De ce Microsoft stochează cheia de criptare a dispozitivelor Windows 10 la OneDrive
Microsoft criptează automat noul dvs. dispozitiv Windows și stochează cheia de criptare a dispozitivelor Windows 10 pe OneDrive, când vă conectați utilizând contul Microsoft. Acest post vorbește de ce Microsoft face acest lucru. Vom vedea, de asemenea, cum să ștergeți această cheie de criptare și să generați cheia proprie, fără a trebui să o partajați cu Microsoft.
Windows 10 Cheie de criptare a dispozitivului
Dacă ați cumpărat un computer nou Windows 10 și v-ați conectat utilizând contul dvs. Microsoft, dispozitivul dvs. va fi criptat de Windows, iar cheia de criptare va fi stocată automat în OneDrive. Acesta nu este nimic nou de fapt și a fost aroud de la Windows 8, dar anumite întrebări legate de securitatea sa au fost ridicate recent.
Pentru ca această caracteristică să fie disponibilă, hardware-ul dvs. trebuie să accepte regimul de așteptare conectat care respectă cerințele Kitului de certificare hardware Windows (HCK) pentru TPM și Încărcare sigură pe ConnectedStandby sisteme. Dacă dispozitivul acceptă această funcție, veți vedea setarea din Setări> Sistem> Despre. Aici puteți dezactiva sau porni Dispozitivul de criptare.
Disk sau Encryption Device în Windows 10 este o caracteristică foarte bună, care este activată în mod implicit pe Windows 10. Ceea ce face această caracteristică este că încorporarea dispozitivului dvs. și apoi stocarea cheii de criptare în OneDrive, în contul dvs. Microsoft.
Criptarea dispozitivului este activată automat, astfel încât dispozitivul să fie întotdeauna protejat, spune TechNet. Următoarea listă prezintă modul în care se realizează acest lucru:
- Când o instalare curată a Windows 8.1 / 10 este finalizată, computerul este pregătit pentru prima utilizare. Ca parte a acestei pregătiri, criptarea dispozitivelor este inițializată pe unitatea sistemului de operare și unitățile fixe de date de pe computer cu o cheie clară.
- Dacă dispozitivul nu este asociat unui domeniu, este necesar un cont Microsoft căruia i-au fost acordate privilegii administrative pe dispozitiv. Când administratorul utilizează un cont Microsoft pentru a vă conecta, tasta clară este eliminată, o cheie de recuperare este încărcată în contul Microsoft online și este creat un protector TPM. Dacă un dispozitiv necesită cheia de recuperare, utilizatorul va fi ghidat să utilizeze un dispozitiv alternativ și să navigheze către o adresă URL de acces pentru cheia de recuperare pentru a prelua cheia de recuperare utilizând acreditările contului Microsoft.
- Dacă utilizatorul se conectează utilizând un cont de domeniu, cheia clară nu se elimină până când utilizatorul nu se alătură aparatului la un domeniu și cheia de recuperare este salvată cu succes în Active Directory Domain Services.
Deci, acest lucru este diferit de BitLocker, unde trebuie să porniți Bitlocker și să urmați o procedură, în timp ce toate acestea se fac automat fără cunoașterea sau interferența utilizatorilor de computere. Când porniți BitLocker, sunteți obligat să faceți o copie de rezervă a cheii de recuperare, dar veți obține trei opțiuni: salvați-l în contul Microsoft, salvați-l pe un stick USB sau imprimați-l.
Spune un cercetător:
De îndată ce cheia de recuperare vă va părăsi computerul, nu aveți cum să știți soarta sa. Un hacker ar fi putut deja să vă spargă contul Microsoft și să facă o copie a cheii de recuperare înainte de a avea timp să îl ștergeți. Sau Microsoft în sine ar putea fi hacked, sau ar fi putut angaja un angajat necinstiți cu acces la datele de utilizator. Sau o agenție de aplicare a legii sau de spion ar putea trimite companiei Microsoft o solicitare pentru toate datele din contul dvs., ceea ce ar obliga în mod legal să transmită cheia de recuperare, ceea ce ar putea face chiar dacă primul lucru pe care îl faceți după instalarea computerului este ștergerea.
Ca răspuns, Microsoft are de spus:
Atunci când un dispozitiv intră în modul de recuperare și utilizatorul nu are acces la cheia de recuperare, datele de pe unitate vor deveni permanent inaccesibile. Pe baza posibilității acestui rezultat și a unui sondaj larg al feedback-ului clientului am ales să copiem automat cheia de recuperare a utilizatorului. Cheia de recuperare necesită acces fizic la dispozitivul utilizatorului și nu este utilă fără el.
Astfel, Microsoft a decis să suprascrie automat cheile de criptare pe serverele lor pentru a se asigura că utilizatorii nu își pierd datele în cazul în care dispozitivul intră în modul de recuperare și nu au acces la cheia de recuperare.
Deci, vedeți că pentru ca această caracteristică să fie exploatată, un atacator trebuie să fie capabil să obțină atât acces la cheia de criptare protejată, cât și să obțină acces fizic la dispozitivul computerului. Deoarece acest lucru pare a fi o posibilitate foarte rară, aș crede că nu este nevoie să fiți paranoici în legătură cu acest lucru. Asigurați-vă că ați protejat pe deplin Contul Microsoft și lăsați setările de criptare ale dispozitivului la valorile lor prestabilite.
Cu toate acestea, dacă doriți să eliminați această cheie de criptare de pe serverele Microsoft, iată cum puteți face acest lucru.
Cum să eliminați cheia de criptare
Nu există nicio modalitate de a împiedica un nou dispozitiv Windows să încarce cheia de recuperare la prima conectare la contul dvs. Microsoft, dar puteți șterge cheia încărcată.
Dacă nu doriți ca Microsoft să stocheze cheia de criptare în cloud, va trebui să vizitați această pagină OneDrive și ștergeți cheia. Atunci va trebui opriți criptarea discului caracteristică. Vă gândiți, dacă faceți acest lucru, nu veți putea utiliza această caracteristică integrată de protecție a datelor în cazul în care computerul dvs. este pierdut sau furat.
Când ștergeți cheia de recuperare de pe contul dvs. pe acest site web, acesta va fi șters imediat și copiile stocate pe unitățile de rezervă vor fi, de asemenea, șterse la scurt timp după aceea.
Parola cheie de recuperare este șters imediat de profilul online al clientului. Pe măsură ce unitățile care sunt utilizate pentru resetare și copiere de rezervă sunt sincronizate cu cele mai recente date, tastele sunt eliminate, spune Microsoft.