系统极客一直在努力
专注操作系统及软件使用技能

微软缘何将Windows 10 BitLocker RecoveryKey备份至OneDrive

密钥备份至OneDrive

当你使用 Microsoft 账户进行系统登录时,Windows 10 会将设备的加密密钥自动备份到 OneDrive 当中,前几天网络媒体对微软这一做法进行了铺天盖地地报道。本文我们将详细说明:微软缘何将 Windows 10 BitLocker RecoveryKey 备份至 OneDrive、用户如何手动删除 OneDrive 中存储的 BitLocker RecoveryKey(BitLocker 恢复密钥)。

Windows 10设备加密密钥

网络媒体报道的说法是「Windows 10 会自动将设备加密密钥备份至 OneDrive」,而这里的「加密密钥」指的是什么呢?从严格意见上来说,微软备份的是 BitLocker 的 RecoveryKey,而不是私钥。因为 BitLocker 的私钥是直接存到 TPM 芯片当中的,TPM 设计的初衷之一就是为了安全存放解密私钥,还要保证私钥安全不被读出。


对于自行安装 Windows 10 的用户来说,对于上诉媒体报道几乎可以忽略不计。因为,没有 TPM 芯片或是没有开启 BitLocker 功能的情况下,磁盘是不被加密的,也就没有微软同步走加密密钥这么一说了。

对于要确认自己设备是否支持  BitLocker 的用户来说,可以执行 devmgmt.msc 打开设备管理器看下是否有 TPM 芯片。

TPM

Windows 10 对于 BitLocker 的 RecoveryKey 的存放至少有 4 种方式:

  • 未加入域用户,可直用通过配置向导打印存放或将生成的 RecoveryKey 存放到 U 盘
  • 使用 Microsoft 账户的用户,可以选择将 BitLocker RecoveryKey 存储到 OneDrive
  • 加入 Azure AD 的用户可将 BitLocker RecoveryKey 存储到 Azure AD
  • 加入本地域的用户,BitLocker RecoveryKey 会存到活动目录

之所以要将恢复密钥单独存储,最主要的目的为了「以防不测」。不然一但 TPM 出故障或忘密码,数据就无法解密了。

BitLocker RecoveryKey备份至OneDrive是否安全

在网络报道中提到,将 BitLocker RecoveryKey 备份至 OneDrive 会导致安全风险。我个人认为风险是存在的,但不会太大:

  • Microsoft 账户有两步验证功能,可以保证在密码泄漏情况下的账号安全。
  • 即便 OneDrive 被盗时 BitLocker RecoveryKey 泄漏,攻击者在无法接触到你的 Windows 10 设备时,也无法对本地数据解密。(如果物理安全都没有,那就甭谈了。)
  • 用户可以随时选择不将 BitLocker RecoveryKey 存放到 OneDrive

删除OneDrive中的BitLocker RecoveryKey

在使用 Microsoft 账户首次登录 Windows 10 时,将 BitLocker RecoveryKey 同步到 OneDrive 是一个默认配置过程,用户目前暂时无法通过配置来更改这一默认过程。

但用户可以随时到 https://onedrive.live.com/recoverykey 手动去删除已同步的的「BitLocker 恢复密钥」。

BitLocker 恢复密钥

我个人非常不建议大家这么干,放到 OneDrive 还是比较安全的。我曾就因更换系统通过 OneDrive 找回过 BitLocker 恢复密钥。

赞(0) 赞赏

评论 1

  1. #1

    也可以通过https://account.microsoft.com/devices/recoverykey获得保存的密钥。

    9826HZg4年前 (2021-03-16)回复

微信赞赏