个人数据加密 (PDE)
从 Windows 11 版本 22H2 开始,个人数据加密 (PDE) 是一项安全功能,可为 Windows 提供基于文件的数据加密功能。
PDE 利用Windows Hello 企业版将数据加密密钥与用户凭据链接。 当用户使用 Windows Hello 企业版 登录到设备时,会释放解密密钥,并且用户可以访问加密的数据。
当用户注销时,解密密钥将被丢弃,并且数据不可访问,即使其他用户登录到设备也是如此。
使用Windows Hello 企业版具有以下优势:
- 它减少了访问加密内容的凭据数:用户只需使用 Windows Hello 企业版
- 使用时可用的辅助功能Windows Hello 企业版扩展到受 PDE 保护的内容
PDE 与 BitLocker 的不同之处在于,它加密文件而不是整个卷和磁盘。 除其他加密方法(如 BitLocker)外,还会有 PDE。
与在启动时释放数据加密密钥的 BitLocker 不同,在用户使用 Windows Hello 企业版登录之前,PDE 不会释放数据加密密钥。
必备条件
若要使用 PDE,必须满足以下先决条件:
- Windows 11版本 22H2 及更高版本
- 设备必须Microsoft Entra联接。 不支持已加入域和Microsoft Entra混合联接的设备
- 用户必须使用 Windows Hello 企业版 登录
重要提示
如果使用密码或 安全密钥登录,则无法访问 PDE 保护的内容。
Windows 版本和许可要求
下表列出了支持个人数据加密 (PDE) 的 Windows 版本:
| Windows 专业版 | Windows 企业版 | Windows 专业教育版/SE | Windows 教育版 |
|---|---|---|---|
| 否 | 是 | 否 | 是 |
个人数据加密 (PDE) 许可证权利由以下许可证授予:
| Windows 专业版/专业教育版/SE | Windows 企业版 E3 | Windows 企业版 E5 | Windows 教育版 A3 | Windows 教育版 A5 |
|---|---|---|---|---|
| 否 | 是 | 是 | 是 | 是 |
有关 Windows 许可的详细信息,请参阅 Windows 许可概述。
PDE 保护级别
PDE 使用具有 256 位密钥的 AES-CBC 来保护内容,并提供两个级别的保护。 保护级别根据组织需求确定。 可以通过 PDE API 设置这些级别。
| 项目 | 1 级 | 2 级 |
|---|---|---|
| 当用户通过 Windows Hello 企业版登录时可以访问 PDE 保护的数据 | 是 | 是 |
| 在 Windows 锁屏界面上可以访问 PDE 保护的数据 | 是 | 在锁屏后一分钟内可以访问数据,之后便不可访问 |
| 用户注销 Windows 后可以访问 PDE 保护的数据 | 否 | 否 |
| 设备关闭时可以访问 PDE 保护的数据 | 否 | 否 |
| 通过 UNC 路径可以访问 PDE 保护的数据 | 否 | 否 |
| 使用 Windows 密码而不是 Windows Hello 企业版进行登录时,可以访问 PDE 保护的数据 | 否 | 否 |
| 通过远程桌面会话可以访问 PDE 保护的数据 | 否 | 否 |
| PDE 使用的解密密钥已丢弃 | 用户注销 Windows 后 | Windows 锁屏界面启动后或用户注销 Windows 后一分钟 |
PDE 保护的内容辅助功能
使用 PDE 保护文件时,其图标将显示一个挂锁。 如果用户未使用 Windows Hello 企业版在本地登录,或者未经授权的用户尝试访问 PDE 保护的内容,则会被拒绝访问该内容。
在以下情景会拒绝用户访问 PDE 保护的内容:
- 用户已通过密码登录 Windows,而不是使用Windows Hello 企业版生物识别或 PIN 登录
- 如果通过级别 2 保护进行保护,则当设备锁定时
- 尝试远程访问设备上的内容时。 例如,UNC 网络路径
- 远程桌面会话
- 设备上不是内容所有者的其他用户,即使他们通过Windows Hello 企业版登录并有权导航到受 PDE 保护的内容
PDE 和 BitLocker 之间的差异
PDE 旨在与 BitLocker 协同工作。 PDE 不是 BitLocker 的替代品,BitLocker 也不是 PDE 的替代品。 与单独使用 BitLocker 或 PDE 相比,同时使用这两种功能可提供更好的安全性。 但是,BitLocker 和 PDE 之间以及它们的工作方式之间存在差异。 这些差异是将它们一起使用可提供更好的安全性的原因。
| 项目 | PDE | BitLocker |
|---|---|---|
| 释放解密密钥 | 通过 Windows Hello 企业版登录时 | 启动时 |
| 解密密钥已丢弃 | 当用户注销 Windows 时或 Windows 锁屏界面启用后一分钟 | 关闭时 |
| 受保护的内容 | 受保护的文件夹中的所有文件 | 整个卷/驱动器 |
| 用于访问受保护内容的身份验证 | Windows Hello 企业版 | 启用 BitLocker 和 TPM + PIN 时,BitLocker PIN 加上 Windows 登录 |
PDE 与 EFS 之间的差异
使用 PDE 与使用 EFS 保护文件之间的主要区别在于保护文件所用的方法。 PDE 使用 Windows Hello 企业版来保护用于保护文件的密钥。 EFS 使用证书来保护文件。
若要了解文件是受 PDE 保护还是受 EFS 保护,请执行以下操作:
- 打开文件的属性
- 在“常规”选项卡下,选择“高级…”
- 在“高级属性”窗口中,选择“详细信息”
对于 PDE 保护的文件,在“保护状态:”下,列出了一个项目“个人数据加密:”,其属性为“启用”。
对于 EFS 保护的文件,在“可以访问此文件的用户:”下,有权访问该文件的用户旁边会显示一个证书指纹。 底部还会有一个部分,标记为“按恢复策略定义的此文件的恢复证书:”。
可以使用 命令获取 cipher.exe /c 加密信息,包括用于保护文件的加密方法。
有关使用 PDE 的建议
下面是使用 PDE 的建议:
- 启用 BitLocker 驱动器加密。 尽管 PDE 在没有 BitLocker 的情况下工作,但建议启用 BitLocker。 PDE 旨在与 BitLocker 协同工作以提高安全性,因为它不是 BitLocker 的替代品
- 备份解决方案,例如 Microsoft 365 中的 OneDrive。 在某些情况下,例如 TPM 重置或破坏性 PIN 重置,PDE 用于保护内容的密钥将丢失,因此无法访问任何受 PDE 保护的内容。 恢复此类内容的唯一方法是从备份中恢复。 如果文件已同步到 OneDrive,若要重新获得访问权限,必须重新同步 OneDrive
- Windows Hello 企业版 PIN 重置服务。 破坏性 PIN 重置将导致 PDE 用于保护内容的密钥丢失,使任何受 PDE 保护的内容都无法访问。 在破坏性 PIN 重置后,必须从备份中恢复受 PDE 保护的内容。 因此,建议Windows Hello 企业版 PIN 重置服务,因为它提供非破坏性 PIN 重置
- Windows Hello增强的登录安全性在通过生物识别或 PIN 使用Windows Hello 企业版进行身份验证时提供额外的安全性
支持 PDE 的 Windows 即用型应用程序
某些 Windows 应用程序直接支持 PDE。 如果在设备上启用了 PDE,这些应用程序将利用 PDE:
| 应用名称 | 详细信息 |
|---|---|
| 支持保护电子邮件正文和附件 |
后续步骤
- 了解 (PDE) 配置个人数据加密的可用选项,以及如何通过Microsoft Intune或配置服务提供商 (CSP) 进行配置:PDE 设置和配置
- 查看 个人数据加密 (PDE) 常见问题解答