Übersicht über die Verschlüsselung personenbezogener Daten
Die Verschlüsselung personenbezogener Daten ist ein Sicherheitsfeature, das dateibasierte Datenverschlüsselungsfunktionen für Windows bereitstellt. Es verwendet Windows Hello for Business, um Datenverschlüsselungsschlüssel mit Benutzeranmeldeinformationen zu verknüpfen. Wenn sich ein Benutzer mit Windows Hello bei einem Gerät anmeldet, werden Entschlüsselungsschlüssel freigegeben, und verschlüsselte Daten werden für den Benutzer zugänglich. Wenn sich hingegen ein Benutzer abmeldet, werden Entschlüsselungsschlüssel verworfen, sodass auf die Daten auch dann nicht zugegriffen werden kann, wenn sich ein anderer Benutzer beim Gerät anmeldet. Dadurch wird sichergestellt, dass vertrauliche Informationen immer geschützt bleiben.
Die Vorteile der Verschlüsselung personenbezogener Daten sind erheblich. Durch die Reduzierung der Anzahl der Anmeldeinformationen, die für den Zugriff auf verschlüsselte Inhalte erforderlich sind, müssen sich Benutzer nur mit Windows Hello anmelden. Darüber hinaus können die mit Windows Hello verfügbaren Barrierefreiheitsfeatures auch auf durch die Verschlüsselung personenbezogener Daten geschützte Inhalte erweitert werden.
Im Gegensatz zu BitLocker, das ganze Volumes und Datenträger verschlüsselt, konzentriert sich die Verschlüsselung von personenbezogenen Daten auf einzelne Dateien und bietet eine weitere Sicherheitsebene. Dieses Feature verbessert nicht nur den Datenschutz, sondern zeigt auch ein starkes Engagement für den Schutz personenbezogener Daten.
Verschlüsselung personenbezogener Daten für bekannte Ordner
Ab Windows 11 Version 24H2 wird die Verschlüsselung personenbezogener Daten durch die Verschlüsselung von personenbezogenen Daten für bekannte Ordner weiter verbessert. Nach der Aktivierung werden die Windows-Ordner Desktop, Dokumente und Bilder sowie deren Inhalt automatisch verschlüsselt. Dieses Feature bietet eine schnelle und einfache Möglichkeit, häufig verwendete Ordnern eine zusätzliche Sicherheitsebene hinzuzufügen.
Voraussetzungen
Um die Verschlüsselung personenbezogener Daten verwenden zu können, müssen die folgenden Voraussetzungen erfüllt sein:
- Windows 11, Version 22H2 und höher
- Die Verschlüsselung von personenbezogenen Daten für bekannte Ordner ist nur in Windows 11, Version 24H2 und höher, verfügbar.
- Die Geräte müssen Microsoft Entra oderMicrosoft Entra hybrid eingebunden sein. In die Domäne eingebundene Geräte werden nicht unterstützt.
- Benutzer müssen sich mit Windows Hello anmelden
Wichtig
Wenn Sie sich mit einem Kennwort oder einem FIDO2-Sicherheitsschlüssel anmelden, können Sie nicht auf durch die Verschlüsselung von personenbezogenen Daten geschützte Inhalte zugreifen.
Windows-Edition und Lizenzierungsanforderungen
In der folgenden Tabelle sind die Windows-Editionen aufgeführt, die die Verschlüsselung personenbezogener Daten unterstützen:
| Windows Pro | Windows Enterprise | Windows Pro Education/SE | Windows Education |
|---|---|---|---|
| Nein | Ja | Nein | Ja |
Lizenzberechtigungen für die Personenbezogene Datenverschlüsselung werden von den folgenden Lizenzen gewährt:
| Windows Pro/Pro Education/SE | Windows Enterprise E3 | Windows Enterprise E5 | Windows Education A3 | Windows Education A5 |
|---|---|---|---|---|
| Nein | Ja | Ja | Ja | Ja |
Weitere Informationen zur Windows-Lizenzierung finden Sie unter Übersicht über die Windows-Lizenzierung.
Schutzebenen für die Verschlüsselung personenbezogener Daten
Die Verschlüsselung personenbezogener Daten verwendet AES-CBC mit einem 256-Bit-Schlüssel zum Schutz von Inhalten und bietet zwei Schutzebenen. Die Schutzebene wird auf der Grundlage der organisatorischen Anforderungen festgelegt. Diese Ebenen können über die APIs für die Verschlüsselung personenbezogener Daten festgelegt werden.
| Element | Level 1 | Level 2 |
|---|---|---|
| Zugriff auf geschützte Daten, wenn sich Der Benutzer über Windows Hello anmeldet | Ja | Ja |
| Auf geschützte Daten kann über den Windows-Sperrbildschirm zugegriffen werden. | Ja | Der Zugriff auf die Daten ist nach der Sperre eine Minute lang möglich, danach sind sie nicht mehr verfügbar. |
| Zugriff auf geschützte Daten, nachdem sich der Benutzer von Windows abgemeldet hat | Nein | Nein |
| Zugriff auf geschützte Daten beim Herunterfahren des Geräts | Nein | Nein |
| Auf geschützte Daten kann über UNC-Pfade zugegriffen werden. | Nein | Nein |
| Auf geschützte Daten kann beim Signieren mit windows-Kennwort anstelle von Windows Hello | Nein | Nein |
| Auf geschützte Daten kann über eine Remotedesktopsitzung zugegriffen werden. | Nein | Nein |
| Entschlüsselungsschlüssel, die von der Verschlüsselung personenbezogener Daten verwendet werden, verworfen | Nachdem sich der Benutzer von Windows abgemeldet hat | Eine Minute, nachdem der Sperrbildschirm von Windows aktiviert wurde oder nachdem sich der Benutzer von Windows abgemeldet hat |
Barrierefreiheit geschützter Inhalte durch die Verschlüsselung personenbezogener Daten
Wenn eine Datei mit der Verschlüsselung personenbezogener Daten geschützt ist, wird auf ihrem Symbol ein Vorhängeschloss angezeigt. Wenn der Benutzer nicht lokal mit Windows Hello angemeldet ist oder ein nicht autorisierter Benutzer versucht, auf geschützte Inhalte zuzugreifen, wird ihm der Zugriff verweigert.
Zu den Szenarien, in denen einem Benutzer der Zugriff auf durch die Verschlüsselung personenbezogener Daten geschützte Inhalte verweigert wird, gehören:
- Der Benutzer meldet sich mit einem Kennwort an, anstatt Windows Hello (Biometrie oder PIN) zu verwenden.
- Bei Schutz der Stufe 2, wenn das Gerät gesperrt ist
- Wenn Sie versuchen, aus der Ferne auf Inhalte auf dem Gerät zuzugreifen. Beispiel: UNC-Netzwerkpfade
- Remotedesktopsitzungen
- Andere Benutzer auf dem Gerät, die keine Besitzer der Inhalte sind, auch wenn sie über Windows Hello angemeldet sind und über Die Berechtigung verfügen, zu den geschützten Inhalten der Datenverschlüsselung zu navigieren
Unterschiede zwischen der Verschlüsselung personenbezogener Daten und BitLocker
Die Verschlüsselung personenbezogener Daten ist für die Zusammenarbeit mit BitLocker vorgesehen. Die Verschlüsselung personenbezogener Daten ist kein Ersatz für BitLocker, und BitLocker ist auch kein Ersatz für die Verschlüsselung personenbezogener Daten. Die gemeinsame Verwendung beider Features bietet eine bessere Sicherheit als die Verwendung von BitLocker oder persönlicher Datenverschlüsselung allein. Es gibt jedoch Unterschiede zwischen BitLocker und der Verschlüsselung personenbezogener Daten und deren Funktionsweise. Diese Unterschiede sind der Grund, warum die gemeinsame Verwendung der beiden Systeme mehr Sicherheit bietet.
| Verschlüsselung personenbezogener Daten | BitLocker | |
|---|---|---|
| Freigabe des Entschlüsselungsschlüssels | Bei der Benutzeranmeldung über Windows Hello | Beim Start |
| Entschlüsselungsschlüssel verworfen | Wenn sich der Benutzer von Windows abmeldet oder eine Minute nach Aktivierung des Sperrbildschirms von Windows | Beim Herunterfahren |
| Geschützte Inhalte | Alle Dateien in geschützten Ordnern | Gesamter/s Datenträger/Laufwerk |
| Authentifizierung für den Zugriff auf geschützte Inhalte | Windows Hello for Business | Wenn BitLocker mit TPM + PIN aktiviert ist, werden die BitLocker-PIN und die Windows-Anmeldung verwendet |
Unterschiede zwischen der Verschlüsselung personenbezogener Daten und EFS
Der Standard Unterschied zwischen dem Schutz von Dateien mit der Verschlüsselung personenbezogener Daten anstelle von EFS ist die Methode, mit der die Datei geschützt wird. Die Verschlüsselung personenbezogener Daten verwendet Windows Hello for Business, um die Schlüssel zu schützen, die die Dateien schützen. EFS verwendet Zertifikate, um die Dateien zu sichern und zu schützen.
So überprüfen Sie, ob eine Datei mit der Verschlüsselung personenbezogener Daten oder mit EFS geschützt ist:
- Öffnen Sie die Eigenschaften der Datei
- Wählen Sie auf der Registerkarte Allgemein die Option Erweitert... aus
- Wählen Sie im Fenster Erweiterte Attribute die Option Details aus
Für dateien, die durch die Verschlüsselung personenbezogener Daten geschützt sind, finden Sie unter Schutz status ein Element, das als Verschlüsselung personenbezogener Daten aufgeführt ist: Ein.
Für EFS-geschützte Dateien finden Sie unter Benutzer, die auf diese Datei zugreifen können: neben den Benutzern mit Zugriff auf die Datei einen Zertifikatfingerabdruck . Es gibt auch einen Abschnitt mit der Bezeichnung Wiederherstellungszertifikate für diese Datei, wie in der Wiederherstellungsrichtlinie definiert: .
Verschlüsselungsinformationen, einschließlich der Verschlüsselungsmethode, die zum Schutz der Datei verwendet wird, können mit dem cipher.exe /c Befehl abgerufen werden.
Empfehlungen für die Verwendung der Verschlüsselung personenbezogener Daten
Es folgen Empfehlungen für die Verwendung der Verschlüsselung personenbezogener Daten:
- Aktivieren Sie die BitLocker-Laufwerkverschlüsselung. Obwohl die Personal Data Encryption ohne BitLocker funktioniert, wird empfohlen, BitLocker zu aktivieren. Die Verschlüsselung personenbezogener Daten ist für die Zusammenarbeit mit BitLocker gedacht, um die Sicherheit zu erhöhen, ist kein Ersatz für BitLocker.
- Sicherungslösung wie OneDrive in Microsoft 365. In bestimmten Szenarien, z. B. TPM-Zurücksetzungen oder destruktiven PIN-Zurücksetzungen, gehen die schlüssel, die von der Verschlüsselung personenbezogener Daten zum Schutz von Inhalten verwendet werden, verloren, sodass auf geschützte Inhalte nicht mehr zugegriffen werden kann. Die einzige Möglichkeit, solche Inhalte wiederherzustellen, ist aus einer Sicherung. Wenn die Dateien mit OneDrive synchronisiert werden, müssen Sie OneDrive erneut synchronisieren, um wieder Zugriff zu erhalten.
- Windows Hello for Business PIN-Zurücksetzungsdienst. Die destruktive PIN-Zurücksetzung führt dazu, dass schlüssel, die von der Verschlüsselung personenbezogener Daten zum Schutz von Inhalten verwendet werden, verloren gehen, sodass auf alle mit der Verschlüsselung personenbezogener Daten geschützten Inhalte nicht zugegriffen werden kann. Nach einer destruktiven PIN-Zurücksetzung müssen Inhalte, die mit der Verschlüsselung personenbezogener Daten geschützt sind, aus einer Sicherung wiederhergestellt werden. Aus diesem Grund wird Windows Hello for Business PIN-Zurücksetzungsdienst empfohlen, da er nicht destruktive PIN-Zurücksetzungen ermöglicht.
- Windows Hello Erweiterte Anmeldesicherheit bietet mehr Sicherheit bei der Authentifizierung mit Windows Hello über Biometrie oder PIN
Nächste Schritte
- Erfahren Sie mehr über die verfügbaren Optionen zum Konfigurieren der Verschlüsselung personenbezogener Daten und wie sie über Microsoft Intune oder Konfigurationsdienstanbieter (CSP) konfiguriert werden können: Einstellungen und Konfiguration der Verschlüsselung personenbezogener Daten
- Lesen Sie die häufig gestellten Fragen zur Verschlüsselung personenbezogener Daten.