MicrosoftがWindows 10デバイス暗号化キーをOneDriveに保存する

Microsoftアカウントを使用してサインインすると、新しいWindowsデバイスが自動的に暗号化され、OneDriveにWindows 10デバイス暗号化キーが保存されます。この記事では、マイクロソフトがなぜこれを行うのかについて述べています。

Windows 10デバイスの暗号化キー

新しいWindows 10コンピュータを購入し、Microsoftアカウントを使用してサインインした場合は、この暗号化キーを削除して独自のキーを生成する方法も確認します。デバイスはWindowsによって暗号化され、暗号化キーはOneDriveに自動的に保存されます。これは実際には新しいものではなく、Windows 8以降で行われていますが、セキュリティに関する特定の質問が最近提起されています。

この機能を利用できるようにするには、ハードウェアがWindows Hardware Certification Kit HCM）の要件と ConnectedStandby システムの SecureBoot デバイスがこの機能をサポートしている場合、設定>システム>バージョン情報が表示されます。ここでは、デバイス暗号化を有効または無効にすることができます。

Windows 10のディスク暗号化またはデバイス暗号化は、Windows 10ではデフォルトでオンになっている非常に優れた機能です。 デバイスの暗号化を自動的に有効にして、デバイスが常に保護されるようにします。TechNetによれば、暗号化キーはOneDriveのMicrosoftアカウントに保存されます。以下のリストは、これが達成される方法の概要を示しています。

Windows 8.1 / 10のクリーンインストールが完了すると、コンピュータは最初に使用できる状態になります。この準備の一環として、デバイスの暗号化は、オペレーティングシステムのドライブおよびクリアキー付きの固定データドライブで初期化されます。デバイスがドメインに参加していない場合、デバイスの管理者権限を付与されたMicrosoftアカウント必要とされている。管理者がMicrosoftアカウントを使用してサインインすると、クリアキーが削除され、オンラインのMicrosoftアカウントに回復キーがアップロードされ、TPMプロテクターが作成されます。デバイスにリカバリキーが必要な場合、ユーザーは代替デバイスを使用し、リカバリキーアクセスURLに移動し、Microsoftアカウントの資格情報を使用してリカバリキーを取得します。

1. ユーザーがドメインアカウントを使用してサインインする場合、ユーザーがデバイスをドメインに参加させて回復キーをActive Directoryドメインサービスに正常にバックアップするまで、クリアキーは削除されません。
2. Bitlockerを起動して手順に従わなければならないBitLockerとは異なりますこれはコンピュータの知識や干渉がなければ自動的に行われます。 BitLockerを有効にすると、回復キーのバックアップを強制されますが、Microsoftアカウントに保存するか、USBメモリに保存するか、または印刷します。
3. 研究者には

あなたの回復キーがあなたのコンピュータを離れるとすぐに、あなたはその運命を知る方法がありません。ハッカーが既にあなたのMicrosoftアカウントをハッキングしていて、削除する前に回復キーのコピーを作成することができます。 Microsoft自体がハッキングされる可能性があり、ユーザーデータにアクセスする不正な従業員を雇った可能性もあります。または、法執行機関やスパイ代理店は、お客様のアカウントのすべてのデータをMicrosoftに要求することができます。これにより、コンピュータの設定後最初に行うことが削除キーである場合でも、回復キーを引き継ぐことが法的に強制されます

これに対応して、マイクロソフトは次のように言います。

デバイスがリカバリモードになり、ユーザーがリカバリキーにアクセスできない場合、ドライブ上のデータは永久にアクセスできなくなります。この結果の可能性とお客様からのフィードバックを幅広く調査した結果、ユーザー回復キーを自動的にバックアップすることを選択しました。回復キーは、ユーザデバイスへの物理的なアクセスを必要とし、ユーザデバイスなしでは有用ではありません。

したがって、マイクロソフトでは、暗号化キーをサーバーに自動的にバックアップすることで、デバイスが回復モードに入り、回復キーにアクセスできないユーザーがデータを失わないようにしています。

攻撃者は、両方のコンピュータへのアクセス、バックアップされた暗号化キー、コンピュータデバイスへの物理的なアクセスを得ることができる必要があります。これは非常にまれな可能性があるように見えるので、私はこれについて不安を感じる必要はないと思います。マイクロソフトのサーバーを完全に保護し、デバイスの暗号化設定をデフォルトのままにしておいてください。

ただし、この暗号化キーをマイクロソフトのサーバーから削除する場合は、ここをクリックしてください。 >暗号化キーを削除する方法

初めてMicrosoftアカウントにログインしたときに新しいWindowsデバイスが回復キーをアップロードするのを防ぐ方法はありませんが、アップロードしたキーは削除できます。 Microsoftが暗号化キーをクラウドに格納しないようにするには、このOneDriveページにアクセスして

キーを削除する必要があります。

次に、

ディスク暗号化

機能をオフにする必要があります。 このウェブサイトのアカウントからリカバリキーを削除すると、そのリカバリキーは削除されます。このリカバリキーを削除すると、このデータ保護機能が使用できなくなります。 回復キーのパスワードは、顧客のオンラインプロファイルからすぐに削除されます。 独自の暗号鍵を生成する方法 Windows 10 ProおよびEnterpriseのユーザーは、新しい暗号化を生成することができますマイクロソフトに送信されることはありません。そのためには、まずディスクを復号化するためにBitLockerを無効にしてから、BitLockerを再度有効にする必要があります。これを実行すると、BitLockerドライブ暗号化リカバリキーのバックアップ先を尋ねられます。この鍵はMicrosoftと共有されることはありませんが、紛失した場合、暗号化されたすべてのデータにアクセスできなくなる可能性があるため、安全に保管してください。