Microsoft sẽ tự động mã hóa thiết bị Windows mới của bạn và lưu trữ Khóa mã hóa thiết bị Windows 10 trên OneDrive, khi bạn đăng nhập bằng tài khoản Microsoft của mình. Bài viết này nói về lý do tại sao Microsoft thực hiện điều này. Chúng tôi cũng sẽ xem cách xóa khóa mã hóa này và tạo khóa của riêng bạn mà không phải chia sẻ với Microsoft.
Khóa mã hóa thiết bị Windows 10
Nếu bạn đã mua một máy tính Windows 10 mới và đăng nhập bằng tài khoản Microsoft của bạn, thiết bị của bạn sẽ được mã hóa bởi Windows và khóa mã hóa sẽ được lưu trữ tự động trên OneDrive. Điều này là không có gì mới thực sự và đã được aroud kể từ Windows 8, nhưng một số câu hỏi liên quan đến an ninh của nó đã được nâng lên gần đây.
Để tính năng này khả dụng, phần cứng của bạn phải hỗ trợ chế độ chờ kết nối đáp ứng các yêu cầu Bộ phần cứng Windows (HCK) cho TPM và SecureBoot trên ConnectedStandby hệ thống. Nếu thiết bị của bạn hỗ trợ tính năng này, bạn sẽ thấy cài đặt trong Cài đặt> Hệ thống> Giới thiệu. Tại đây bạn có thể tắt hoặc bật Mã hóa thiết bị.
Đĩa hoặc mã hóa thiết bị trong Windows 10 là một tính năng rất tốt được bật theo mặc định trên Windows 10. Tính năng này thực hiện là nó mã hóa thiết bị của bạn và sau đó lưu khóa mã hóa vào OneDrive, trong Tài khoản Microsoft của bạn.
Mã hóa thiết bị được kích hoạt tự động để thiết bị luôn được bảo vệ, TechNet nói. Danh sách sau vạch ra cách thực hiện điều này:
- Khi cài đặt sạch Windows 8.1 / 10 hoàn tất, máy tính được chuẩn bị để sử dụng lần đầu tiên. Là một phần của quá trình chuẩn bị này, mã hóa thiết bị được khởi tạo trên ổ đĩa hệ điều hành và các ổ đĩa dữ liệu cố định trên máy tính bằng một khóa rõ ràng.
- Nếu thiết bị không được liên kết miền, một Tài khoản Microsoft đã được cấp quyền quản trị trên thiết bị là bắt buộc. Khi quản trị viên sử dụng tài khoản Microsoft để đăng nhập, khóa rõ ràng bị xóa, khóa khôi phục được tải lên tài khoản Microsoft trực tuyến và bảo vệ TPM được tạo. Nếu thiết bị yêu cầu khóa khôi phục, người dùng sẽ được hướng dẫn sử dụng thiết bị thay thế và điều hướng đến URL truy cập khóa khôi phục để truy xuất khóa khôi phục bằng thông tin đăng nhập Tài khoản Microsoft của họ.
- Nếu người dùng đăng nhập bằng tài khoản miền, khóa rõ ràng sẽ không bị xóa cho đến khi người dùng kết nối thiết bị với miền và khóa khôi phục được sao lưu thành công vào Dịch vụ miền Active Directory.
Vì vậy, điều này khác với BitLocker, nơi bạn được yêu cầu khởi động Bitlocker và làm theo một quy trình, trong khi tất cả điều này được thực hiện tự động mà không có kiến thức hoặc can thiệp của người dùng máy tính. Khi bạn bật BitLocker, bạn buộc phải sao lưu khóa khôi phục của mình, nhưng bạn nhận được ba tùy chọn: Lưu nó vào tài khoản Microsoft của bạn, lưu nó vào thẻ USB hoặc in nó.
Nói một nhà nghiên cứu:
As soon as your recovery key leaves your computer, you have no way of knowing its fate. A hacker could have already hacked your Microsoft account and can make a copy of your recovery key before you have time to delete it. Or Microsoft itself could get hacked, or could have hired a rogue employee with access to user data. Or a law enforcement or spy agency could send Microsoft a request for all data in your account, which would legally compel it to hand over your recovery key, which it could do even if the first thing you do after setting up your computer is delete it.
Đáp lại, Microsoft có điều này để nói:
When a device goes into recovery mode, and the user doesn’t have access to the recovery key, the data on the drive will become permanently inaccessible. Based on the possibility of this outcome and a broad survey of customer feedback we chose to automatically backup the user recovery key. The recovery key requires physical access to the user device and is not useful without it.
Do đó, Microsoft đã quyết định tự động sao lưu các khóa mã hóa vào máy chủ của họ để đảm bảo rằng người dùng không bị mất dữ liệu của họ nếu thiết bị chuyển sang chế độ Khôi phục và họ không có quyền truy cập vào khóa khôi phục.
Vì vậy, bạn thấy rằng để cho tính năng này được khai thác, kẻ tấn công phải có khả năng truy cập cả hai, khóa mã hóa được sao lưu cũng như truy cập vật lý vào thiết bị máy tính của bạn. Vì đây có vẻ là một khả năng rất hiếm, tôi nghĩ rằng không cần phải hoang tưởng về điều này. Chỉ cần đảm bảo rằng bạn đã bảo vệ hoàn toàn Tài khoản Microsoft của mình và để cài đặt mã hóa thiết bị ở chế độ mặc định của chúng.
Tuy nhiên, nếu bạn muốn xóa khóa mã hóa này khỏi máy chủ của Microsoft, dưới đây là cách bạn có thể thực hiện điều đó.
Cách xóa khóa mã hóa
Không có cách nào để ngăn thiết bị Windows mới tải lên khóa khôi phục của bạn lần đầu tiên bạn đăng nhập vào tài khoản Microsoft của mình. Tuy nhiên, bạn có thể xóa khóa đã tải lên.
Nếu bạn không muốn Microsoft lưu khóa mã hóa của bạn vào đám mây, bạn sẽ phải truy cập trang OneDrive này và xóa khóa. Sau đó, bạn sẽ phải tắt mã hóa đĩa đặc tính. Nếu bạn làm điều này, bạn sẽ không thể sử dụng tính năng bảo vệ dữ liệu tích hợp này trong trường hợp máy tính của bạn bị mất hoặc bị đánh cắp.
Khi bạn xóa khóa khôi phục khỏi tài khoản của mình trên trang web này, nó sẽ bị xóa ngay lập tức và các bản sao được lưu trữ trên các ổ đĩa dự phòng cũng sẽ bị xóa ngay sau đó.
The recovery key password is deleted right away from the customer’s online profile. As the drives that are used for failover and backup are sync’d up with the latest data the keys are removed, says Microsoft.
Cách tạo khóa mã hóa của riêng bạn
Người dùng Windows 10 Pro và Enterprise có thể tạo khóa mã hóa mới không bao giờ được gửi tới Microsoft. Để làm điều đó, trước tiên bạn sẽ phải tắt BitLocker để giải mã đĩa, sau đó bật lại BitLocker. Khi thực hiện việc này, bạn sẽ được hỏi nơi bạn muốn sao lưu Khóa khôi phục mã hóa ổ đĩa BitLocker Drive. Phím này sẽ không được chia sẻ với Microsoft, nhưng chắc chắn rằng bạn giữ nó an toàn, bởi vì nếu bạn mất nó, bạn có thể mất quyền truy cập vào tất cả các dữ liệu được mã hóa của bạn.
