A Microsoft automatikusan titkosítja az új Windows-eszközt, és tárolja a Windows 10 Eszköz titkosítási kulcsát OneDrive-ra, amikor bejelentkezik a Microsoft-fiók használatával. Ez a bejegyzés arról beszél, hogy miért teszi ezt a Microsoft. Azt is látni fogjuk, hogyan törölhetjük ezt a titkosítási kulcsot, és létrehozhatjuk saját kulcsunkat anélkül, hogy meg kellene osztanunk a Microsofttal.
Windows 10 eszköz titkosítási kulcsa
Ha vásárolt egy új Windows 10 számítógépet, és bejelentkezett a Microsoft-fiók használatával, akkor a készülék titkosítja a Windows-ot, és a titkosítási kulcs automatikusan a OneDrive-on tárolódik. Ez nem újdonság, és a Windows 8 óta már elterjedt, de a közelmúltban felmerült bizonyos biztonsági kérdések.
Ahhoz, hogy ez a szolgáltatás elérhető legyen, a hardvernek támogatnia kell a csatlakoztatott készenlétet, amely megfelel a TPM és a Windows Hardware Certification Kit (HCK) követelményeinek. SecureBoot tovább ConnectedStandby rendszereket. Ha a készülék támogatja ezt a funkciót, akkor a beállítások a Beállítások> Rendszer> Névjegy alatt jelenik meg. Itt kikapcsolhatja vagy bekapcsolhatja az eszköz titkosítását.
Disk vagy Device Encryption a Windows 10 rendszerben egy nagyon jó tulajdonság, amely alapértelmezés szerint be van kapcsolva a Windows 10 operációs rendszeren. Ez a funkció az, hogy titkosítja a készüléket, majd tárolja a titkosítási kulcsot OneDrive-ra a Microsoft-fiókjában.
Az eszköz titkosítása automatikusan engedélyezve van, hogy az eszköz mindig védett legyen, mondja a TechNet. Az alábbi lista körvonalazza, hogyan teljesül ez:
- Ha a Windows 8.1 / 10 tiszta telepítése befejeződött, a számítógép első használatra készült. Az előkészítés részeként az eszköz titkosítása az operációs rendszer meghajtóján és a számítógépen lévő rögzített adatmeghajtókon inicializálható.
- Ha az eszköz nem csatlakozik a tartományhoz, akkor a rendszerhez rendszergazdai jogosultságokkal rendelkező Microsoft-fiók szükséges. Amikor a rendszergazda Microsoft-fiókot használ a bejelentkezéshez, a törlés kulcs törlődik, helyreállítási kulcs kerül feltöltésre az online Microsoft-fiókba, és a TPM-védő létrehozásra kerül. Ha egy eszköz megkívánja a helyreállítási kulcsot, a felhasználó arra irányul, hogy alternatív eszközt használjon, és navigáljon a helyreállítási kulcs hozzáférési URL-jéhez, hogy visszaszerezze a helyreállítási kulcsot a Microsoft-fiók hitelesítő adataival.
- Ha a felhasználó bejelentkezik egy tartományi fiók használatával, akkor a törlő kulcsot mindaddig nem távolítja el, amíg a felhasználó nem csatlakozik az eszközhöz egy domainhez, és a helyreállítási kulcs sikeresen mentésre kerül az Active Directory tartományi szolgáltatásokhoz.
Tehát ez különbözik a BitLocker-től, ahol el kell indítania a BitLockert és követnie kell egy eljárást, miközben mindez automatikusan a számítógép felhasználóinak ismerete vagy interferenciája nélkül történik. A BitLocker bekapcsolásakor kénytelen lesz a helyreállítási kulcsról biztonsági másolatot készíteni, de három lehetőség közül választhat: Mentheti a Microsoft-fiókba, mentheti az USB-memóriakártyára vagy nyomtathatja ki.
Egy kutatót mond:
As soon as your recovery key leaves your computer, you have no way of knowing its fate. A hacker could have already hacked your Microsoft account and can make a copy of your recovery key before you have time to delete it. Or Microsoft itself could get hacked, or could have hired a rogue employee with access to user data. Or a law enforcement or spy agency could send Microsoft a request for all data in your account, which would legally compel it to hand over your recovery key, which it could do even if the first thing you do after setting up your computer is delete it.
Válaszul a Microsoftnak ezt kell mondania:
When a device goes into recovery mode, and the user doesn’t have access to the recovery key, the data on the drive will become permanently inaccessible. Based on the possibility of this outcome and a broad survey of customer feedback we chose to automatically backup the user recovery key. The recovery key requires physical access to the user device and is not useful without it.
Így a Microsoft úgy döntött, hogy automatikusan titkosítja a titkosítási kulcsokat a kiszolgálókra annak biztosítása érdekében, hogy a felhasználók ne veszítsék el az adatokat, ha az eszköz helyreállítási üzemmódba lép, és nem férnek hozzá a helyreállítási kulcshoz.
Tehát látja, hogy ahhoz, hogy ezt a funkciót ki lehessen használni, a támadónak képesnek kell lennie arra, hogy mindkettőhöz hozzáférjen mind a biztonsági másolat készítéséhez használt titkosítási kulcshoz, mind fizikai hozzáféréssel a számítógéphez. Mivel ez egy nagyon ritka lehetőségnek tűnik, azt gondolom, hogy nincs szükség paranoidra. Csak győződjön meg róla, hogy teljes mértékben védte a Microsoft-fiókot, és hagyja az eszköz titkosítási beállításait az alapértelmezett értékeken.
Mindazonáltal, ha el szeretné távolítani ezt a titkosítási kulcsot a Microsoft szervereiről, akkor ezt hogyan teheti meg.
A titkosítási kulcs eltávolítása
Semmi esetre sem lehet megakadályozni, hogy egy új Windows-eszköz töltse fel a helyreállítási kulcsot, amikor először jelentkezik be a Microsoft-fiókjába, de törölheti a feltöltött kulcsot.
Ha nem szeretné, hogy a Microsoft tárolja a titkosítási kulcsot a felhőbe, akkor meg kell látogatnia ezt a OneDrive oldalt és törölje a kulcsot. Akkor meg kell kapcsolja ki a lemezes titkosítást funkció. Ne felejtse el ezt a beépített adatvédelmi funkciót használni, ha elveszíti vagy ellopja a számítógépet.
Amikor törli a helyreállítási kulcsot a fiókodból ezen a webhelyen, azonnal törlődik, és a mentési meghajtókon tárolt másolatok is röviddel ezután is törlődnek.
The recovery key password is deleted right away from the customer’s online profile. As the drives that are used for failover and backup are sync’d up with the latest data the keys are removed, says Microsoft.
A saját titkosítási kulcs létrehozása
A Windows 10 Pro és Enterprise felhasználók új titkosítási kulcsokat generálhatnak, amelyeket soha nem küld a Microsoftnak. Ehhez először ki kell kapcsolnia a BitLockert a lemez dekódolására, majd újra be kell kapcsolnia a BitLockert. Ennek során megkérdezi, hogy hol szeretné biztonsági másolatot készíteni a BitLocker Drive Encryption Recovery Key segítségével. Ez a kulcs nem fog megosztani a Microsofttal, de győződjön meg róla, hogy biztonságban tartja, mert ha elveszíti, akkor elveszítheti az összes titkosított adathoz való hozzáférést.
