Microsoft 계정을 사용하여 로그인하면 Microsoft에서 자동으로 새 Windows 장치를 암호화하고 OneDrive에 Windows 11/10 장치 암호화 키를 저장합니다. 이 게시물은 Microsoft가 이 작업을 수행하는 이유에 대해 설명합니다. 또한 Microsoft와 공유하지 않고도 이 암호화 키를 삭제하고 고유한 키를 생성하는 방법도 알아보겠습니다.
Windows 11/10 장치 암호화 키
새 Windows 11/10 컴퓨터를 구입하고 Microsoft 계정을 사용하여 로그인한 경우 기기가 Windows에서 암호화되고 암호화 키가 OneDrive에 자동으로 저장됩니다. 이것은 실제로 새로운 것이 아니며 Windows 8 이후로 존재해 왔지만 최근 보안과 관련된 몇 가지 질문이 제기되었습니다.
이 기능을 사용하려면 하드웨어가 TPM 및 SecureBoot에 대한 Windows HCK(하드웨어 인증 키트) 요구 사항을 충족하는 연결된 대기를 지원해야 합니다. 연결 대기 시스템. 장치가 이 기능을 지원하는 경우 설정> 시스템> 정보 아래에 설정이 표시됩니다. 여기에서 Device Encryption을 끄거나 켤 수 있습니다.
Windows 11/10의 디스크 또는 기기 암호화 Windows 10에서 기본적으로 켜져 있는 아주 좋은 기능입니다. 이 기능이 하는 일은 장치를 암호화한 다음 Microsoft 계정의 OneDrive에 암호화 키를 저장하는 것입니다.
TechNet은 장치가 항상 보호되도록 장치 암호화가 자동으로 활성화됩니다. 다음 목록은 이를 수행하는 방법을 설명합니다.
- Windows 8.1/10의 새로 설치가 완료되면 컴퓨터를 처음 사용할 준비가 된 것입니다. 이 준비의 일환으로 운영 체제 드라이브에서 장치 암호화가 초기화되고 일반 키를 사용하여 컴퓨터의 고정 데이터 드라이브에서 초기화됩니다.
- 장치가 도메인에 가입되어 있지 않으면 장치에 대한 관리 권한이 부여된 Microsoft 계정이 필요합니다. 관리자가 Microsoft 계정을 사용하여 로그인하면 일반 키가 제거되고 복구 키가 온라인 Microsoft 계정에 업로드되며 TPM 보호기가 생성됩니다. 장치에 복구 키가 필요한 경우 사용자는 대체 장치를 사용하도록 안내되고 복구 키 액세스 URL로 이동하여 Microsoft 계정 자격 증명을 사용하여 복구 키를 검색합니다.
- 사용자가 도메인 계정을 사용하여 로그인하면 사용자가 기기를 도메인에 가입하고 복구 키가 Active Directory 도메인 서비스에 성공적으로 백업될 때까지 일반 키가 제거되지 않습니다.
따라서 이것은 BitLocker를 시작하고 절차를 따라야 하는 BitLocker와 다릅니다. 반면 이 모든 작업은 컴퓨터 사용자가 알지 못하거나 간섭 없이 자동으로 수행됩니다. BitLocker를 켜면 복구 키를 백업해야 하지만 세 가지 옵션이 있습니다. Microsoft 계정에 저장, USB 스틱에 저장 또는 인쇄.
연구원은 다음과 같이 말합니다.
<블록 인용>복구 키가 컴퓨터를 떠나는 즉시 그 운명을 알 수 없습니다. 해커가 이미 귀하의 Microsoft 계정을 해킹했을 수 있으며 귀하가 삭제하기 전에 복구 키의 복사본을 만들 수 있습니다. 또는 Microsoft 자체가 해킹을 당하거나 사용자 데이터에 액세스할 수 있는 불량 직원을 고용할 수 있습니다. 또는 법 집행 기관이나 스파이 기관이 Microsoft에 계정의 모든 데이터에 대한 요청을 보낼 수 있습니다. 그러면 법적으로 복구 키를 넘겨주도록 강제할 수 있습니다. 이는 컴퓨터를 설정한 후 가장 먼저 하는 일이 삭제인 경우에도 수행할 수 있습니다. .
이에 대해 Microsoft는 다음과 같이 말합니다.
<블록 인용>장치가 복구 모드로 전환되고 사용자가 복구 키에 액세스할 수 없으면 드라이브의 데이터에 영구적으로 액세스할 수 없게 됩니다. 이 결과의 가능성과 고객 피드백에 대한 광범위한 설문 조사를 기반으로 사용자 복구 키를 자동으로 백업하기로 결정했습니다. 복구 키는 사용자 장치에 대한 물리적 액세스가 필요하며 없이는 유용하지 않습니다.
따라서 Microsoft는 장치가 복구 모드로 전환되고 복구 키에 액세스할 수 없는 경우 사용자가 데이터를 잃지 않도록 암호화 키를 서버에 자동으로 백업하기로 결정했습니다.
따라서 이 기능을 악용하려면 공격자가 백업된 암호화 키에 대한 액세스 권한과 컴퓨터 장치에 대한 물리적 액세스 권한을 모두 얻을 수 있어야 합니다. 이것은 매우 드문 가능성으로 보이므로 이에 대해 편집증을 가질 필요는 없다고 생각합니다. Microsoft 계정을 완전히 보호했는지 확인하고 장치 암호화 설정을 기본값으로 두십시오.
하지만 Microsoft 서버에서 이 암호화 키를 제거하려면 다음과 같이 하십시오.
암호화 키를 제거하는 방법
Microsoft 계정에 처음 로그인할 때 새 Windows 장치에서 복구 키를 업로드하는 것을 방지할 수 있는 방법은 없지만 업로드된 키를 삭제할 수는 있습니다.
Microsoft에서 암호화 키를 클라우드에 저장하지 않도록 하려면 이 OneDrive 페이지를 방문하여 키를 삭제해야 합니다. . 그런 다음 디스크 암호화를 해제해야 합니다. 특징. 이렇게 하면 컴퓨터를 분실하거나 도난당한 경우 이 내장 데이터 보호 기능을 사용할 수 없습니다.
이 웹사이트의 계정에서 복구 키를 삭제하면 즉시 삭제되고 백업 드라이브에 저장된 사본도 잠시 후에 삭제됩니다.
<블록 인용>복구 키 비밀번호는 고객의 온라인 프로필에서 즉시 삭제됩니다. 장애 조치 및 백업에 사용되는 드라이브가 최신 데이터와 동기화되면 키가 제거된다고 Microsoft는 말합니다.
자신의 암호화 키를 생성하는 방법
Windows 10 Pro 및 Enterprise 사용자는 Microsoft로 전송되지 않는 새 암호화 키를 생성할 수 있습니다. 이를 위해서는 먼저 BitLocker를 꺼서 디스크 암호를 해독한 다음 BitLocker를 다시 켜야 합니다.
이 작업을 수행할 때 BitLocker 드라이브 암호화 복구 키를 백업할 위치를 묻는 메시지가 표시됩니다. 이 키는 Microsoft와 공유되지 않지만 분실할 경우 암호화된 모든 데이터에 액세스하지 못할 수 있으므로 안전하게 보관하십시오.