Microsoft krypterer automatisk den nye Windows-enheten og lagrer Windows 10-enhetskrypteringsnøkkelen på OneDrive, når du logger deg på med din Microsoft-konto. Dette innlegget snakker om hvorfor Microsoft gjør dette. Vi vil også se hvordan du sletter denne krypteringsnøkkelen og genererer din egen nøkkel, uten å måtte dele den med Microsoft.
Windows 10-enhetskrypteringsnøkkel
Hvis du kjøpte en ny Windows 10-datamaskin og logget på med din Microsoft-konto, blir enheten din kryptert av Windows, og krypteringsnøkkelen lagres automatisk på OneDrive. Dette er ikke noe nytt egentlig og har vært aroud siden Windows 8, men visse spørsmål knyttet til sikkerheten har blitt reist nylig.
For at denne funksjonen skal være tilgjengelig, må maskinvaren din støtte til tilkoblet ventemodus som oppfyller kravene til maskinvare sertifiseringssett (HCK) for TPM og Sikker oppstart på ConnectedStandby systemer. Hvis enheten din støtter denne funksjonen, ser du innstillingen under Innstillinger> System> Om. Her kan du slå av eller slå på Enhetskryptering.
Disk eller enhetskryptering i Windows 10 er en veldig god funksjon som er slått på som standard på Windows 10. Hva denne funksjonen gjør er at den krypterer enheten og deretter lagrer krypteringsnøkkelen til OneDrive, i din Microsoft-konto.
Enhetskryptering aktiveres automatisk slik at enheten alltid er beskyttet, sier TechNet. Følgende liste beskriver hvordan dette oppnås:
- Når en ren installasjon av Windows 8.1 / 10 er fullført, er datamaskinen forberedt for første gangs bruk. Som en del av dette forberedelsen initialiseres enhetskryptering på operativsystemstasjonen og faste datadrifter på datamaskinen med en klar nøkkel.
- Hvis enheten ikke er domenekombinert, er det nødvendig med en Microsoft-konto som har fått administrative rettigheter på enheten. Når administratoren bruker en Microsoft-konto for å logge på, fjernes clearingsnøkkelen, en gjenopprettingsnøkkel lastes opp til online Microsoft-konto og TPM-beskytter er opprettet. Hvis en enhet krever gjenopprettingsnøkkelen, blir brukeren veiledet til å bruke en alternativ enhet og naviger til en nettadresse for gjenopprettingsnøkkel for å hente gjenopprettingsnøkkelen ved hjelp av deres Microsoft-kontoinformasjon.
- Hvis brukeren logger på ved bruk av en domenekonto, fjernes ikke nøkkelen til brukeren slutter seg til enheten til et domene, og gjenopprettingsnøkkelen er sikkerhetskopiert til Active Directory Domain Services.
Så dette er forskjellig fra BitLocker, hvor du må starte Bitlocker og følge en prosedyre, mens alt dette gjøres automatisk uten at datamaskinens brukere har kunnskaper eller forstyrrelser. Når du slår på BitLocker, må du sikkerhetskopiere gjenopprettingsnøkkelen, men du får tre alternativer: Lagre den i Microsoft-kontoen, lagre den på en USB-pinne eller skriv den ut.
Sier en forsker:
As soon as your recovery key leaves your computer, you have no way of knowing its fate. A hacker could have already hacked your Microsoft account and can make a copy of your recovery key before you have time to delete it. Or Microsoft itself could get hacked, or could have hired a rogue employee with access to user data. Or a law enforcement or spy agency could send Microsoft a request for all data in your account, which would legally compel it to hand over your recovery key, which it could do even if the first thing you do after setting up your computer is delete it.
Som svar har Microsoft dette å si:
When a device goes into recovery mode, and the user doesn’t have access to the recovery key, the data on the drive will become permanently inaccessible. Based on the possibility of this outcome and a broad survey of customer feedback we chose to automatically backup the user recovery key. The recovery key requires physical access to the user device and is not useful without it.
Derfor bestemte Microsoft seg for å automatisk sikkerhetskopiere krypteringsnøkler til sine servere for å sikre at brukerne ikke mister dataene sine hvis enheten går inn i Recovery-modus, og de har ikke tilgang til gjenopprettingsnøkkelen.
Så du ser at for at denne funksjonen skal utnyttes, må en angriper både få tilgang til begge, den sikkerhetskopierte krypteringsnøkkelen, samt få fysisk tilgang til datamaskinens enhet. Siden dette ser ut som en svært sjelden mulighet, tror jeg at det ikke er behov for å bli paranoid om dette. Bare vær sikker på at du har fullstendig beskyttet din Microsoft-konto, og la enhets krypteringsinnstillinger stå som standard.
Likevel, hvis du vil fjerne denne krypteringsnøkkelen fra Microsofts servere, kan du gjøre det her.
Slik fjerner du krypteringsnøkkelen
Det er ingen måte å forhindre at en ny Windows-enhet laster opp gjenopprettingsnøkkelen første gangen du logger på din Microsoft-konto. Men du kan slette den opplastede nøkkelen.
Hvis du ikke vil at Microsoft skal lagre krypteringsnøkkelen til skyen, må du besøke denne OneDrive-siden og slett nøkkelen. Da må du Slå av Diskkryptering trekk. Tenk deg, hvis du gjør dette, vil du ikke kunne bruke denne innebygde databeskyttelsesfunksjonen hvis datamaskinen din blir tapt eller stjålet.
Når du sletter gjenopprettingsnøkkelen fra kontoen din på denne nettsiden, blir den slettet umiddelbart, og kopier som er lagret på backup-stasjonene, blir også slettet kort tid etterpå også.
The recovery key password is deleted right away from the customer’s online profile. As the drives that are used for failover and backup are sync’d up with the latest data the keys are removed, says Microsoft.
Hvordan generere din egen krypteringsnøkkel
Windows 10 Pro og Enterprise-brukere kan generere nye krypteringsnøkler som aldri sendes til Microsoft. For det må du først slå av BitLocker for å dekryptere disken, og slå deretter på BitLocker igjen. Når du gjør dette, vil du bli spurt hvor du vil sikkerhetskopiere BitLocker Drive Encryption Recovery Key. Denne nøkkelen vil ikke bli delt med Microsoft, men sørg for at du holder den trygt, for hvis du mister det, kan du miste tilgangen til alle dine krypterte data.
