Varför Microsoft lagrar din Windows 10 Device Encryption Key till OneDrive
Microsoft krypterar automatiskt din nya Windows-enhet och lagrar Windows 10-enhetskrypteringsnyckeln på OneDrive, när du loggar in med ditt Microsoft-konto. Det här inlägget talar om varför Microsoft gör det här. Vi kommer också att se hur du tar bort den här krypteringsnyckeln och genererar din egen nyckel utan att behöva dela den med Microsoft.
Windows 10 Device Encryption Key
Om du köpte en ny Windows 10-dator och loggade in med ditt Microsoft-konto, krypteras din enhet av Windows och krypteringsnyckeln sparas automatiskt på OneDrive. Det här är inget nytt faktiskt och har varit aroud sedan Windows 8, men vissa frågor som rör dess säkerhet har tagits upp nyligen.
För att den här funktionen ska vara tillgänglig måste din maskinvara stödja ansluten vänteläge som uppfyller kraven för Windows Hardware Certification Kit (HCK) för TPM och SecureBoot på ConnectedStandby system. Om din enhet stöder den här funktionen ser du inställningen under Inställningar> System> Om. Här kan du stänga av eller slå på Enhetskryptering.
Disk eller Enhetskryptering i Windows 10 är en mycket bra funktion som standard är på Windows 10. Vad den här funktionen gör är att den krypterar din enhet och sedan lagrar krypteringsnyckeln till OneDrive, i ditt Microsoft-konto.
Enhetskryptering aktiveras automatiskt så att enheten alltid är skyddad, säger TechNet. Följande lista beskriver hur detta uppnås:
- När en ren installation av Windows 8.1 / 10 är klar är datorn förberedd för första gången. Som en del av denna förberedelse initialiseras enhetskryptering på operativsystemdriven och fasta datadrivningar på datorn med en klar nyckel.
- Om enheten inte är ansluten till domänen krävs ett Microsoft-konto som har fått administrativa behörigheter på enheten. När administratören använder ett Microsoft-konto för att logga in, tas bort borttagningsnyckeln, en återställningsnyckel laddas upp till online Microsoft-konto och TPM-skydd skapas. Om en enhet behöver återställningsnyckeln kommer användaren att styras för att använda en alternativ enhet och navigera till en återställningsnyckelåtkomstadress för att hämta återställningsnyckeln med hjälp av deras Microsoft-kontouppgifter.
- Om användaren loggar in med ett domänkonto tas inte bort-knappen bort tills användaren ansluter enheten till en domän och återställningsnyckeln är säkerhetskopierad till Active Directory Domain Services.
Så detta skiljer sig från BitLocker, där du måste starta Bitlocker och följa ett förfarande, medan allt detta görs automatiskt utan att datoranvändarna vet eller stör. När du slår på BitLocker måste du säkerhetskopiera din återställningsnyckel, men du får tre alternativ: Spara det i ditt Microsoft-konto, spara det på en USB-minne eller skriv ut det.
Säger en forskare
Så fort din återställningsnyckel lämnar din dator har du ingen möjlighet att känna till sitt öde. En hacker kunde ha hackat ditt Microsoft-konto och kan göra en kopia av din återställningsnyckel innan du har tid att ta bort den. Eller om Microsoft själv kan få hackade, eller kunde ha anställt en skurkrollig medarbetare med tillgång till användardata. Eller en brottsbekämpande myndighet skulle kunna skicka Microsoft en begäran om alla uppgifter i ditt konto, vilket juridiskt skulle tvinga det att överlämna din återställningsnyckel, vilket det skulle kunna göra även om det första du gör efter att ha installerat datorn är att radera det.
Som svar har Microsoft det här att säga:
När en enhet går till återställningsläge och användaren inte har tillgång till återställningsnyckeln blir data på enheten permanent otillgänglig. Baserat på möjligheten till detta resultat och en bred undersökning av feedback från kunder valde vi att automatiskt säkerhetskopiera användaråterställningsnyckeln. Återställningsnyckeln kräver fysisk åtkomst till användaranordningen och är inte användbar utan den.
Således bestämde Microsoft att automatiskt säkerhetskopiera krypteringsnycklar till sina servrar för att säkerställa att användarna inte förlorar sin data om enheten går in i återställningsmodus och de har inte tillgång till återställningsnyckeln.
Så du ser att för att denna funktion ska kunna utnyttjas måste en angripare både få tillgång till både den säkerhetskopierade krypteringsnyckeln och få fysisk åtkomst till din dator enhet. Eftersom det här ser ut som en mycket sällsynt möjlighet tror jag att det inte finns något behov av att bli paranoid om detta. Se bara till att du har fullständigt skyddat ditt Microsoft-konto och lämnar enhetens krypteringsinställningar till standardinställningarna.
Om du vill ta bort den här krypteringsnyckeln från Microsofts servrar kan du göra det här.
Så här tar du bort krypteringsnyckeln
Det finns inget sätt att förhindra att en ny Windows-enhet laddar upp din återställningsnyckel första gången du loggar in på ditt Microsoft-konto. Men du kan ta bort den uppladdade nyckeln.
Om du inte vill att Microsoft ska lagra din krypteringsnyckel till molnet måste du besöka den här OneDrive-sidan och ta bort nyckeln. Då måste du stäng av Diskkryptering funktion. Om du gör det, kommer du inte att kunna använda det här inbyggda dataskyddsfunktionen om datorn är förlorad eller stulen.
När du tar bort din återställningsnyckel från ditt konto på den här webbplatsen blir det raderat omedelbart, och kopior som lagras på dess backup-enheter tas också bort kort därefter.
Återställningsnyckel lösenordet raderas direkt från kundens onlineprofil. Eftersom enheterna som används för failover och backup synkroniseras med de senaste uppgifterna tas nycklarna bort, säger Microsoft.