Microsoft menyimpan Windows 10 Kunci Enkripsi Perangkat Anda ke OneDrive

Microsoft secara otomatis mengenkripsi perangkat Windows Anda yang baru dan menyimpan Kunci Enkripsi Perangkat Windows 10 di OneDrive, saat Anda masuk menggunakan Akun Microsoft Anda. Pembicaraan ini menjelaskan mengapa Microsoft melakukan ini. Kami juga akan melihat cara menghapus kunci enkripsi ini dan membuat kunci Anda sendiri, tanpa harus membaginya dengan Microsoft.

Kunci Enkripsi Perangkat Windows 10

Jika Anda membeli komputer Windows 10 baru dan masuk menggunakan akun Microsoft Anda, perangkat Anda akan dienkripsi oleh Windows dan kunci enkripsi akan disimpan secara otomatis di OneDrive. Ini bukan hal yang baru dan telah menjadi aroud sejak Windows 8, tetapi pertanyaan-pertanyaan tertentu yang berkaitan dengan keamanannya telah dibangkitkan baru-baru ini.

Agar fitur ini tersedia, perangkat keras Anda harus mendukung siaga yang terhubung dengan Alat Sertifikasi Perangkat Keras Windows (HCK) persyaratan untuk TPM dan SecureBoot pada sistem ConnectedStandby. Jika perangkat Anda mendukung fitur ini, Anda akan melihat pengaturan di bawah Pengaturan> Sistem> Tentang. Di sini Anda dapat mematikan atau menghidupkan Enkripsi Perangkat.

Disk atau Enkripsi Perangkat pada Windows 10 adalah fitur yang sangat bagus yang diaktifkan secara default pada Windows 10. Apa yang dilakukan fitur ini adalah bahwa ia mengenkripsi perangkat Anda dan kemudian simpan kunci enkripsi ke OneDrive, di Akun Microsoft Anda.

Enkripsi perangkat diaktifkan secara otomatis sehingga perangkat selalu dilindungi, kata TechNet. Daftar berikut menguraikan cara ini dilakukan:

1. Ketika instalasi bersih Windows 8.1 / 10 selesai komputer dipersiapkan untuk penggunaan pertama. Sebagai bagian dari persiapan ini, enkripsi perangkat diinisialisasi pada drive sistem operasi dan drive data tetap pada komputer dengan kunci yang jelas.
2. Jika perangkat tidak bergabung dengan domain Akun Microsoft yang telah diberikan hak administratif pada perangkat Dibutuhkan. Ketika administrator menggunakan akun Microsoft untuk masuk, kunci yang jelas dihapus, kunci pemulihan diunggah ke akun Microsoft daring dan pelindung TPM dibuat. Jika suatu perangkat memerlukan kunci pemulihan, pengguna akan dipandu untuk menggunakan perangkat alternatif dan menavigasi ke URL akses kunci pemulihan untuk mengambil kunci pemulihan menggunakan kredensial Akun Microsoft mereka.
3. Jika pengguna masuk menggunakan akun domain, kunci yang jelas tidak dihapus sampai pengguna bergabung dengan perangkat ke domain dan kunci pemulihan berhasil dicadangkan ke Layanan Domain Direktori Aktif.

Jadi ini berbeda dari BitLocker, di mana Anda diminta untuk memulai Bitlocker dan mengikuti prosedur, sedangkan semua ini dilakukan secara otomatis tanpa sepengetahuan atau gangguan pengguna komputer. Saat Anda mengaktifkan BitLocker Anda terpaksa membuat cadangan kunci pemulihan, tetapi Anda mendapatkan tiga opsi: Simpan di akun Microsoft Anda, simpan ke stik USB, atau cetak.

Says seorang periset:

Segera setelah kunci pemulihan Anda meninggalkan komputer Anda, Anda tidak memiliki cara untuk mengetahui nasibnya. Seorang peretas dapat meretas akun Microsoft Anda dan dapat membuat salinan kunci pemulihan Anda sebelum Anda sempat menghapusnya. Atau Microsoft sendiri bisa diretas, atau bisa saja mempekerjakan karyawan nakal dengan akses ke data pengguna. Atau penegak hukum atau agen mata-mata dapat mengirim Microsoft permintaan untuk semua data di akun Anda, yang secara hukum akan memaksa untuk menyerahkan kunci pemulihan Anda, yang dapat dilakukan bahkan jika hal pertama yang Anda lakukan setelah mengatur komputer Anda adalah menghapusnya.

Sebagai tanggapan, Microsoft mengatakan ini:

Ketika perangkat masuk ke mode pemulihan, dan pengguna tidak memiliki akses ke kunci pemulihan, data pada drive akan menjadi tidak dapat diakses secara permanen. Berdasarkan kemungkinan hasil ini dan survei umpan balik pelanggan yang luas kami memilih untuk mencadangkan kunci pemulihan pengguna secara otomatis. Kunci pemulihan memerlukan akses fisik ke perangkat pengguna dan tidak berguna tanpanya.

Dengan demikian, Microsoft memutuskan untuk secara otomatis mencadangkan kunci enkripsi ke server mereka untuk memastikan bahwa pengguna tidak kehilangan data mereka jika perangkat memasuki mode Pemulihan, dan mereka tidak memiliki akses ke kunci pemulihan.

Jadi Anda melihat bahwa untuk ini fitur untuk dieksploitasi, penyerang harus dapat memperoleh akses ke keduanya, kunci enkripsi yang dicadangkan, serta mendapatkan akses fisik ke perangkat komputer Anda. Karena ini terlihat seperti kemungkinan yang sangat langka, saya akan berpikir bahwa tidak perlu paranoid tentang hal ini. Cukup pastikan bahwa Anda telah sepenuhnya melindungi Akun Microsoft Anda, dan biarkan pengaturan enkripsi perangkat pada pengaturan standarnya.

Namun demikian, jika Anda ingin menghapus kunci enkripsi ini dari server Microsoft, berikut ini adalah bagaimana Anda dapat melakukannya.

Bagaimana cara menghapus kunci enkripsi

Tidak ada cara untuk mencegah perangkat Windows baru mengunggah kunci pemulihan Anda saat pertama kali Anda masuk ke akun Microsoft Anda., Tetapi Anda dapat menghapus kunci yang diunggah.

Jika Anda tidak ingin Microsoft menyimpan kunci enkripsi Anda ke cloud, Anda harus mengunjungi halaman OneDrive ini dan hapus kunci . Maka Anda harus mematikan fitur enkripsi Disk . Pikiran Anda, jika Anda melakukan ini, Anda tidak akan dapat menggunakan fitur perlindungan data built-in ini jika komputer Anda hilang atau dicuri.

Ketika Anda menghapus kunci pemulihan dari akun Anda di situs web ini, itu akan dihapus segera, dan salinan yang disimpan di drive pencadangannya juga segera terhapus juga.

Kata sandi kunci pemulihan dihapus segera dari profil online pelanggan. Karena drive yang digunakan untuk failover dan backup disinkronkan dengan data terbaru, kunci-kunci dihapus, kata Microsoft.

Cara menghasilkan kunci enkripsi Anda sendiri

Pengguna Windows 10 Pro dan Enterprise dapat menghasilkan enkripsi baru kunci yang tidak pernah dikirim ke Microsoft. Untuk itu, Anda harus terlebih dahulu mematikan BitLocker untuk mendekripsi disk, dan kemudian hidupkan BitLocker lagi. Ketika melakukan ini, Anda akan ditanya di mana Anda ingin mencadangkan BitLocker Drive Encryption Recovery Key. Kunci ini tidak akan dibagikan dengan Microsoft, tetapi pastikan Anda menyimpannya dengan aman, karena jika Anda kehilangannya, Anda dapat kehilangan akses ke semua data terenkripsi Anda.