Microsoft menyimpan Kunci Penyulitan Peranti Windows 10 anda kepada OneDrive

Microsoft secara automatik menyulitkan peranti Windows baru anda dan menyimpan Kunci Penyulitan Peranti Windows 10 pada OneDrive, apabila anda log masuk menggunakan Akaun Microsoft anda. Siaran post ini mengenai mengapa Microsoft melakukan ini.

Jika anda membeli komputer Windows 10 baru dan log masuk menggunakan akaun Microsoft anda,, peranti anda akan disulitkan oleh Windows dan kunci penyulitan akan disimpan secara automatik pada OneDrive. Ini tidak benar-benar baru dan telah berlaku sejak Windows 8, tetapi beberapa soalan berkaitan keselamatannya telah dibangkitkan baru-baru ini.

Untuk ciri ini tersedia, perkakasan anda mesti menyokong siap sedia bersambung yang bertemu dengan Kit Persijilan Perkakasan Windows (HCK) untuk TPM dan

SecureBoot

pada sistem ConnectedStandby. Jika peranti anda menyokong ciri ini, anda akan melihat tetapan di bawah Tetapan> Sistem> Perihal. Di sini anda boleh mematikan atau menghidupkan Penyulitan Peranti. Penyulitan Cakera atau Peranti di Windows 10 adalah ciri yang sangat baik yang dihidupkan secara lalai pada Windows 10. Apa ciri ini adalah bahawa ia menyulitkan peranti anda dan kemudian simpan kunci penyulitan untuk OneDrive, dalam Akaun Microsoft anda.

Penyulitan peranti didayakan secara automatik supaya peranti sentiasa dilindungi, kata TechNet. Senarai berikut menggariskan cara ini dicapai: Apabila pemasangan bersih Windows 8.1 / 10 selesai komputer disediakan untuk kegunaan pertama. Sebagai sebahagian daripada penyediaan ini, enkripsi peranti diinisialisasi pada pemacu sistem operasi dan pemacu data tetap pada komputer dengan kunci yang jelas.

Jika peranti tersebut bukan domain-menyertai Akaun Microsoft yang telah diberikan keistimewaan pentadbiran pada peranti adalah diperlukan. Apabila pentadbir menggunakan akaun Microsoft untuk log masuk, kunci yang jelas dikeluarkan, kunci pemulihan dimuat naik ke akaun Microsoft dalam talian dan pelindung TPM dibuat. Sekiranya peranti memerlukan kunci pemulihan, pengguna akan dibimbing untuk menggunakan peranti ganti dan menavigasi ke URL akses utama pemulihan untuk mendapatkan kunci pemulihan menggunakan bukti kelayakan Akaun Microsoft mereka.

1. Jika pengguna menandatangani menggunakan akaun domain, kunci yang jelas tidak dialihkan sehingga pengguna menyertai peranti tersebut ke domain dan kunci pemulihan berjaya disandarkan kepada Perkhidmatan Domain Direktori Aktif.
2. Jadi ini berbeza dari BitLocker, di mana anda perlu memulakan Bitlocker dan ikuti prosedur, sedangkan semua ini dilakukan secara automatik tanpa pengetahuan atau gangguan pengguna komputer. Apabila anda menghidupkan BitLocker, anda terpaksa membuat sandaran kunci pemulihan anda, tetapi anda mendapat tiga pilihan: Simpan dalam akaun Microsoft anda, simpan ke tong USB atau cetaknya.
3. Kata peneliti:

Sebaik sahaja kunci pemulihan anda meninggalkan komputer anda, anda tidak boleh mengetahui nasibnya. Seorang penggodam boleh telah menggodam akaun Microsoft anda dan boleh membuat salinan kunci pemulihan anda sebelum anda mempunyai masa untuk memadamkannya. Atau Microsoft sendiri boleh digodam, atau boleh mengupah pekerja nakal dengan akses kepada data pengguna. Atau penguatkuasaan undang-undang atau agensi mata-mata boleh menghantar Microsoft permintaan untuk semua data dalam akaun anda, yang secara sah akan memaksanya untuk menyerahkan kunci pemulihan anda, yang boleh dilakukan walaupun perkara pertama yang anda lakukan selepas menubuhkan komputer anda ialah menghapusnya.

Sebagai tindak balas, Microsoft mengatakan ini:

Apabila peranti memasuki mod pemulihan, dan pengguna tidak mempunyai akses kepada kunci pemulihan, data pada pemacu akan menjadi tidak boleh diakses secara kekal. Berdasarkan kemungkinan hasil ini dan tinjauan luas terhadap maklum balas pelanggan, kami memilih untuk secara automatik membuat sandaran kunci pemulihan pengguna. Kunci pemulihan memerlukan akses fizikal ke peranti pengguna dan tidak berguna tanpa itu.

Oleh itu, Microsoft memutuskan untuk secara automatik membuat sandaran kunci penyulitan ke pelayan mereka untuk memastikan pengguna tidak kehilangan data mereka jika peranti itu memasuki mod Pemulihan dan mereka tidak mempunyai akses kepada kunci pemulihan.

Jadi, anda melihat bahawa untuk ini ciri yang hendak dieksploitasi, penyerang mesti dapat mengakses kedua-dua, kunci penyulitan yang disokong serta mendapatkan akses fizikal ke peranti komputer anda. Oleh kerana ini kelihatan seperti kemungkinan yang sangat jarang berlaku, saya fikir tidak ada keperluan untuk mendapatkan paranoid tentang perkara ini. Pastikan bahawa anda telah sepenuhnya melindungi Akaun Microsoft anda dan meninggalkan tetapan penyulitan peranti pada lalai mereka.

Walau bagaimanapun, jika anda ingin mengeluarkan kunci penyulitan ini dari pelayan Microsoft, berikut adalah cara anda boleh melakukannya.

Cara untuk mengalih keluar kunci penyulitan

Tidak ada cara untuk menghalang peranti Windows baru daripada memuat naik kunci pemulihan anda kali pertama anda log masuk ke akaun Microsoft anda, tetapi anda boleh memadamkan kekunci yang dimuat naik.

Jika anda tidak mahu Microsoft menyimpan kunci penyulitan anda kepada awan, anda perlu melawat halaman OneDrive ini dan

padam kekunci

. Kemudian anda perlu matikan ciri penyulitan Disk . Fikiran anda, jika anda melakukan ini, anda tidak akan dapat menggunakan ciri perlindungan data terbina dalam sekiranya komputer anda hilang atau dicuri. Apabila anda memadamkan kunci pemulihan anda dari akaun anda di laman web ini, ia akan dipadam dengan serta-merta, dan salinan yang disimpan pada pemacu sandaran juga dapat dipadamkan tidak lama kemudian juga. Kata kunci utama pemulihan dihapuskan dari profil dalam talian pelanggan. Sebagai pemacu yang digunakan untuk failover dan sandaran adalah sync`d dengan data terkini kunci akan dikeluarkan, kata Microsoft.

Bagaimana untuk menghasilkan kunci penyulitan sendiri

Pengguna Windows Pro dan Enterprise 10 boleh menghasilkan enkripsi baru kunci yang tidak pernah dihantar ke Microsoft. Untuk itu, anda perlu mematikan BitLocker terlebih dahulu untuk menyahsulit cakera, dan kemudian menghidupkan BitLocker sekali lagi. Apabila melakukan ini, anda akan ditanya di mana anda ingin menyandarkan Kunci Pemulihan Penyulitan BitLocker Drive. Kunci ini tidak akan dikongsi dengan Microsoft, tetapi pastikan anda menyimpannya dengan selamat, kerana jika anda kehilangannya, anda mungkin kehilangan akses ke semua data terenkripsi anda.