Waarom Microsoft uw Windows 10-apparaatcoderingssleutel opslaat in OneDrive
Microsoft codeert automatisch uw nieuwe Windows-apparaat en slaat de Windows 10-apparaatcoderingssleutel op OneDrive op wanneer u zich aanmeldt met uw Microsoft-account. Dit bericht gaat over waarom Microsoft dit doet. We zullen ook zien hoe deze coderingssleutel te verwijderen en uw eigen sleutel te genereren, zonder deze met Microsoft te hoeven delen.
Windows 10 Device Encryption Key
Als u een nieuwe Windows 10-computer hebt gekocht en hebt aangemeld met uw Microsoft-account, wordt uw apparaat versleuteld door Windows en wordt de coderingssleutel automatisch opgeslagen in OneDrive. Dit is eigenlijk niets nieuws en is al sinds Windows 8 het geval, maar een aantal vragen met betrekking tot de beveiliging zijn onlangs aan de orde gesteld.
Om deze functie beschikbaar te hebben, moet uw hardware aangesloten stand-by ondersteunen die voldoet aan de vereisten van de Windows Hardware Certification Kit (HCK) voor TPM en SecureBoot op ConnectedStandby systemen. Als uw apparaat deze functie ondersteunt, ziet u de instelling onder Instellingen> Systeem> Info. Hier kunt u Apparaatcodering uitschakelen of inschakelen.
Schijf- of apparaatversleuteling in Windows 10 is een zeer goede functie die standaard is ingeschakeld in Windows 10. Wat deze functie doet is dat het uw apparaat codeert en vervolgens de coderingssleutel opslaat in OneDrive, in uw Microsoft-account.
Apparaatversleuteling wordt automatisch ingeschakeld, zodat het apparaat altijd wordt beschermd, zegt TechNet. De volgende lijst schetst de manier waarop dit wordt bereikt:
- Wanneer een schone installatie van Windows 8.1 / 10 is voltooid, is de computer voorbereid voor het eerste gebruik. Als onderdeel van deze voorbereiding wordt apparaatversleuteling geïnitialiseerd op de schijf van het besturingssysteem en op vaste gegevensstations op de computer met een duidelijke sleutel.
- Als het apparaat geen domein-join is, is een Microsoft-account waarvoor beheerdersbevoegdheden op het apparaat zijn vereist, vereist. Wanneer de beheerder een Microsoft-account gebruikt om in te loggen, wordt de clear-key verwijderd, wordt een herstelsleutel geüpload naar een online Microsoft-account en wordt de TPM-protector gemaakt. Als een apparaat de herstelsleutel nodig heeft, wordt de gebruiker geleid om een alternatief apparaat te gebruiken en naar de toegangs-URL van de herstelsleutel te gaan om de herstelsleutel op te halen met behulp van de inloggegevens van zijn Microsoft-account.
- Als de gebruiker inlogt met een domeinaccount, wordt de verwijderde sleutel pas verwijderd nadat de gebruiker het apparaat heeft toegevoegd aan een domein en er een back-up is gemaakt van de herstelsleutel voor Active Directory Domain Services..
Dit is dus anders dan BitLocker, waar u Bitlocker moet starten en een procedure moet volgen, terwijl dit allemaal automatisch wordt gedaan zonder dat de computergebruikers kennis of interferentie hebben. Wanneer u BitLocker inschakelt, moet u een back-up van uw herstelsleutel maken, maar u krijgt drie opties: sla het op in uw Microsoft-account, sla het op een USB-stick op of druk het af.
Zegt een onderzoeker:
Zodra uw herstelcode uw computer verlaat, kunt u het lot ervan niet kennen. Een hacker kan uw Microsoft-account al hebben gehackt en een kopie van uw herstelsleutel maken voordat u tijd heeft om het te verwijderen. Of Microsoft zou zelf gehackt kunnen worden, of had een malafide medewerker kunnen inhuren met toegang tot gebruikersgegevens. Of een wetshandhavings- of spionageagentschap zou Microsoft een verzoek kunnen sturen om alle gegevens in uw account, die het wettelijk verplichten om uw herstelsleutel over te dragen, wat het ook zou kunnen doen als het eerste wat u doet nadat u uw computer hebt ingesteld, wordt verwijderd.
Als reactie hierop heeft Microsoft het volgende te zeggen:
Wanneer een apparaat in herstelmodus gaat en de gebruiker geen toegang heeft tot de herstelsleutel, worden de gegevens op het station permanent ontoegankelijk. Op basis van de mogelijkheid van deze uitkomst en een uitgebreid overzicht van feedback van klanten hebben we ervoor gekozen om automatisch een back-up te maken van de sleutel voor gebruikersherstel. De herstelsleutel vereist fysieke toegang tot het gebruikersapparaat en is niet bruikbaar zonder deze.
Daarom besloot Microsoft om automatisch een coderingssleutel te maken op hun servers om ervoor te zorgen dat gebruikers hun gegevens niet kwijtraken als het apparaat naar de herstelmodus gaat en zij geen toegang hebben tot de herstelsleutel..
U ziet dus dat om misbruik te kunnen maken van deze functie, een aanvaller zowel toegang moet hebben tot beide, de back-upcoderingssleutel als fysieke toegang tot uw computer. Aangezien dit een zeer zeldzame mogelijkheid lijkt, zou ik denken dat het niet nodig is om hierover paranoïde te worden. Zorg ervoor dat u uw Microsoft-account volledig hebt beveiligd en laat de apparaatversleutelingsinstellingen op hun standaardwaarden staan.
Niettemin, als u deze versleutelingssleutel van de servers van Microsoft wilt verwijderen, kunt u dit als volgt doen.
Hoe de coderingssleutel te verwijderen
Er is geen manier om te voorkomen dat een nieuw Windows-apparaat uw herstelsleutel uploadt wanneer u zich de eerste keer aanmeldt bij uw Microsoft-account., Maar u kunt de geüploade sleutel verwijderen.
Als u niet wilt dat Microsoft uw coderingssleutel opslaat in de cloud, moet u deze OneDrive-pagina en bezoeken verwijder de sleutel. Dan zul je moeten schakel Schijf-encryptie uit voorzien zijn van. Let op, als u dit doet, kunt u deze ingebouwde gegevensbeschermingsfunctie niet gebruiken in het geval uw computer verloren of gestolen is.
Wanneer u uw herstelsleutel uit uw account op deze website verwijdert, wordt deze onmiddellijk verwijderd en worden kopieën die op de back-upschijven zijn opgeslagen ook kort daarna verwijderd..
Het wachtwoord voor de herstelsleutel wordt onmiddellijk verwijderd uit het online profiel van de klant. Omdat de schijven die worden gebruikt voor failover en back-up worden gesynchroniseerd met de nieuwste gegevens, zijn de sleutels verwijderd, zegt Microsoft.