เหตุใด Microsoft จึงเก็บคีย์การเข้ารหัสอุปกรณ์ Windows ของคุณไว้ที่ OneDrive

Microsoft จะเข้ารหัสอุปกรณ์ Windows ใหม่ของคุณโดยอัตโนมัติและจัดเก็บคีย์การเข้ารหัสอุปกรณ์ Windows 11/10 บน OneDrive เมื่อคุณลงชื่อเข้าใช้ด้วยบัญชี Microsoft ของคุณ โพสต์นี้พูดถึงสาเหตุที่ Microsoft ทำสิ่งนี้ เราจะดูวิธีลบคีย์การเข้ารหัสนี้และสร้างคีย์ของคุณเองด้วยโดยไม่ต้องแชร์กับ Microsoft

คีย์การเข้ารหัสอุปกรณ์ Windows 11/10

หากคุณซื้อคอมพิวเตอร์ Windows 11/10 เครื่องใหม่และลงชื่อเข้าใช้ด้วยบัญชี Microsoft อุปกรณ์ของคุณจะถูกเข้ารหัสโดย Windows และคีย์การเข้ารหัสจะถูกเก็บไว้โดยอัตโนมัติบน OneDrive นี่ไม่ใช่สิ่งใหม่จริง ๆ และมีมาตั้งแต่ Windows 8 แต่คำถามบางข้อเกี่ยวกับความปลอดภัยได้ถูกหยิบยกขึ้นมาเมื่อเร็วๆ นี้

เพื่อให้คุณลักษณะนี้ใช้งานได้ ฮาร์ดแวร์ของคุณต้องสนับสนุนการเชื่อมต่อสแตนด์บายที่ตรงตามข้อกำหนด Windows Hardware Certification Kit (HCK) สำหรับ TPM และ SecureBoot ใน ConnectedStandby ระบบต่างๆ หากอุปกรณ์ของคุณรองรับคุณสมบัตินี้ คุณจะเห็นการตั้งค่าในการตั้งค่า> ระบบ> เกี่ยวกับ คุณสามารถปิดหรือเปิดการเข้ารหัสอุปกรณ์ได้ที่นี่

การเข้ารหัสดิสก์หรืออุปกรณ์ใน Windows 11/10 เป็นคุณสมบัติที่ดีมากที่เปิดใช้งานโดยค่าเริ่มต้นใน Windows 10 คุณสมบัติของฟีเจอร์นี้คือเข้ารหัสอุปกรณ์ของคุณแล้วเก็บคีย์เข้ารหัสไว้ที่ OneDrive ในบัญชี Microsoft ของคุณ

การเข้ารหัสอุปกรณ์จะเปิดใช้งานโดยอัตโนมัติเพื่อให้อุปกรณ์ได้รับการปกป้องเสมอ TechNet กล่าว รายการต่อไปนี้สรุปวิธีการดำเนินการให้สำเร็จ:

1. เมื่อการติดตั้ง Windows 8.1/10 ใหม่ทั้งหมดเสร็จสิ้น คอมพิวเตอร์จะพร้อมสำหรับการใช้งานครั้งแรก ในการเตรียมการนี้ การเข้ารหัสอุปกรณ์จะเริ่มต้นในไดรฟ์ระบบปฏิบัติการและไดรฟ์ข้อมูลแบบถาวรในคอมพิวเตอร์ด้วยคีย์ที่ชัดเจน
2. หากอุปกรณ์ไม่ได้เข้าร่วมโดเมน บัญชี Microsoft ที่ได้รับสิทธิ์ของผู้ดูแลระบบในอุปกรณ์เป็นสิ่งจำเป็น เมื่อผู้ดูแลระบบใช้บัญชี Microsoft เพื่อลงชื่อเข้าใช้ ล้างคีย์จะถูกลบออก อัปโหลดคีย์การกู้คืนไปยังบัญชี Microsoft ออนไลน์ และสร้างตัวป้องกัน TPM หากอุปกรณ์ต้องใช้คีย์การกู้คืน ผู้ใช้จะได้รับคำแนะนำให้ใช้อุปกรณ์สำรองและไปที่ URL การเข้าถึงคีย์การกู้คืนเพื่อดึงคีย์การกู้คืนโดยใช้ข้อมูลประจำตัวของบัญชี Microsoft
3. หากผู้ใช้ลงชื่อเข้าใช้ด้วยบัญชีโดเมน คีย์ล้างจะไม่ถูกลบจนกว่าผู้ใช้จะเข้าร่วมอุปกรณ์กับโดเมน และคีย์การกู้คืนจะได้รับการสำรองข้อมูลไปยัง Active Directory Domain Services เรียบร้อยแล้ว

ดังนั้นสิ่งนี้จึงแตกต่างจาก BitLocker ซึ่งคุณจะต้องเริ่ม Bitlocker และปฏิบัติตามขั้นตอน ในขณะที่ทั้งหมดนี้จะทำโดยอัตโนมัติโดยที่ผู้ใช้คอมพิวเตอร์ไม่รู้หรือถูกรบกวน เมื่อคุณเปิด BitLocker คุณจะถูกบังคับให้สำรองข้อมูลคีย์การกู้คืนของคุณ แต่คุณจะได้รับสามตัวเลือก:บันทึกไว้ในบัญชี Microsoft ของคุณ บันทึกลงใน USB stick หรือพิมพ์ออกมา

นักวิจัยกล่าวว่า:

ทันทีที่คีย์การกู้คืนออกจากคอมพิวเตอร์ คุณจะไม่มีทางรู้ชะตากรรมของมันได้เลย แฮ็กเกอร์อาจแฮ็กบัญชี Microsoft ของคุณไปแล้วและสามารถทำสำเนาคีย์การกู้คืนได้ก่อนที่คุณจะมีเวลาลบออก หรือ Microsoft เองอาจถูกแฮ็กหรืออาจจ้างพนักงานปลอมที่สามารถเข้าถึงข้อมูลผู้ใช้ได้ หรือหน่วยงานบังคับใช้กฎหมายหรือสายลับสามารถส่งคำขอข้อมูลทั้งหมดในบัญชีของคุณให้ Microsoft ได้ ซึ่งจะบังคับตามกฎหมายให้มอบคีย์การกู้คืนของคุณ ซึ่งสามารถทำได้แม้ว่าสิ่งแรกที่คุณทำหลังจากตั้งค่าคอมพิวเตอร์ของคุณคือการลบทิ้ง .

Microsoft ได้ตอบกลับสิ่งนี้:

เมื่ออุปกรณ์เข้าสู่โหมดการกู้คืน และผู้ใช้ไม่มีสิทธิ์เข้าถึงคีย์การกู้คืน ข้อมูลในไดรฟ์จะไม่สามารถเข้าถึงได้อย่างถาวร จากความเป็นไปได้ของผลลัพธ์นี้และการสำรวจความคิดเห็นของลูกค้าในวงกว้าง เราเลือกที่จะสำรองข้อมูลคีย์การกู้คืนผู้ใช้โดยอัตโนมัติ คีย์การกู้คืนต้องการการเข้าถึงอุปกรณ์ของผู้ใช้จริงและไม่มีประโยชน์หากไม่มีคีย์ดังกล่าว

ดังนั้น Microsoft จึงตัดสินใจสำรองข้อมูลคีย์การเข้ารหัสโดยอัตโนมัติไปยังเซิร์ฟเวอร์ของตน เพื่อให้แน่ใจว่าผู้ใช้จะไม่สูญเสียข้อมูลหากอุปกรณ์เข้าสู่โหมดการกู้คืน และพวกเขาไม่สามารถเข้าถึงคีย์การกู้คืนได้

ดังนั้นคุณจึงเห็นว่าการที่จะใช้ประโยชน์จากคุณลักษณะนี้ ผู้โจมตีจะต้องสามารถเข้าถึงทั้งสองอย่าง คีย์เข้ารหัสสำรอง และเข้าถึงอุปกรณ์คอมพิวเตอร์ของคุณได้ เนื่องจากดูเหมือนว่าจะเป็นไปได้น้อยมาก ฉันคิดว่าไม่จำเป็นต้องหวาดระแวงเกี่ยวกับเรื่องนี้ เพียงตรวจสอบให้แน่ใจว่าคุณได้ปกป้องบัญชี Microsoft ของคุณอย่างเต็มที่แล้ว และปล่อยให้การตั้งค่าการเข้ารหัสอุปกรณ์เป็นค่าเริ่มต้น

อย่างไรก็ตาม หากคุณต้องการลบคีย์การเข้ารหัสนี้ออกจากเซิร์ฟเวอร์ของ Microsoft คุณสามารถทำได้

วิธีลบคีย์การเข้ารหัส

ไม่มีทางป้องกันไม่ให้อุปกรณ์ Windows ใหม่อัปโหลดคีย์การกู้คืนของคุณในครั้งแรกที่ลงชื่อเข้าใช้บัญชี Microsoft แต่คุณสามารถลบคีย์ที่อัปโหลดได้

ถ้าคุณไม่ต้องการให้ Microsoft เก็บคีย์การเข้ารหัสของคุณไว้บนคลาวด์ คุณจะต้องไปที่หน้า OneDrive นี้และลบคีย์ . จากนั้นคุณจะต้อง ปิดการเข้ารหัสดิสก์ คุณสมบัติ. โปรดทราบว่าหากคุณทำเช่นนี้ คุณจะไม่สามารถใช้คุณลักษณะการปกป้องข้อมูลในตัวในกรณีที่คอมพิวเตอร์ของคุณสูญหายหรือถูกขโมย

เมื่อคุณลบคีย์การกู้คืนออกจากบัญชีบนเว็บไซต์นี้ คีย์ดังกล่าวจะถูกลบทันที และสำเนาที่จัดเก็บไว้ในไดรฟ์สำรองก็จะถูกลบหลังจากนั้นไม่นานเช่นกัน

รหัสผ่านคีย์การกู้คืนจะถูกลบออกทันทีจากโปรไฟล์ออนไลน์ของลูกค้า เนื่องจากไดรฟ์ที่ใช้สำหรับเฟลโอเวอร์และการสำรองข้อมูลถูกซิงค์กับข้อมูลล่าสุด คีย์จะถูกลบออกไป Microsoft กล่าว

วิธีสร้างคีย์เข้ารหัสของคุณเอง

ผู้ใช้ Windows 10 Pro และ Enterprise สามารถสร้างคีย์การเข้ารหัสใหม่ที่ไม่เคยส่งไปยัง Microsoft ในการนั้น คุณจะต้องปิด BitLocker ก่อนเพื่อถอดรหัสดิสก์ จากนั้นเปิด BitLocker อีกครั้ง

เมื่อทำเช่นนี้ ระบบจะถามคุณว่าต้องการสำรองคีย์การกู้คืนการเข้ารหัสด้วย BitLocker Drive ไว้ที่ใด คีย์นี้จะไม่ถูกแชร์กับ Microsoft แต่โปรดเก็บไว้ให้ปลอดภัย เพราะหากทำหาย คุณอาจไม่สามารถเข้าถึงข้อมูลที่เข้ารหัสทั้งหมดได้