Microsoft автоматично криптира новото ви Windows устройство и съхранява ключа за шифроване на устройства на Windows 10 на OneDrive, когато влезете в профила си в Microsoft. Този пост говори за това защо Microsoft прави това. Също така ще видим как да изтриете този ключ за шифроване и да генерирате свой собствен ключ, без да се налага да го споделяте с Microsoft.
Ключ за шифроване на устройства с Windows 10
Ако сте купили нов компютър с Windows 10 и сте влезли с профила си в Microsoft, устройството ви ще бъде шифровано от Windows, а ключът за шифроване ще се съхранява автоматично в OneDrive. Това всъщност не е нищо ново и се е появило от Windows 8, но напоследък бяха повдигнати някои въпроси, свързани с нейната сигурност.
За да е налице тази функция, вашият хардуер трябва да поддържа свързано режим на готовност, който отговаря на изискванията на Комплекта за сертифициране на хардуера на Windows (HCK) за TPM и SecureBoot за ConnectedStandby системи. Ако устройството ви поддържа тази функция, ще видите настройката под Настройки> Система> Информация. Тук можете да изключите или включите функцията за шифроване на устройства.
Шифроване на диск или устройство в Windows 10 е много добра функция, която е включена по подразбиране на Windows 10. Това, което прави тази функция, е, че тя encryps вашето устройство и след това съхранявате ключа за шифроване на OneDrive във вашия акаунт в Microsoft.
Устройството се шифрова автоматично, така че устройството винаги да е защитено, казва TechNet. Следният списък очертава начина, по който това се осъществява:
- Когато се изпълни чиста инсталация на Windows 8.1 / 10, компютърът е готов за първа употреба. Като част от тази подготовка криптирането на устройството се инициализира на диска на операционната система и фиксираните устройства за данни на компютъра с ясен ключ.
- Ако устройството не е свързано с домейн, е необходим профил в Microsoft, на който са предоставени администраторски права върху устройството. Когато администраторът използва профил в Microsoft, за да влезе, клавишът за изчистване се премахва, ключът за възстановяване се качва в онлайн акаунта в Microsoft и се създава защитен TPM. Ако устройството изисква ключът за възстановяване, потребителят ще бъде накаран да използва алтернативно устройство и да отиде до URL адрес за достъп до ключ за възстановяване, за да извлече ключа за възстановяване, като използва своите идентификационни данни за профила в Microsoft.
- Ако потребителят се абонира за използване на домейн, клавишът "ясен" не се премахва, докато потребителят не се присъедини към устройството към домейн, а ключът за възстановяване успешно се архивира до Active Directory Domain Services.
Така че това е различно от BitLocker, от което се изисква да стартирате BitLocker и да следвате процедура, докато всичко това се прави автоматично без знанието или намесата на потребителите на компютъра. Когато включите BitLocker, вие сте принудени да направите резервно копие на вашия ключ за възстановяване, но получавате три възможности: Запишете го в своя Microsoft акаунт, запишете го на USB памет или го отпечатайте.
Според един изследовател:
As soon as your recovery key leaves your computer, you have no way of knowing its fate. A hacker could have already hacked your Microsoft account and can make a copy of your recovery key before you have time to delete it. Or Microsoft itself could get hacked, or could have hired a rogue employee with access to user data. Or a law enforcement or spy agency could send Microsoft a request for all data in your account, which would legally compel it to hand over your recovery key, which it could do even if the first thing you do after setting up your computer is delete it.
В отговор на това, Microsoft казва:
When a device goes into recovery mode, and the user doesn’t have access to the recovery key, the data on the drive will become permanently inaccessible. Based on the possibility of this outcome and a broad survey of customer feedback we chose to automatically backup the user recovery key. The recovery key requires physical access to the user device and is not useful without it.
По този начин Microsoft реши автоматично да архивира криптирани ключове на своите сървъри, за да гарантира, че потребителите няма да загубят своите данни, ако устройството влезе в режим Recovery и нямат достъп до ключа за възстановяване.
Затова виждате, че за да може тази функция да бъде експлоатирана, нападателят трябва да може да получи достъп както до резервния ключ за шифроване, така и да получи физически достъп до вашето компютърно устройство. Тъй като това изглежда като много рядка възможност, бих си помислил, че не е нужно да се параноизираме за това. Просто се уверете, че сте напълно защитили профила си в Microsoft и оставите настройките за шифроване на устройството по подразбиране.
Въпреки това, ако искате да премахнете този ключ за шифроване от сървърите на Microsoft, ето как можете да го направите.
Как да премахнете ключа за шифроване
Няма начин да се попречи на ново устройство с Windows да качва вашия ключ за възстановяване при първото влизане в профила ви в Microsoft. Можете обаче да изтриете качения ключ.
Ако не искате Microsoft да съхранява вашия ключ за шифроване в облака, ще трябва да посетите тази страница на OneDrive и изтрийте ключа, Тогава ще трябва изключете криптирането на диска особеност. Имайте предвид, че ако направите това, няма да можете да използвате тази вградена функция за защита на данните в случай, че компютърът ви бъде изгубен или откраднат.
Когато изтриете ключа си за възстановяване от профила си в този уебсайт, той незабавно се изтрива и копията, съхранявани на неговия резервен диск, също се изтриват и скоро след това.
The recovery key password is deleted right away from the customer’s online profile. As the drives that are used for failover and backup are sync’d up with the latest data the keys are removed, says Microsoft.
Как да генерирате своя ключ за шифроване
Потребителите на Windows 10 Pro и Enterprise могат да генерират нови ключове за шифроване, които никога не се изпращат до Microsoft. За целта първо трябва да изключите BitLocker, за да декриптирате диска, след което отново да включите BitLocker. Когато направите това, ще бъдете запитани къде искате да направите резервно копие на ключа за възстановяване на криптирането на устройства за BitLocker. Този ключ няма да бъде споделен с Microsoft, но се уверете, че го съхранявате безопасно, защото ако го загубите, може да загубите достъп до всичките си шифровани данни.
