Microsoft автоматически шифрует ваше новое устройство Windows и сохраняет ключ шифрования устройства Windows 10 на OneDrive при входе в систему с помощью учетной записи Microsoft. В этом сообщении говорится о том, почему Microsoft делает это. Мы также увидим, как удалить этот ключ шифрования и сгенерировать собственный ключ без необходимости его совместного использования с Microsoft.
Ключ шифрования устройств Windows 10
Если вы купили новый компьютер под управлением Windows 10 и вошли в систему с учетной записью Microsoft, ваше устройство будет зашифровано Windows, и ключ шифрования будет автоматически сохранен на OneDrive. Это ничего нового на самом деле и не было от Windows 8, но некоторые вопросы, связанные с его безопасностью, были подняты в последнее время.
Чтобы эта функция была доступна, ваше оборудование должно поддерживать подключенный режим ожидания, соответствующий требованиям Windows Hardware Certification Kit (HCK) для TPM и Безопасная загрузка на ConnectedStandby системы. Если ваше устройство поддерживает эту функцию, вы увидите настройку в разделе «Настройки»> «Система»> «О программе». Здесь вы можете отключить или включить шифрование устройства.
Шифрование диска или устройства в Windows 10 это очень хорошая функция, которая включена по умолчанию в Windows 10. Что делает эта функция, так это то, что она шифрует ваше устройство и сохраняет ключ шифрования OneDrive на вашей учетной записи Microsoft.
Шифрование устройства включается автоматически, так что устройство всегда защищено, сообщает TechNet. В следующем списке описывается, как это делается:
- После завершения чистой установки Windows 8.1 / 10 компьютер подготовлен для первого использования. В рамках этой подготовки шифрование устройства инициализируется на диске операционной системы и фиксированных дисках данных на компьютере с помощью ясного ключа.
- Если устройство не подключено к домену, требуется учетная запись Microsoft, которой были предоставлены административные привилегии на устройстве. Когда администратор использует учетную запись Microsoft для входа в систему, очищающий ключ удаляется, ключ восстановления загружается в онлайн-аккаунт Microsoft и создается защитник TPM. Если устройству требуется ключ восстановления, пользователю будет предложено использовать альтернативное устройство и перейти к URL-адресу доступа к ключу восстановления для извлечения ключа восстановления с использованием учетных данных учетной записи Microsoft.
- Если пользователь подписывается с использованием учетной записи домена, клавиша очистки не удаляется, пока пользователь не присоединяется к устройству в домен, а ключ восстановления не будет успешно скопирован в доменные службы Active Directory.
Таким образом, это отличается от BitLocker, где вы должны запускать Bitlocker и следовать процедуре, тогда как все это делается автоматически без знания или вмешательства пользователей компьютеров. Когда вы включаете BitLocker, вы вынуждены сделать резервную копию своего ключа восстановления, но у вас есть три варианта: сохраните его в своей учетной записи Microsoft, сохраните его на USB-накопителе или распечатайте.
Говорит исследователь:
As soon as your recovery key leaves your computer, you have no way of knowing its fate. A hacker could have already hacked your Microsoft account and can make a copy of your recovery key before you have time to delete it. Or Microsoft itself could get hacked, or could have hired a rogue employee with access to user data. Or a law enforcement or spy agency could send Microsoft a request for all data in your account, which would legally compel it to hand over your recovery key, which it could do even if the first thing you do after setting up your computer is delete it.
В ответ Microsoft заявляет:
When a device goes into recovery mode, and the user doesn’t have access to the recovery key, the data on the drive will become permanently inaccessible. Based on the possibility of this outcome and a broad survey of customer feedback we chose to automatically backup the user recovery key. The recovery key requires physical access to the user device and is not useful without it.
Таким образом, Microsoft решила автоматически резервировать ключи шифрования на своих серверах, чтобы гарантировать, что пользователи не потеряют свои данные, если устройство переходит в режим восстановления, и у них нет доступа к ключу восстановления.
Таким образом, вы видите, что для того, чтобы эта функция была использована, злоумышленник должен иметь возможность как получить доступ к обоим, так и к резервному ключу шифрования, а также получить физический доступ к вашему компьютерному устройству. Поскольку это похоже на очень редкую возможность, я бы подумал, что нет необходимости в параноике об этом. Просто убедитесь, что вы полностью защитили свою учетную запись Microsoft, и оставьте настройки шифрования устройства по умолчанию.
Тем не менее, если вы хотите удалить этот ключ шифрования с серверов Microsoft, вот как вы можете это сделать.
Как удалить ключ шифрования
Невозможно предотвратить загрузку нового устройства Windows при первом нажатии на ваш ключ при первом входе в учетную запись Microsoft, но вы можете удалить загруженный ключ.
Если вы не хотите, чтобы Microsoft сохранила ваш ключ шифрования в облаке, вам придется посетить эту страницу OneDrive и удалить ключ, Тогда вам придется отключить Шифрование диска особенность. Имейте в виду, что если вы это сделаете, вы не сможете использовать эту встроенную функцию защиты данных, если ваш компьютер потерян или украден.
Когда вы удаляете свой ключ восстановления из своей учетной записи на этом веб-сайте, он немедленно удаляется, а копии, хранящиеся на его резервных дисках, также удаляются вскоре после этого.
The recovery key password is deleted right away from the customer’s online profile. As the drives that are used for failover and backup are sync’d up with the latest data the keys are removed, says Microsoft.
Как создать собственный ключ шифрования
Пользователи Windows 10 Pro и Enterprise могут генерировать новые ключи шифрования, которые никогда не отправляются в Microsoft. Для этого вам нужно сначала отключить BitLocker для дешифрования диска, а затем снова включить BitLocker. При этом вам будет предложено создать резервную копию ключа восстановления шифрования диска BitLocker. Этот ключ не будет использоваться совместно с Microsoft, но убедитесь, что вы храните его в безопасности, потому что если вы его потеряете, вы можете потерять доступ ко всем своим зашифрованным данным.
