Microsoft šalje ključ za šifriranje uređaja Windows 10 na OneDrive

Microsoft automatski šifrira vaš novi Windows uređaj i pohranjuje ključ za šifriranje uređaja Windows 10 na OneDrive kada se prijavite pomoću svog Microsoft računa. Ovaj post govori o tome zašto Microsoft to čini. Također ćemo vidjeti kako izbrisati ovaj ključ za šifriranje i generirati svoj ključ bez potrebe da ga podijelite s Microsoftom.

Ključ za šifriranje uređaja Windows 10

Ako ste kupili novi Windows 10 računalo i prijavili se koristeći Microsoft račun, Windows će šifrirati vaš uređaj, a ključ za šifriranje automatski će se pohraniti na OneDrive. Ovo nije ništa novo, a od osamdesetih godina prošlo je, ali određena pitanja koja se odnose na njegovu sigurnost nedavno su podignuta.

Da bi ova značajka bila dostupna, vaš hardver mora podržavati povezano stanje čekanja koje se sastaje s paketom za certifikaciju sustava Windows Hardware HCK) za sustave TPM i SecureBoot na ConnectedStandby. Ako vaš uređaj podržava tu značajku, postavku Postavke> Sustav> O korisniku vidjet ćete postavku. Ovdje možete isključiti ili uključiti šifriranje uređaja.

Šifriranje diska ili uređaja u sustavu Windows 10 je vrlo dobra značajka koja je standardno uključena u sustavu Windows 10. Ono što ta značajka čini jest da obuhvaća vaš uređaj i a zatim spremite ključ za šifriranje na OneDrive na svom Microsoft računu.

Šifriranje uređaja omogućeno je automatski, tako da uređaj uvijek bude zaštićen, kaže TechNet. Sljedeći popis prikazuje kako se to postiže:

1. Kada je čista instalacija sustava Windows 8.1 / 10 dovršena, računalo je spremno za prvu upotrebu. Kao dio ove pripreme, šifriranje uređaja inicijalizira se na pogonu operacijskog sustava i fiksnim podatkovnim pogonima na računalu s jasnim ključem.
2. Ako se uređaj ne pridružuje domeni Microsoftov račun kojem su dodijeljene administrativne ovlasti na uređaju je obavezan. Kada administrator koristi Microsoftov račun za prijavu, uklanja se tipka za brisanje, ključ za oporavak prenosi se na mrežni račun na mreži, a TPM zaštitnik se stvara. Ako uređaj zahtijeva ključ za oporavak, korisnik će se voditi s upotrebom alternativnog uređaja i prijeći na URL za pristup ključu za oporavak kako bi dohvatio ključ za oporavak pomoću vjerodajnica za Microsoft račun.
3. Ako se korisnik prijavljuje pomoću računa domene, jasan ključ nije uklonjen sve dok korisnik ne pridruži uređaj domeni i ključ za oporavak uspješno je sigurnosno kopiran do Active Directory usluga domene.

Dakle, to se razlikuje od BitLocker, gdje morate pokrenuti BitLocker i slijediti postupak, dok je sve to automatski, bez znanja korisnika ili interferencije. Kada uključite BitLocker, prisiljeni ste napraviti sigurnosnu kopiju vašeg ključa za oporavak, ali dobivate tri opcije: Spremite je na svoj Microsoft račun, spremite je na USB stick ili ga ispišite.

Istraživač kaže:

Čim vaš ključ za oporavak napusti vaše računalo, nećete moći znati svoju sudbinu. Hakeri su već mogli hakirati vaš Microsoft račun i mogu napraviti kopiju ključa za oporavak prije nego što imate vremena za brisanje. Ili bi Microsoft mogao hakirati ili je mogao angažirati zaposlenika skitnica s pristupom korisničkim podacima. Ili agencija za provedbu zakona ili agencija za špijunažu mogla bi poslati Microsoft zahtjev za sve podatke na vašem računu, što bi ga zakonski obvezalo da preda vaš ključ za oporavak, što bi to moglo učiniti čak i ako je prvo što radite nakon postavljanja računala izbrisati.

Kao odgovor, Microsoft ima sljedeće:

Kad uređaj uđe u način oporavka, a korisnik nema pristup ključu za oporavak, podaci na pogonu trajno će biti nedostupni. Na temelju mogućnosti ovog ishoda i širokog pregleda povratnih informacija korisnika, odlučili smo automatski sigurnosno kopirati korisnički ključ za oporavak. Ključ za oporavak zahtijeva fizički pristup korisničkom uređaju i nije koristan bez nje.

Tako je Microsoft odlučio automatski sigurnosno kopirati ključeve šifriranja na svoje poslužitelje kako bi osigurao da korisnici ne izgube svoje podatke ako uređaj uđe u način rada za oporavak i da nemaju pristup ključu za oporavak.

Znači, napadač mora biti u mogućnosti pristupiti oba ključa za šifriranje, kao i dobiti fizički pristup vašem računalnom uređaju. Budući da to izgleda kao vrlo rijetka mogućnost, mislio bih da nema potrebe za paranoidom zbog toga. Samo pazite da ste potpuno zaštitili svoj Microsoft račun i ostavili postavke šifriranja uređaja prema zadanim postavkama.

Ipak, ako želite ukloniti taj ključ za šifriranje s Microsoftovih poslužitelja, evo kako možete to učiniti.

Kako ukloniti ključ za šifriranje

Nema načina da spriječite novi Windows uređaj da učita vaš ključ za oporavak prilikom prve prijave na Microsoft račun, ali možete izbrisati preneseni ključ.

Ako ste ne želite da Microsoft pohrani vaš ključ za šifriranje u oblaku, morat ćete posjetiti ovu stranicu s OneDrive i izbrisati ključ . Tada ćete morati isključiti značajku Disk encryption . Imajte na umu, ako to učinite, nećete moći upotrijebiti ovu ugrađenu značajku zaštite podataka u slučaju gubitka ili krađe vašeg računala.

Kada izbrišete ključ za oporavak s računa na ovoj web stranici, ona se briše odmah i kopije pohranjene na svojim rezervnim pogonima također se izbrisati ubrzo nakon toga.

Lozinka za oporavak ključa se briše odmah od kupca online profil. Kako se pogoni za usklađivanje i sigurnosno kopiranje sinkroniziraju s najnovijim podacima, ključevi se uklanjaju, kaže Microsoft.

Kako generirati svoj ključ za šifriranje

Korisnici Windowsa 10 Pro i Enterprise mogu generirati nove enkripcije ključeve koje nikada ne šalju Microsoftu. Za to ćete morati najprije isključiti BitLocker za dekriptiranje diska i ponovno uključiti BitLocker. Prilikom toga bit ćete upitani odakle želite sigurnosno kopirati BitLocker ključ za oporavak šifriranja pogona. Ovaj ključ neće se dijeliti s Microsoftom, ali pazite da ga sigurno zadržite, jer ako ga izgubite, možete izgubiti pristup svim svojim šifriranim podacima.