Warum speichert Microsoft Ihren Windows 10-Geräteverschlüsselungsschlüssel in OneDrive?
Microsoft verschlüsselt Ihr neues Windows-Gerät automatisch und speichert den Windows 10-Geräteverschlüsselungsschlüssel auf OneDrive, wenn Sie sich mit Ihrem Microsoft-Konto anmelden. Dieser Beitrag beschreibt, warum Microsoft dies tut. Außerdem erfahren Sie, wie Sie diesen Verschlüsselungsschlüssel löschen und Ihren eigenen Schlüssel generieren können, ohne ihn mit Microsoft zu teilen.
Windows 10-Geräteverschlüsselungsschlüssel
Wenn Sie einen neuen Windows 10-Computer gekauft und sich mit Ihrem Microsoft-Konto angemeldet haben, wird Ihr Gerät von Windows verschlüsselt, und der Verschlüsselungsschlüssel wird automatisch auf OneDrive gespeichert. Dies ist eigentlich nichts Neues und seit Windows 8 üblich, aber in letzter Zeit wurden einige Fragen zur Sicherheit gestellt.
Damit diese Funktion verfügbar ist, muss Ihre Hardware Connected Standby unterstützen, die die Anforderungen des Windows Hardware Certification Kit (HCK) für TPM und erfüllt Sicherer Startvorgang auf ConnectedStandby Systeme. Wenn Ihr Gerät diese Funktion unterstützt, wird die Einstellung unter Einstellungen> System> Info angezeigt. Hier können Sie die Geräteverschlüsselung deaktivieren oder aktivieren.
Festplatten- oder Geräteverschlüsselung unter Windows 10 ist eine sehr gute Funktion, die unter Windows 10 standardmäßig aktiviert ist. Diese Funktion verschlüsselt Ihr Gerät und speichert den Verschlüsselungsschlüssel dann in Ihrem Microsoft-Konto in OneDrive.
Die Geräteverschlüsselung wird automatisch aktiviert, sodass das Gerät immer geschützt ist, sagt TechNet. Die folgende Liste beschreibt, wie dies erreicht wird:
- Wenn eine Neuinstallation von Windows 8.1 / 10 abgeschlossen ist, ist der Computer für die erste Verwendung vorbereitet. Als Teil dieser Vorbereitung wird die Geräteverschlüsselung auf dem Betriebssystemlaufwerk und die festen Datenlaufwerke auf dem Computer mit einem eindeutigen Schlüssel initialisiert.
- Wenn es sich bei dem Gerät nicht um eine Domäne handelt, ist ein Microsoft-Konto erforderlich, dem Administratorrechte auf dem Gerät erteilt wurden. Wenn der Administrator sich mit einem Microsoft-Konto anmeldet, wird der Löschschlüssel entfernt, ein Wiederherstellungsschlüssel wird auf ein Microsoft-Online-Konto hochgeladen und der TPM-Schutz wird erstellt. Wenn für ein Gerät der Wiederherstellungsschlüssel erforderlich ist, wird der Benutzer aufgefordert, ein alternatives Gerät zu verwenden und zu einer URL für den Wiederherstellungsschlüssel zu navigieren, um den Wiederherstellungsschlüssel mithilfe seiner Microsoft-Konto-Anmeldeinformationen abzurufen.
- Wenn sich der Benutzer mit einem Domänenkonto anmeldet, wird der Löschschlüssel nicht entfernt, bis der Benutzer das Gerät mit einer Domäne verbindet und der Wiederherstellungsschlüssel erfolgreich in den Active Directory-Domänendiensten gesichert ist.
Dies ist ein Unterschied zu BitLocker, bei dem Sie Bitlocker starten und eine Prozedur befolgen müssen, während dies alles automatisch geschieht, ohne dass der Computerbenutzer dies weiß oder stört. Wenn Sie BitLocker aktivieren, müssen Sie eine Sicherungskopie Ihres Wiederherstellungsschlüssels erstellen. Sie haben jedoch drei Optionen: Speichern Sie sie in Ihrem Microsoft-Konto, speichern Sie sie auf einem USB-Stick oder drucken Sie sie aus.
Sagt ein Forscher:
Sobald Ihr Wiederherstellungsschlüssel Ihren Computer verlässt, können Sie nicht wissen, welches Schicksal er hat. Ein Hacker könnte Ihr Microsoft-Konto bereits gehackt haben und eine Kopie Ihres Wiederherstellungsschlüssels erstellen, bevor Sie Zeit haben, ihn zu löschen. Oder Microsoft selbst könnte gehackt werden oder einen Angreifer mit Zugriff auf Benutzerdaten eingestellt haben. Eine Strafverfolgungsbehörde oder eine Spionageagentur könnte Microsoft eine Anfrage für alle Daten in Ihrem Konto senden. Dies würde ihn gesetzlich dazu zwingen, Ihren Wiederherstellungsschlüssel zu übergeben. Dies kann auch der Fall sein, wenn Sie nach dem Einrichten des Computers das erste Mal löschen.
Als Antwort hat Microsoft folgendes zu sagen:
Wenn ein Gerät in den Wiederherstellungsmodus wechselt und der Benutzer keinen Zugriff auf den Wiederherstellungsschlüssel hat, kann auf die Daten auf dem Laufwerk nicht mehr zugegriffen werden. Basierend auf der Möglichkeit dieses Ergebnisses und einer breiten Umfrage unter Kundenfeedback haben wir uns entschieden, den Benutzerwiederherstellungsschlüssel automatisch zu sichern. Der Wiederherstellungsschlüssel erfordert physischen Zugriff auf das Benutzergerät und ist ohne ihn nicht nützlich.
Daher hat Microsoft beschlossen, die Verschlüsselungsschlüssel automatisch auf ihren Servern zu sichern, um sicherzustellen, dass Benutzer ihre Daten nicht verlieren, wenn das Gerät in den Wiederherstellungsmodus wechselt und sie keinen Zugriff auf den Wiederherstellungsschlüssel haben.
Sie sehen also, dass ein Angreifer zur Nutzung dieser Funktion sowohl auf den gesicherten Verschlüsselungsschlüssel als auch auf den physischen Zugriff auf Ihr Computergerät zugreifen kann. Da dies nach einer sehr seltenen Möglichkeit aussieht, würde ich denken, dass es nicht nötig ist, paranoid darüber zu werden. Stellen Sie nur sicher, dass Sie Ihr Microsoft-Konto vollständig geschützt haben, und belassen Sie die Einstellungen für die Geräteverschlüsselung auf ihren Standardwerten.
Wenn Sie diesen Verschlüsselungsschlüssel jedoch von den Servern von Microsoft entfernen möchten, können Sie Folgendes tun.
So entfernen Sie den Verschlüsselungsschlüssel
Es gibt keine Möglichkeit, ein neues Windows-Gerät daran zu hindern, Ihren Wiederherstellungsschlüssel hochzuladen, wenn Sie sich das erste Mal bei Ihrem Microsoft-Konto anmelden. Sie können den hochgeladenen Schlüssel jedoch löschen.
Wenn Sie nicht möchten, dass Microsoft Ihren Verschlüsselungsschlüssel in der Cloud speichert, müssen Sie diese OneDrive-Seite besuchen lösche den Schlüssel. Dann musst du Deaktivieren Sie die Festplattenverschlüsselung Merkmal. Wenn Sie dies tun, können Sie diese integrierte Datenschutzfunktion nicht verwenden, falls Ihr Computer verloren geht oder gestohlen wird.
Wenn Sie Ihren Wiederherstellungsschlüssel von Ihrem Konto auf dieser Website löschen, wird er sofort gelöscht. Kopien, die auf den Sicherungslaufwerken gespeichert sind, werden ebenfalls kurz danach ebenfalls gelöscht.
Das Kennwort für den Wiederherstellungsschlüssel wird direkt aus dem Online-Profil des Kunden gelöscht. Da die Laufwerke, die für Failover und Backup verwendet werden, mit den neuesten Daten synchronisiert werden, werden die Schlüssel entfernt, sagt Microsoft.