Шифрование личных данных
Начиная с Windows 11 версии 22H2 шифрование персональных данных — это функция безопасности, которая предоставляет возможности шифрования данных на основе файлов в Windows.
Шифрование персональных данных использует Windows Hello для бизнеса для связывания ключей шифрования данных с учетными данными пользователя. Когда пользователь входит на устройство с помощью Windows Hello для бизнеса, ключи расшифровки освобождаются, а зашифрованные данные становятся доступными пользователю.
Когда пользователь выходит из системы, ключи расшифровки удаляются, а данные недоступны, даже если другой пользователь входит в устройство.
Использование Windows Hello для бизнеса обеспечивает следующие преимущества:
- Это сокращает количество учетных данных для доступа к зашифрованным содержимому: пользователям нужно только войти с помощью Windows Hello для бизнеса
- Функции специальных возможностей, доступные при использовании Windows Hello для бизнеса распространяются на защищенное содержимое шифрования персональных данных
Шифрование персональных данных отличается от BitLocker тем, что шифрует файлы, а не целые тома и диски. Шифрование персональных данных выполняется в дополнение к другим методам шифрования, таким как BitLocker.
В отличие от BitLocker, который освобождает ключи шифрования данных при загрузке, шифрование персональных данных не освобождает ключи шифрования данных до тех пор, пока пользователь не войдет в систему с помощью Windows Hello для бизнеса.
Предварительные условия
Чтобы использовать шифрование персональных данных, необходимо выполнить следующие предварительные требования:
- Windows 11 версии 22H2 и более поздних
- Устройства должны быть Microsoft Entra присоединены или Microsoft Entra гибридным соединением. Устройства, присоединенные к домену, не поддерживаются
- Пользователи должны выполнить вход с помощью Windows Hello для бизнеса
Важно.
При входе с помощью пароля или ключа безопасности FIDO2 вы не сможете получить доступ к защищенному содержимому шифрования персональных данных.
Требования к выпуску и лицензированию Windows
В следующей таблице перечислены выпуски Windows, поддерживающие шифрование персональных данных (PDE):
| Windows Pro | Windows Корпоративная | Windows Pro для образовательных учреждений/SE | Windows для образовательных учреждений |
|---|---|---|---|
| Нет | Да | Нет | Да |
Лицензионные права на шифрование персональных данных (PDE) предоставляются следующими лицензиями:
| Windows Pro/Pro для образовательных учреждений/SE | Windows Корпоративная E3 | Windows Корпоративная E5 | Windows для образовательных учреждений A3 | Windows для образовательных учреждений A5 |
|---|---|---|---|---|
| Нет | Да | Да | Да | Да |
Дополнительные сведения о лицензировании Windows см. в статье Обзор лицензирования Windows.
Уровни защиты шифрования персональных данных
Шифрование персональных данных использует AES-CBC с 256-разрядным ключом для защиты содержимого и обеспечивает два уровня защиты. Уровень защиты определяется в зависимости от потребностей организации. Эти уровни можно задать с помощью API шифрования персональных данных.
| Элемент | Уровень 1 | Уровень 2 |
|---|---|---|
| Защищенные данные, доступные при входе пользователя через Windows Hello для бизнеса | Да | Да |
| Защищенные данные доступны на экране блокировки Windows | Да | Данные доступны в течение одной минуты после блокировки, а затем недоступны |
| Защищенные данные становятся доступными после выхода пользователя из Windows | Нет | Нет |
| Защищенные данные доступны при завершении работы устройства | Нет | Нет |
| Защищенные данные доступны через UNC-пути | Нет | Нет |
| Защищенные данные доступны при подписи с помощью пароля Windows, а не Windows Hello для бизнеса | Нет | Нет |
| Защищенные данные доступны через сеанс удаленного рабочего стола | Нет | Нет |
| Ключи расшифровки, используемые шифрованием персональных данных, отменены | После выхода пользователя из Windows | Через минуту после включения экрана блокировки Windows или после выхода пользователя из Windows |
Специальные возможности защищенного содержимого для шифрования персональных данных
Если файл защищен с помощью шифрования персональных данных, на его значке будет отображаться замок. Если пользователь не вошел в систему локально с помощью Windows Hello для бизнеса или несанкционированный пользователь пытается получить доступ к защищенному содержимому шифрования персональных данных, ему будет отказано в доступе к содержимому.
Сценарии, в которых пользователю будет отказано в доступе к защищенному содержимому шифрования персональных данных:
- Пользователь вошел в Windows с помощью пароля вместо входа с использованием Windows Hello для бизнеса биометрических данных или ПИН-кода.
- Если устройство защищено с помощью защиты уровня 2, когда устройство заблокировано
- При попытке удаленного доступа к содержимому на устройстве. Например, сетевые пути UNC
- Сеансы удаленного рабочего стола
- Другие пользователи на устройстве, которые не являются владельцами содержимого, даже если они вошли в систему с помощью Windows Hello для бизнеса и имеют разрешения на переход к защищенному содержимому шифрования персональных данных.
Различия между шифрованием персональных данных и BitLocker
Шифрование персональных данных предназначено для работы вместе с BitLocker. Шифрование персональных данных не является заменой BitLocker и не является заменой шифрования персональных данных. Совместное использование обеих функций обеспечивает более эффективную безопасность по сравнению с использованием BitLocker или шифрования персональных данных. Однако существуют различия между BitLocker и шифрованием персональных данных и их работой. Эти различия объясняют, почему их совместное использование обеспечивает лучшую безопасность.
| Элемент | Шифрование личных данных | BitLocker |
|---|---|---|
| Выпуск ключа расшифровки | При входе пользователя через Windows Hello для бизнеса | При загрузке |
| Ключи расшифровки отброшены | При выходе пользователя из Windows или через минуту после включения экрана блокировки Windows | При завершении работы |
| Защищенное содержимое | Все файлы в защищенных папках | Весь том или диск |
| Проверка подлинности для доступа к защищенному содержимому | Windows Hello для бизнеса | Если включен BitLocker с доверенным платформенным модулем и ПИН-кодом, ПИН-код BitLocker и вход в Windows |
Различия между шифрованием персональных данных и EFS
Main разница между защитой файлов с помощью шифрования персональных данных вместо EFS заключается в том, что они используют для защиты файла. Шифрование персональных данных использует Windows Hello для бизнеса для защиты ключей, которые защищают файлы. EFS использует сертификаты для защиты файлов.
Чтобы узнать, защищен ли файл с помощью шифрования персональных данных или EFS:
- Откройте свойства файла
- На вкладке Общие выберите Дополнительно….
- В окне Дополнительные атрибуты выберите Сведения.
Для защищенных файлов шифрования персональных данных в разделе Состояние защиты : в списке будет указан элемент Шифрование персональных данных: и он будет иметь атрибут On.
Для файлов, защищенных EFS, в разделе Пользователи, которые могут получить доступ к этому файлу: рядом с пользователями, имеющими доступ к файлу, есть Отпечаток сертификата. Внизу также есть раздел с надписью Сертификаты восстановления для этого файла, как определено политикой восстановления:.
Сведения о шифровании, включая метод шифрования, используемый для защиты файла, можно получить с помощью cipher.exe /c команды .
Рекомендации по использованию шифрования персональных данных
Ниже приведены рекомендации по использованию шифрования персональных данных.
- Включите шифрование диска BitLocker. Хотя шифрование персональных данных работает без BitLocker, рекомендуется включить BitLocker. Шифрование персональных данных предназначено для работы вместе с BitLocker для повышения безопасности, так как оно не является заменой BitLocker
- Решение для резервного копирования, например OneDrive в Microsoft 365. В некоторых сценариях, таких как сброс доверенного платформенного модуля или деструктивные сбросы ПИН-кода, ключи, используемые шифрованием персональных данных для защиты содержимого, будут потеряны, что делает любое защищенное содержимое недоступным. Единственный способ восстановить такое содержимое — из резервной копии. Если файлы синхронизированы с OneDrive, чтобы восстановить доступ, необходимо повторно синхронизировать OneDrive.
- Windows Hello для бизнеса службы сброса ПИН-кода. Деструктивный сброс ПИН-кода приведет к потере ключей, используемых шифрованием персональных данных для защиты содержимого, что делает любое содержимое, защищенное с помощью шифрования персональных данных, недоступным. После разрушительного сброса ПИН-кода содержимое, защищенное с помощью шифрования персональных данных, должно быть восстановлено из резервной копии. По этой причине рекомендуется Windows Hello для бизнеса службу сброса ПИН-кода, так как она обеспечивает неразрушающий сброс ПИН-кода.
- Windows Hello расширенная безопасность входа обеспечивает дополнительную безопасность при проверке подлинности с помощью Windows Hello для бизнеса с помощью биометрии или ПИН-кода.
Приложения Windows из коробки, поддерживающие шифрование персональных данных
Некоторые приложения Windows поддерживают шифрование персональных данных в коробке. Если на устройстве включено шифрование персональных данных, эти приложения будут использовать шифрование персональных данных:
| Имя приложения | Сведения |
|---|---|
| Поддерживает защиту текста электронной почты и вложений |
Дальнейшие действия
- Сведения о доступных параметрах для настройки шифрования персональных данных и их настройке с помощью Microsoft Intune или поставщика служб конфигурации (CSP): параметры и конфигурация шифрования персональных данных
- Ознакомьтесь с часто задаваемыми вопросами о шифровании персональных данных