Microsoft хранит ключ шифрования устройства Windows 10 для OneDrive

Microsoft автоматически зашифровывает ваше новое устройство Windows и сохраняет ключ шифрования устройства Windows 10 на OneDrive, когда вы входите в систему, используя свою учетную запись Microsoft. В этом сообщении говорится о том, почему Microsoft делает это. Мы также рассмотрим, как удалить этот ключ шифрования и сгенерировать собственный ключ, не передавая его в Microsoft.

Ключ шифрования Windows 10

Если вы купили новый компьютер под управлением Windows 10 и вошли в систему, используя свою учетную запись Microsoft, ваше устройство будет зашифровано Windows, и ключ шифрования будет автоматически сохранен на OneDrive. Это не что-то новое на самом деле, и было связано с Windows 8, но некоторые вопросы, связанные с его безопасностью, были подняты в последнее время.

Чтобы эта функция была доступна, ваше оборудование должно поддерживать подключенный режим ожидания, который соответствует набору Windows Hardware Certification Kit (HCK) для TPM и SecureBoot в системах ConnectedStandby. Если ваше устройство поддерживает эту функцию, вы увидите настройку в разделе «Настройки»> «Система»> «О программе». Здесь вы можете отключить или включить шифрование устройств.

Шифрование диска или устройства в Windows 10 - очень хорошая функция, которая включена по умолчанию в Windows 10. Что делает эта функция, так это то, что она шифрует ваше устройство и затем сохраните ключ шифрования OneDrive в своей учетной записи Microsoft.

Шифрование устройства включено автоматически, чтобы устройство всегда было защищено, сообщает TechNet. В следующем списке описано, как это делается:

1. После завершения чистой установки Windows 8.1 / 10 компьютер подготовлен для первого использования. В рамках этой подготовки шифрование устройства инициализируется на диске операционной системы и жестких дисках данных на компьютере с помощью клавиши «clear».
2. Если устройство не подключено к домену с учетной записью Microsoft, которой были предоставлены административные привилегии на устройстве необходимо. Когда администратор использует учетную запись Microsoft для входа в систему, очищающий ключ удаляется, ключ восстановления загружается в онлайн-аккаунт Microsoft и создается защитник TPM. Если устройству требуется ключ восстановления, пользователю будет предложено использовать альтернативное устройство и перейти к URL-адресу доступа к ключам восстановления для извлечения ключа восстановления с использованием учетных данных учетной записи Microsoft.
3. Если пользователь подписывается с использованием учетной записи домена, клавиша очистки не удаляется, пока пользователь не присоединяется к устройству в домен, а ключ восстановления не будет успешно восстановлен до доменных служб Active Directory.

Таким образом, это отличается от BitLocker, где требуется запустить Bitlocker и следовать процедуре, тогда как все это делается автоматически без знания или вмешательства пользователей компьютеров. Когда вы включаете BitLocker, вы вынуждены сделать резервную копию своего ключа восстановления, но у вас есть три варианта: сохраните его в своей учетной записи Microsoft, сохраните его на USB-накопителе или распечатайте.

Говорит исследователь:

Как только ваш ключ восстановления покидает ваш компьютер, вы не можете узнать его судьбу. Хакер, возможно, уже взломал вашу учетную запись Microsoft и может сделать копию вашего ключа восстановления до того, как у вас будет время его удалить. Или сам Microsoft может получить взломанный или может нанять сотрудника-изгоев с доступом к пользовательским данным. Или правоохранительный орган или агентство-шпион могут отправить Microsoft запрос на все данные в вашей учетной записи, которые на законных основаниях заставят его передать ваш ключ восстановления, что он мог бы сделать, даже если первое, что вы делаете после настройки вашего компьютера, - это удалить его.

В ответ Microsoft сообщила следующее:

Когда устройство переходит в режим восстановления, и у пользователя нет доступа к ключу восстановления, данные на диске станут недоступными для пользователя. Основываясь на возможности этого результата и широком опросе отзывов клиентов, мы выбрали автоматическое резервное копирование ключа восстановления пользователя. Ключ восстановления требует физического доступа к пользовательскому устройству и не полезен без него.

Таким образом, Microsoft решила автоматически резервировать ключи шифрования на своих серверах, чтобы гарантировать, что пользователи не потеряют свои данные, если устройство переходит в режим восстановления, и у них нет доступа к ключу восстановления.

Итак, вы видите, что для этого которая должна быть использована, злоумышленник должен иметь возможность как получить доступ к обоим ключам резервного копирования, так и получить физический доступ к вашему компьютерному устройству. Поскольку это похоже на очень редкую возможность, я бы подумал, что нет необходимости в параноике об этом. Просто убедитесь, что вы полностью защитили свою учетную запись Microsoft и оставляете настройки шифрования устройства по умолчанию.

Тем не менее, если вы хотите удалить этот ключ шифрования с серверов Microsoft, вот как вы можете это сделать.

Как удалить ключ шифрования

Невозможно предотвратить загрузку нового устройства Windows при первом входе в учетную запись Microsoft, но вы можете удалить загруженный ключ.

Если вы не хотите, чтобы Microsoft сохранила ваш ключ шифрования в облаке, вам придется посетить эту страницу OneDrive и удалить ключ . Затем вам нужно отключить функцию шифрования диска . Имейте в виду, что если вы это сделаете, вы не сможете использовать эту встроенную функцию защиты данных, если ваш компьютер потерян или украден.

Когда вы удаляете свой ключ восстановления из своей учетной записи на этом веб-сайте, он удаляется немедленно, а копии, хранящиеся на его резервных дисках, также будут удалены вскоре после этого.

Пароль ключа восстановления удаляется сразу же из онлайн-профиля клиента. Поскольку диски, которые используются для резервного копирования и резервного копирования, синхронизируются с последними данными, ключи удаляются, говорит Microsoft.

Как сгенерировать собственный ключ шифрования

Пользователи Windows 10 Pro и Enterprise могут генерировать новое шифрование ключи, которые никогда не отправляются в Microsoft. Для этого вам нужно сначала отключить BitLocker для дешифрования диска, а затем снова включить BitLocker. При этом вам будет предложено создать резервную копию ключа восстановления шифрования диска BitLocker. Этот ключ не будет использоваться совместно с Microsoft, но убедитесь, что вы сохранили его безопасно, потому что если вы его потеряете, вы можете потерять доступ ко всем зашифрованным данным.