Panoramica della crittografia dei dati personali
Personal Data Encryption è una funzionalità di sicurezza che fornisce funzionalità di crittografia dei dati basate su file a Windows. Usa Windows Hello for Business per collegare le chiavi di crittografia dei dati con le credenziali utente. Quando un utente accede a un dispositivo usando Windows Hello, le chiavi di decrittografia vengono rilasciate e i dati crittografati diventano accessibili all'utente. Al contrario, quando un utente si disconnette, le chiavi di decrittografia vengono rimosse, rendendo i dati inaccessibili anche se un altro utente accede al dispositivo. In questo modo si garantisce che le informazioni sensibili rimangano sempre protette.
I vantaggi della crittografia dei dati personali sono significativi. Riducendo il numero di credenziali necessarie per accedere al contenuto crittografato, gli utenti devono accedere solo con Windows Hello. Inoltre, le funzionalità di accessibilità disponibili con Windows Hello si estendono al contenuto protetto di Crittografia dati personali.
A differenza di BitLocker, che crittografa interi volumi e dischi, Personal Data Encryption si concentra sui singoli file, offrendo un altro livello di sicurezza. Questa funzionalità non solo migliora la protezione dei dati, ma mostra anche un forte impegno per la protezione delle informazioni personali.
Crittografia dei dati personali per le cartelle note
A partire da Windows 11 versione 24H2, Personal Data Encryption viene ulteriormente migliorato con Personal Data Encryption per le cartelle note. Una volta abilitate, le cartelle di Windows Desktop, Documenti e Immagini, insieme al relativo contenuto, vengono crittografate automaticamente. Questa funzionalità offre un modo semplice e rapido per aggiungere un ulteriore livello di sicurezza alle cartelle di uso comune.
Prerequisiti
Per usare Personal Data Encryption, è necessario soddisfare i prerequisiti seguenti:
- Windows 11 versione 22H2 e successive
- Crittografia dati personali per le cartelle note è disponibile solo in Windows 11 versione 24H2 e successive
- I dispositivi devono essere Microsoft Entra aggiunti o Microsoft Entra aggiunti ibridi. I dispositivi aggiunti a un dominio non sono supportati
- Gli utenti devono accedere usando Windows Hello
Importante
Se si accede con una password o una chiave di sicurezza FIDO2, non è possibile accedere al contenuto protetto di Crittografia dati personali.
Requisiti di licenza ed edizione di Windows
Nella tabella seguente sono elencate le edizioni di Windows che supportano La crittografia dei dati personali:
| Windows Pro | Windows Enterprise | Windows Pro Education/SE | Windows Education |
|---|---|---|---|
| No | Sì | No | Sì |
I diritti di licenza di Crittografia dati personali sono concessi dalle licenze seguenti:
| Windows Pro/Pro Education/SE | Windows Enterprise E3 | Windows Enterprise E5 | Windows Education A3 | Windows Education A5 |
|---|---|---|---|---|
| No | Sì | Sì | Sì | Sì |
Per ulteriori informazioni sulle licenze di Windows, vedi Panoramica delle licenze di Windows.
Livelli di protezione della crittografia dei dati personali
Personal Data Encryption usa AES-CBC con una chiave a 256 bit per proteggere il contenuto e offre due livelli di protezione. Il livello di protezione è determinato in base alle esigenze dell'organizzazione. Questi livelli possono essere impostati tramite le API di crittografia dei dati personali.
| Item | Livello 1 | Livello 2 |
|---|---|---|
| Dati protetti accessibili quando l'utente accede tramite Windows Hello | Sì | Sì |
| I dati protetti sono accessibili nella schermata di blocco di Windows | Sì | I dati sono accessibili per un minuto dopo il blocco, quindi non sono più disponibili |
| I dati protetti sono accessibili dopo che l'utente si disconnette da Windows | No | No |
| I dati protetti sono accessibili quando il dispositivo viene arrestato | No | No |
| I dati protetti sono accessibili tramite percorsi UNC | No | No |
| I dati protetti sono accessibili quando si firma con la password di Windows anziché con Windows Hello | No | No |
| I dati protetti sono accessibili tramite la sessione desktop remoto | No | No |
| Chiavi di decrittografia usate dalla crittografia dei dati personali ignorate | Dopo che l'utente si disconnette da Windows | Un minuto dopo l'attivazione della schermata di blocco di Windows o dopo che l'utente si disconnette da Windows |
Accessibilità del contenuto protetto di Personal Data Encryption
Quando un file è protetto con Crittografia dati personali, la relativa icona mostra un lucchetto. Se l'utente non ha eseguito l'accesso in locale con Windows Hello o un utente non autorizzato tenta di accedere al contenuto protetto, gli viene negato l'accesso.
Gli scenari in cui a un utente viene negato l'accesso al contenuto protetto di Crittografia dati personali includono:
- L'utente accede con una password invece di usare Windows Hello (biometrica o PIN)
- Se protetto tramite protezione di livello 2, quando il dispositivo è bloccato
- Quando si prova ad accedere al contenuto nel dispositivo in remoto. Ad esempio, i percorsi di rete UNC
- Sessioni desktop remoto
- Altri utenti nel dispositivo che non sono proprietari del contenuto, anche se hanno eseguito l'accesso tramite Windows Hello e hanno le autorizzazioni per passare al contenuto protetto di Crittografia dati personali
Differenze tra Personal Data Encryption e BitLocker
Personal Data Encryption è progettato per funzionare insieme a BitLocker. Personal Data Encryption non sostituisce BitLocker, né BitLocker è un sostituto di Personal Data Encryption. L'uso di entrambe le funzionalità offre una sicurezza migliore rispetto all'uso di BitLocker o della crittografia dei dati personali da solo. Esistono tuttavia differenze tra BitLocker e Personal Data Encryption e il loro funzionamento. Queste differenze sono il motivo per cui l'uso combinato offre una maggiore sicurezza.
| Crittografia dei dati personali | BitLocker | |
|---|---|---|
| Rilascio della chiave di decrittografia | All'accesso utente tramite Windows Hello | All'avvio |
| Chiavi di decrittografia eliminate | Quando l'utente si disconnette da Windows o un minuto dopo l'attivazione della schermata di blocco di Windows | Al momento dell'arresto |
| Contenuto protetto | Tutti i file in cartelle protette | Intero volume/unità |
| Autenticazione per accedere al contenuto protetto | Windows Hello for Business | Quando BitLocker con TPM + PIN è abilitato, il PIN di BitLocker più l'accesso a Windows |
Differenze tra Crittografia dati personali ed EFS
La differenza principale tra la protezione dei file con Personal Data Encryption anziché EFS è il metodo usato per proteggere il file. Personal Data Encryption usa Windows Hello for Business per proteggere le chiavi che proteggono i file. EFS usa i certificati per proteggere i file.
Per verificare se un file è protetto con Personal Data Encryption o con EFS:
- Aprire le proprietà del file
- Nella scheda Generale selezionare Avanzate
- Nelle finestre Attributi avanzati selezionare Dettagli
Per i file protetti da Crittografia dati personali, in Stato protezione è presente un elemento elencato come Crittografia dati personali: Attivato.
Per i file protetti da EFS, in Utenti che possono accedere a questo file: è presente un'identificazione personale del certificato accanto agli utenti con accesso al file. Esiste anche una sezione denominata Certificati di ripristino per questo file come definito dai criteri di ripristino:.
Le informazioni di crittografia, incluso il metodo di crittografia usato per proteggere il file, possono essere ottenute con il cipher.exe /c comando .
Consigli per l'uso della crittografia dei dati personali
Di seguito sono riportati i consigli per l'uso della crittografia dei dati personali:
- Abilitare Crittografia unità BitLocker. Anche se Crittografia dati personali funziona senza BitLocker, è consigliabile abilitare BitLocker. Personal Data Encryption è progettato per funzionare insieme a BitLocker per una maggiore sicurezza in quanto non è un sostituto di BitLocker
- Soluzione di backup, ad esempio OneDrive in Microsoft 365. In alcuni scenari, ad esempio la reimpostazione del TPM o la reimpostazione distruttiva del PIN, le chiavi usate da Personal Data Encryption per proteggere il contenuto andranno perse rendendo inaccessibile qualsiasi contenuto protetto. L'unico modo per ripristinare tale contenuto è da un backup. Se i file sono sincronizzati con OneDrive, per ottenere nuovamente l'accesso è necessario risincronizzare OneDrive
- Windows Hello for Business servizio di reimpostazione del PIN. La reimpostazione distruttiva del PIN fa sì che le chiavi usate da Personal Data Encryption per proteggere il contenuto vadano perse, rendendo inaccessibile qualsiasi contenuto protetto con Crittografia dati personali. Dopo una reimpostazione distruttiva del PIN, il contenuto protetto con Personal Data Encryption deve essere recuperato da un backup. Per questo motivo, è consigliabile Windows Hello for Business servizio di reimpostazione del PIN, in quanto fornisce reimpostazioni PIN non distruttive
- Windows Hello sicurezza avanzata per l'accesso offre maggiore sicurezza durante l'autenticazione con Windows Hello tramite biometrica o PIN
Passaggi successivi
- Informazioni sulle opzioni disponibili per configurare la crittografia dei dati personali e su come configurarle tramite Microsoft Intune o provider di servizi di configurazione: impostazioni e configurazione di Crittografia dati personali
- Esaminare le domande frequenti sulla crittografia dei dati personali