenopprettingsnøkkelen. Gjenopprettingsnøkkelen krever fysisk tilgang til brukerenheten og er ikke nyttig uten den.
Derfor bestemte Microsoft seg for automatisk å sikkerhetskopiere krypteringsnøkler til sine servere for å sikre at brukerne ikke mister dataene sine hvis enheten går inn i Recovery-modus, og de har ikke tilgang til gjenopprettingsnøkkelen.
Så du ser at for at denne funksjonen skal utnyttes, må en angriper både kunne få tilgang til både den sikkerhetskopierte krypteringsnøkkelen og få fysisk tilgang til datamaskinens enhet. Siden dette ser ut som en svært sjelden mulighet, tror jeg at det ikke er behov for å bli paranoid om dette. Bare vær sikker på at du har fullstendig beskyttet din Microsoft-konto, og la enheten kryptere innstillingene til standardinnstillingene.
Likevel, hvis du vil fjerne denne krypteringsnøkkelen fra Microsofts servere, kan du gjøre det her.
Slik fjerner du krypteringsnøkkelen
Det er ingen måte å forhindre at en ny Windows-enhet laster opp gjenopprettingsnøkkelen første gangen du logger på Microsoft-kontoen din. Du kan imidlertid slette den opplastede nøkkelen.
Hvis du ikke vil at Microsoft skal lagre krypteringsnøkkelen til skyen, må du besøke denne OneDrive-siden og slett nøkkelen. Da må du Slå av Disk kryptering trekk. Tenk deg, hvis du gjør dette, vil du ikke kunne bruke denne innebygde databeskyttelsesfunksjonen hvis datamaskinen er tapt eller stjålet.
Når du sletter gjenopprettingsnøkkelen fra kontoen din på denne nettsiden, blir den slettet umiddelbart, og kopier som er lagret på backup-stasjonene, blir også slettet kort tid etterpå også.
Gjenopprettingsnøkkelpassordet slettes umiddelbart fra kundens nettprofil. Siden stasjonene som brukes til failover og backup, synkroniseres med de nyeste dataene, blir tastene fjernet, sier Microsoft.
