Compartir a través de


Cifrado de datos personales

A partir de Windows 11, versión 22H2, Cifrado de datos personales es una característica de seguridad que proporciona funcionalidades de cifrado de datos basadas en archivos a Windows.

El cifrado de datos personales utiliza Windows Hello para empresas para vincular las claves de cifrado de datos con las credenciales de usuario. Cuando un usuario inicia sesión en un dispositivo mediante Windows Hello para empresas, se liberan las claves de descifrado y los datos cifrados son accesibles para el usuario.
Cuando un usuario cierra la sesión, se descartan las claves de descifrado y no se pueden acceder a los datos, incluso si otro usuario inicia sesión en el dispositivo.

El uso de Windows Hello para empresas ofrece las siguientes ventajas:

  • Reduce el número de credenciales para acceder al contenido cifrado: los usuarios solo necesitan iniciar sesión con Windows Hello para empresas
  • Las características de accesibilidad disponibles al usar Windows Hello para empresas ampliar al contenido protegido de Cifrado de datos personales

El cifrado de datos personales difiere de BitLocker en que cifra archivos en lugar de volúmenes y discos completos. El cifrado de datos personales se produce además de otros métodos de cifrado, como BitLocker.
A diferencia de BitLocker que libera claves de cifrado de datos en el arranque, El cifrado de datos personales no libera las claves de cifrado de datos hasta que un usuario inicia sesión con Windows Hello para empresas.

Requisitos previos

Para usar el cifrado de datos personales, deben cumplirse los siguientes requisitos previos:

Importante

Si inicia sesión con una contraseña o una clave de seguridad, no podrá acceder al contenido protegido de Cifrado de datos personales.

Requisitos de licencia y de la edición de Windows

En la tabla siguiente se enumeran las ediciones de Windows que admiten el cifrado de datos personales (PDE):

Windows Pro Windows Enterprise Windows Pro Education/SE Windows Education
No No

Los derechos de licencia de cifrado de datos personales (PDE) se conceden mediante las siguientes licencias:

Windows Pro/Pro Education/SE Windows Enterprise E3 Windows Enterprise E5 Windows Education A3 Windows Education A5
No

Se puede obtener más información sobre las licencias de Windows en Información general sobre las licencias de Windows.

Niveles de protección de cifrado de datos personales

El cifrado de datos personales usa AES-CBC con una clave de 256 bits para proteger el contenido y ofrece dos niveles de protección. El nivel de protección se determina en función de las necesidades de la organización. Estos niveles se pueden establecer a través de las API de cifrado de datos personales.

Elemento Nivel 1 Nivel 2
Datos protegidos accesibles cuando el usuario ha iniciado sesión a través de Windows Hello para empresas
Los datos protegidos son accesibles en la pantalla de bloqueo de Windows Los datos son accesibles durante un minuto después del bloqueo y, después, ya no están disponibles.
Los datos protegidos son accesibles después de que el usuario cierre la sesión de Windows No No
Los datos protegidos son accesibles cuando el dispositivo se apaga No No
Se puede acceder a los datos protegidos a través de rutas de acceso UNC No No
Los datos protegidos son accesibles al firmar con contraseña de Windows en lugar de Windows Hello para empresas No No
Se puede acceder a los datos protegidos a través de la sesión de Escritorio remoto No No
Claves de descifrado usadas por cifrado de datos personales descartadas Después de que el usuario cierre la sesión de Windows Un minuto después de que la pantalla de bloqueo de Windows esté activa o después de que el usuario cierre la sesión de Windows

Accesibilidad del contenido protegido de Cifrado de datos personales

Cuando un archivo está protegido con cifrado de datos personales, su icono mostrará un candado. Si el usuario no ha iniciado sesión localmente con Windows Hello para empresas o un usuario no autorizado intenta acceder al contenido protegido de Cifrado de datos personales, se le denegará el acceso al contenido.

Entre los escenarios en los que se denegará a un usuario el acceso al contenido protegido de Cifrado de datos personales se incluyen:

  • El usuario ha iniciado sesión en Windows mediante una contraseña en lugar de iniciar sesión con Windows Hello para empresas biométrica o PIN
  • Si está protegido a través de la protección de nivel 2, cuando el dispositivo está bloqueado
  • Al intentar acceder al contenido del dispositivo de forma remota. Por ejemplo, rutas de acceso de red UNC
  • Sesiones de Escritorio remoto
  • Otros usuarios del dispositivo que no son propietarios del contenido, incluso si han iniciado sesión a través de Windows Hello para empresas y tienen permisos para navegar al contenido protegido de Cifrado de datos personales

Diferencias entre el cifrado de datos personales y BitLocker

El cifrado de datos personales está diseñado para funcionar junto con BitLocker. El cifrado de datos personales no es un reemplazo de BitLocker, ni BitLocker es un reemplazo de Cifrado de datos personales. El uso conjunto de ambas características proporciona una mejor seguridad que el uso de BitLocker o el cifrado de datos personales solo. Sin embargo, hay diferencias entre BitLocker y cifrado de datos personales y cómo funcionan. Estas diferencias son la razón por la que usarlos juntos ofrece una mejor seguridad.

Elemento Cifrado de datos personales BitLocker
Liberación de la clave de descifrado En el inicio de sesión del usuario a través de Windows Hello para empresas En el arranque
Claves de descifrado descartadas Cuando el usuario cierra sesión en Windows o un minuto después de activar la pantalla de bloqueo de Windows Al apagar
Contenido protegido Todos los archivos de carpetas protegidas Volumen o unidad completos
Autenticación para acceder al contenido protegido Windows Hello para empresas Cuando BitLocker con TPM + PIN está habilitado, el PIN de BitLocker y el inicio de sesión de Windows

Diferencias entre el cifrado de datos personales y EFS

La principal diferencia entre proteger archivos con cifrado de datos personales en lugar de EFS es el método que usan para proteger el archivo. El cifrado de datos personales usa Windows Hello para empresas para proteger las claves que protegen los archivos. EFS usa certificados para proteger y proteger los archivos.

Para ver si un archivo está protegido con cifrado de datos personales o con EFS:

  1. Abre las propiedades del archivo
  2. En la pestaña General, seleccione Opciones avanzadas...
  3. En las ventanas Atributos avanzados, seleccione Detalles.

En el caso de los archivos protegidos con cifrado de datos personales, en Estado de protección: habrá un elemento que aparezca como Cifrado de datos personales: y tendrá el atributo Activado.

En el caso de los archivos protegidos por EFS, en Usuarios que pueden acceder a este archivo:, habrá una huella digital de certificado junto a los usuarios con acceso al archivo. También habrá una sección en la parte inferior con la etiqueta Certificados de recuperación para este archivo tal y como se define en la directiva de recuperación:.

La información de cifrado, incluido el método de cifrado que se usa para proteger el archivo, se puede obtener con el cipher.exe /c comando .

Recomendaciones para usar el cifrado de datos personales

Las siguientes son recomendaciones para usar el cifrado de datos personales:

  • Habilite el cifrado de unidad bitlocker. Aunque el cifrado de datos personales funciona sin BitLocker, se recomienda habilitar BitLocker. El cifrado de datos personales está diseñado para funcionar junto con BitLocker para aumentar la seguridad en él no es un reemplazo de BitLocker.
  • Solución de copia de seguridad, como OneDrive en Microsoft 365. En determinados escenarios, como restablecimientos de TPM o restablecimientos de PIN destructivos, las claves usadas por El cifrado de datos personales para proteger el contenido se perderán, lo que hará que no se pueda acceder a cualquier contenido protegido. La única manera de recuperar este contenido es desde una copia de seguridad. Si los archivos se sincronizan con OneDrive, para recuperar el acceso debe volver a sincronizar OneDrive.
  • Windows Hello para empresas servicio de restablecimiento de PIN. Los restablecimientos de PIN destructivos harán que se pierdan las claves usadas por el cifrado de datos personales para proteger el contenido, lo que hará que no se pueda acceder a cualquier contenido protegido con cifrado de datos personales. Después de un restablecimiento de PIN destructivo, el contenido protegido con cifrado de datos personales debe recuperarse de una copia de seguridad. Por este motivo, se recomienda Windows Hello para empresas servicio de restablecimiento de PIN, ya que proporciona restablecimientos de PIN no destructivos.
  • Windows Hello seguridad de inicio de sesión mejorada ofrece seguridad adicional al autenticarse con Windows Hello para empresas a través de biometría o PIN

Aplicaciones de Windows que admiten el cifrado de datos personales

Algunas aplicaciones de Windows admiten el cifrado de datos personales de forma inmediata. Si el cifrado de datos personales está habilitado en un dispositivo, estas aplicaciones usarán el cifrado de datos personales:

Nombre de la aplicación Detalles
Correo Admite la protección tanto de los cuerpos de correo electrónico como de los datos adjuntos

Pasos siguientes