Microsoft esegue automaticamente la crittografia del nuovo dispositivo Windows e memorizza la chiave di crittografia dispositivo di Windows 10 su OneDrive, quando si accede utilizzando l'account Microsoft. Questo post parla del perché Microsoft fa questo. Vedremo anche come eliminare questa chiave di crittografia e generare la tua chiave, senza doverla condividere con Microsoft.
Chiave di crittografia dispositivo di Windows 10
Se hai acquistato un nuovo computer Windows 10 e hai effettuato l'accesso utilizzando l'account Microsoft, il tuo dispositivo verrà crittografato da Windows e la chiave di crittografia verrà archiviata automaticamente su OneDrive. Questo non è niente di nuovo in realtà e si è diffuso da Windows 8, ma alcune domande relative alla sua sicurezza sono state sollevate di recente.
Affinché questa funzionalità sia disponibile, l'hardware deve supportare lo standby connesso che soddisfa i requisiti HCK (Hardware Certification Kit) di Windows per TPM e Avvio sicuro sopra ConnectedStandby sistemi. Se il tuo dispositivo supporta questa funzione, vedrai le impostazioni in Impostazioni> Sistema> Informazioni. Qui puoi disattivare o attivare Device Encryption.
Disk o Device Encryption in Windows 10 è una funzionalità molto buona che è attivata per impostazione predefinita su Windows 10. Ciò che fa questa funzionalità è che crittografa il dispositivo e quindi memorizza la chiave di crittografia su OneDrive, nel tuo account Microsoft.
La crittografia dei dispositivi è abilitata automaticamente in modo che il dispositivo sia sempre protetto, afferma TechNet. Il seguente elenco delinea il modo in cui questo è realizzato:
- Al termine dell'installazione pulita di Windows 8.1 / 10, il computer è pronto per il primo utilizzo. Come parte di questa preparazione, la crittografia del dispositivo viene inizializzata sull'unità del sistema operativo e le unità dati fisse sul computer con una chiave chiara.
- Se il dispositivo non è un dominio, è necessario un account Microsoft a cui sono stati concessi privilegi amministrativi sul dispositivo. Quando l'amministratore utilizza un account Microsoft per accedere, la chiave di cancellazione viene rimossa, una chiave di ripristino viene caricata nell'account Microsoft online e viene creata la protezione TPM. Se un dispositivo richiede la chiave di ripristino, l'utente verrà guidato a utilizzare un dispositivo alternativo e ad accedere a un URL di accesso alla chiave di ripristino per recuperare la chiave di ripristino utilizzando le credenziali dell'account Microsoft.
- Se l'utente accede utilizzando un account di dominio, la chiave di cancellazione non viene rimossa finché l'utente non si collega al dispositivo a un dominio e la chiave di ripristino viene correttamente sottoposta a backup in Servizi di dominio Active Directory.
Quindi questo è diverso da BitLocker, dove è necessario avviare Bitlocker e seguire una procedura, mentre tutto ciò viene fatto automaticamente senza la conoscenza o l'interferenza degli utenti del computer. Quando attivi BitLocker, devi eseguire un backup della chiave di ripristino, ma ottieni tre opzioni: salvalo nel tuo account Microsoft, salvalo su una chiavetta USB o stampalo.
Dice un ricercatore:
As soon as your recovery key leaves your computer, you have no way of knowing its fate. A hacker could have already hacked your Microsoft account and can make a copy of your recovery key before you have time to delete it. Or Microsoft itself could get hacked, or could have hired a rogue employee with access to user data. Or a law enforcement or spy agency could send Microsoft a request for all data in your account, which would legally compel it to hand over your recovery key, which it could do even if the first thing you do after setting up your computer is delete it.
In risposta, Microsoft ha questo da dire:
When a device goes into recovery mode, and the user doesn’t have access to the recovery key, the data on the drive will become permanently inaccessible. Based on the possibility of this outcome and a broad survey of customer feedback we chose to automatically backup the user recovery key. The recovery key requires physical access to the user device and is not useful without it.
Pertanto, Microsoft ha deciso di eseguire il backup automatico delle chiavi di crittografia sui propri server per garantire che gli utenti non perdano i loro dati se il dispositivo passa alla modalità di ripristino e non hanno accesso alla chiave di ripristino.
Pertanto, per poter sfruttare questa funzionalità, è necessario che un utente malintenzionato sia in grado di accedere a entrambi, la chiave di crittografia di backup, oltre a ottenere l'accesso fisico al dispositivo del computer. Poiché questa sembra una possibilità molto rara, penserei che non ci sia bisogno di essere paranoici riguardo a questo. Assicurati di aver protetto completamente il tuo account Microsoft e di lasciare le impostazioni di crittografia del dispositivo ai loro valori predefiniti.
Tuttavia, se desideri rimuovere questa chiave di crittografia dai server Microsoft, ecco come puoi farlo.
Come rimuovere la chiave di crittografia
Non è possibile impedire a un nuovo dispositivo Windows di caricare la chiave di ripristino la prima volta che si accede al proprio account Microsoft., Ma è possibile eliminare la chiave caricata.
Se non si desidera che Microsoft memorizzi la chiave di crittografia nel cloud, sarà necessario visitare questa pagina di OneDrive e cancella la chiave. Allora dovrai farlo disattivare la crittografia del disco caratteristica. Attenzione, se lo fai, non sarai in grado di utilizzare questa funzionalità di protezione dei dati integrata nel caso in cui il tuo computer venga perso o rubato.
Quando si cancella la chiave di ripristino dal proprio account su questo sito Web, questa viene immediatamente eliminata e anche le copie archiviate nelle relative unità di backup vengono eliminate anche in seguito.
The recovery key password is deleted right away from the customer’s online profile. As the drives that are used for failover and backup are sync’d up with the latest data the keys are removed, says Microsoft.
Come generare la propria chiave di crittografia
Gli utenti di Windows 10 Pro ed Enterprise possono generare nuove chiavi di crittografia che non vengono mai inviate a Microsoft. Per fare ciò, prima devi disattivare BitLocker per decrittografare il disco e quindi riattivare BitLocker. Quando si esegue questa operazione, verrà richiesto dove si desidera eseguire il backup della chiave di ripristino della crittografia di BitLocker Drive. Questa chiave non verrà condivisa con Microsoft, ma assicurati di tenerla in sicurezza, perché se la perdi, potresti perdere l'accesso a tutti i tuoi dati crittografati.
