Microsoft krüpteerib automaatselt teie uue Windowsi seadme ja salvestab OneDrive'is Windows 10 seadme krüpteerimisvõtme, kui logite sisse oma Microsofti konto kaudu. See postitus räägib, miks Microsoft seda teeb. Samuti näeme, kuidas kustutada see krüpteerimisvõti ja luua oma võti, ilma et peaksite Microsoftile seda jagama.
Windows 10 seadete krüpteerimisvõti
Kui ostsite uue Windows 10 arvuti ja logite sisse oma Microsoft'i konto abil, krüpteeritakse teie seade Windowsi abil ja krüpteerimisvõti salvestatakse automaatselt OneDrive'i kaudu. See pole midagi uut ja on alates Windows 8-st tekkinud, kuid mõned küsimused selle turvalisuse kohta on hiljuti tõstatatud.
Selle funktsiooni kasutamiseks peab riistvara toetama ühendatud ooterežiimi, mis vastab TPM-i Windowsi riistvaratagatise komplekti (HCK) nõuetele ja SecureBoot on ConnectedStandby süsteemid. Kui teie seade toetab seda funktsiooni, näete seade seadeks Seaded> Süsteem> Teave. Siin saate seadme krüptimise välja lülitada või sisse lülitada.
Ketas või seadme krüptimine Windows 10-s on väga hea funktsioon, mis on Windows 10-s vaikimisi sisse lülitatud. See omadus tähendab seda, et see krüpteerib teie seadme ja seejärel salvestab krüpteerimisvõti oma Microsoft'i kontole OneDrive'i.
TechNet ütleb, et seadme krüptimine on automaatselt sisse lülitatud, nii et see on alati kaitstud. Järgmises loendis kirjeldatakse seda, kuidas seda teha:
- Kui Windows 8.1 / 10 puhas installimine on lõppenud, on arvuti esmakasutuseks valmis. Käesoleva ettevalmistamise osana on seadme krüpteerimine initsialiseeritud operatsioonisüsteemi draivil ja fikseeritud andmekandjad arvutis koos selge võtmega.
- Kui seade ei ole domeeniga ühendatud, on vaja Microsofti kontot, millel on seadme administraatoriõigused. Kui administraator kasutab sisselogimiseks Microsofti kontot, eemaldatakse kustutamisklahv, taastamiskomplekt laaditakse üles võrgu Microsoft'i kontole ja TPM-kaitsja luuakse. Kui seade nõuab taastamisklahvi, suunatakse kasutajat kasutama alternatiivset seadet ja naasma taasteklahvi juurdepääsuvõrgu URL-i, kasutades selleks taastevõtme, kasutades nende Microsofti konto mandaate.
- Kui kasutaja siseneb domeenikontosid kasutades, ei eemaldata kustutamisvõtme enne, kui kasutaja ühineb seadmega domeeniga ja taastevõti varundatakse Active Directory domeeniteenuste abil edukalt.
Nii et see erineb BitLockerist, kus teil on vaja käivitada Bitlocker ja järgida protseduuri, samas kui kõik see toimub automaatselt ilma arvuti kasutajatele teadmisteta või häireteta. Kui lülitate BitLockeri sisse, olete sunnitud oma taastevõti varukoopia tegema, kuid saate kolm võimalust: salvestage see oma Microsoft'i kontol, salvestage see USB-mäluseadmesse või printige.
Ütleb teadlane:
As soon as your recovery key leaves your computer, you have no way of knowing its fate. A hacker could have already hacked your Microsoft account and can make a copy of your recovery key before you have time to delete it. Or Microsoft itself could get hacked, or could have hired a rogue employee with access to user data. Or a law enforcement or spy agency could send Microsoft a request for all data in your account, which would legally compel it to hand over your recovery key, which it could do even if the first thing you do after setting up your computer is delete it.
Vastuseks sellele ütleb Microsoft, et:
When a device goes into recovery mode, and the user doesn’t have access to the recovery key, the data on the drive will become permanently inaccessible. Based on the possibility of this outcome and a broad survey of customer feedback we chose to automatically backup the user recovery key. The recovery key requires physical access to the user device and is not useful without it.
Seega otsustas Microsoft oma serveritele varundada krüpteerimisvõtmeid automaatselt, tagamaks, et kasutajad ei kaota oma andmeid, kui seade siseneb taastamise režiimile ja neil ei ole juurdepääsu taastamise võtmele.
Nii näete, et selle funktsiooni ärakasutamiseks peab ründaja suutma nii juurdepääsu nii varundatud krüpteerimisvõtme kui ka füüsilise juurdepääsu saamiseks arvutisseadmesse. Kuna see näib olevat väga harv võimalus, arvan ma, et pole vaja seda paranoiaga saada. Lihtsalt veenduge, et olete oma Microsofti konto täielikult kaitstud ja jätke seadme krüpteerimisseaded nende vaikeseadetena.
Sellegipoolest, kui soovite Microsofti serveritest selle krüpteerimisvõtme eemaldada, on siin, kuidas seda teha.
Kuidas krüpteerimisvõtme eemaldada?
Uue Windowsi seadme abil pole võimalik taaskäivitamismäära üles laadida, kui te esimest korda oma Microsoft'i kontole sisse logite. Kuid saate üleslaaditud võtme kustutada.
Kui te ei soovi, et Microsoft salvestaks teie pilve jaoks krüpteerimisvõtme, peate külastama seda OneDrive lehte ja kustuta võti. Siis peate lülitage ketta krüpteerimine välja funktsioon. Pidage meeles, et kui teete seda, siis ei saa seda sisseehitatud andmekaitse funktsiooni kasutada juhul, kui teie arvuti on kadunud või varastatud.
Kui kustutate oma taastamisklahvi oma kontolt sellel veebisaidil, kustutatakse see kohe ja ka varundatud draividele salvestatud koopiad kustutatakse ka kohe pärast seda.
The recovery key password is deleted right away from the customer’s online profile. As the drives that are used for failover and backup are sync’d up with the latest data the keys are removed, says Microsoft.
Kuidas luua oma krüpteerimisvõtme
Windows 10 Pro ja Enterprise kasutajad saavad luua uusi krüpteerimisvõtmeid, mida Microsoftile kunagi ei saadeta. Selleks peate esmalt lülitama BitLockeri ketta dekrüpteerimiseks välja ja seejärel BitLocker uuesti sisse lülitama. Seda tehes küsitakse teilt, kus soovite BitLockeri Drive Encryption'i taastevõtme varundada. See võti ei saa Microsoftiga jagada, kuid veenduge, et hoidke seda kindlasti, sest kui see kaotatakse, võite kaotada juurdepääsu kõikidele teie krüpteeritud andmetele.
