Microsoft secara otomatis mengenkripsi perangkat Windows Anda yang baru dan menyimpan Kunci Enkripsi Perangkat Windows 10 di OneDrive, ketika Anda masuk menggunakan Akun Microsoft Anda. Pembicaraan ini menjelaskan mengapa Microsoft melakukan ini. Kami juga akan melihat cara menghapus kunci enkripsi ini dan membuat kunci Anda sendiri, tanpa harus membaginya dengan Microsoft.
Kunci Enkripsi Perangkat Windows 10
Jika Anda membeli komputer Windows 10 baru dan masuk menggunakan akun Microsoft Anda, perangkat Anda akan dienkripsi oleh Windows dan kunci enkripsi akan disimpan secara otomatis di OneDrive. Ini bukan hal yang baru dan telah menjadi aroud sejak Windows 8, tetapi beberapa pertanyaan yang berkaitan dengan keamanannya telah dibangkitkan baru-baru ini.
Agar fitur ini tersedia, perangkat keras Anda harus mendukung siaga yang terhubung yang memenuhi persyaratan Perangkat Sertifikasi Perangkat Keras Windows (HCK) untuk TPM dan SecureBoot di ConnectedStandby sistem. Jika perangkat Anda mendukung fitur ini, Anda akan melihat pengaturan di bawah Pengaturan> Sistem> Tentang. Di sini Anda dapat mematikan atau menghidupkan Enkripsi Perangkat.
Enkripsi Disk atau Perangkat di Windows 10 adalah fitur yang sangat bagus yang diaktifkan secara default pada Windows 10. Apa yang dilakukan oleh fitur ini adalah ia mengenkripsi perangkat Anda dan kemudian menyimpan kunci enkripsi ke OneDrive, di Akun Microsoft Anda.
Enkripsi perangkat diaktifkan secara otomatis sehingga perangkat selalu dilindungi, kata TechNet. Daftar berikut menguraikan cara ini tercapai:
- Ketika instalasi bersih Windows 8.1 / 10 selesai komputer dipersiapkan untuk penggunaan pertama. Sebagai bagian dari persiapan ini, enkripsi perangkat diinisialisasi pada drive sistem operasi dan drive data tetap pada komputer dengan kunci yang jelas.
- Jika perangkat tidak bergabung dengan domain, Akun Microsoft yang telah diberikan hak akses administratif di perangkat diperlukan. Ketika administrator menggunakan akun Microsoft untuk masuk, kunci yang jelas dihapus, kunci pemulihan diunggah ke akun Microsoft daring dan pelindung TPM dibuat. Jika suatu perangkat memerlukan kunci pemulihan, pengguna akan dipandu untuk menggunakan perangkat alternatif dan menavigasi ke URL akses kunci pemulihan untuk mengambil kunci pemulihan menggunakan kredensial Akun Microsoft mereka.
- Jika pengguna masuk menggunakan akun domain, kunci yang jelas tidak dihapus sampai pengguna menggabungkan perangkat ke domain dan kunci pemulihan berhasil dicadangkan ke Layanan Domain Direktori Aktif.
Jadi ini berbeda dari BitLocker, di mana Anda diminta untuk memulai Bitlocker dan mengikuti prosedur, sedangkan semua ini dilakukan secara otomatis tanpa pengetahuan atau gangguan pengguna komputer. Saat Anda mengaktifkan BitLocker Anda terpaksa membuat cadangan kunci pemulihan, tetapi Anda mendapatkan tiga opsi: Simpan di akun Microsoft Anda, simpan ke stik USB, atau cetak.
Kata seorang peneliti:
As soon as your recovery key leaves your computer, you have no way of knowing its fate. A hacker could have already hacked your Microsoft account and can make a copy of your recovery key before you have time to delete it. Or Microsoft itself could get hacked, or could have hired a rogue employee with access to user data. Or a law enforcement or spy agency could send Microsoft a request for all data in your account, which would legally compel it to hand over your recovery key, which it could do even if the first thing you do after setting up your computer is delete it.
Sebagai tanggapan, Microsoft mengatakan ini:
When a device goes into recovery mode, and the user doesn’t have access to the recovery key, the data on the drive will become permanently inaccessible. Based on the possibility of this outcome and a broad survey of customer feedback we chose to automatically backup the user recovery key. The recovery key requires physical access to the user device and is not useful without it.
Dengan demikian, Microsoft memutuskan untuk secara otomatis mencadangkan kunci enkripsi ke server mereka untuk memastikan bahwa pengguna tidak kehilangan data mereka jika perangkat memasuki mode Pemulihan, dan mereka tidak memiliki akses ke kunci pemulihan.
Jadi Anda melihat bahwa agar fitur ini dapat dieksploitasi, penyerang harus dapat memperoleh akses ke keduanya, kunci enkripsi yang dicadangkan, serta memperoleh akses fisik ke perangkat komputer Anda. Karena ini terlihat seperti kemungkinan yang sangat langka, saya akan berpikir bahwa tidak perlu paranoid tentang hal ini. Pastikan saja Anda telah sepenuhnya melindungi Akun Microsoft Anda, dan biarkan pengaturan enkripsi perangkat pada pengaturan standarnya.
Namun demikian, jika Anda ingin menghapus kunci enkripsi ini dari server Microsoft, di sini adalah bagaimana Anda dapat melakukannya.
Bagaimana cara menghapus kunci enkripsi
Tidak ada cara untuk mencegah perangkat Windows baru mengunggah kunci pemulihan Anda saat pertama kali masuk ke akun Microsoft Anda., Tetapi Anda dapat menghapus kunci yang diunggah.
Jika Anda tidak ingin Microsoft menyimpan kunci enkripsi Anda ke cloud, Anda harus mengunjungi halaman OneDrive ini dan hapus kunci. Maka Anda harus melakukannya matikan Enkripsi disk fitur. Pikiran Anda, jika Anda melakukan ini, Anda tidak akan dapat menggunakan fitur perlindungan data built-in ini jika komputer Anda hilang atau dicuri.
Saat Anda menghapus kunci pemulihan dari akun Anda di situs web ini, itu akan segera dihapus, dan salinan yang disimpan di drive pencadangannya juga akan segera dihapus juga.
The recovery key password is deleted right away from the customer’s online profile. As the drives that are used for failover and backup are sync’d up with the latest data the keys are removed, says Microsoft.
Cara menghasilkan kunci enkripsi Anda sendiri
Pengguna Windows 10 Pro dan Enterprise dapat menghasilkan kunci enkripsi baru yang tidak pernah dikirim ke Microsoft. Untuk itu, Anda harus terlebih dahulu mematikan BitLocker untuk mendekripsi disk, dan kemudian hidupkan BitLocker lagi. Ketika melakukan ini, Anda akan ditanya di mana Anda ingin mencadangkan BitLocker Drive Encryption Recovery Key. Kunci ini tidak akan dibagikan dengan Microsoft, tetapi pastikan Anda menyimpannya dengan aman, karena jika Anda kehilangannya, Anda dapat kehilangan akses ke semua data terenkripsi Anda.