如何将Windows 10 BitLocker RecoveryKey备份至OneDrive

当你使用 Microsoft 账户进行系统登录时，Windows 10 会将设备的加密密钥自动备份到 OneDrive 当中，前几天网络媒体对微软这一做法进行了铺天盖地地报道。本文我们将详细说明：微软缘何将 Windows 10 BitLocker RecoveryKey 备份至 OneDrive、用户如何手动删除 OneDrive 中存储的 BitLocker RecoveryKey（BitLocker 恢复密钥）。

Windows 10设备加密密钥

网络媒体报道的说法是「Windows 10 会自动将设备加密密钥备份至 OneDrive」，而这里的「加密密钥」指的是什么呢？从严格意见上来说，微软备份的是 BitLocker 的 RecoveryKey，而不是私钥。因为 BitLocker 的私钥是直接存到 TPM 芯片当中的，TPM 设计的初衷之一就是为了安全存放解密私钥，还要保证私钥安全不被读出。

对于自行安装 Windows 10 的用户来说，对于上诉媒体报道几乎可以忽略不计。因为，没有 TPM 芯片或是没有开启 BitLocker 功能的情况下，磁盘是不被加密的，也就没有微软同步走加密密钥这么一说了。

对于要确认自己设备是否支持  BitLocker 的用户来说，可以执行 devmgmt.msc 打开设备管理器看下是否有 TPM 芯片。

Windows 10 对于 BitLocker 的 RecoveryKey 的存放至少有 4 种方式：

• 未加入域用户，可直用通过配置向导打印存放或将生成的 RecoveryKey 存放到 U 盘

• 使用 Microsoft 账户的用户，可以选择将 BitLocker RecoveryKey 存储到 OneDrive

• 加入 Azure AD 的用户可将 BitLocker RecoveryKey 存储到 Azure AD

• 加入本地域的用户，BitLocker RecoveryKey 会存到活动目录

之所以要将恢复密钥单独存储，最主要的目的为了「以防不测」。不然一但 TPM 出故障或忘密码，数据就无法解密了。

BitLocker RecoveryKey备份至OneDrive是否安全

在网络报道中提到，将 BitLocker RecoveryKey 备份至 OneDrive 会导致安全风险。我个人认为风险是存在的，但不会太大：

• Microsoft 账户有两步验证功能，可以保证在密码泄漏情况下的账号安全。

• 即便 OneDrive 被盗时 BitLocker RecoveryKey 泄漏，攻击者在无法接触到你的 Windows 10 设备时，也无法对本地数据解密。（如果物理安全都没有，那就甭谈了。）

• 用户可以随时选择不将 BitLocker RecoveryKey 存放到 OneDrive

删除OneDrive中的BitLocker RecoveryKey

在使用 Microsoft 账户首次登录 Windows 10 时，将 BitLocker RecoveryKey 同步到 OneDrive 是一个默认配置过程，用户目前暂时无法通过配置来更改这一默认过程。

但用户可以随时到 https://onedrive.live.com/recoverykey 手动去删除已同步的的「BitLocker 恢复密钥」。

我个人非常不建议大家这么干，放到 OneDrive 还是比较安全的。我曾就因更换系统通过 OneDrive 找回过 BitLocker 恢复密钥。

如何将Windows 10 BitLocker RecoveryKey备份至OneDrive的下载地址：

• 本地下载