Microsoft가 Windows 10 장치 암호화 키를 OneDrive에 저장합니다.

Microsoft는 새 Windows 장치를 자동으로 암호화하고 Microsoft 계정을 사용하여 로그인 할 때 OneDrive에 Windows 10 장치 암호화 키를 저장합니다. 이 포스트는 마이크로 소프트가 왜 이것을하는지 이야기합니다.

Windows 10 장치 암호화 키

새 Windows 10 컴퓨터를 구입하고 Microsoft 계정을 사용하여 로그인 한 경우이 암호화 키를 삭제하고 자신의 키를 Microsoft와 공유하지 않고 생성하는 방법도 살펴 봅니다. 장치가 Windows에서 암호화되고 암호화 키가 OneDrive에 자동으로 저장됩니다. 이것은 실제로 새로운 것은 아니며 Windows 8 이후 출시되었습니다. 그러나 보안과 관련된 몇 가지 질문이 최근 제기되었습니다.

이 기능을 사용하려면 하드웨어에서 Windows Hardware Certification Kit를 충족하는 연결된 대기 모드를 지원해야합니다 HCK) 요구 사항과 ConnectedStandby 시스템의 SecureBoot 장치가이 기능을 지원하면 설정> 시스템> 정보 아래에 설정이 표시됩니다. 여기에서 장치 암호화를 끄거나 켤 수 있습니다.

Windows 또는 Windows 10에서 디스크 또는 장치 암호화는 Windows 10에서 기본적으로 켜져있는 매우 유용한 기능입니다.이 기능의 기능은 장치를 암호화하고 OneDrive의 암호화 키를 Microsoft 계정에 저장하십시오. 장치 암호화가 자동으로 활성화되어 장치가 항상 보호됩니다 (TechNet 참조). 다음은이 작업의 수행 방법을 요약 한 것입니다.

Windows 8.1 / 10을 새로 설치하면 컴퓨터가 처음 사용할 준비가됩니다. 이 준비 과정에서 장치 암호화는 컴퓨터의 운영 체제 드라이브 및 고정 데이터 드라이브에서 초기화 키로 초기화됩니다.

1. 장치가 도메인에 가입되어 있지 않으면 장치에 대한 관리 권한이 부여 된 Microsoft 계정 필요합니다. 관리자가 Microsoft 계정을 사용하여 로그인하면 지우기 키가 제거되고 복구 키가 온라인 Microsoft 계정으로 업로드되며 TPM 보호자가 생성됩니다. 장치에 복구 키가 필요한 경우 사용자는 대체 장치를 사용하고 Microsoft 계정 자격 증명을 사용하여 복구 키를 검색하기 위해 복구 키 액세스 URL로 이동합니다.
2. 사용자가 도메인 계정을 사용하여 로그인하는 경우, 사용자가 장치를 도메인에 조인하고 복구 키가 Active Directory 도메인 서비스에 성공적으로 백업 될 때까지 지우기 키가 제거되지 않습니다.
3. Bitlocker를 시작하고 절차를 수행해야하는 BitLocker와는 다른 점이 있습니다 이 모든 작업은 컴퓨터 사용자의 지식이나 간섭없이 자동으로 수행됩니다. BitLocker를 켜면 복구 키를 강제로 백업하지만 Microsoft 계정에 저장하거나 USB 스틱에 저장하거나 인쇄 할 수 있습니다.

연구원이 다음과 같이 말합니다.

복구 키가 컴퓨터를 떠나 자마자 그 운명을 알 수있는 방법이 없습니다. 해커가 이미 Microsoft 계정을 해킹하여 삭제할 시간이 있기 전에 복구 키의 복사본을 만들 수 있습니다. 또는 Microsoft 자체가 해킹 당하거나 사용자 데이터에 액세스 할 수있는 불량 직원을 고용했을 수 있습니다. 또는 법 집행 기관이나 간첩 기관이 귀하의 계정에있는 모든 데이터에 대해 Microsoft에 요청할 수 있습니다. 법적으로 귀하의 컴퓨터를 설정 한 후 가장 먼저해야 할 일은 복구 키를 넘겨 줄 것을 법적으로 요구할 수 있습니다

이에 대응하여 Microsoft는 다음과 같이 말합니다.

장치가 복구 모드로 전환되고 사용자가 복구 키에 액세스 할 수없는 경우 드라이브의 데이터에 영구적으로 액세스 할 수 없게됩니다. 이 결과의 가능성과 고객 피드백에 대한 광범위한 설문 조사를 기반으로 사용자 복구 키를 자동으로 백업하도록 선택했습니다. 복구 키는 사용자 장치에 대한 물리적 액세스가 필요하며이를 사용하지 않으면 유용하지 않습니다.

따라서 Microsoft는 암호화 키를 서버에 자동으로 백업하기로 결정하여 장치가 복구 모드로 들어갔을 때 사용자가 데이터를 잃지 않고 복구 키에 액세스 할 수 없도록합니다.

공격자는 두 가지 모두에 액세스 할 수 있어야하고, 백업 된 암호화 키는 물론 컴퓨터 장치에 물리적으로 액세스 할 수 있어야합니다. 이것은 매우 희귀 한 가능성으로 보이기 때문에 이것에 대해 편집증 치료를받을 필요가 없다고 생각합니다. Microsoft 계정을 완벽하게 보호하고 장치 암호화 설정을 기본값으로 두십시오.

그럼에도 불구하고이 암호화 키를 Microsoft 서버에서 제거하려면 다음을 수행하십시오.

암호화 키 제거 방법

처음으로 Microsoft 계정에 로그인 할 때 새 Windows 장치가 복구 키를 업로드하지 못하게 할 수는 없지만 업로드 된 키는 삭제할 수 있습니다.

Microsoft에서 암호화 키를 클라우드에 저장하지 않으려면이 OneDrive 페이지를 방문하고

키 를 삭제해야합니다. 그런 다음 디스크 암호화 기능을 해제해야합니다. 컴퓨터를 분실하거나 도난당한 경우에도이 기본 제공 데이터 보호 기능을 사용할 수 없습니다. 이 웹 사이트의 계정에서 복구 키를 삭제하면 삭제됩니다. 즉시 해당 백업 드라이브에 저장된 사본도 곧 삭제됩니다.

복구 키 암호는 고객의 온라인 프로파일에서 즉시 삭제됩니다.

자체 암호화 키 생성 방법

Windows 10 Pro 및 Enterprise 사용자는 새로운 암호화를 생성 할 수 있습니다. Microsoft에 절대로 전송되지 않는 키. 이를 위해서는 먼저 디스크를 해독하기 위해 BitLocker를 끄고 BitLocker를 다시 켜야합니다. 이렇게하면 BitLocker 드라이브 암호화 복구 키를 백업 할 위치를 묻는 메시지가 나타납니다. 이 키는 Microsoft와 공유되지 않지만 잃어 버리면 모든 암호화 된 데이터에 액세스 할 수 없기 때문에 안전하게 보관하십시오.