Начиная с Windows 8.1 Microsoft предлагает шифрование как встроенную технологию для ноутбуков, смартфонов, планшетов и других устройств с этой ОС. Более того, если вы зарегистрировались в Windows 10 с помощью вашей учетной записи Microsoft, ваша система загружает копию вашего ключа восстановления на сервер Microsoft, не спрашивая вашего согласия.
Итак, у любого нового компьютера с Windows есть встроенная функция шифрования жесткого диска, включенная по умолчанию. Она предназначена для защиты ваших данных в случае, если устройство потеряно или украдено. Кроме того, если вы забыли или потеряли ваш ключ восстановления, можно не особо волноваться, ведь на серверах Microsoft хранится копия вашего ключа.
Но если у Microsoft есть ключ восстановления вашего диска, то возникает вопрос. Какой смысл в таком шифровании, если вы не единственный владелец ключа? Получается, что:
- если злоумышленник взломает вашу учетную запись Microsoft, он сможет сделать копию вашего ключа восстановления;
- любой мошенник, работающий в Microsoft и обладающий доступом к пользовательским данным, может получить доступ к ключу восстановления;
- если взломают систему защиты сервера Microsoft, злоумышленники могут получить ваш ключ восстановления;
- специальные службы могут запросить у Microsoft ваш ключ восстановления.
Рассмотрим подробнее вероятность осуществления подобных событий.
Взлом учетной записи Microsoft. Можно ли взломать вашу учетную запись Microsoft? Безусловно, можно. Особенно если ваш пароль к этой учетной записи «123456» или «qwerty». Поэтому заранее подумайте о том, чтобы у вас был сложный пароль и о его регулярной смене. Кроме того, заранее позаботьтесь о двухэтапной аутентификации и о том, что работать в общедоступных сетях лучше всего, используя технологию OTP (One Time Password), реализованную у Microsoft как часть двухэтапной аутентификации.
Мошенник, работающий в Microsoft, может получить доступ к ключу восстановления. Данный сценарий представляется мне несколько притянутым за уши. Ведь, во-первых, это означает отсутствие защиты от внутренних угроз в Microsoft, а во-вторых, уже сегодня количество установок Windows 10 превышает 200 млн. Искать в таком массиве именно ваши учетные данные достаточно дорого. Ваши данные стоят того?
Злоумышленники взломают систему защиты сервера Microsoft. Вероятность такого события, на мой взгляд, еще меньше. Если взломают защиту серверов Microsoft, там будет информация, которую куда легче продать, да и стоить она будет куда больше вашего ключа восстановления.
Специальные службы могут запросить у Microsoft ваш ключ восстановления. Если вы интересны специальным службам, то тут вряд ли поможет шифрование вашего жесткого диска. Думаю, в этом случае вас найдут как взломать.
И все же вы можете подстраховаться.
На сегодняшний день нет никакой возможности препятствовать тому, чтобы новый компьютер под управлением Windows 10 загрузил ключ восстановления впервые, когда вы регистрируетесь в Microsoft Account. Но вы сможете его удалить.
Для этого выполните следующее:
- Войдите по следующей ссылке с вашей учетной записью Microsoft Account
- Вы увидите список файлов ваших ключей восстановления
- Сохраните ваш ключ восстановления на флэшку (не на ваш зашифрованный носитель)
- Перейдите в окно браузера и удалите соответствующий файл ключа восстановления из вашего Microsoft Account. Если ключ восстановления в списке один, щелкните по записи этого ключа и тогда появится надпись Удалить.
Вполне возможно, что даже после удаления ключа восстановления из вашей учетной записи Microsoft Account ваш ключ остался на серверах компании. Для решения этой проблемы рекомендуется расшифровать ваш жесткий диск и прекратить использовать соответствующий ключ восстановления, а вместо него создать новый, при этом уже заранее не записывая его в свой Microsoft Account.
Можно создать новый ключ восстановления без отправки копии в Microsoft. Увы, но этот способ доступен только версиям Windows 10 Pro или Windows 10 Enterprise. Для версии Home этот способ не подойдет.
- Вам необходимо расшифровать ваш жесткий диск и затем снова его зашифровать с помощью BitLocker. В ходе шифрования BitLocker вас спросят о том, как вы хотите хранить ваш ключ восстановления. Для этого:
- Нажмите Win+X и выберите Панель управления\Система и безопасность\Шифрование диска BitLocker
- Выберите «Выключить BitLocker» и расшифруйте ваш жесткий диск.
- Нажмите «Включить BitLocker»
- Вы увидите окно «Как вы хотите архивировать свой ключ восстановления?»
- Выберите «Напечатать ключ восстановления» или «Сохранить в файл»
- Сохраните соответствующий файл на внешнем USB-носителе.
Примите мои поздравления! С этой минуты вы единственный обладатель ключа восстановления вашего жесткого диска. Не потеряйте его!
Автор статьи — Microsoft MVP, Microsoft Security Trusted Advisor.