Verschlüsselung personenbezogener Daten
Ab Windows 11 Version 22H2 ist die Verschlüsselung personenbezogener Daten ein Sicherheitsfeature, das Windows dateibasierte Datenverschlüsselungsfunktionen bereitstellt.
Die Verschlüsselung personenbezogener Daten verwendet Windows Hello for Business, um Datenverschlüsselungsschlüssel mit Benutzeranmeldeinformationen zu verknüpfen. Wenn sich ein Benutzer mit Windows Hello for Business bei einem Gerät anmeldet, werden Entschlüsselungsschlüssel freigegeben, und der Benutzer kann auf verschlüsselte Daten zugreifen.
Wenn sich ein Benutzer abmeldet, werden Entschlüsselungsschlüssel verworfen, und der Zugriff auf Daten ist nicht möglich, auch wenn sich ein anderer Benutzer beim Gerät anmeldet.
Die Verwendung von Windows Hello for Business bietet folgende Vorteile:
- Dadurch wird die Anzahl der Anmeldeinformationen für den Zugriff auf verschlüsselte Inhalte reduziert: Benutzer müssen sich nur mit Windows Hello for Business
- Die verfügbaren Barrierefreiheitsfeatures bei Verwendung Windows Hello for Business auf durch die Verschlüsselung von personenbezogenen Daten geschützte Inhalte erweitert
Die Verschlüsselung personenbezogener Daten unterscheidet sich von BitLocker darin, dass Dateien anstelle von ganzen Volumes und Datenträgern verschlüsselt werden. Die Verschlüsselung personenbezogener Daten erfolgt zusätzlich zu anderen Verschlüsselungsmethoden wie BitLocker.
Im Gegensatz zu BitLocker, das Datenverschlüsselungsschlüssel beim Start freigibt, gibt die Personal Data Encryption erst dann Datenverschlüsselungsschlüssel frei, wenn sich ein Benutzer mit Windows Hello for Business anmeldet.
Voraussetzungen
Um die Verschlüsselung personenbezogener Daten verwenden zu können, müssen die folgenden Voraussetzungen erfüllt sein:
- Windows 11, Version 22H2 und höher
- Die Geräte müssen Microsoft Entra eingebunden sein. In die Domäne eingebundene und Microsoft Entra hybrid eingebundene Geräte werden nicht unterstützt.
- Benutzer müssen sich mit Windows Hello for Business anmelden
Wichtig
Wenn Sie sich mit einem Kennwort oder einem Sicherheitsschlüssel anmelden, können Sie nicht auf durch die Verschlüsselung von personenbezogenen Daten geschützte Inhalte zugreifen.
Windows-Edition und Lizenzierungsanforderungen
In der folgenden Tabelle sind die Windows-Editionen aufgeführt, die Verschlüsselung personenbezogener Daten (PDE) unterstützen:
| Windows Pro | Windows Enterprise | Windows Pro Education/SE | Windows Education |
|---|---|---|---|
| Nein | Ja | Nein | Ja |
Die Lizenzrechte für die Verschlüsselung persönlicher Daten (PDE) werden durch die folgenden Lizenzen gewährt:
| Windows Pro/Pro Education/SE | Windows Enterprise E3 | Windows Enterprise E5 | Windows Education A3 | Windows Education A5 |
|---|---|---|---|---|
| Nein | Ja | Ja | Ja | Ja |
Weitere Informationen zur Windows-Lizenzierung finden Sie unter Übersicht über die Windows-Lizenzierung.
Schutzebenen für die Verschlüsselung personenbezogener Daten
Die Verschlüsselung personenbezogener Daten verwendet AES-CBC mit einem 256-Bit-Schlüssel zum Schutz von Inhalten und bietet zwei Schutzebenen. Die Schutzebene wird auf der Grundlage der organisatorischen Anforderungen festgelegt. Diese Ebenen können über die APIs für die Verschlüsselung personenbezogener Daten festgelegt werden.
| Element | Level 1 | Level 2 |
|---|---|---|
| Geschützte Daten, auf die zugegriffen werden kann, wenn sich der Benutzer über Windows Hello for Business angemeldet hat | Ja | Ja |
| Auf geschützte Daten kann über den Windows-Sperrbildschirm zugegriffen werden. | Ja | Der Zugriff auf die Daten ist nach der Sperre eine Minute lang möglich, danach sind sie nicht mehr verfügbar. |
| Zugriff auf geschützte Daten, nachdem sich der Benutzer von Windows abgemeldet hat | Nein | Nein |
| Zugriff auf geschützte Daten beim Herunterfahren des Geräts | Nein | Nein |
| Auf geschützte Daten kann über UNC-Pfade zugegriffen werden. | Nein | Nein |
| Der Zugriff auf geschützte Daten ist beim Signieren mit Windows-Kennwort statt mit Windows Hello for Business | Nein | Nein |
| Auf geschützte Daten kann über eine Remotedesktopsitzung zugegriffen werden. | Nein | Nein |
| Entschlüsselungsschlüssel, die von der Verschlüsselung personenbezogener Daten verwendet werden, verworfen | Nachdem sich der Benutzer von Windows abgemeldet hat | Eine Minute, nachdem der Sperrbildschirm von Windows aktiviert wurde oder nachdem sich der Benutzer von Windows abgemeldet hat |
Barrierefreiheit geschützter Inhalte durch die Verschlüsselung personenbezogener Daten
Wenn eine Datei mit der Verschlüsselung personenbezogener Daten geschützt ist, wird auf ihrem Symbol ein Vorhängeschloss angezeigt. Wenn sich der Benutzer nicht lokal mit Windows Hello for Business angemeldet hat oder ein nicht autorisierter Benutzer versucht, auf durch die Verschlüsselung personenbezogener Daten geschützte Inhalte zuzugreifen, wird ihm der Zugriff auf die Inhalte verweigert.
Zu den Szenarien, in denen einem Benutzer der Zugriff auf durch die Verschlüsselung personenbezogener Daten geschützte Inhalte verweigert wird, gehören:
- Der Benutzer hat sich über ein Kennwort bei Windows angemeldet, anstatt sich mit Windows Hello for Business biometrisch oder PIN anzumelden.
- Bei Schutz der Stufe 2, wenn das Gerät gesperrt ist
- Wenn Sie versuchen, aus der Ferne auf Inhalte auf dem Gerät zuzugreifen. Beispiel: UNC-Netzwerkpfade
- Remotedesktopsitzungen
- Andere Benutzer auf dem Gerät, die keine Besitzer der Inhalte sind, auch wenn sie über Windows Hello for Business angemeldet sind und über Die Berechtigung verfügen, zu den geschützten Inhalten der Datenverschlüsselung zu navigieren
Unterschiede zwischen der Verschlüsselung personenbezogener Daten und BitLocker
Die Verschlüsselung personenbezogener Daten ist für die Zusammenarbeit mit BitLocker vorgesehen. Die Verschlüsselung personenbezogener Daten ist kein Ersatz für BitLocker, und BitLocker ist auch kein Ersatz für die Verschlüsselung personenbezogener Daten. Die gemeinsame Verwendung beider Features bietet eine bessere Sicherheit als die Verwendung von BitLocker oder persönlicher Datenverschlüsselung allein. Es gibt jedoch Unterschiede zwischen BitLocker und der Verschlüsselung personenbezogener Daten und deren Funktionsweise. Diese Unterschiede sind der Grund, warum die gemeinsame Verwendung der beiden Systeme mehr Sicherheit bietet.
| Element | Verschlüsselung personenbezogener Daten | BitLocker |
|---|---|---|
| Freigabe des Entschlüsselungsschlüssels | Bei der Anmeldung des Benutzers über Windows Hello for Business | Beim Start |
| Entschlüsselungsschlüssel verworfen | Wenn sich der Benutzer von Windows abmeldet oder eine Minute nach Aktivierung des Sperrbildschirms von Windows | Beim Herunterfahren |
| Geschützte Inhalte | Alle Dateien in geschützten Ordnern | Gesamter/s Datenträger/Laufwerk |
| Authentifizierung für den Zugriff auf geschützte Inhalte | Windows Hello for Business | Wenn BitLocker mit TPM + PIN aktiviert ist, werden die BitLocker-PIN und die Windows-Anmeldung verwendet |
Unterschiede zwischen der Verschlüsselung personenbezogener Daten und EFS
Der Standard Unterschied zwischen dem Schutz von Dateien mit der Verschlüsselung personenbezogener Daten anstelle von EFS ist die Methode, mit der die Datei geschützt wird. Die Verschlüsselung personenbezogener Daten verwendet Windows Hello for Business, um die Schlüssel zu schützen, die die Dateien schützen. EFS verwendet Zertifikate, um die Dateien zu sichern und zu schützen.
So überprüfen Sie, ob eine Datei mit der Verschlüsselung personenbezogener Daten oder mit EFS geschützt ist:
- Öffnen Sie die Eigenschaften der Datei
- Wählen Sie auf der Registerkarte Allgemein die Option Erweitert... aus
- Wählen Sie im Fenster Erweiterte Attribute die Option Details aus
Für dateien, die durch die Verschlüsselung personenbezogener Daten geschützt sind, finden Sie unter Schutz status: ein Element, das als Verschlüsselung personenbezogener Daten aufgeführt ist: und hat das Attribut Ein.
Bei EFS-geschützten Dateien finden Sie unter Benutzer, die auf diese Datei zugreifen können: wird neben den Benutzern, die Zugriff auf die Datei haben, ein Zertifikatfingerabdruck angezeigt. Außerdem wird unten ein Abschnitt mit der Bezeichnung Wiederherstellungszertifikate für diese Datei gemäß der Wiederherstellungsrichtlinie: angezeigt.
Verschlüsselungsinformationen, einschließlich der Verschlüsselungsmethode, die zum Schutz der Datei verwendet wird, können mit dem cipher.exe /c Befehl abgerufen werden.
Empfehlungen für die Verwendung der Verschlüsselung personenbezogener Daten
Es folgen Empfehlungen für die Verwendung der Verschlüsselung personenbezogener Daten:
- Aktivieren Sie die BitLocker-Laufwerkverschlüsselung. Obwohl die Personal Data Encryption ohne BitLocker funktioniert, wird empfohlen, BitLocker zu aktivieren. Die Verschlüsselung personenbezogener Daten ist für die Zusammenarbeit mit BitLocker gedacht, um die Sicherheit zu erhöhen, ist kein Ersatz für BitLocker.
- Sicherungslösung wie OneDrive in Microsoft 365. In bestimmten Szenarien, z. B. TPM-Zurücksetzungen oder destruktiven PIN-Zurücksetzungen, gehen die schlüssel, die von der Verschlüsselung personenbezogener Daten zum Schutz von Inhalten verwendet werden, verloren, sodass auf geschützte Inhalte nicht mehr zugegriffen werden kann. Die einzige Möglichkeit, solche Inhalte wiederherzustellen, ist aus einer Sicherung. Wenn die Dateien mit OneDrive synchronisiert werden, müssen Sie OneDrive erneut synchronisieren, um wieder Zugriff zu erhalten.
- Windows Hello for Business PIN-Zurücksetzungsdienst. Destruktive PIN-Zurücksetzungen führen dazu, dass schlüssel, die von der Verschlüsselung personenbezogener Daten zum Schutz von Inhalten verwendet werden, verloren gehen, sodass auf alle mit der Verschlüsselung personenbezogener Daten geschützten Inhalte nicht zugegriffen werden kann. Nach einer destruktiven PIN-Zurücksetzung müssen Inhalte, die mit der Verschlüsselung personenbezogener Daten geschützt sind, aus einer Sicherung wiederhergestellt werden. Aus diesem Grund wird Windows Hello for Business PIN-Zurücksetzungsdienst empfohlen, da er nicht destruktive PIN-Zurücksetzungen ermöglicht.
- Windows Hello Erweiterte Anmeldesicherheit bietet zusätzliche Sicherheit bei der Authentifizierung mit Windows Hello for Business über Biometrie oder PIN
Sofort einsatzbereite Windows-Anwendungen, die die Verschlüsselung personenbezogener Daten unterstützen
Bestimmte Windows-Anwendungen unterstützen die personenbezogene Datenverschlüsselung sofort. Wenn die Verschlüsselung personenbezogener Daten auf einem Gerät aktiviert ist, verwenden diese Anwendungen die Verschlüsselung personenbezogener Daten:
| Name der App | Details |
|---|---|
| Unterstützt den Schutz von E-Mail-Text und Anhängen |
Nächste Schritte
- Erfahren Sie mehr über die verfügbaren Optionen zum Konfigurieren der Verschlüsselung personenbezogener Daten und wie sie über Microsoft Intune oder Konfigurationsdienstanbieter (CSP) konfiguriert werden können: Einstellungen und Konfiguration der Verschlüsselung personenbezogener Daten
- Lesen Sie die häufig gestellten Fragen zur Verschlüsselung personenbezogener Daten.