Spoločnosť Microsoft automaticky šifruje vaše nové zariadenie so systémom Windows a ukladá kľúč Windows 16 Encryption Key na OneDrive, keď sa prihlásite pomocou účtu Microsoft. Tento príspevok hovorí o tom, prečo to robí spoločnosť Microsoft. Taktiež uvidíme, ako odstrániť tento šifrovací kľúč a vygenerovať vlastný kľúč bez toho, aby sme ho museli zdieľať so spoločnosťou Microsoft.
Kľúč na šifrovanie zariadení Windows 10
Ak ste si zakúpili nový počítač s operačným systémom Windows 10 a prihlásili ste sa pomocou svojho účtu Microsoft, vaše zariadenie bude šifrované systémom Windows a šifrovací kľúč bude automaticky uložený v programe OneDrive. To nie je nič nové skutočne a bol odvtedy od Windows 8, ale niektoré otázky týkajúce sa jeho bezpečnosti boli vznesené nedávno.
Aby táto funkcia bola k dispozícii, váš hardvér musí podporovať pripojený pohotovostný režim, ktorý spĺňa požiadavky Certifikačnej sady Windows (HCK) pre TPM a SecureBoot na ConnectedStandby systémy. Ak vaše zariadenie túto funkciu podporuje, uvidíte nastavenie v časti Nastavenia> Systém> Informácie. Tu môžete vypnúť alebo zapnúť šifrovanie zariadenia.
Šifrovanie diskov alebo zariadení v systéme Windows 10 je veľmi dobrá funkcia, ktorá je predvolene zapnutá v systéme Windows 10. Čo robí táto funkcia je, že zakrýva váš prístroj a potom uložte šifrovací kľúč do OneDrive vo vašom účte Microsoft.
Šifrovanie zariadenia je povolené automaticky, aby bolo zariadenie vždy chránené, hovorí TechNet. Nasledujúci zoznam načrtáva spôsob, akým sa to dosiahlo:
- Po dokončení čistej inštalácie systému Windows 8.1 / 10 je počítač pripravený na prvé použitie. Ako súčasť tejto prípravy je šifrovanie zariadenia inicializované na jednotke operačného systému a pevných dátových mechanizmov v počítači pomocou jasného kľúča.
- Ak zariadenie nie je pripojené k doméne, vyžaduje sa účet Microsoft, ktorému boli udelené privilégium správcu na zariadení. Keď správca používa účet Microsoft na prihlásenie, odstráni sa kľúč na odstránenie, kľúč na obnovenie sa odovzdá do online účtu Microsoft a chránič TPM je vytvorený. Ak zariadenie vyžaduje kľúč na obnovenie, používateľ sa bude riadiť používaním alternatívneho zariadenia a prejdením na adresu URL na obnovenie kľúča na obnovenie kľúča obnovy pomocou poverení účtu Microsoft.
- Ak sa používateľ prihlási pomocou konta domény, jasné tlačidlo sa neodstráni, kým používateľ nepripojí zariadenie k doméne a kľúč na obnovenie sa úspešne zálohuje do služby Active Directory Domain Services.
Takže toto sa líši od nástroja BitLocker, kde musíte spustiť program Bitlocker a postupovať podľa pokynov, zatiaľ čo toto všetko sa robí automaticky bez znalosti alebo rušenia používateľov počítača. Po zapnutí funkcie BitLocker musíte vykonať zálohu kľúča na obnovenie, ale získate tri možnosti: Uložte ho do svojho účtu Microsoft, uložte ho na USB kľúč alebo ho vytlačte.
Hovorí výskumník:
As soon as your recovery key leaves your computer, you have no way of knowing its fate. A hacker could have already hacked your Microsoft account and can make a copy of your recovery key before you have time to delete it. Or Microsoft itself could get hacked, or could have hired a rogue employee with access to user data. Or a law enforcement or spy agency could send Microsoft a request for all data in your account, which would legally compel it to hand over your recovery key, which it could do even if the first thing you do after setting up your computer is delete it.
Ako odpoveď, Microsoft má toto povedať:
When a device goes into recovery mode, and the user doesn’t have access to the recovery key, the data on the drive will become permanently inaccessible. Based on the possibility of this outcome and a broad survey of customer feedback we chose to automatically backup the user recovery key. The recovery key requires physical access to the user device and is not useful without it.
Preto sa spoločnosť Microsoft rozhodla automaticky zálohovať šifrovacie kľúče na svoje servery, aby zabezpečila, že používatelia nestratia svoje údaje, ak zariadenie vstúpi do režimu obnovy a nemajú prístup k kľúču na obnovenie.
Takže vidíte, že aby sa táto funkcia mohla využiť, útočník musí mať možnosť získať prístup k obom zálohovanému šifrovaciemu kľúču, ako aj fyzickému prístupu k vášmu počítačovému zariadeniu. Keďže to vyzerá ako veľmi zriedkavá možnosť, myslím si, že o tom nemusím byť paranoidný. Len sa uistite, že ste úplne chránili svoj účet Microsoft a ponecháte nastavenia šifrovania zariadenia na ich predvolené hodnoty.
Napriek tomu, ak by ste chceli odstrániť tento šifrovací kľúč od serverov spoločnosti Microsoft, ako to môžete urobiť.
Ako odstrániť šifrovací kľúč
Neexistuje žiadny spôsob, ako zabrániť novému zariadeniu systému Windows odovzdať kľúč na obnovenie pri prvom prihlásení do vášho účtu Microsoft. Môžete však odstrániť nahraný kľúč.
Ak nechcete, aby spoločnosť Microsoft uložila šifrovací kľúč do cloudu, budete musieť navštíviť túto stránku OneDrive a odstráňte kľúč, Potom budete musieť vypnite šifrovanie disku vlastnosť. Pamätajte na to, že ak to urobíte, nebudete môcť použiť túto zabudovanú funkciu ochrany údajov v prípade straty alebo ukradnutia počítača.
Po odstránení kľúča na obnovenie z vášho účtu na tejto webovej lokalite sa okamžite odstráni a kopírovanie uložené na jej zálohovacích jednotkách sa tiež krátko potom odstráni.
The recovery key password is deleted right away from the customer’s online profile. As the drives that are used for failover and backup are sync’d up with the latest data the keys are removed, says Microsoft.
Ako vytvoriť svoj vlastný šifrovací kľúč
Používatelia systému Windows 10 Pro a Enterprise môžu generovať nové šifrovacie kľúče, ktoré nikdy spoločnosti Microsoft neposielajú. Za týmto účelom budete musieť najprv vypnúť nástroj BitLocker na dešifrovanie disku a potom znovu zapnúť funkciu BitLocker. Ak to urobíte, zobrazí sa otázka, kam chcete zálohovať kľúč na obnovenie šifrovania jednotiek nástroja BitLocker. Tento kľúč nebude zdieľaný so spoločnosťou Microsoft, ale uistite sa, že ho udržia bezpečne, pretože ak ho stratíte, môžete stratiť prístup ku všetkým zašifrovaným údajom.
