MicrosoftがWindowsデバイス暗号化キーをOneDriveに保存する理由

Microsoftは、Microsoftアカウントを使用してサインインすると、新しいWindowsデバイスを自動的に暗号化し、Windows11/10デバイス暗号化キーをOneDriveに保存します。この投稿では、Microsoftがこれを行う理由について説明しています。また、Microsoftと共有せずに、この暗号化キーを削除して独自のキーを生成する方法についても説明します。

Windows11/10デバイス暗号化キー

新しいWindows11/10コンピューターを購入し、Microsoftアカウントを使用してサインインした場合、デバイスはWindowsによって暗号化され、暗号化キーはOneDriveに自動的に保存されます。これは実際には目新しいことではなく、Windows 8から出回っていますが、そのセキュリティに関する特定の質問が最近提起されています。

この機能を利用するには、ハードウェアが、TPMおよび SecureBoot のWindowsハードウェア認定キット（HCK）要件を満たす接続スタンバイをサポートしている必要があります。 ConnectedStandby システム。お使いのデバイスがこの機能をサポートしている場合は、[設定]>[システム]>[バージョン情報]の下に設定が表示されます。ここで、デバイス暗号化をオフまたはオンにすることができます。

Windows11/10のディスクまたはデバイスの暗号化 は、Windows 10でデフォルトでオンになっている非常に優れた機能です。この機能は、デバイスを暗号化してから、暗号化キーをMicrosoftアカウントのOneDriveに保存します。

デバイスの暗号化は自動的に有効になるため、デバイスは常に保護されます、とTechNetは言います。次のリストは、これを実現する方法の概要を示しています。

1. Windows 8.1 / 10のクリーンインストールが完了すると、コンピューターは最初に使用できるようになります。この準備の一環として、デバイスの暗号化は、オペレーティングシステムドライブとコンピューターの固定データドライブでクリアキーを使用して初期化されます。
2. デバイスがドメインに参加していない場合は、デバイスの管理者権限が付与されているMicrosoftアカウントが必要です。管理者がMicrosoftアカウントを使用してサインインすると、クリアキーが削除され、回復キーがオンラインのMicrosoftアカウントにアップロードされ、TPMプロテクターが作成されます。デバイスにリカバリキーが必要な場合、ユーザーは代替デバイスを使用し、リカバリキーアクセスURLに移動して、Microsoftアカウントの資格情報を使用してリカバリキーを取得するように案内されます。
3. ユーザーがドメインアカウントを使用してサインインした場合、ユーザーがデバイスをドメインに参加させ、回復キーがActive Directoryドメインサービスに正常にバックアップされるまで、クリアキーは削除されません。

したがって、これは、Bitlockerを起動して手順に従う必要があるBitLockerとは異なりますが、これはすべて、コンピューターユーザーの知識や干渉なしに自動的に実行されます。 BitLockerをオンにすると、回復キーのバックアップを作成する必要がありますが、Microsoftアカウントに保存する、USBスティックに保存する、または印刷するという3つのオプションがあります。

研究者は言う：

リカバリキーがコンピュータを離れるとすぐに、その運命を知る方法がありません。ハッカーはすでにMicrosoftアカウントをハッキングしている可能性があり、削除する前に回復キーのコピーを作成する可能性があります。または、Microsoft自体がハッキングされたり、ユーザーデータにアクセスできる不正な従業員を雇ったりする可能性があります。または、法執行機関またはスパイ機関がMicrosoftにアカウント内のすべてのデータの要求を送信する可能性があります。これにより、回復キーの引き渡しが法的に強制されます。これは、コンピューターのセットアップ後に最初に行うことである場合でも、回復キーを削除することができます。 。

これに対して、Microsoftは次のように述べています。

デバイスがリカバリモードになり、ユーザーがリカバリキーにアクセスできない場合、ドライブ上のデータに永続的にアクセスできなくなります。この結果の可能性と顧客からのフィードバックの広範な調査に基づいて、ユーザー回復キーを自動的にバックアップすることを選択しました。リカバリキーにはユーザーデバイスへの物理的なアクセスが必要であり、それなしでは役に立ちません。

そのため、Microsoftは、デバイスがリカバリモードになり、ユーザーがリカバリキーにアクセスできない場合にユーザーがデータを失わないように、暗号化キーをサーバーに自動的にバックアップすることを決定しました。

したがって、この機能を悪用するには、攻撃者がバックアップされた暗号化キーとコンピュータデバイスの両方に物理的にアクセスできる必要があることがわかります。これは非常にまれな可能性のように思われるので、これについて妄想する必要はないと思います。 Microsoftアカウントが完全に保護されていることを確認し、デバイスの暗号化設定をデフォルトのままにします。

それでも、この暗号化キーをMicrosoftのサーバーから削除したい場合は、次の方法で行うことができます。

暗号化キーを削除する方法

Microsoftアカウントに初めてログインしたときに、新しいWindowsデバイスが回復キーをアップロードするのを防ぐ方法はありませんが、アップロードされたキーを削除することはできます。

Microsoftに暗号化キーをクラウドに保存させたくない場合は、このOneDriveページにアクセスして、キーを削除する必要があります。 。次に、ディスク暗号化をオフにする必要があります。 特徴。これを行うと、コンピューターの紛失や盗難が発生した場合に備えて、この組み込みのデータ保護機能を使用できなくなります。

このWebサイトのアカウントからリカバリキーを削除すると、すぐに削除され、バックアップドライブに保存されているコピーもすぐに削除されます。

リカバリキーのパスワードは、お客様のオンラインプロファイルからすぐに削除されます。フェイルオーバーとバックアップに使用されるドライブが最新のデータと同期されると、キーが削除されます、とMicrosoftは言います。

独自の暗号化キーを生成する方法

Windows 10 ProおよびEnterpriseユーザーは、Microsoftに送信されることのない新しい暗号化キーを生成できます。そのためには、最初にBitLockerをオフにしてディスクを復号化し、次にBitLockerを再度オンにする必要があります。

これを行うと、BitLockerドライブ暗号化回復キーをどこにバックアップするかを尋ねられます。このキーはMicrosoftと共有されませんが、紛失すると暗号化されたすべてのデータにアクセスできなくなる可能性があるため、安全に保管してください。