Comments 66
Microsoft сделала автоматическое резервное копирование папок OneDrive обязательным
Чтобы отключить эту функцию, нужно:
...
отключить все папки, резервное копирование которых не требуется
Так обязательным, или нет?
Не обязательным, а по умолчанию
Имхо, за такое авторам желтизны по рукам бить нужно.
@maybe_elf какие ваши оправдания?
Это из той серии, когда передача данных выключается в настройках, но пока до этой настройки доберёшься, данные уже утекут.
Например, в Android до версии 6.0, приложения получали все разрешения в момент установки. И например сливали адресную книгу пользователя к себе на сервер. Пользователь мог потом зайти в настройки приложения и выключить "синхронизацию", и приложение даже могло честно следовать этой настройке, но поздно - данные уже улетели.
А ещё настройка может при обновлениях легитимно слетать в дефолтное состояние, и все данные внезапно утекают. А производитель ПО отмажется "ой, а что такого, верните галочку обратно, вам что, сложно".
Меня больше смущает, что теперь папку Документов находится в папке OneDrive.
Мемная картинка вдруг стала реальностью:
Шутка шутками, а просто так перенести её был тот ещё квест. Долго думал почему прогресс в играх не сохраняется, выяснилось что "Документы" теперь хрен пойми где. А просто так перенести выдавало ошибку, потому что пошёл нафиг, пользователь, мы лучше знаем.
Я бы вообще предпочёл, чтобы папки с mydocu находилась где-то на другом (от системы) диске. Чтобы можно было с чистой совестью сделать "format c:" не пытаясь вспомнить не забыто ли что-то в глубинах системных путей винды?
Странно, вроде бы у меня последняя версия win11.
Что я делаю не так?
А я бы предпочёл, чтобы \Users можно было смонтировать на другой накопитель при установке, но увы.
Ну и в чем сложность? Правой кнопкой по нужной папке, свойства, расположение.
W11 шифрует битлокером все создаваемые разделы. Если нет учетной записи Microsoft, или пароля от неё, то "format c:" может оставить без документов на всех дисках. Пока шифрование просто привязано к TPM и, чтобы потерять документы, нужны ещё телодвижения, но дело к тому идёт.
W11 шифрует битлокером все создаваемые разделы.
Можно подробности? Несколько раз ставил Windows 11 на древние (2014-2018-х годов выпуска; естественно, пришлось поставить флажок "не требовать TPM" в Rufus'е при создании установочной флешки) подвальные компьютеры, не подключенные к интернету (ибо там без надобности). Ни разу не видел, чтоб оно что-то само без спроса шифровало Bitlocker'ом. Однажды потребовалось скопировать кучу файлов на другой компьютер: вытащил SSD из корпуса, подключил к другому компьютеру, диск определился, все файлы видны.
The new BitLocker default relies on the UEFI encryption flag. If a PC
manufacturer has set that flag, Windows 11 24H2 will require BitLocker.
In addition, after installing 24H2, many systems will flip that flag on,
meaning all future reinstallations will require BitLocker. A DIY
machine should give you control over that flag, so people who build
their own systems should be able to avoid BitLocker.
Комментатор имеет в виду 24H2 и слегка путает шифрование с включением bitlocker, это разные вещи.
Если вы не входите в учётку Micdosoft, то данные хоть и зашифрованы, но защита не включена. И TPM при этом еще не используется.
Только когда вы войдёте в учётку, создаются предохранители, одним из которых является TPM, и включается защита.
Я напишу подробнее, когда доберусь до компьютера.
W11 шифрует битлокером все создаваемые разделы.
Для начала, нужно понимать, как работает BitLocker. Чтобы комментарий не превращался в длинную статью, я намеренно опущу подробности и опишу очень упрощённо, местами сильно упрощённо. Подробный разбор работы автоматического шифрования есть в статье Вадима Стеркина, но она пока за пейволлом на бусти.
1) Генерируется ключ (длинный, стойкий, рандомный, пользователю он не показывается), данные на системном разделе шифруются этим ключом (так работают все средства шифрования: VeraCrypt, DiskCryptor и т.п. - это нужно для того, чтобы можно было при смене пароля шифрования не менять этот ключ, перешифровывая туеву хучу данных, а лишь перешифровать сам этот ключ, который уже и защищается паролем пользователя или другими методами).
2) Ключ кладётся рядом с данными, BitLocker при загрузке берёт его и расшифровывает данные
------- после установки Windows 11 24H2 вы находитесь здесь -------
Обратите внимание, что
данные формально зашифрованы, но защита не включена - ключ шифрования лежит рядом с данными в открытом виде
всё это происходит лишь на системном разделе (это знание пригодится дальше)
всё это происходит лишь при наличии TPM, но сам TPM пока не используется. Проверяется лишь то, что он есть и работоспособен.
На этом этапе ни у пользователя, ни у злоумышленника нет проблем с доступом к данным. Данные зашифрованы, но не защищены шифрованием. Потенциально проблемы могут быть лишь у утилит, которые работают вне операционной системы (допустим, какой-нибудь старый загрузочный Acronis или Linux без dislocker) и не готовы к такому сценарию. Это решается обновлением таких утилит.
3) При первом входе в учётную запись Microsoft создаются два предохранителя (в терминологии Microsoft): TPM (только теперь он начинает использоваться) и числовой пароль (отправляется в OneDrive). Ими шифруется ключ шифрование и включается защита. Теперь злоумышленник (да и вы тоже) не сможет получить доступ к данным, если загрузится в обход Windows (например, с LiveCD или подключит диск к другой машине). Для доступа к данным из другой ОС понадобится числовой пароль (тот, что хранится в OneDrive).
Теперь разберём ваше утверждение
Если нет учетной записи Microsoft, или пароля от неё, то "format c:" может оставить без документов на всех дисках.
Здесь у меня претензии буквально к каждому слову:
Если нет учетной записи Microsoft
Если у вас нет учётной записи Microsoft, то вы с ней никогда не входили. А раз так, то защита и не включалась. Вы можете этот накопитель подключить к другой машине с Windows и получить доступ к данным (помним, что они зашифрованы, но ключ не защищён, так что ОС его может прочесть и спокойно показать данные). Сможет ли такой раздел прочитать Linux - зависит от того, поддерживает ли это dislocker.
Если нет учетной записи Microsoft, или пароля от неё
При заведении учётной записи Microsoft система не только спросит пароль, но и заставит придумать пин-код (на случай, если впоследствии понадобится войти в систему при отсутствии Интернета).
Так что, если вы забыли пароль, то вы либо его сбрасываете, либо отключаете интернет и входите с пин-кодом. Либо вы вообще посторонний человек - а тогда, пардон, с какой стати вас пускать к чужим документам?
"format c:" может оставить без документов
Тут я вообще не понимаю логику. Если у вас не включено резервное копирование, то форматирование раздела с документами всегда оставляло вас без документов. Хоть в Windows 95. Наоборот, если вы вошли в учётку Microsoft, то у вас, хотя бы, теперь будет резервная копия документов в OneDrive. Поскольку BitLocker работает не на уровне файлов, а ниже, то вы можете залогиниться в свой OneDrive с другой машины (через браузер, через десктопный клиент, через клиент с телефона) и получить доступ к своим документам.
"format c:" может оставить без документов на всех дисках.
Автоматическое шифрование работает лишь для системного диска. Если у вас редакция Pro и выше, вы, конечно, можете вручную зашифровать все прочие накопители и сделать авторазблокировку несистемных дисков. Но при этом при включении защиты для каждого диска вам система скажет "вот ключ из кучи цифр, если ты его продолбаешь, у тебя будут проблемы, сейчас ты его закинешь в OneDrive, или распечатаешь или где-то сохранишь". Так не продалбывайте эти ключи!
"данные формально зашифрованы, но защита не включена"
Это только с Win11 такое, или и с Win10?
В Windows 10 это было для устройств, отвечавших списку требований (Modern Standby, валидация HSTI, проверка портов DMA).
Начиная с Windows 11 24H2 сняли требования к Modern Standby / валидации
HSTI и проверке портов DMA. Поэтому на компьютерах с TPM шифруются все
устройства и издания.
Для пользователя, не использующего всякие LiveCD/дуалбуты И не использующего учётку Microsoft, с виду ничего не поменяется (данные будут зашифрованы, но риска их потерять нет, потому что они зашифрованы лишь номинально).
Главная проблема в том, что неискушённый пользователь не отличает терминологию "зашифровано" от "защищено" и, видя в новостях "теперь данные шифруются", пугается, думая, что он рискует их потерять.
Дуалбутчикам и лайвсидишникам следует убедиться, что их инструменты корректно умеют работать с такими разделами.
Вижу, теоретически вы подкованы.
Но противоречия в ответе вижу я.
Данные зашифрованы, но не защищены.
Это, возможно, даже хуже.
При повреждении ключа, раздела, или ещё чего нибудь, их ведь не восстановить?
Сам ключ легко изменить или удалить, это ведь просто файл. Ключ из учетной записи, вероятно, не поможет восстановить файлы с повреждённого раздела. Насчёт шифрования каждого создаваемого раздела по умолчанию - вы мне теорию пишете, я же видел его у людей, которые даже слова "битлокер" не знают, как и 99,99% пользователей.
Вадим, конечно, молодец, но будущее не предсказывает.
Ну, поставлю себе 11-ю, поиграюсь. Может, я и не прав.
Учётные записи, обычно, родителям дети создают и не то что пароли, даже логины не записывают. И не нужно про злых буратин, всё на свете невозможно знать, да и глупо этого требовать от человека, сажающего картошку на даче, в то время как продвинутые пользователи не в курсе.
У продвинутых Debian и W10, а обычному юзеру достаётся 11-я с новым ноутбуком.
Сам ключ легко изменить или удалить, это ведь просто файл.
Вы не сможете его легко удалить и изменить, он вам не показывается (я даже не уверен, что это файл в файловой системе). Это не какой-то скрытый файл в корне диска. Ну а если вы таки сможете залезть в хекс-редактор и открыть том как RAW-данные, то вы явно знаете, что делаете. Вы там и MFT можете покоцать и много чего. Тот, кто может делать такие вещи, отдаёт себе отчёт, что он делает, это явно не какой-то юзер-мимокрокодил.
При повреждении ключа, раздела, или ещё чего нибудь, их ведь не восстановить?
Защищаться от повреждения стоит резервным копированием, а не уповать на восстановление данных. Вот поэтому и продвигают резервное копирование в OneDrive. В конце концов, может вообще сам накопитель крякнуть - и тогда без разницы, было там что-то зашифровано или нет.
людей, которые даже слова "битлокер" не знают
Такой человек, даже если у него ничего не зашифровано, не будет заниматься восстановлением данных самостоятельно, а обратится к специалисту.
Проблема в том, что таким людям (далёким от техники) тоже нужна защита данных. Единственный выход - включать им резервное копирование по умолчанию, ведь сами они его не включат (это аксиома: если что-то не включено по умолчанию, то этого не существует для большинства пользователей). Тут дело даже не в конкретно шифровании (есть оно или нет), а в том, что нужен бэкап. Всем нужен, даже тем, кто и слов таких не знает.
По информации Deskmodder, в тестовой версии Windows 11 24H2 шифрование BitLocker активируется автоматически при свежей установке или переустановке операционной системы. Ранее эта опция была доступна не по умолчанию, а по выбору пользователя и с предупреждением. А после установки обновления 24H2 этот процесс происходит даже в редакции Windows 11 Home, и разрешение от пользователя не требуется.
Система шифрования BitLocker в Windows 11 24H2 шифрует не только системный диск, а весь накопитель целиком. В этом случае восстановление зашифрованных данных с диска может оказаться проблематичным или потенциально невозможным в случае потери ключа BitLocker.
https://habr.com/ru/news/813129/
В немецком оригинале "все подключенные диски"
Опросил знакомых старше 50. Никто не знает своего логина от учётной записи. И пароля. Только пин-код.
Возможно, записано на бумажках, возможно, нет. Настраивали дети.
Пока шифрование просто привязано к TPM и, чтобы потерять документы, нужны ещё телодвижения
Ну какие телодвижения. Обновил UEFI+Firmware на ноуте, на вопрос ресетнуть ещё что-то там, ресетнулось совсем все. Китайцы объяснениями и UX заниматься не будут, им еще на сотню конфигураций копипастить версии прошивки.
Второе телодвижение, обновил проц. В первый раз материнка загрузилась как ни в чем не бывало, дальше настроек, по-моему, не лез. Во второй раз - откуда не возьмись - перед продолжением загрузки во весь экран предупреждение, что если я хочу продолжить загрузку с новым процессором, то fTPM будет ресетнут полностью и безвозвратно. Asus.
А про настоящие истории из сервисов можно почитать в комментариях. Учитывая современный "ремонт" заменой материнки, то "телодвижения" = сдохший конденсатор где-либо. Правда, в этом случае с припаянной SSD пользователь априори в пролете.
Если человек самостоятельно обновляет прошивку и сбрасывает настройки, это продвинутый пользователь. Продвинутый разберётся с шифрованием.
А если прошивка обновляется сама через Windows Update (как на ноутбуках), то настройки не сбрасываются.
На ноуте
На ноуте и без всякого шифрования могут быть приколы типа Boot Guard с самым жёстким профилем. Ноуты, особенно корпоративного сегмента, это своё отдельное царство. С другой стороны, пользователю корпоративного ноута и не положено всем этим заниматься - этим занимается системный администратор организации.
Второе телодвижение, обновил проц. В первый раз материнка загрузилась как ни в чем не бывало, дальше настроек, по-моему, не лез. Во второй раз - откуда не возьмись - перед продолжением загрузки во весь экран предупреждение, что если я хочу продолжить загрузку с новым процессором, то fTPM будет ресетнут полностью и безвозвратно. Asus.
Если это AMD, то, скорее, претензии не к асусу... (а к тому, кто придумал засунуть "ядро безопасности" в процессор, а не в чипсет, как у Intel)
Последние лет двадцать, наверно, у меня привычка переносить папки документов, рисунков и прочего на другой диск после установки винды. За это отвечает пара ключей в реестре, а в последних версиях они даже добавили инструментарий в интерфейсе для переноса. Ну и хранить документы в папке, которую мониторит мс совсем не обязательно
Как вообще можно хранить что-то разумное в папке, куда каждая вторая виндовая программа/игра стремится нагадить своими конфигами/сейвами? Это же свалка постоянная.
Плюс, вышеописанный кейс с переустановкой и потерей пользовательских файлов, выработавший у людей привычку еще со времен ХР все самое важное хранить в не зависящих от ОС директориях, желательно на отдельном разделе.
Этот встроенный инструментарий существует как минимум со времен ХР, просто там был доступен перенос на несистемный раздел только каталогов "Мои фотографии" и "Мои документы".
12 версия неправильно подписана... там должно быть "компьютер компании Майкрософт"...
Меня больше смущает, что теперь папку Документов находится в папке OneDrive.
В этом, собственно, и "обязательность" - Windows по возможности кидает все эти папки в OneDrive. Если в него не входить, и удалить перед входом в учетку, то и проблемы никакой нет.
Удалить (пока он не успел спереть данные из родной папки) легко: winget uninstall Microsoft.OneDrive
Я ни одну специальную папку не использую где-то с Win95. После того, как винда во время обновления грохнула все такие папки, в одной из которых лежал тогда текстовый файл со всеми контактами клиентов компании. Единственный экземпляр. 96-й, тогда о резервном копировании вообще не задумывались. Вот с тех пор я уже не доверяю чему-то, чем управляю не я. По крайней мере в отношении Microsoft.
Windows 12: Наш платный компютер
Почему разработчики ПО (не только Microsoft) считают своего пользователя умственно отсталым? Можно мне самому решать, что и куда копировать, что и как шифровать на моём компьютере?
Мне тоже не хватает галочки "я не идиот", в Steam бы не отказался от такой, например.
Но проблема в том, что рядовой пользователь действительно не слишком умный.
Файл ответов вам в помощь, раз вы считаете себя продвинутым пользователям.
С его помощью можно указать и необходимость шифрования, и прочие параметры, включая использование локальной учётной записи
Если вы не знаете про файл ответов, извините, вы относитесь к той массе, за которую решают, потому что эти пользователи только кнопки в установщике и могут нажимать.
Знаете, я тоже так думал. Пока не довелось попытаться обучить мою пожилую тетушку пользованию компьютером. Мы потратили почти неделю чистого времеми и она так и не смогла понять сами концепции диска, файла и папки несмотря на толстую бумажную тетрадку написанных ей конспектов.
После этого я радикально пересмотрел свои взгляды на пользователей, интерфейсы и компании вроде Apple. Сейчас у нее для всего смартфон и компьютером она так и не начала пользоваться. Чтобы закачать книжки на Kindle приезжает к нам в гости.
все, кто использует учётную запись Microsoft, получают доступ к своим рабочим столам, где OneDrive уже синхронизирует данные из таких папок, как «Изображения рабочего стола»
Информационная служба Хабра, по традиции, переводит исключительно гугл переводчиком.
А давайте засрем им сервера хламом?)))
так место в onedrive будет с определенного момента платное, за свой хлам вы же и заплатите. А MS, если их все таки заденет(в чем я сомневаюсь), просто объявит "теперь лимит бесплатного хранения уменьшен на 10Гб, все что выше - необходимо платить или удалим в порядке случайного выбора" и все, проблема решена
теперь лимит бесплатного хранения уменьшен на 10Гб, все что выше - необходимо платить или удалим
О, прям как в Я.Диске ради оправдания повышения цены на Плюс)) Нельзя же просто ещё 10 ГБ добавить... "Бог дал, бог взял"
Ну вот. Забиваем до упора. Денег не даем. Программа отказывается сливать инфу в облако))
tl;dr при входе в OneDrive или систему с учётной записью Microsoft резервное копирование ваших документов включено теперь по умолчанию.
Его можно отключить. Или не входить с учётной записью Microsoft (тогда логично и OneDrive деинсталлировать, раз не пользуетесь).
Примерно вот так выглядит новость без воды.
А кстати сейчас официальный и штатный способ купить подписку на платный OneDrive из России какой? (про варианты с не-российской картой как и про варианты с кодом на год с яндексмаркета я в курсе). Никакой?
Кто мешает снять OneDrive с автозагрузки и не входить в него ,по умолчанию никакое копирование не производится.
Резервное копирование OneDrive в Windows 11 стало обязательным