Criptografia de dados
A partir do Windows 11, versão 22H2, a Encriptação de Dados Pessoais é uma funcionalidade de segurança que fornece capacidades de encriptação de dados baseadas em ficheiros ao Windows.
A Encriptação de Dados Pessoais utiliza Windows Hello para Empresas para ligar chaves de encriptação de dados com credenciais de utilizador. Quando um utilizador inicia sessão num dispositivo com Windows Hello para Empresas, as chaves de desencriptação são libertadas e os dados encriptados são acessíveis ao utilizador.
Quando um utilizador termina sessão, as chaves de desencriptação são eliminadas e os dados ficam inacessíveis, mesmo que outro utilizador inicie sessão no dispositivo.
A utilização de Windows Hello para Empresas oferece as seguintes vantagens:
- Reduz o número de credenciais para aceder a conteúdos encriptados: os utilizadores só precisam de iniciar sessão com Windows Hello para Empresas
- As funcionalidades de acessibilidade disponíveis ao utilizar Windows Hello para Empresas expandir para conteúdo protegido por Encriptação de Dados Pessoais
A Encriptação de Dados Pessoais difere do BitLocker, na qual encripta ficheiros em vez de volumes e discos inteiros. A Encriptação de Dados Pessoais ocorre além de outros métodos de encriptação, como o BitLocker.
Ao contrário do BitLocker que liberta chaves de encriptação de dados no arranque, a Encriptação de Dados Pessoais não liberta chaves de encriptação de dados até que um utilizador inicie sessão com Windows Hello para Empresas.
Pré-requisitos
Para utilizar a Encriptação de Dados Pessoais, têm de ser cumpridos os seguintes pré-requisitos:
- Windows 11, versão 22H2 e posterior
- Os dispositivos têm de estar Microsoft Entra associados ou Microsoft Entra associados híbridos. Os dispositivos associados a um domínio não são suportados
- Os utilizadores têm de iniciar sessão com Windows Hello para Empresas
Importante
Se iniciar sessão com uma palavra-passe ou uma chave de segurança FIDO2, não poderá aceder a conteúdo protegido por Encriptação de Dados Pessoais.
Edição do Windows e requisitos de licenciamento
A tabela a seguir lista as edições do Windows que compatíveis com a Criptografia de dados pessoais (PDE):
| Windows Pro | Windows Enterprise | Windows Pro Education/SE | Educação do Windows |
|---|---|---|---|
| Não | Sim | Não | Sim |
Os direitos de licença de criptografia de dados pessoais (PDE) são concedidos pelas seguintes licenças:
| Windows Pro/Pro Education/SE | Windows Enterprise E3 | Windows Enterprise E5 | Windows Education A3 | Windows Educação A5 |
|---|---|---|---|---|
| Não | Sim | Sim | Sim | Sim |
Para obter mais informações sobre o licenciamento do Windows, consulte Visão geral do licenciamento do Windows.
Níveis de proteção da Encriptação de Dados Pessoais
A Encriptação de Dados Pessoais utiliza AES-CBC com uma chave de 256 bits para proteger conteúdo e oferece dois níveis de proteção. O nível de proteção é determinado com base nas necessidades organizacionais. Estes níveis podem ser definidos através das APIs de Encriptação de Dados Pessoais.
| Item | Nível 1 | Nível 2 |
|---|---|---|
| Dados protegidos acessíveis quando o utilizador tiver sessão iniciada através do Windows Hello para Empresas | Sim | Sim |
| Os dados protegidos estão acessíveis no ecrã de bloqueio do Windows | Sim | Os dados podem ser acessados por um minuto após o bloqueio e, em seguida, não estão mais disponíveis |
| Os dados protegidos são acessíveis depois de o utilizador sair do Windows | Não | Não |
| Os dados protegidos são acessíveis quando o dispositivo é encerrado | Não | Não |
| Os dados protegidos são acessíveis através de caminhos UNC | Não | Não |
| Os dados protegidos são acessíveis ao iniciar sessão com a palavra-passe do Windows em vez de Windows Hello para Empresas | Não | Não |
| Os dados protegidos estão acessíveis através da sessão de Ambiente de Trabalho Remoto | Não | Não |
| Chaves de desencriptação utilizadas pela Encriptação de Dados Pessoais eliminadas | Depois que o usuário sair do Windows | Um minuto após a tela de bloqueio do Windows ser ativada ou depois que o usuário sair do Windows |
Acessibilidade de conteúdo protegido da Encriptação de Dados Pessoais
Quando um ficheiro está protegido com a Encriptação de Dados Pessoais, o respetivo ícone mostrará um cadeado. Se o utilizador não tiver iniciado sessão localmente com Windows Hello para Empresas ou um utilizador não autorizado tentar aceder a conteúdos protegidos por Encriptação de Dados Pessoais, será-lhe negado o acesso ao conteúdo.
Os cenários em que um utilizador terá acesso negado ao conteúdo protegido da Encriptação de Dados Pessoais incluem:
- O utilizador iniciou sessão no Windows através de uma palavra-passe em vez de iniciar sessão com Windows Hello para Empresas biometria ou PIN
- Se estiver protegido através da proteção de nível 2, quando o dispositivo estiver bloqueado
- Ao tentar acessar o conteúdo no dispositivo remotamente. Por exemplo, caminhos de rede UNC
- Sessões de Ambiente de Trabalho Remoto
- Outros utilizadores no dispositivo que não são proprietários do conteúdo, mesmo que tenham sessão iniciada através de Windows Hello para Empresas e tenham permissões para navegar para o conteúdo protegido da Encriptação de Dados Pessoais
Diferenças entre a Encriptação de Dados Pessoais e o BitLocker
A Encriptação de Dados Pessoais destina-se a funcionar juntamente com o BitLocker. A Encriptação de Dados Pessoais não substitui o BitLocker, nem o BitLocker substitui a Encriptação de Dados Pessoais. A utilização de ambas as funcionalidades em conjunto proporciona uma melhor segurança do que utilizar apenas o BitLocker ou a Encriptação de Dados Pessoais. No entanto, existem diferenças entre o BitLocker e a Encriptação de Dados Pessoais e como funcionam. Essas diferenças são o motivo pelo qual usá-los em conjunto oferece melhor segurança.
| Item | Criptografia de dados | BitLocker |
|---|---|---|
| Liberação da chave de descriptografia | Na entrada do usuário por meio do Windows Hello para Empresas | Na inicialização |
| Chaves de descriptografia descartadas | Quando o usuário sai do Windows ou um minuto depois que a tela de bloqueio do Windows é ativada | No encerramento |
| Conteúdo protegido | Todos os ficheiros em pastas protegidas | Volume ou unidade inteiro |
| Autenticação para acessar conteúdo protegido | Windows Hello para Empresas | Quando o BitLocker com TPM + PIN está habilitado, o PIN do BitLocker mais a entrada do Windows |
Diferenças entre a Encriptação de Dados Pessoais e o EFS
A diferença main entre proteger ficheiros com a Encriptação de Dados Pessoais em vez do EFS é o método que utilizam para proteger o ficheiro. A Encriptação de Dados Pessoais utiliza Windows Hello para Empresas para proteger as chaves que protegem os ficheiros. O EFS usa certificados para proteger e proteger os arquivos.
Para ver se um ficheiro está protegido com a Encriptação de Dados Pessoais ou com o EFS:
- Abrir as propriedades do arquivo
- Na guia Geral, selecione Avançado...
- Nas janelas Atributos Avançados, selecione Detalhes
Para ficheiros protegidos por Encriptação de Dados Pessoais, em Proteção status: haverá um item listado como Encriptação de Dados Pessoais: e terá o atributo Ativado.
Para arquivos protegidos por EFS, em Usuários que podem acessar este arquivo:, haverá uma Impressão digital do Certificado ao lado dos usuários com acesso ao arquivo. Também haverá uma seção na parte inferior rotulada Certificados de recuperação para esse arquivo, conforme definido pela política de recuperação:.
As informações de encriptação, incluindo o método de encriptação que está a ser utilizado para proteger o ficheiro, podem ser obtidas com o cipher.exe /c comando .
Recomendações para utilizar a Encriptação de Dados Pessoais
Seguem-se recomendações para utilizar a Encriptação de Dados Pessoais:
- Ative a Encriptação de Unidade BitLocker. Embora a Encriptação de Dados Pessoais funcione sem o BitLocker, recomenda-se que ative o BitLocker. A Encriptação de Dados Pessoais destina-se a trabalhar em conjunto com o BitLocker para maior segurança, uma vez que não substitui o BitLocker
- Solução de cópia de segurança, como o OneDrive no Microsoft 365. Em determinados cenários, como reposições de TPM ou reposições destrutivas do PIN, as chaves utilizadas pela Encriptação de Dados Pessoais para proteger o conteúdo serão perdidas, tornando qualquer conteúdo protegido inacessível. A única forma de recuperar esses conteúdos é através de uma cópia de segurança. Se os ficheiros estiverem sincronizados com o OneDrive, para recuperar o acesso, tem de voltar a sincronizar o OneDrive
- Windows Hello para Empresas serviço de reposição de PIN. As reposições destrutivas do PIN farão com que as chaves utilizadas pela Encriptação de Dados Pessoais protejam o conteúdo, tornando inacessível qualquer conteúdo protegido com a Encriptação de Dados Pessoais. Após uma reposição destrutiva do PIN, o conteúdo protegido com a Encriptação de Dados Pessoais tem de ser recuperado a partir de uma cópia de segurança. Por este motivo, Windows Hello para Empresas serviço de reposição de PIN é recomendado, uma vez que fornece reposições de PIN não destrutivas
- Windows Hello Segurança avançada de Início de Sessão oferece segurança adicional ao autenticar com Windows Hello para Empresas através de biometria ou PIN
Aplicações de configuração inicial do Windows que suportam a Encriptação de Dados Pessoais
Determinadas aplicações do Windows suportam a Encriptação de Dados Pessoais. Se a Encriptação de Dados Pessoais estiver ativada num dispositivo, estas aplicações utilizarão a Encriptação de Dados Pessoais:
| Nome do aplicativo | Detalhes |
|---|---|
| Dá suporte à proteção de corpos de email e anexos |
Próximas etapas
- Saiba mais sobre as opções disponíveis para configurar a Encriptação de Dados Pessoais e como configurá-las através de Microsoft Intune ou do Fornecedor de Serviços de configuração (CSP): configuração e definições de Encriptação de Dados Pessoais
- Veja as FAQ sobre a Encriptação de Dados Pessoais