當你使用 Microsoft 賬戶進行系統登錄時，Windows 10 會將設備的加密密鑰自動備份到 OneDrive 當中，前幾天網絡媒體對微軟這一做法進行了鋪天蓋地地報道。本文我們將詳細說明：微軟緣何將 Windows 10 BitLocker RecoveryKey 備份至 OneDrive、用戶如何手動刪除 OneDrive 中存儲的?BitLocker RecoveryKey（BitLocker 恢復密鑰）。

Windows 10設備加密密鑰

網絡媒體報道的說法是「Windows 10 會自動將設備加密密鑰備份至 OneDrive」，而這里的「加密密鑰」指的是什么呢？從嚴格意見上來說，微軟備份的是 BitLocker 的 RecoveryKey，而不是私鑰。因為 BitLocker 的私鑰是直接存到 TPM 芯片當中的，TPM 設計的初衷之一就是為了安全存放解密私鑰，還要保證私鑰安全不被讀出。

對于自行安裝 Windows 10 的用戶來說，對于上訴媒體報道幾乎可以忽略不計。因為，沒有 TPM 芯片或是沒有開啟 BitLocker 功能的情況下，磁盤是不被加密的，也就沒有微軟同步走加密密鑰這么一說了。

對于要確認自己設備是否支持? BitLocker 的用戶來說，可以執行 devmgmt.msc 打開設備管理器看下是否有 TPM 芯片。

Windows 10 對于 BitLocker 的 RecoveryKey 的存放至少有 4 種方式：

• 未加入域用戶，可直用通過配置向導打印存放或將生成的 RecoveryKey 存放到 U 盤
• 使用 Microsoft 賬戶的用戶，可以選擇將 BitLocker RecoveryKey 存儲到 OneDrive
• 加入 Azure AD 的用戶可將 BitLocker RecoveryKey 存儲到 Azure AD
• 加入本地域的用戶，BitLocker RecoveryKey 會存到活動目錄

之所以要將恢復密鑰單獨存儲，最主要的目的為了「以防不測」。不然一但 TPM 出故障或忘密碼，數據就無法解密了。

BitLocker RecoveryKey備份至OneDrive是否安全

在網絡報道中提到，將 BitLocker RecoveryKey 備份至 OneDrive 會導致安全風險。我個人認為風險是存在的，但不會太大：

• Microsoft 賬戶有兩步驗證功能，可以保證在密碼泄漏情況下的賬號安全。
• 即便 OneDrive 被盜時 BitLocker RecoveryKey 泄漏，攻擊者在無法接觸到你的 Windows 10 設備時，也無法對本地數據解密。（如果物理安全都沒有，那就甭談了。）
• 用戶可以隨時選擇不將 BitLocker RecoveryKey 存放到 OneDrive

刪除OneDrive中的BitLocker RecoveryKey

在使用 Microsoft 賬戶首次登錄 Windows 10 時，將 BitLocker RecoveryKey 同步到 OneDrive 是一個默認配置過程，用戶目前暫時無法通過配置來更改這一默認過程。

但用戶可以隨時到 https://onedrive.live.com/recoverykey 手動去刪除已同步的的「BitLocker 恢復密鑰」。

我個人非常不建議大家這么干，放到 OneDrive 還是比較安全的。我曾就因更換系統通過 OneDrive 找回過 BitLocker 恢復密鑰。

?