如何将Windows 10 BitLocker RecoveryKey备份至OneDrive

windows教程 2021-10-04 08:37:04

当你使用 Microsoft 账户进行系统登录时，Windows 10 会将设备的加密密钥自动备份到 OneDrive 当中，前几天网络媒体对微软这一做法进行了铺天盖地地报道。本文我们将详细说明：微软缘何将 Windows 10 BitLocker RecoveryKey 备份至 OneDrive、用户如何手动删除 OneDrive 中存储的 BitLocker RecoveryKey（BitLocker 恢复密钥）。

Windows 10设备加密密钥

网络媒体报道的说法是「Windows 10 会自动将设备加密密钥备份至 OneDrive」，而这里的「加密密钥」指的是什么呢？从严格意见上来说，微软备份的是 BitLocker 的 RecoveryKey，而不是私钥。因为 BitLocker 的私钥是直接存到 TPM 芯片当中的，TPM 设计的初衷之一就是为了安全存放解密私钥，还要保证私钥安全不被读出。

对于自行安装 Windows 10 的用户来说，对于上诉媒体报道几乎可以忽略不计。因为，没有 TPM 芯片或是没有开启 BitLocker 功能的情况下，磁盘是不被加密的，也就没有微软同步走加密密钥这么一说了。

对于要确认自己设备是否支持 BitLocker 的用户来说，可以执行 devmgmt.msc 打开设备管理器看下是否有 TPM 芯片。

TPM

Windows 10 对于 BitLocker 的 RecoveryKey 的存放至少有 4 种方式：

未加入域用户，可直用通过配置向导打印存放或将生成的 RecoveryKey 存放到 U 盘
使用 Microsoft 账户的用户，可以选择将 BitLocker RecoveryKey 存储到 OneDrive
加入 Azure AD 的用户可将 BitLocker RecoveryKey 存储到 Azure AD
加入本地域的用户，BitLocker RecoveryKey 会存到活动目录

之所以要将恢复密钥单独存储，最主要的目的为了「以防不测」。不然一但 TPM 出故障或忘密码，数据就无法解密了。

BitLocker RecoveryKey备份至OneDrive是否安全

在网络报道中提到，将 BitLocker RecoveryKey 备份至 OneDrive 会导致安全风险。我个人认为风险是存在的，但不会太大：

Microsoft 账户有两步验证功能，可以保证在密码泄漏情况下的账号安全。
即便 OneDrive 被盗时 BitLocker RecoveryKey 泄漏，攻击者在无法接触到你的 Windows 10 设备时，也无法对本地数据解密。（如果物理安全都没有，那就甭谈了。）
用户可以随时选择不将 BitLocker RecoveryKey 存放到 OneDrive