Microsoft automatski šifrira vaš novi Windows uređaj i pohranjuje šifru ključa za Windows 10 na OneDrive, kada se prijavite pomoću Microsoft računa. Ovaj post govori o tome zašto Microsoft to čini. Vidjet ćemo i kako izbrisati taj ključ za šifriranje i generirati vlastiti ključ bez potrebe da ga podijelite s Microsoftom.
Ključ za šifriranje uređaja Windows 10
Ako ste kupili novi Windows 10 računalo i prijavili ste se koristeći Microsoft račun, Windows će ga šifrirati, a ključ za šifriranje automatski će se pohraniti na OneDrive. Ovo nije ništa novo, a od osamdesetih godina prošlo je, ali određena pitanja koja se odnose na njegovu sigurnost nedavno su podignuta.
Da bi ova značajka bila dostupna, vaš hardver mora podržavati povezano stanje čekanja koje zadovoljava zahtjeve za HP Hardware Certification Kit (HCK) za TPM i SecureBoot na ConnectedStandby sustavi. Ako vaš uređaj podržava tu značajku, postavku Postavke> Sustav> O korisniku vidjet ćete postavku. Ovdje možete isključiti ili uključiti šifriranje uređaja.
Šifriranje diska ili uređaja u sustavu Windows 10 je vrlo dobra značajka koja je uključena prema zadanim postavkama na sustavu Windows 10. Ono što ovu značajku čini jest da obuhvaća vaš uređaj i zatim pohranjuje ključ za šifriranje na OneDrive na Microsoft računu.
Šifriranje uređaja omogućeno je automatski, tako da je uređaj uvijek zaštićen, kaže TechNet. Sljedeći popis opisuje kako se to ostvaruje:
- Kada je čista instalacija sustava Windows 8.1 / 10 dovršena, računalo je spremno za prvu upotrebu. Kao dio ove pripreme, šifriranje uređaja inicijalizira se na pogonu operacijskog sustava i fiksnim podatkovnim pogonima na računalu s jasnim ključem.
- Ako se uređaj ne pridružuje domeni, potreban je Microsoftov račun kojem je dodijeljena administrativna povlastica. Kada administrator koristi Microsoftov račun za prijavu, uklanja se tipka za brisanje, ključ za oporavak prenosi se na mrežni račun na mreži, a TPM zaštitnik je stvoren. Ako uređaj zahtijeva ključ za oporavak, korisnik će se voditi s upotrebom alternativnog uređaja i prijeći na URL za pristup ključu za oporavak kako bi dohvatio ključ za oporavak pomoću vjerodajnica za Microsoft račun.
- Ako se korisnik prijavljuje za upotrebu računa domene, jasni ključ neće biti uklonjen sve dok korisnik ne pridruži uređaj na domenu, a ključ za oporavak uspješno je sigurnosno kopiran do servisa domene Active Directory.
Dakle, ovo se razlikuje od BitLockera, gdje je potrebno pokrenuti BitLocker i slijediti postupak, a sve to radi automatski bez znanja korisnika ili smetnji korisnika računala. Kada uključite BitLocker, prisiljeni ste napraviti sigurnosnu kopiju ključa za oporavak, ali imate tri opcije: spremite je na Microsoft račun, spremite je na USB stick ili je ispišite.
Istraživač kaže:
As soon as your recovery key leaves your computer, you have no way of knowing its fate. A hacker could have already hacked your Microsoft account and can make a copy of your recovery key before you have time to delete it. Or Microsoft itself could get hacked, or could have hired a rogue employee with access to user data. Or a law enforcement or spy agency could send Microsoft a request for all data in your account, which would legally compel it to hand over your recovery key, which it could do even if the first thing you do after setting up your computer is delete it.
Kao odgovor, Microsoft to kaže:
When a device goes into recovery mode, and the user doesn’t have access to the recovery key, the data on the drive will become permanently inaccessible. Based on the possibility of this outcome and a broad survey of customer feedback we chose to automatically backup the user recovery key. The recovery key requires physical access to the user device and is not useful without it.
Tako je Microsoft odlučio automatski sigurnosno kopirati ključeve za enkripciju na svoje poslužitelje kako bi osigurao da korisnici ne gube podatke ako uređaj uđe u način rada za oporavak i nemaju pristup ključu za oporavak.
Na taj način vidite da kako bi se ova značajka mogla iskoristiti, napadač mora imati mogućnost pristupa oba ključa za šifriranje sigurnosnih kopija, kao i dobivanja fizičkog pristupa vašem računalnom uređaju. Budući da to izgleda kao vrlo rijetka mogućnost, mislio bih da nema potrebe za paranoidom zbog toga. Samo pazite da ste u potpunosti zaštitili svoj Microsoft račun i ostavili postavke šifriranja uređaja prema zadanim postavkama.
Ipak, ako želite ukloniti taj ključ za šifriranje s Microsoftovih poslužitelja, evo kako to možete učiniti.
Kako ukloniti ključ za šifriranje
Nema načina da spriječite novi Windows uređaj da učita vaš ključ za oporavak prilikom prve prijave na Microsoft račun, ali možete izbrisati preneseni ključ.
Ako ne želite da Microsoft pohrani vaš ključ za šifriranje u oblak, morat ćete posjetiti ovu stranicu s OneDrive i izbrišite ključ, Tada ćete morati isključivanje šifriranja diska značajka. Imajte na umu, ako to učinite, nećete moći upotrijebiti ovu ugrađenu značajku zaštite podataka u slučaju gubitka ili krađe vašeg računala.
Kada izbrišete svoj ključ za oporavak s vašeg računa na ovoj web stranici, ona će se odmah izbrisati, a kopije pohranjene na njegovim sigurnosnim kopijama također će se uskoro ukloniti.
The recovery key password is deleted right away from the customer’s online profile. As the drives that are used for failover and backup are sync’d up with the latest data the keys are removed, says Microsoft.
Kako generirati svoj ključ za šifriranje
Korisnici sustava Windows 10 Pro i Enterprise mogu generirati nove ključeve za šifriranje koje nikada ne šalju Microsoftu. Za to ćete morati najprije isključiti BitLocker za dekriptiranje diska i ponovno uključiti BitLocker. Prilikom toga bit ćete upitani odakle želite sigurnosno kopirati BitLocker ključ za oporavak šifriranja pogona. Ovaj ključ neće se dijeliti s Microsoftom, ali pazite da ga sigurno zadržite jer ako ga izgubite, možete izgubiti pristup svim svojim šifriranim podacima.
