Microsoft slaat uw Windows 10-apparaatcoderingssleutel op in OneDrive

Microsoft codeert automatisch uw nieuwe Windows-apparaat en slaat de Windows 10-apparaatcoderingssleutel op OneDrive op wanneer u zich aanmeldt met uw Microsoft-account. Dit bericht gaat over waarom Microsoft dit doet. We zullen ook zien hoe u deze coderingssleutel kunt verwijderen en uw eigen sleutel kunt genereren zonder deze met Microsoft te hoeven delen.

Windows 10 Device Encryption Key

Als u een nieuwe Windows 10-computer hebt gekocht en bent ingelogd met uw Microsoft-account, uw apparaat wordt versleuteld door Windows en de coderingssleutel wordt automatisch opgeslagen op OneDrive. Dit is eigenlijk niets nieuws en is al sinds Windows 8 het geval, maar bepaalde vragen met betrekking tot de beveiliging zijn recentelijk aan de orde gesteld.

Om deze functie beschikbaar te hebben, moet uw hardware aangesloten stand-by ondersteunen die voldoet aan de Windows Hardware Certification Kit (HCK) vereisten voor TPM en SecureBoot op ConnectedStandby -systemen. Als uw apparaat deze functie ondersteunt, ziet u de instelling onder Instellingen> Systeem> Info. Hier kunt u Apparaatcodering uitschakelen of inschakelen.

Schijf- of apparaatcodering in Windows 10 is een zeer goede functie die standaard is ingeschakeld in Windows 10. Wat deze functie doet is dat het uw apparaat versleutelt en sla de coderingssleutel vervolgens op in OneDrive, in uw Microsoft-account.

Apparaatversleuteling wordt automatisch ingeschakeld, zodat het apparaat altijd wordt beschermd, zegt TechNet. De volgende lijst schetst de manier waarop dit wordt bereikt:

1. Wanneer een schone installatie van Windows 8.1 / 10 is voltooid, is de computer voorbereid voor het eerste gebruik. Als onderdeel van deze voorbereiding wordt apparaatversleuteling geïnitialiseerd op het besturingssysteemstation en vaste gegevensstations op de computer met een duidelijke sleutel.
2. Als het apparaat geen domein-join is, is er een Microsoft-account met beheerdersbevoegdheden op het apparaat verleend Is benodigd. Wanneer de beheerder een Microsoft-account gebruikt om in te loggen, wordt de clear-key verwijderd, wordt een herstelsleutel geüpload naar een online Microsoft-account en wordt de TPM-protector gemaakt. Als een apparaat de herstelcode nodig heeft, wordt de gebruiker gevraagd een alternatief apparaat te gebruiken en naar de toegangs-URL van de herstelsleutel te gaan om de herstelsleutel op te halen met de inloggegevens van zijn Microsoft-account.
3. Als de gebruiker zich aanmeldt met een domeinaccount, de clear key wordt pas verwijderd als de gebruiker het apparaat aansluit op een domein en de herstelsleutel succesvol is geback-upt naar Active Directory Domain Services.

Zegt een onderzoeker:

Zodra uw herstelsleutel uw computer verlaat, kunt u het lot ervan niet kennen. Een hacker kan uw Microsoft-account al hebben gehackt en een kopie van uw herstelsleutel maken voordat u tijd heeft om het te verwijderen. Of Microsoft zelf zou gehackt kunnen worden, of had een bedrieglijke werknemer kunnen inhuren met toegang tot gebruikersgegevens. Of een wetshandhavings- of spionageagentschap kan Microsoft een verzoek sturen om alle gegevens in uw account, wat wettelijk verplicht zou zijn om uw herstelsleutel over te dragen, wat het zou kunnen doen, zelfs als het eerste wat u doet nadat u uw computer hebt ingesteld, wordt verwijderd.

Als reactie hierop zegt Microsoft het volgende:

Wanneer een apparaat in herstelmodus gaat en de gebruiker geen toegang heeft tot de herstelsleutel, worden de gegevens op het station permanent ontoegankelijk. Op basis van de mogelijkheid van deze uitkomst en een uitgebreid overzicht van feedback van klanten hebben we ervoor gekozen om automatisch een back-up te maken van de sleutel voor gebruikersherstel. De herstelsleutel vereist fysieke toegang tot het gebruikersapparaat en is niet bruikbaar zonder.

Daarom besloot Microsoft om automatisch een coderingssleutel te maken op hun servers om ervoor te zorgen dat gebruikers hun gegevens niet kwijtraken als het apparaat naar de herstelmodus gaat en zij geen toegang hebben tot de herstelsleutel.

Zo ziet u dat om dit te doen functie die moet worden misbruikt, moet een aanvaller zowel toegang kunnen krijgen tot beide, de geback-upte coderingssleutel als fysieke toegang krijgen tot uw computer. Aangezien dit een zeer zeldzame mogelijkheid lijkt, zou ik denken dat het niet nodig is om hierover paranoïde te worden. Zorg er wel voor dat u uw Microsoft-account volledig hebt beveiligd en de versleutelingsinstellingen van het apparaat op hun standaardwaarden laat staan.

Niettemin, als u deze versleutelingscode van de servers van Microsoft wilt verwijderen, kunt u het volgende doen:

De coderingssleutel verwijderen

Er is geen manier om te voorkomen dat een nieuw Windows-apparaat uw herstelsleutel uploadt wanneer u zich de eerste keer aanmeldt bij uw Microsoft-account., Maar u kunt de geüploade sleutel verwijderen.

Als u Wilt u niet dat Microsoft uw coderingssleutel opslaat in de cloud, dan moet u deze OneDrive-pagina bezoeken en

de sleutel verwijderen. Dan moet u de functie Disk encryption uitschakelen. Let op, als u dit doet, kunt u deze ingebouwde gegevensbeschermingsfunctie niet gebruiken in het geval uw computer verloren of gestolen is. Wanneer u uw herstelsleutel uit uw account op deze website verwijdert, wordt deze verwijderd onmiddellijk, en kopieën opgeslagen op de back-upschijven worden ook kort daarna verwijderd.

Het wachtwoord voor de herstelsleutel wordt onmiddellijk verwijderd uit het online profiel van de klant. Omdat de stations die worden gebruikt voor failover en back-up worden gesynchroniseerd met de nieuwste gegevens, worden de sleutels verwijderd, aldus Microsoft.

Hoe u uw eigen coderingssleutel genereert

Windows 10 Pro- en Enterprise-gebruikers kunnen nieuwe codering genereren sleutels die nooit naar Microsoft worden verzonden. Daarvoor moet u eerst BitLocker uitschakelen om de schijf te decoderen en vervolgens BitLocker weer inschakelen. Wanneer u dit doet, wordt u gevraagd waar u een back-up wilt maken van de BitLocker Drive Encryption Recovery Key. Deze sleutel wordt niet gedeeld met Microsoft, maar zorg ervoor dat u deze veilig bewaart, want als u deze verliest, verliest u mogelijk de toegang tot al uw gecodeerde gegevens.