Perché Microsoft memorizza la chiave di crittografia dispositivo di Windows 10 su OneDrive
Microsoft esegue automaticamente la crittografia del nuovo dispositivo Windows e memorizza la chiave di crittografia dispositivo di Windows 10 su OneDrive, quando si accede utilizzando l'account Microsoft. Questo post parla del motivo per cui Microsoft fa questo. Vedremo anche come eliminare questa chiave di crittografia e generare la tua chiave, senza doverla condividere con Microsoft.
Chiave di crittografia dispositivo di Windows 10
Se hai acquistato un nuovo computer Windows 10 e hai effettuato l'accesso utilizzando l'account Microsoft, il tuo dispositivo verrà crittografato da Windows e la chiave di crittografia verrà archiviata automaticamente su OneDrive. Questo non è niente di nuovo in realtà e si è diffuso da Windows 8, ma alcune domande relative alla sua sicurezza sono state sollevate di recente.
Affinché questa funzionalità sia disponibile, l'hardware deve supportare lo standby connesso che soddisfa i requisiti HCK (Hardware Certification Kit) di Windows per TPM e Avvio sicuro sopra ConnectedStandby sistemi. Se il tuo dispositivo supporta questa funzione, vedrai le impostazioni in Impostazioni> Sistema> Informazioni. Qui puoi disattivare o attivare Device Encryption.
Disk o Device Encryption in Windows 10 è una funzionalità molto buona che è attivata per impostazione predefinita su Windows 10. Ciò che fa questa funzionalità è che crittografa il dispositivo e quindi memorizza la chiave di crittografia su OneDrive, nel tuo account Microsoft.
La crittografia dei dispositivi è abilitata automaticamente in modo che il dispositivo sia sempre protetto, afferma TechNet. Il seguente elenco delinea il modo in cui questo è realizzato:
- Al termine dell'installazione pulita di Windows 8.1 / 10, il computer è pronto per il primo utilizzo. Come parte di questa preparazione, la crittografia del dispositivo viene inizializzata sull'unità del sistema operativo e le unità dati fisse sul computer con una chiave chiara.
- Se il dispositivo non è un dominio, è necessario un account Microsoft a cui sono stati concessi privilegi amministrativi sul dispositivo. Quando l'amministratore utilizza un account Microsoft per accedere, la chiave di cancellazione viene rimossa, una chiave di ripristino viene caricata nell'account Microsoft online e viene creata la protezione TPM. Se un dispositivo richiede la chiave di ripristino, l'utente verrà guidato a utilizzare un dispositivo alternativo e ad accedere a un URL di accesso alla chiave di ripristino per recuperare la chiave di ripristino utilizzando le credenziali dell'account Microsoft..
- Se l'utente accede utilizzando un account di dominio, la chiave di cancellazione non viene rimossa finché l'utente non si collega al dispositivo a un dominio e la chiave di ripristino viene correttamente sottoposta a backup in Servizi di dominio Active Directory.
Quindi questo è diverso da BitLocker, dove è necessario avviare Bitlocker e seguire una procedura, mentre tutto ciò viene fatto automaticamente senza la conoscenza o l'interferenza degli utenti del computer. Quando attivi BitLocker, sei obbligato a eseguire un backup della chiave di ripristino, ma ottieni tre opzioni: salvalo nel tuo account Microsoft, salvalo su una chiavetta USB o stampalo.
Dice un ricercatore:
Non appena la chiave di ripristino lascia il tuo computer, non hai modo di conoscerne il destino. Un hacker potrebbe aver già violato il tuo account Microsoft e può fare una copia della chiave di ripristino prima che tu abbia il tempo di cancellarla. Oppure Microsoft potrebbe essere hackerata o assumere un dipendente canaglia con accesso ai dati dell'utente. Oppure un'agenzia di polizia o di spionaggio potrebbe inviare a Microsoft una richiesta di tutti i dati del tuo account, che legalmente la costringeranno a consegnare la chiave di ripristino, cosa che potrebbe fare anche se la prima cosa che fai dopo aver configurato il tuo computer è cancellarla.
In risposta, Microsoft ha questo da dire:
Quando un dispositivo entra in modalità di ripristino e l'utente non ha accesso alla chiave di ripristino, i dati sul disco diventeranno permanentemente inaccessibili. Sulla base della possibilità di questo risultato e di un ampio sondaggio sul feedback dei clienti, abbiamo scelto di eseguire automaticamente il backup della chiave di ripristino dell'utente. La chiave di ripristino richiede l'accesso fisico al dispositivo dell'utente e non è utile senza di essa.
Pertanto, Microsoft ha deciso di eseguire il backup automatico delle chiavi di crittografia sui propri server per garantire che gli utenti non perdano i loro dati se il dispositivo passa alla modalità di ripristino e non hanno accesso alla chiave di ripristino.
Pertanto, per poter sfruttare questa funzionalità, è necessario che un utente malintenzionato sia in grado di accedere a entrambi, la chiave di crittografia di backup, oltre a ottenere l'accesso fisico al dispositivo del computer. Poiché questa sembra una possibilità molto rara, penserei che non ci sia bisogno di diventare paranoici al riguardo. Assicurati di aver protetto completamente il tuo account Microsoft e di lasciare le impostazioni di crittografia del dispositivo ai loro valori predefiniti.
Tuttavia, se desideri rimuovere questa chiave di crittografia dai server Microsoft, ecco come puoi farlo.
Come rimuovere la chiave di crittografia
Non è possibile impedire a un nuovo dispositivo Windows di caricare la chiave di ripristino la prima volta che si accede al proprio account Microsoft., Ma è possibile eliminare la chiave caricata.
Se non si desidera che Microsoft memorizzi la chiave di crittografia nel cloud, sarà necessario visitare questa pagina di OneDrive e cancella la chiave. Allora dovrai farlo disattivare la crittografia del disco caratteristica. Attenzione, se lo fai, non sarai in grado di utilizzare questa funzione di protezione dei dati integrata nel caso in cui il tuo computer venga perso o rubato.
Quando si cancella la chiave di ripristino dal proprio account su questo sito Web, questa viene immediatamente eliminata e anche le copie memorizzate nelle relative unità di backup vengono eliminate anche successivamente.
La password della chiave di ripristino viene cancellata immediatamente dal profilo online del cliente. Poiché le unità utilizzate per il failover e il backup sono sincronizzate con i dati più recenti, le chiavi vengono rimosse, afferma Microsoft.