Microsoft tự động mã hóa thiết bị Windows mới của bạn và lưu trữ Khóa mã hóa thiết bị Windows 11/10 trên OneDrive khi bạn đăng nhập bằng Tài khoản Microsoft của mình. Bài đăng này nói về lý do tại sao Microsoft làm điều này. Chúng tôi cũng sẽ xem cách xóa khóa mã hóa này và tạo khóa của riêng bạn mà không cần phải chia sẻ với Microsoft.
Khóa mã hóa thiết bị Windows 11/10
Nếu bạn mua một máy tính Windows 11/10 mới và đăng nhập bằng tài khoản Microsoft, thiết bị của bạn sẽ được Windows mã hóa và khóa mã hóa sẽ được lưu trữ tự động trên OneDrive. Điều này thực ra không có gì mới và đã xuất hiện từ Windows 8, nhưng một số câu hỏi nhất định liên quan đến bảo mật của nó đã được đưa ra gần đây.
Để tính năng này khả dụng, phần cứng của bạn phải hỗ trợ chế độ chờ được kết nối đáp ứng các yêu cầu của Bộ chứng nhận phần cứng Windows (HCK) cho TPM và SecureBoot trên ConnectedStandby các hệ thống. Nếu thiết bị của bạn hỗ trợ tính năng này, bạn sẽ thấy cài đặt trong Cài đặt> Hệ thống> Giới thiệu. Tại đây, bạn có thể tắt hoặc bật Mã hóa thiết bị.
Mã hóa đĩa hoặc thiết bị trong Windows 11/10 là một tính năng rất hay được bật theo mặc định trên Windows 10. Những gì tính năng này làm được là nó mã hóa thiết bị của bạn và sau đó lưu trữ khóa mã hóa vào OneDrive, trong Tài khoản Microsoft của bạn.
TechNet cho biết mã hóa thiết bị được bật tự động để thiết bị luôn được bảo vệ. Danh sách sau đây phác thảo cách thực hiện điều này:
- Khi quá trình cài đặt Windows 8.1 / 10 hoàn tất, máy tính sẽ được chuẩn bị để sử dụng lần đầu. Là một phần của quá trình chuẩn bị này, mã hóa thiết bị được khởi tạo trên ổ đĩa hệ điều hành và các ổ đĩa dữ liệu cố định trên máy tính bằng khóa rõ ràng.
- Nếu thiết bị không được tham gia miền, Tài khoản Microsoft đã được cấp đặc quyền quản trị trên thiết bị là bắt buộc. Khi quản trị viên sử dụng tài khoản Microsoft để đăng nhập, khóa rõ ràng sẽ bị xóa, khóa khôi phục được tải lên tài khoản Microsoft trực tuyến và trình bảo vệ TPM được tạo. Nếu thiết bị yêu cầu khóa khôi phục, người dùng sẽ được hướng dẫn sử dụng thiết bị thay thế và điều hướng đến URL truy cập khóa khôi phục để truy xuất khóa khôi phục bằng thông tin đăng nhập Tài khoản Microsoft của họ.
- Nếu người dùng đăng nhập bằng tài khoản miền, thì khóa rõ ràng sẽ không bị xóa cho đến khi người dùng kết nối thiết bị với miền và khóa khôi phục được sao lưu thành công vào Dịch vụ miền Active Directory.
Vì vậy, điều này khác với BitLocker, nơi bạn bắt buộc phải khởi động Bitlocker và làm theo một quy trình, trong khi tất cả điều này được thực hiện tự động mà người dùng máy tính không biết hoặc can thiệp. Khi bật BitLocker, bạn buộc phải sao lưu khóa khôi phục của mình, nhưng bạn sẽ có ba tùy chọn:Lưu vào tài khoản Microsoft, lưu vào USB hoặc in.
Một nhà nghiên cứu nói:
Ngay sau khi khóa khôi phục rời khỏi máy tính của bạn, bạn không có cách nào để biết số phận của nó. Một tin tặc có thể đã tấn công tài khoản Microsoft của bạn và có thể tạo một bản sao khóa khôi phục của bạn trước khi bạn có thời gian để xóa nó. Hoặc bản thân Microsoft có thể bị tấn công, hoặc có thể đã thuê một nhân viên bất hảo có quyền truy cập vào dữ liệu người dùng. Hoặc cơ quan thực thi pháp luật hoặc cơ quan gián điệp có thể gửi cho Microsoft một yêu cầu đối với tất cả dữ liệu trong tài khoản của bạn, điều này sẽ buộc Microsoft phải giao khóa khôi phục của bạn một cách hợp pháp, điều này có thể thực hiện ngay cả khi điều đầu tiên bạn làm sau khi thiết lập máy tính là xóa nó. .
Đáp lại, Microsoft có điều này để nói:
Khi một thiết bị chuyển sang chế độ khôi phục và người dùng không có quyền truy cập vào khóa khôi phục, dữ liệu trên ổ đĩa sẽ vĩnh viễn không thể truy cập được. Dựa trên khả năng xảy ra kết quả này và một cuộc khảo sát rộng rãi về phản hồi của khách hàng, chúng tôi đã chọn tự động sao lưu khóa khôi phục người dùng. Khóa khôi phục yêu cầu quyền truy cập vật lý vào thiết bị của người dùng và sẽ không hữu ích nếu không có nó.
Do đó, Microsoft đã quyết định tự động sao lưu khóa mã hóa vào máy chủ của họ để đảm bảo rằng người dùng không bị mất dữ liệu nếu thiết bị vào chế độ Khôi phục và họ không có quyền truy cập vào khóa khôi phục.
Vì vậy, bạn thấy rằng để tính năng này được khai thác, kẻ tấn công phải có khả năng truy cập vào cả hai, khóa mã hóa được sao lưu cũng như có được quyền truy cập vật lý vào thiết bị máy tính của bạn. Vì điều này có vẻ như là một khả năng rất hiếm, nên tôi nghĩ rằng không cần phải hoang tưởng về điều này. Chỉ cần đảm bảo rằng bạn đã bảo vệ đầy đủ Tài khoản Microsoft của mình và để cài đặt mã hóa thiết bị ở chế độ mặc định.
Tuy nhiên, nếu bạn muốn xóa khóa mã hóa này khỏi máy chủ của Microsoft, thì đây là cách bạn có thể thực hiện.
Cách xóa khóa mã hóa
Không có cách nào để ngăn thiết bị Windows mới tải lên khóa khôi phục của bạn trong lần đầu tiên bạn đăng nhập vào tài khoản Microsoft của mình., Nhưng bạn có thể xóa khóa đã tải lên.
Nếu bạn không muốn Microsoft lưu trữ khóa mã hóa của bạn vào đám mây, bạn sẽ phải truy cập trang OneDrive này và xóa khóa . Sau đó, bạn sẽ phải tắt mã hóa Đĩa tính năng. Xin lưu ý bạn, nếu bạn làm điều này, bạn sẽ không thể sử dụng tính năng bảo vệ dữ liệu tích hợp này trong trường hợp máy tính của bạn bị mất hoặc bị đánh cắp.
Khi bạn xóa khóa khôi phục khỏi tài khoản của mình trên trang web này, khóa đó sẽ bị xóa ngay lập tức và các bản sao được lưu trữ trên ổ đĩa sao lưu của nó cũng bị xóa ngay sau đó.
Mật khẩu khóa khôi phục sẽ bị xóa ngay lập tức khỏi hồ sơ trực tuyến của khách hàng. Microsoft cho biết khi các ổ đĩa được sử dụng để chuyển đổi dự phòng và sao lưu được đồng bộ hóa với dữ liệu mới nhất, các khóa sẽ bị xóa.
Cách tạo khóa mã hóa của riêng bạn
Người dùng Windows 10 Pro và Enterprise có thể tạo khóa mã hóa mới chưa bao giờ được gửi tới Microsoft. Đối với điều đó, trước tiên bạn sẽ phải tắt BitLocker để giải mã đĩa, sau đó bật lại BitLocker.
Khi thực hiện việc này, bạn sẽ được hỏi nơi bạn muốn sao lưu Khóa khôi phục mã hóa ổ đĩa BitLocker. Khóa này sẽ không được chia sẻ với Microsoft, nhưng hãy đảm bảo rằng bạn giữ nó an toàn, vì nếu mất nó, bạn có thể mất quyền truy cập vào tất cả dữ liệu được mã hóa của mình.
