Compartilhar via


Descrição geral da Encriptação de Dados Pessoais

A Encriptação de Dados Pessoais é uma funcionalidade de segurança que fornece capacidades de encriptação de dados baseadas em ficheiros ao Windows. Utiliza Windows Hello para Empresas para ligar chaves de encriptação de dados com credenciais de utilizador. Quando um utilizador inicia sessão num dispositivo com Windows Hello, as chaves de desencriptação são libertadas e os dados encriptados ficam acessíveis ao utilizador. Por outro lado, quando um utilizador termina sessão, as chaves de desencriptação são eliminadas, o que torna os dados inacessíveis mesmo que outro utilizador inicie sessão no dispositivo. Isto garante que as informações confidenciais permanecem sempre protegidas.

Os benefícios da Encriptação de Dados Pessoais são significativos. Ao reduzir o número de credenciais necessárias para aceder a conteúdos encriptados, os utilizadores só precisam de iniciar sessão com Windows Hello. Além disso, as funcionalidades de acessibilidade disponíveis com Windows Hello expandir para conteúdo protegido por Encriptação de Dados Pessoais.

Ao contrário do BitLocker, que encripta volumes e discos inteiros, a Encriptação de Dados Pessoais concentra-se em ficheiros individuais, proporcionando outra camada de segurança. Esta funcionalidade não só melhora a proteção de dados, como também mostra um forte compromisso em salvaguardar as informações pessoais.

Encriptação de Dados Pessoais para pastas conhecidas

A partir do Windows 11, versão 24H2, a Encriptação de Dados Pessoais é melhorada com a Encriptação de Dados Pessoais para pastas conhecidas. Depois de ativadas, as pastas Ambiente de Trabalho, Documentos e Imagens do Windows, juntamente com os respetivos conteúdos, são encriptadas automaticamente. Esta funcionalidade fornece uma forma rápida e fácil de adicionar uma camada adicional de segurança a pastas frequentemente utilizadas.

Ícones das pastas conhecidas com um cadeado que representa os respetivos status de encriptação.

Pré-requisitos

Para utilizar a Encriptação de Dados Pessoais, têm de ser cumpridos os seguintes pré-requisitos:

  • Windows 11, versão 22H2 e posterior
    • A Encriptação de Dados Pessoais para pastas conhecidas só está disponível no Windows 11, versão 24H2 e posterior
  • Os dispositivos têm de estar Microsoft Entra associados ou Microsoft Entra associados híbridos. Os dispositivos associados a um domínio não são suportados
  • Os utilizadores têm de iniciar sessão com Windows Hello

Importante

Se iniciar sessão com uma palavra-passe ou uma chave de segurança FIDO2, não poderá aceder a conteúdo protegido por Encriptação de Dados Pessoais.

Edição do Windows e requisitos de licenciamento

A tabela seguinte lista as edições do Windows que suportam a Encriptação de Dados Pessoais:

Windows Pro Windows Enterprise Windows Pro Education/SE Educação do Windows
Não Sim Não Sim

As licenças de Encriptação de Dados Pessoais são concedidas pelas seguintes licenças:

Windows Pro/Pro Education/SE Windows Enterprise E3 Windows Enterprise E5 Windows Education A3 Windows Educação A5
Não Sim Sim Sim Sim

Para obter mais informações sobre o licenciamento do Windows, consulte Visão geral do licenciamento do Windows.

Níveis de proteção da Encriptação de Dados Pessoais

A Encriptação de Dados Pessoais utiliza AES-CBC com uma chave de 256 bits para proteger conteúdo e oferece dois níveis de proteção. O nível de proteção é determinado com base nas necessidades organizacionais. Estes níveis podem ser definidos através das APIs de Encriptação de Dados Pessoais.

Item Nível 1 Nível 2
Dados protegidos acessíveis quando o utilizador inicia sessão através de Windows Hello Sim Sim
Os dados protegidos estão acessíveis no ecrã de bloqueio do Windows Sim Os dados podem ser acessados por um minuto após o bloqueio e, em seguida, não estão mais disponíveis
Os dados protegidos são acessíveis depois de o utilizador sair do Windows Não Não
Os dados protegidos são acessíveis quando o dispositivo é encerrado Não Não
Os dados protegidos são acessíveis através de caminhos UNC Não Não
Os dados protegidos são acessíveis ao iniciar sessão com a palavra-passe do Windows em vez de Windows Hello Não Não
Os dados protegidos estão acessíveis através da sessão de Ambiente de Trabalho Remoto Não Não
Chaves de desencriptação utilizadas pela Encriptação de Dados Pessoais eliminadas Depois que o usuário sair do Windows Um minuto após a tela de bloqueio do Windows ser ativada ou depois que o usuário sair do Windows

Acessibilidade de conteúdo protegido da Encriptação de Dados Pessoais

Quando um ficheiro está protegido com Encriptação de Dados Pessoais, o ícone mostra um cadeado. Se o utilizador não tiver sessão iniciada localmente com Windows Hello ou se um utilizador não autorizado tentar aceder a conteúdos protegidos, é-lhe negado o acesso.

Os cenários em que um utilizador não tem acesso a conteúdo protegido por Encriptação de Dados Pessoais incluem:

  • O utilizador inicia sessão com uma palavra-passe em vez de utilizar Windows Hello (biometria ou PIN)
  • Se estiver protegido através da proteção de nível 2, quando o dispositivo estiver bloqueado
  • Ao tentar acessar o conteúdo no dispositivo remotamente. Por exemplo, caminhos de rede UNC
  • Sessões de Ambiente de Trabalho Remoto
  • Outros utilizadores no dispositivo que não são proprietários do conteúdo, mesmo que tenham sessão iniciada através de Windows Hello e tenham permissões para navegar para o conteúdo protegido da Encriptação de Dados Pessoais

Diferenças entre a Encriptação de Dados Pessoais e o BitLocker

A Encriptação de Dados Pessoais destina-se a funcionar juntamente com o BitLocker. A Encriptação de Dados Pessoais não substitui o BitLocker, nem o BitLocker substitui a Encriptação de Dados Pessoais. A utilização de ambas as funcionalidades em conjunto proporciona uma melhor segurança do que utilizar apenas o BitLocker ou a Encriptação de Dados Pessoais. No entanto, existem diferenças entre o BitLocker e a Encriptação de Dados Pessoais e como funcionam. Essas diferenças são o motivo pelo qual usá-los em conjunto oferece melhor segurança.

Criptografia de dados BitLocker
Liberação da chave de descriptografia No início de sessão do utilizador através do Windows Hello Na inicialização
Chaves de descriptografia descartadas Quando o usuário sai do Windows ou um minuto depois que a tela de bloqueio do Windows é ativada No encerramento
Conteúdo protegido Todos os ficheiros em pastas protegidas Volume ou unidade inteiro
Autenticação para acessar conteúdo protegido Windows Hello para Empresas Quando o BitLocker com TPM + PIN está habilitado, o PIN do BitLocker mais a entrada do Windows

Diferenças entre a Encriptação de Dados Pessoais e o EFS

A diferença main entre proteger ficheiros com a Encriptação de Dados Pessoais em vez do EFS é o método que utilizam para proteger o ficheiro. A Encriptação de Dados Pessoais utiliza Windows Hello para Empresas para proteger as chaves que protegem os ficheiros. O EFS usa certificados para proteger e proteger os arquivos.

Para ver se um ficheiro está protegido com a Encriptação de Dados Pessoais ou com o EFS:

  1. Abrir as propriedades do arquivo
  2. Na guia Geral, selecione Avançado...
  3. Nas janelas Atributos Avançados, selecione Detalhes

Para ficheiros protegidos por Encriptação de Dados Pessoais, em Proteção status: existe um item listado como Encriptação de Dados Pessoais: Ativado.

Para ficheiros protegidos por EFS, em Utilizadores que podem aceder a este ficheiro:, existe um thumbprint de Certificado junto aos utilizadores com acesso ao ficheiro. Também existe uma secção com o nome Certificados de recuperação para este ficheiro, conforme definido pela política de recuperação:.

As informações de encriptação, incluindo o método de encriptação que está a ser utilizado para proteger o ficheiro, podem ser obtidas com o cipher.exe /c comando .

Recomendações para utilizar a Encriptação de Dados Pessoais

Seguem-se recomendações para utilizar a Encriptação de Dados Pessoais:

  • Ative a Encriptação de Unidade BitLocker. Embora a Encriptação de Dados Pessoais funcione sem o BitLocker, recomenda-se que ative o BitLocker. A Encriptação de Dados Pessoais destina-se a trabalhar em conjunto com o BitLocker para maior segurança, uma vez que não substitui o BitLocker
  • Solução de cópia de segurança, como o OneDrive no Microsoft 365. Em determinados cenários, como reposições de TPM ou reposições destrutivas do PIN, as chaves utilizadas pela Encriptação de Dados Pessoais para proteger o conteúdo serão perdidas, tornando qualquer conteúdo protegido inacessível. A única forma de recuperar esses conteúdos é através de uma cópia de segurança. Se os ficheiros estiverem sincronizados com o OneDrive, para recuperar o acesso, tem de ressincronizar o OneDrive
  • Windows Hello para Empresas serviço de reposição de PIN. A reposição destrutiva do PIN faz com que as chaves utilizadas pela Encriptação de Dados Pessoais protejam o conteúdo, tornando os conteúdos protegidos com a Encriptação de Dados Pessoais inacessíveis. Após uma reposição destrutiva do PIN, o conteúdo protegido com a Encriptação de Dados Pessoais tem de ser recuperado a partir de uma cópia de segurança. Por este motivo, Windows Hello para Empresas serviço de reposição de PIN é recomendado, uma vez que fornece reposições de PIN não estruturativas
  • Windows Hello Segurança avançada de Início de Sessão oferece mais segurança ao autenticar com Windows Hello através de biometria ou PIN

Próximas etapas