Información general sobre el cifrado de datos personales
Cifrado de datos personales es una característica de seguridad que proporciona funcionalidades de cifrado de datos basadas en archivos a Windows. Usa Windows Hello para empresas para vincular claves de cifrado de datos con credenciales de usuario. Cuando un usuario inicia sesión en un dispositivo mediante Windows Hello, se liberan las claves de descifrado y los datos cifrados son accesibles para el usuario. Por el contrario, cuando un usuario cierra la sesión, se descartan las claves de descifrado, lo que hace que los datos no sean accesibles incluso si otro usuario inicia sesión en el dispositivo. Esto garantiza que la información confidencial permanezca siempre protegida.
Las ventajas del cifrado de datos personales son significativas. Al reducir el número de credenciales necesarias para acceder al contenido cifrado, los usuarios solo necesitan iniciar sesión con Windows Hello. Además, las características de accesibilidad disponibles con Windows Hello amplían al contenido protegido de Cifrado de datos personales.
A diferencia de BitLocker, que cifra volúmenes y discos completos, el cifrado de datos personales se centra en archivos individuales, lo que proporciona otra capa de seguridad. Esta característica no solo mejora la protección de datos, sino que también muestra un firme compromiso con la protección de la información personal.
Cifrado de datos personales para carpetas conocidas
A partir de Windows 11, versión 24H2, el cifrado de datos personales se ha mejorado aún más con el cifrado de datos personales para carpetas conocidas. Una vez habilitadas, las carpetas de Windows Escritorio, Documentos e Imágenes, junto con su contenido, se cifran automáticamente. Esta característica proporciona una manera rápida y sencilla de agregar una capa adicional de seguridad a las carpetas que se usan habitualmente.
Requisitos previos
Para usar el cifrado de datos personales, deben cumplirse los siguientes requisitos previos:
- Windows 11, versión 22H2 y posteriores
- El cifrado de datos personales para carpetas conocidas solo está disponible en Windows 11, versión 24H2 y posteriores
- Los dispositivos deben estar Microsoft Entra unidos o Microsoft Entra unidos a híbridos. No se admiten dispositivos unidos a un dominio
- Los usuarios deben iniciar sesión con Windows Hello
Importante
Si inicia sesión con una contraseña o una clave de seguridad FIDO2, no podrá acceder al contenido protegido de Cifrado de datos personales.
Requisitos de licencia y de la edición de Windows
En la tabla siguiente se enumeran las ediciones de Windows que admiten el cifrado de datos personales:
| Windows Pro | Windows Enterprise | Windows Pro Education/SE | Windows Education |
|---|---|---|---|
| No | Sí | No | Sí |
Los derechos de licencia de Cifrado de datos personales se conceden mediante las siguientes licencias:
| Windows Pro/Pro Education/SE | Windows Enterprise E3 | Windows Enterprise E5 | Windows Education A3 | Windows Education A5 |
|---|---|---|---|---|
| No | Sí | Sí | Sí | Sí |
Se puede obtener más información sobre las licencias de Windows en Información general sobre las licencias de Windows.
Niveles de protección de cifrado de datos personales
El cifrado de datos personales usa AES-CBC con una clave de 256 bits para proteger el contenido y ofrece dos niveles de protección. El nivel de protección se determina en función de las necesidades de la organización. Estos niveles se pueden establecer a través de las API de cifrado de datos personales.
| Elemento | Nivel 1 | Nivel 2 |
|---|---|---|
| Datos protegidos accesibles cuando el usuario inicia sesión a través de Windows Hello | Sí | Sí |
| Los datos protegidos son accesibles en la pantalla de bloqueo de Windows | Sí | Los datos son accesibles durante un minuto después del bloqueo y, después, ya no están disponibles. |
| Los datos protegidos son accesibles después de que el usuario cierre la sesión de Windows | No | No |
| Los datos protegidos son accesibles cuando el dispositivo se apaga | No | No |
| Se puede acceder a los datos protegidos a través de rutas de acceso UNC | No | No |
| Los datos protegidos son accesibles al firmar con contraseña de Windows en lugar de Windows Hello | No | No |
| Se puede acceder a los datos protegidos a través de la sesión de Escritorio remoto | No | No |
| Claves de descifrado usadas por cifrado de datos personales descartadas | Después de que el usuario cierre la sesión de Windows | Un minuto después de que la pantalla de bloqueo de Windows esté activa o después de que el usuario cierre la sesión de Windows |
Accesibilidad del contenido protegido de Cifrado de datos personales
Cuando un archivo está protegido con cifrado de datos personales, su icono muestra un candado. Si el usuario no ha iniciado sesión localmente con Windows Hello o un usuario no autorizado intenta acceder al contenido protegido, se le deniega el acceso.
Entre los escenarios en los que se deniega a un usuario el acceso al contenido protegido de Cifrado de datos personales se incluyen:
- El usuario inicia sesión con una contraseña en lugar de usar Windows Hello (biometría o PIN)
- Si está protegido a través de la protección de nivel 2, cuando el dispositivo está bloqueado
- Al intentar acceder al contenido del dispositivo de forma remota. Por ejemplo, rutas de acceso de red UNC
- Sesiones de Escritorio remoto
- Otros usuarios del dispositivo que no son propietarios del contenido, incluso si han iniciado sesión a través de Windows Hello y tienen permisos para navegar al contenido protegido de Cifrado de datos personales
Diferencias entre el cifrado de datos personales y BitLocker
El cifrado de datos personales está diseñado para funcionar junto con BitLocker. El cifrado de datos personales no es un reemplazo de BitLocker, ni BitLocker es un reemplazo de Cifrado de datos personales. El uso conjunto de ambas características proporciona una mejor seguridad que el uso de BitLocker o el cifrado de datos personales solo. Sin embargo, hay diferencias entre BitLocker y cifrado de datos personales y cómo funcionan. Estas diferencias son la razón por la que usarlos juntos ofrece una mejor seguridad.
| Cifrado de datos personales | BitLocker | |
|---|---|---|
| Liberación de la clave de descifrado | En el inicio de sesión del usuario a través de Windows Hello | En el arranque |
| Claves de descifrado descartadas | Cuando el usuario cierra sesión en Windows o un minuto después de activar la pantalla de bloqueo de Windows | Al apagar |
| Contenido protegido | Todos los archivos de carpetas protegidas | Volumen o unidad completos |
| Autenticación para acceder al contenido protegido | Windows Hello para empresas | Cuando BitLocker con TPM + PIN está habilitado, el PIN de BitLocker y el inicio de sesión de Windows |
Diferencias entre el cifrado de datos personales y EFS
La principal diferencia entre proteger archivos con cifrado de datos personales en lugar de EFS es el método que usan para proteger el archivo. El cifrado de datos personales usa Windows Hello para empresas para proteger las claves que protegen los archivos. EFS usa certificados para proteger y proteger los archivos.
Para ver si un archivo está protegido con cifrado de datos personales o con EFS:
- Abre las propiedades del archivo
- En la pestaña General, seleccione Opciones avanzadas...
- En las ventanas Atributos avanzados, seleccione Detalles.
En el caso de los archivos protegidos con cifrado de datos personales, en Estado de protección: hay un elemento que aparece como Cifrado de datos personales: Activado.
En el caso de los archivos protegidos por EFS, en Usuarios que pueden acceder a este archivo:, hay una huella digital del certificado junto a los usuarios con acceso al archivo. También hay una sección con la etiqueta Certificados de recuperación para este archivo según lo definido por la directiva de recuperación: .
La información de cifrado, incluido el método de cifrado que se usa para proteger el archivo, se puede obtener con el cipher.exe /c comando .
Recomendaciones para usar el cifrado de datos personales
Las siguientes son recomendaciones para usar el cifrado de datos personales:
- Habilite el cifrado de unidad bitlocker. Aunque el cifrado de datos personales funciona sin BitLocker, se recomienda habilitar BitLocker. El cifrado de datos personales está diseñado para funcionar junto con BitLocker para aumentar la seguridad en él no es un reemplazo de BitLocker.
- Solución de copia de seguridad, como OneDrive en Microsoft 365. En determinados escenarios, como restablecimientos de TPM o restablecimientos de PIN destructivos, las claves usadas por El cifrado de datos personales para proteger el contenido se perderán, lo que hará que no se pueda acceder a cualquier contenido protegido. La única manera de recuperar este contenido es desde una copia de seguridad. Si los archivos se sincronizan con OneDrive, para recuperar el acceso debe volver a sincronizar OneDrive.
- Windows Hello para empresas servicio de restablecimiento de PIN. El restablecimiento de PIN destructivo hace que las claves usadas por el cifrado de datos personales para proteger el contenido se pierdan, lo que hace que no se pueda acceder a cualquier contenido protegido con cifrado de datos personales. Después de un restablecimiento de PIN destructivo, el contenido protegido con cifrado de datos personales debe recuperarse de una copia de seguridad. Por este motivo, se recomienda Windows Hello para empresas servicio de restablecimiento de PIN, ya que proporciona restablecimientos de PIN no destructivos.
- Windows Hello seguridad de inicio de sesión mejorada ofrece más seguridad al autenticarse con Windows Hello a través de biometría o PIN
Pasos siguientes
- Obtenga información sobre las opciones disponibles para configurar el cifrado de datos personales y cómo configurarlos mediante Microsoft Intune o el proveedor de servicios de configuración (CSP): Configuración y configuración de cifrado de datos personales
- Revise las preguntas más frecuentes sobre el cifrado de datos personales.