Общие сведения о шифровании персональных данных
Шифрование персональных данных — это функция безопасности, которая предоставляет возможности шифрования данных на основе файлов в Windows. Он использует Windows Hello для бизнеса для связывания ключей шифрования данных с учетными данными пользователя. Когда пользователь входит на устройство с помощью Windows Hello, ключи расшифровки освобождаются, а зашифрованные данные становятся доступными для пользователя. И наоборот, при выходе пользователя ключи расшифровки удаляются, что делает данные недоступными, даже если другой пользователь входит в устройство. Это гарантирует, что конфиденциальная информация всегда будет защищена.
Преимущества шифрования персональных данных являются значительными. Благодаря уменьшению количества учетных данных, необходимых для доступа к зашифрованным содержимому, пользователям нужно будет выполнять вход только с помощью Windows Hello. Кроме того, функции специальных возможностей, доступные в Windows Hello, распространяются на защищенное содержимое шифрования персональных данных.
В отличие от BitLocker, который шифрует целые тома и диски, шифрование персональных данных фокусируется на отдельных файлах, обеспечивая еще один уровень безопасности. Эта функция не только повышает уровень защиты данных, но и демонстрирует твердую приверженность защите персональных данных.
Шифрование персональных данных для известных папок
Начиная с Windows 11 версии 24H2 шифрование персональных данных дополнительно расширено с помощью шифрования персональных данных для известных папок. После включения папки Windows "Рабочий стол", "Документы" и "Рисунки" и их содержимое автоматически шифруются. Эта функция позволяет быстро и просто добавить дополнительный уровень безопасности в часто используемые папки.
Предварительные условия
Чтобы использовать шифрование персональных данных, необходимо выполнить следующие предварительные требования:
- Windows 11 версии 22H2 и более поздних
- Шифрование персональных данных для известных папок доступно только в Windows 11 версии 24H2 и более поздних
- Устройства должны быть Microsoft Entra присоединены или Microsoft Entra гибридным соединением. Устройства, присоединенные к домену, не поддерживаются
- Пользователи должны войти с помощью Windows Hello
Важно.
При входе с помощью пароля или ключа безопасности FIDO2 вы не сможете получить доступ к защищенному содержимому шифрования персональных данных.
Требования к выпуску и лицензированию Windows
В следующей таблице перечислены выпуски Windows, поддерживающие шифрование персональных данных.
| Windows Pro | Windows Корпоративная | Windows Pro для образовательных учреждений/SE | Windows для образовательных учреждений |
|---|---|---|---|
| Нет | Да | Нет | Да |
Права на лицензии на шифрование персональных данных предоставляются следующими лицензиями:
| Windows Pro/Pro для образовательных учреждений/SE | Windows Корпоративная E3 | Windows Корпоративная E5 | Windows для образовательных учреждений A3 | Windows для образовательных учреждений A5 |
|---|---|---|---|---|
| Нет | Да | Да | Да | Да |
Дополнительные сведения о лицензировании Windows см. в статье Обзор лицензирования Windows.
Уровни защиты шифрования персональных данных
Шифрование персональных данных использует AES-CBC с 256-разрядным ключом для защиты содержимого и обеспечивает два уровня защиты. Уровень защиты определяется в зависимости от потребностей организации. Эти уровни можно задать с помощью API шифрования персональных данных.
| Элемент | Уровень 1 | Уровень 2 |
|---|---|---|
| Защищенные данные, доступные при входе пользователя через Windows Hello | Да | Да |
| Защищенные данные доступны на экране блокировки Windows | Да | Данные доступны в течение одной минуты после блокировки, а затем недоступны |
| Защищенные данные становятся доступными после выхода пользователя из Windows | Нет | Нет |
| Защищенные данные доступны при завершении работы устройства | Нет | Нет |
| Защищенные данные доступны через UNC-пути | Нет | Нет |
| Защищенные данные доступны при подписи с помощью пароля Windows, а не Windows Hello | Нет | Нет |
| Защищенные данные доступны через сеанс удаленного рабочего стола | Нет | Нет |
| Ключи расшифровки, используемые шифрованием персональных данных, отменены | После выхода пользователя из Windows | Через минуту после включения экрана блокировки Windows или после выхода пользователя из Windows |
Специальные возможности защищенного содержимого для шифрования персональных данных
Если файл защищен с помощью шифрования персональных данных, на его значке отображается замок. Если пользователь не вошел в систему локально с помощью Windows Hello или несанкционированный пользователь пытается получить доступ к защищенному содержимому, ему будет отказано в доступе.
Сценарии, в которых пользователю отказано в доступе к защищенному содержимому шифрования персональных данных:
- Пользователь входит с помощью пароля вместо использования Windows Hello (биометрические данные или ПИН-код).
- Если устройство защищено с помощью защиты уровня 2, когда устройство заблокировано
- При попытке удаленного доступа к содержимому на устройстве. Например, сетевые пути UNC
- Сеансы удаленного рабочего стола
- Другие пользователи на устройстве, которые не являются владельцами содержимого, даже если они вошли в систему через Windows Hello и имеют разрешения на переход к защищенному содержимому шифрования персональных данных
Различия между шифрованием персональных данных и BitLocker
Шифрование персональных данных предназначено для работы вместе с BitLocker. Шифрование персональных данных не является заменой BitLocker и не является заменой шифрования персональных данных. Совместное использование обеих функций обеспечивает более эффективную безопасность по сравнению с использованием BitLocker или шифрования персональных данных. Однако существуют различия между BitLocker и шифрованием персональных данных и их работой. Эти различия объясняют, почему их совместное использование обеспечивает лучшую безопасность.
| Шифрование личных данных | BitLocker | |
|---|---|---|
| Выпуск ключа расшифровки | При входе пользователя через Windows Hello | При загрузке |
| Ключи расшифровки отброшены | При выходе пользователя из Windows или через минуту после включения экрана блокировки Windows | При завершении работы |
| Защищенное содержимое | Все файлы в защищенных папках | Весь том или диск |
| Проверка подлинности для доступа к защищенному содержимому | Windows Hello для бизнеса | Если включен BitLocker с доверенным платформенным модулем и ПИН-кодом, ПИН-код BitLocker и вход в Windows |
Различия между шифрованием персональных данных и EFS
Main разница между защитой файлов с помощью шифрования персональных данных вместо EFS заключается в том, что они используют для защиты файла. Шифрование персональных данных использует Windows Hello для бизнеса для защиты ключей, которые защищают файлы. EFS использует сертификаты для защиты файлов.
Чтобы узнать, защищен ли файл с помощью шифрования персональных данных или EFS:
- Откройте свойства файла
- На вкладке Общие выберите Дополнительно….
- В окне Дополнительные атрибуты выберите Сведения.
Для защищенных файлов шифрования персональных данных в разделе Состояние защиты : есть элемент, указанный как Шифрование персональных данных: Включено.
Для защищенных файлов EFS в разделе Пользователи, которые могут получить доступ к этому файлу:, рядом с пользователями, имеющими доступ к файлу, находится отпечаток сертификата . Кроме того, для этого файла имеется раздел с меткой "Сертификаты восстановления" в соответствии с политикой восстановления:.
Сведения о шифровании, включая метод шифрования, используемый для защиты файла, можно получить с помощью cipher.exe /c команды .
Рекомендации по использованию шифрования персональных данных
Ниже приведены рекомендации по использованию шифрования персональных данных.
- Включите шифрование диска BitLocker. Хотя шифрование персональных данных работает без BitLocker, рекомендуется включить BitLocker. Шифрование персональных данных предназначено для работы вместе с BitLocker для повышения безопасности, так как оно не является заменой BitLocker
- Решение для резервного копирования, например OneDrive в Microsoft 365. В некоторых сценариях, таких как сброс доверенного платформенного модуля или деструктивные сбросы ПИН-кода, ключи, используемые шифрованием персональных данных для защиты содержимого, будут потеряны, что делает любое защищенное содержимое недоступным. Единственный способ восстановить такое содержимое — из резервной копии. Если файлы синхронизированы с OneDrive, для восстановления доступа необходимо повторно синхронизировать OneDrive.
- Windows Hello для бизнеса службы сброса ПИН-кода. Деструктивный сброс ПИН-кода приводит к потере ключей, используемых шифрованием персональных данных для защиты содержимого, что делает любое содержимое, защищенное с помощью шифрования персональных данных, недоступным. После разрушительного сброса ПИН-кода содержимое, защищенное с помощью шифрования персональных данных, должно быть восстановлено из резервной копии. По этой причине рекомендуется Windows Hello для бизнеса службу сброса ПИН-кода, так как она обеспечивает неразрушающее сброс ПИН-кода.
- Windows Hello расширенная безопасность входа обеспечивает большую безопасность при проверке подлинности с помощью Windows Hello с помощью биометрических данных или ПИН-кода.
Дальнейшие действия
- Сведения о доступных параметрах для настройки шифрования персональных данных и их настройке с помощью Microsoft Intune или поставщика служб конфигурации (CSP): параметры и конфигурация шифрования персональных данных
- Ознакомьтесь с часто задаваемыми вопросами о шифровании персональных данных