Microsoft ukládá klíč pro šifrování zařízení Windows 10 do aplikace OneDrive

Společnost Microsoft automaticky zašifruje vaše nové zařízení Windows a ukládá klíč pro šifrování zařízení Windows 10 do aplikace OneDrive při přihlašování pomocí účtu Microsoft. Tento příspěvek mluví o tom, proč to Microsoft dělá. Také se dozvíme, jak tento šifrovací klíč vymazat a vygenerovat vlastní klíč, aniž byste je museli sdílet se společností Microsoft.

Klíč pro šifrování zařízení Windows 10

Pokud jste si zakoupili nový počítač Windows 10 a přihlásili jste pomocí účtu Microsoft, vaše zařízení bude zašifrováno systémem Windows a šifrovací klíč bude automaticky ukládán do aplikace OneDrive. Není to vůbec nic nového a byl od začátku Windows 8, ale některé otázky týkající se jeho bezpečnosti byly nedávno vyvinuta.

Aby tato funkce byla k dispozici, váš hardware musí podporovat připojené pohotovostní režim, který splňuje Certifikační sadu Windows Hardware HCK) pro TPM a SecureBoot na systémech ConnectedStandby. Pokud vaše zařízení tuto funkci podporuje, zobrazí se nastavení v části Nastavení> Systém> O společnosti. Zde můžete vypnout nebo zapnout šifrování zařízení.

Šifrování disku nebo zařízení v systému Windows 10 je velmi dobrá funkce, která je v systému Windows 10 ve výchozím nastavení zapnuta. Co tato funkce dělá, je to, pak uložte šifrovací klíč do aplikace OneDrive na svém účtu Microsoft.

Šifrování zařízení je povoleno automaticky, takže je zařízení vždy chráněno, říká TechNet. Následující seznam načrtává způsob, jakým je toto dosaženo:

1. Po dokončení čisté instalace systému Windows 8.1 / 10 je počítač připraven k prvnímu použití. Jako součást této přípravy je šifrování zařízení inicializováno na jednotce operačního systému a pevné datové jednotky v počítači pomocí klávesy #
2. Pokud není zařízení připojeno k doméně k účtu Microsoft, kterému bylo v zařízení uděleno oprávnění správce je požadováno. Když administrátor přihlásí účet Microsoft, přihlašuje se, odstraní se klíč pro odstranění, načte klíč pro obnovení do účtu Microsoft Online a vytvoří se ochranná známka TPM. Pokud zařízení vyžaduje klíč k obnovení, bude uživatel veden k použití alternativního zařízení a přejde do adresy URL pro přístup k klíčům obnovení, aby získal klíč pro obnovení pomocí pověření účtu Microsoft
3. Pokud se uživatel přihlásí pomocí účtu domény, odstraní se, dokud se uživatel nepřipojuje k doméně a klíč pro obnovení je úspěšně zálohován do služby Active Directory Domain Services.

Takže se liší od nástroje BitLocker, kde musíte spustit nástroj Bitlocker a postupovat podle postupu, zatímco vše se provádí automaticky bez znalostí nebo rušení uživatelů počítače. Když zapnete funkci BitLocker, musíte provést zálohu vašeho klíče pro obnovení, ale získáte tři možnosti: Uložte jej v účtu Microsoft, uložte jej na USB klíčenku nebo jej vytiskněte

Řečník říká:

Jakmile váš klíč pro obnovení opustí váš počítač, nemáte možnost poznat jeho osud. Hacker mohl již váš účet Microsoft hackovat a předtím, než máte čas na jeho odstranění, můžete vytvořit kopii vašeho klíče pro obnovení. Nebo samotná společnost Microsoft by mohla být napadena nebo by mohla najat nepoctivého zaměstnance s přístupem k uživatelským údajům. Nebo může agentura pro vymáhání práva nebo špionáž zaslat společnosti Microsoft žádost o veškerá data ve vašem účtu, což by ji legálně přimělo k předání vašeho klíče pro obnovení, což by mohlo udělat, i když první věc, kterou uděláte po nastavení počítače, je odstranit.

V odpovědi to má Microsoft takto:

Když zařízení přejde do režimu obnovení a uživatel nemá přístup k klíči pro obnovení, data na disku budou trvale nepřístupná. Na základě možnosti tohoto výsledku a širšího průzkumu zpětné vazby od zákazníků jsme se rozhodli automaticky zálohovat klíč pro obnovení uživatele. Klíč pro obnovení vyžaduje fyzický přístup k uživatelskému zařízení a bez něj není užitečný.

Společnost Microsoft se proto rozhodla automaticky zálohovat šifrovací klíče na svých serverech, aby zajistila, že uživatelé nebudou ztrácet své údaje, pokud zařízení vstoupí do režimu obnovení a nemají přístup k klíči pro obnovení.

který má být využíván, útočník musí mít možnost jak získat přístup k zálohovanému šifrovacímu klíči, tak i fyzickému přístupu k počítači. Vzhledem k tomu, že to vypadá jako velmi vzácná možnost, myslím si, že o tom není třeba paranoidní. Jen se ujistěte, že jste svůj účet Microsoft plně chránili a nastavení šifrování zařízení ponechte na výchozích hodnotách.

Pokud chcete odstranit šifrovací klíč ze serverů společnosti Microsoft, postupujte takto:

Jak odstranit šifrovací klíč

Neexistuje žádný způsob, jak zabránit novému zařízení systému Windows při nahrávání vašeho klíče pro obnovení při prvním přihlášení k vašemu účtu Microsoft. nechcete, aby společnost Microsoft uložila šifrovací klíč do cloudu, budete muset navštívit tuto stránku OneDrive a

odstranit klíč . Pak budete muset vypnout funkci šifrování disku . Uvědomte si, že pokud to uděláte, nebudete moci tuto vestavěnou funkci ochrany dat použít v případě ztráty nebo odcizení počítače. Pokud odstraníte klíč k obnovení z vašeho účtu na tomto webu, bude odstraněn okamžitě a kopie uložené na jeho zálohovacích jednotkách se rovněž krátce odstraní.

Klíčové heslo obnovení se okamžitě odstraní z online profilu zákazníka. Protože jednotky, které se používají pro převzetí služeb při selhání a zálohování, jsou synchronizovány s nejnovějšími daty, jsou klíče odstraněny, říká Microsoft.

Jak vytvořit vlastní šifrovací klíč

Uživatelé Windows 10 Pro a Enterprise mohou generovat nové šifrování které nikdy nejsou odeslány společnosti Microsoft. Budete muset nejprve vypnout nástroj BitLocker, abyste dešifrovali disk a poté znovu zapnuli nástroj BitLocker. Pokud tak učiníte, budete se zeptat, kam chcete zálohovat klíč pro obnovení šifrování disku nástroje BitLocker. Tento klíč se se společností Microsoft nebude sdílet, ale ujistěte se, že je udržujete bezpečně, protože pokud ji ztratíte, můžete ztratit přístup ke všem šifrovaným datům.