Microsoft tallentaa Windows 10 -laitteen salausavain OneDrive

Microsoft salsaa automaattisesti uuden Windows-laitteen ja tallentaa Windows 10 -laitteen salausavaimen OneDrive-järjestelmään, kun kirjaudut sisään Microsoft-tilin avulla. Tämä viesti kertoo, miksi Microsoft tekee tämän.

Windows 10 -laitteen salausavain

Jos olet ostanut uuden Windows 10 -tietokoneen ja kirjautunut sisään Microsoft-tilin avulla, näet myös tämän salausavaimen poistamisen ja oman avaimen luomisen ilman jakamista Microsoftin kanssa., Windows salaa laitteen, ja salausavain tallennetaan automaattisesti OneDrive-laitteeseen. Tämä ei ole mikään uusi, ja se on ollut aitoa Windows 8: n jälkeen, mutta tietyt tietoturvaan liittyvät kysymykset on esitetty äskettäin.

Jotta tämä ominaisuus olisi käytettävissä, laitteistosi on tuettava Windows 98: n laitteistosertifikaattipakettiin (HCK) vaatimuksia TPM: lle ja SecureBoot on ConnectedStandby -järjestelmille. Jos laite tukee tätä toimintoa, asetus näkyy kohdassa Asetukset> Järjestelmä> Tietoja.

Levy- tai Laitetallennus Windows 10: ssä on erittäin hyvä ominaisuus, joka on oletusarvoisesti käytössä Windows 10: ssä. Tämä ominaisuus on se, että se ympäröi laitettasi ja tallenna salausavain OneDrive-järjestelmään Microsoft-tilillesi.

Laitekirjoitus on otettu käyttöön automaattisesti, jotta laite on aina suojattu, sanoo TechNet. Seuraavassa luettelossa esitetään, miten tämä toteutuu:

1. Kun Windows 8.1 / 10: n puhdas asennus on valmis, tietokone on valmiina ensimmäiseen käyttöön. Osana tätä valmistetta laitekoodaus alustetaan tietokoneen käyttöjärjestelmän ajaa ja kiinteitä tietovälineitä käyttäen selkeää avainta.
2. Jos laite ei ole verkkotunnukseen liitetty Microsoft-tili, jolle on myönnetty järjestelmänvalvojan oikeudet laitteessa vaaditaan. Kun pääkäyttäjä käyttää kirjautumistunnusta Microsoft-tiliä, poistopainike poistetaan, palauttaa avainsyöttö verkon Microsoft-tiliin ja TPM-suojelija luodaan. Jos laite vaatii palautusavaimen, käyttäjä ohjataan käyttämään vaihtoehtoista laitetta ja siirtymään palautusavaimen käyttöoikeusluetteloon, joka hakee palautusavaimen käyttämällä Microsoft-tilin käyttöoikeuksia.
3. Jos käyttäjä kirjautuu verkkotunnuksen tiliin, selainavainta ei poisteta, ennen kuin käyttäjä liittyy laitteeseen verkkotunnukseen ja palautusavain onnistuneesti varmuuskopioidaan Active Directory -domainpalveluihin.

Joten tämä eroaa BitLockerista, jossa BitLockerin on käynnistettävä ja noudatettava menettelyä, kun kaikki tämä tapahtuu automaattisesti ilman tietokoneiden käyttäjien tuntemusta tai häiriöitä. Kun käynnistät BitLockerin, sinun on pakko varmuuskopioida palautusavaimen, mutta saat kolme vaihtoehtoa: Tallenna se Microsoft-tilillesi, tallenna se USB-muistitikkuun tai tulosta se.

Sanoo tutkija:

Heti kun palautusavaimesi lähtee tietokoneesta, et ole millään tavalla tietoinen sen kohtalosta. Hakkeri olisi voinut jo murtautua Microsoft-tiliisi ja saada kopion palautusavaimestasi ennen kuin sinulla on aikaa poistaa se. Tai Microsoft itse voisi saada hakkeroitua tai olisi voinut palkata väärennetyn työntekijän, jolla on pääsy käyttäjän tietoihin. Tai lainvalvonta- tai vakoilutoimisto voisi lähettää Microsoftille pyynnön kaikista tilisi tietoihin, mikä pakottaisi sen laillisesti palauttamaan avaimen, jota se voisi tehdä, vaikka ensimmäinen askel tietokoneen asentamisen jälkeen on poistaa se.

Vastauksena Microsoftilla on tämä sanoma:

Kun laite siirtyy talteenottotilaan ja käyttäjällä ei ole pääsyä palautusavaimeen, asemassa olevat tiedot pysyvät pysyvästi saavuttamattomina. Tämän lopputuloksen mahdollisuuden ja asiakaspalautteen kattavan kyselyn perusteella päätimme varmuuskopioida automaattisesti käyttäjän palautusavaimen. Palautusavain vaatii fyysisen pääsyn käyttäjälaitteeseen eikä se ole hyödyllinen ilman sitä.

Näin Microsoft päätti varmuuskopioida salausavaimet automaattisesti palvelimilleen varmistaakseen, että käyttäjät eivät menetä tietojaan, jos laite siirtyy palautusmuotoon, eikä heillä ole pääsyä palautusavaimeen.

Joten näet, että tämän hyökkääjän on voitava päästä molempiin, varmuuskopioituun salausavainta sekä saada fyysinen pääsy tietokoneesi laitteeseen. Koska tämä näyttää erittäin harvinaiselta mahdolliselta, luulisin, ettei ole mitään paranoida tästä. Varmista vain, että olet täysin suojellut Microsoft-tiliäsi ja jätä laitteen salausasetukset niiden oletusarvoihin.

Jos kuitenkin haluat poistaa salausavain Microsoftin palvelimilta, voit tehdä sen seuraavasti:

Salausavaimen poistaminen

Ei ole mitään keinoa estää uutta Windows-laitetta lataamasta palautussymbolia, kun kirjaudut Microsoft-tiliisi ensimmäistä kertaa, mutta voit poistaa lataamasi avaimen.

Jos olet älä halua, että Microsoft tallentaa salausavaimen pilvulle, sinun on vierailla OneDrive -sivulla ja poistettava avain . Sitten sinun täytyy poistaa käytöstä Levyn salaus -ominaisuus. Huomaa, että jos teet tämän, et voi käyttää tätä sisäänrakennettua tietosuojaominaisuutta, jos tietokone on kadonnut tai varastettu.

Kun poistat palautussymbolin tililtäsi tällä sivustolla, se poistetaan välittömästi, ja sen varmuuskopioasemilla tallennetut kopiot myös poistetaan pian sen jälkeen.

Palautusavaimen salasana poistetaan heti asiakkaan verkkoprofiilista.

Miten luodaan oma salausavain

Windows 10 Pro- ja Enterprise-käyttäjät voivat luoda uuden salauksen, kun avaimet poistetaan. avaimet, joita ei koskaan lähetetä Microsoftille. Tällöin sinun on ensin poistettava BitLocker käytöstä salauksen purkamiseksi ja käynnistettävä BitLocker uudelleen. Kun teet tämän, sinulta kysytään, mistä haluat varmuuskopioida BitLockerin Drive Encryption Recovery -avain. Tätä avainta ei saa jakaa Microsoftin kanssa, mutta pidä se turvallisesti, koska jos menetät sen, voit menettää pääsyn kaikkiin salattuun dataasi.