Microsoft salsaa automaattisesti uuden Windows-laitteen ja tallentaa Windows 10 -laitteen salausavaimen OneDrive-järjestelmään, kun kirjaudut sisään Microsoft-tilin avulla. Tämä viesti kertoo, miksi Microsoft tekee tämän. Näemme myös tämän salausavaimen poistamisen ja oman avaimen luomisen ilman jakamista Microsoftin kanssa.
Windows 10 -laitteen salausavain
Jos olet hankkinut uuden Windows 10 -tietokoneen ja kirjaudut sisään Microsoft-tilin avulla, Windows salsaa laitettasi ja salausavain tallennetaan automaattisesti OneDrive-laitteeseen. Tämä ei ole mikään uusi ja on ollut aroud, koska Windows 8, mutta tiettyjä turvallisuuteen liittyviä kysymyksiä on esitetty äskettäin.
Jotta tämä toiminto olisi käytettävissä, laitteistosi on tuettava yhdistettyä valmiustilaa, joka täyttää TPK: n ja Windowsin laitteistosertifikaattipaketin (HCK) vaatimukset. Turvallinen käynnistys päällä ConnectedStandby järjestelmiin. Jos laite tukee tätä toimintoa, asetus näkyy kohdassa Asetukset> Järjestelmä> Tietoja. Täällä voit kytkeä Laitteen salauksen päälle tai ottaa sen käyttöön.
Levyn tai laitteen salaus Windows 10: ssä on erittäin hyvä ominaisuus, joka on oletusarvoisesti käytössä Windows 10: ssä. Tämä ominaisuus on se, että se ympäröi laitettasi ja tallentaa salausavain OneDrive-järjestelmään Microsoft-tilissäsi.
Laitteen salaus on otettu käyttöön automaattisesti, jotta laite on aina suojattu, sanoo TechNet. Seuraavassa luettelossa esitetään, miten tämä toteutuu:
- Kun Windows 8.1 / 10: n puhdas asennus on valmis, tietokone on valmiina ensimmäiseen käyttöön. Osana tätä valmistetta laitekoodaus alustetaan tietokoneen käyttöjärjestelmän ajaa ja kiinteitä tietovälineitä käyttäen selkeää avainta.
- Jos laitetta ei ole liitetty verkkotunnukseen, siihen tarvitaan Microsoft-tili, jolle on myönnetty järjestelmänvalvojan oikeudet. Kun pääkäyttäjä käyttää kirjautumistunnusta Microsoft-tiliä, poistopainike poistetaan, palauttaa avainsyöttö verkon Microsoft-tiliin ja TPM-suojelija luodaan. Jos laite tarvitsee palautusavaimen, käyttäjää ohjataan käyttämään vaihtoehtoista laitetta ja siirtymään palautusavaimen käyttöoikeus-URL-osoitteeseen hakeakseen palautusavaimen käyttämällä Microsoft-tilisi käyttöoikeustietoja.
- Jos käyttäjä kirjautuu verkkotunnuksen tiliin, selkeää avainta ei poisteta, ennen kuin käyttäjä liittyy laitteeseen verkkotunnukseen ja palautusavaimen varmuuskopioidaan onnistuneesti Active Directory -domainpalveluihin.
Joten tämä eroaa BitLockerista, jossa sinun on käynnistettävä Bitlocker ja noudatettava menettelytapaa, kun kaikki tämä tapahtuu automaattisesti ilman tietokoneiden käyttäjien tuntemusta tai häiriöitä. Kun käynnistät BitLockerin, sinun on pakko varmuuskopioida palautusavaimen, mutta saat kolme vaihtoehtoa: tallenna se Microsoft-tiliisi, tallenna se USB-tikkuun tai tulosta se.
Tutkija sanoo:
As soon as your recovery key leaves your computer, you have no way of knowing its fate. A hacker could have already hacked your Microsoft account and can make a copy of your recovery key before you have time to delete it. Or Microsoft itself could get hacked, or could have hired a rogue employee with access to user data. Or a law enforcement or spy agency could send Microsoft a request for all data in your account, which would legally compel it to hand over your recovery key, which it could do even if the first thing you do after setting up your computer is delete it.
Vastauksena Microsoft on sanonut:
When a device goes into recovery mode, and the user doesn’t have access to the recovery key, the data on the drive will become permanently inaccessible. Based on the possibility of this outcome and a broad survey of customer feedback we chose to automatically backup the user recovery key. The recovery key requires physical access to the user device and is not useful without it.
Näin ollen Microsoft päätti varmuuskopioida salausavaimet automaattisesti palvelimilleen varmistaakseen, että käyttäjät eivät menetä tietojasi, jos laite siirtyy talteenottotilaan ja heillä ei ole pääsyä palautusavaimeen.
Joten näet, että tämän ominaisuuden hyödyntämistä varten hyökkääjän on voitava päästä molempiin, varmuuskopioituun salausavaimeen sekä hankkia fyysinen pääsy tietokoneellesi. Koska tämä näyttää erittäin harvinaiselta mahdolliselta, luulisin, ettei ole mitään paranoida tästä. Varmista, että olet täysin suojellut Microsoft-tiliäsi ja jätä laitteen salausasetukset niiden oletusasetuksiin.
Jos kuitenkin haluat poistaa tämän salausavain Microsoftin palvelimilta, tässä on ohjeet siitä, miten voit tehdä sen.
Kuinka poistaa salausavain
Ei ole mitään keinoa estää uutta Windows-laitetta lataamasta palautussymbolia, kun kirjaudut Microsoft-tiliisi ensimmäisen kerran, mutta voit poistaa lataamasi avaimen.
Jos et halua, että Microsoft säilyttää salakirjoitusavaimen pilviin, sinun on vierailla OneDrive -sivulla ja poista avain. Sitten sinun on katkaise Disk-salaus käytöstä ominaisuus. Huomaa, että jos teet tämän, et voi käyttää tätä sisäänrakennettua tietosuojaominaisuutta, jos tietokoneesi katoaa tai varastetaan.
Kun poistat palautusavaimen tililtäsi tällä verkkosivustolla, se poistetaan välittömästi ja myös sen varmuuskopioasemilla tallennetut kopiot poistetaan pian myös sen jälkeen.
The recovery key password is deleted right away from the customer’s online profile. As the drives that are used for failover and backup are sync’d up with the latest data the keys are removed, says Microsoft.
Miten luodaan oma salausavain
Windows 10 Pro- ja Enterprise-käyttäjät voivat luoda uusia salausavaimia, joita ei koskaan lähetetä Microsoftille. Tällöin sinun on ensin poistettava BitLocker käytöstä salauksen purkamiseksi ja käynnistettävä BitLocker uudelleen. Kun teet tämän, sinulta kysytään, mistä haluat varmuuskopioida BitLockerin Drive Encryption Recovery -avain. Tätä avainta ei saa jakaa Microsoftin kanssa, mutta pidä se turvallisesti, koska jos menetät sen, voit menettää pääsyn kaikkiin salattuihin tietoihisi.
