"Microsoft" automatiškai šifruoja jūsų naują "Windows" įrenginį ir "OneDrive" saugo "Windows 10" įrenginio šifravimo raktą, kai prisijungiate naudodami "Microsoft" paskyrą. Ši žinutė kalba apie tai, kodėl "Microsoft" tai daro. Mes taip pat pamatysime, kaip ištrinti šį šifravimo raktą ir sukurti savo raktą, nenaudodami jo su "Microsoft".
"Windows 10" įrenginio šifravimo raktas
Jei įsigijote naują "Windows 10" kompiuterį ir prisijungėte naudodami savo "Microsoft" paskyrą, jūsų įrenginys bus užkoduotas "Windows", o šifravimo raktas bus automatiškai saugomas "OneDrive". Tai nėra nieko naujo ir nuo "Windows 8" atsirado, tačiau pastaruoju metu kilo tam tikrų klausimų, susijusių su jo saugumu.
Kad ši funkcija būtų prieinama, jūsų aparatinė įranga turi palaikyti prijungtą budėjimo režimą, kuris atitinka "Windows" techninės įrangos sertifikavimo komplekto (HCK) reikalavimus TPM ir SecureBoot on ConnectedStandby sistemos. Jei jūsų įrenginys palaiko šią funkciją, pamatysite nustatymą skiltyje "Nustatymai"> "Sistema"> "Apie". Čia galite išjungti arba įjungti įrenginio šifravimą.
Disko ar įrenginio šifravimas sistemoje "Windows 10" yra labai gera funkcija, kuri pagal numatytuosius nustatymus yra įjungta "Windows 10.". Tai reiškia, kad ji užkoduoja jūsų įrenginį, o tada saugo šifravimo raktą "OneDrive" savo "Microsoft" paskyroje.
"TechNet" teigia, kad prietaiso šifravimas įjungiamas automatiškai, todėl įrenginys visada yra apsaugotas. Toliau pateiktame sąraše aprašoma, kaip tai atliekama:
- Kai atliktas švarus "Windows 8.1 / 10" diegimas, kompiuteris yra paruoštas pirmą kartą naudoti. Kaip šio parengimo dalis, įrenginio šifravimas yra inicijuojamas operacinės sistemos diske ir fiksuoto duomenų diskuose kompiuteryje su aiškiu klavišu.
- Jei įrenginys nėra prisijungęs prie domeno, reikia turėti "Microsoft" paskyrą, kuriai įrenginyje suteiktos administratoriaus teisės. Kai administratorius naudoja "Microsoft" paskyrą, norint prisijungti, pašalinamas aiškus raktas, atkūrimo raktas įkeltas į internetinę "Microsoft" paskyrą ir sukurtas TPM apsauga. Jei įrenginiui reikalingas atkūrimo raktas, vartotojui bus vadovaujamasi naudoti alternatyvų įrenginį ir pereiti prie atkūrimo rakto prieigos URL, kad atkūrimo raktą atkurtumėte naudodamiesi "Microsoft" paskyros duomenimis.
- Jei vartotojas prisijungia naudodamas domeno paskyrą, išvalomas raktas nėra pašalinamas, kol vartotojas prisijungs prie įrenginio prie domeno, o atkūrimo raktas bus sėkmingai sukurtas atsargines kopijas iki "Active Directory" domenų paslaugų.
Taigi tai skiriasi nuo "BitLocker", kur reikalaujama paleisti "BitLocker" ir laikytis procedūros, o visa tai daroma automatiškai, net jei kompiuterių naudotojų žinios ar trukdžiai. Kai įjungiate "BitLocker", esate priverstas padaryti atsarginę jūsų atkūrimo raktą, bet jūs gaunate tris parinktis: išsaugokite ją "Microsoft" paskyroje, išsaugokite ją USB atmintinėje arba atspausdinkite ją.
Pasak mokslininko:
As soon as your recovery key leaves your computer, you have no way of knowing its fate. A hacker could have already hacked your Microsoft account and can make a copy of your recovery key before you have time to delete it. Or Microsoft itself could get hacked, or could have hired a rogue employee with access to user data. Or a law enforcement or spy agency could send Microsoft a request for all data in your account, which would legally compel it to hand over your recovery key, which it could do even if the first thing you do after setting up your computer is delete it.
Atsakydama Microsoft tai sako:
When a device goes into recovery mode, and the user doesn’t have access to the recovery key, the data on the drive will become permanently inaccessible. Based on the possibility of this outcome and a broad survey of customer feedback we chose to automatically backup the user recovery key. The recovery key requires physical access to the user device and is not useful without it.
Taigi "Microsoft" nusprendė automatiškai atsiųsti šifravimo raktus į savo serverius, kad užtikrintų, jog vartotojai neprarastų savo duomenų, jei įrenginys pateks į atkūrimo režimą ir neturės prieigos prie atkūrimo raktų.
Taigi, kad pamatytumėte, kad norint pasinaudoti šia funkcija, užpuolikas turi turėti galimybę susipažinti su abiejų atsarginiu šifravimo raktu, taip pat gauti fizinę prieigą prie jūsų kompiuterio įrenginio. Kadangi tai yra labai reta galimybė, manau, kad apie tai nereikia gauti paranojiško. Tiesiog įsitikinkite, kad visiškai apsaugojote "Microsoft" paskyrą ir palikite įrenginio šifravimo nustatymus pagal numatytuosius nustatymus.
Nepaisant to, jei norėtumėte pašalinti šį šifravimo raktą iš "Microsoft" serverių, būtent taip galite tai padaryti.
Kaip pašalinti šifravimo raktą
Negalima užkirsti kelio naujam "Windows" įrenginiui įkelti atkūrimo raktą, kai pirmą kartą prisijungiate prie "Microsoft" paskyros. Tačiau galite ištrinti įkeltą raktą.
Jei nenorite, kad "Microsoft" saugotų jūsų šifravimo raktą į debesį, turėsite aplankyti šį "OneDrive" puslapį ir ištrinti raktą. Tada turėsite išjunkite disko šifravimą funkcija. Atminkite, jei tai padarysite, negalėsite naudoti šios integruotos duomenų apsaugos funkcijos, jei jūsų kompiuteris bus pamestas ar pavogtas.
Kai ištrinate savo atkūrimo raktą iš savo paskyros šioje svetainėje, ji iš karto ištrinama, o kopijos, saugomos atsarginiuose įrenginiuose, taip pat ištrinamos netrukus po to.
The recovery key password is deleted right away from the customer’s online profile. As the drives that are used for failover and backup are sync’d up with the latest data the keys are removed, says Microsoft.
Kaip sugeneruoti savo šifravimo raktą
"Windows 10 Pro" ir "Enterprise" vartotojai gali generuoti naujus šifravimo raktus, kurie niekuomet nėra siunčiami "Microsoft". Norėdami tai padaryti, pirmiausia turėsite išjungti "BitLocker", kad iššifruotumėte diską, o tada vėl įjunkite "BitLocker". Kai tai atliksite, jums bus klausiama, kur norite sukurti atsarginę BitLocker disko šifravimo atkūrimo raktą. Šis raktas nebus bendrinamas su "Microsoft", bet įsitikinkite, kad saugo jį saugiai, nes jei jį praradote, galite prarasti prieigą prie visų šifruotų duomenų.
