个人数据加密概述
个人数据加密是一项安全功能,可为 Windows 提供基于文件的数据加密功能。 它利用Windows Hello 企业版将数据加密密钥与用户凭据相关联。 当用户使用 Windows Hello 登录到设备时,会释放解密密钥,并且用户可以访问加密的数据。 相反,当用户注销时,解密密钥将被丢弃,使得数据不可访问,即使其他用户登录到设备也是如此。 这可确保敏感信息始终受到保护。
个人数据加密的优势十分显著。 通过减少访问加密内容所需的凭据数,用户只需使用Windows Hello登录。 此外,Windows Hello提供的辅助功能扩展到受个人数据加密保护的内容。
与加密整个卷和磁盘的 BitLocker 不同,个人数据加密侧重于单个文件,提供另一层安全性。 此功能不仅增强了数据保护,还显示了对保护个人信息的坚定承诺。
已知文件夹的个人数据加密
从 Windows 11 版本 24H2 开始,通过已知文件夹的个人数据加密进一步增强了个人数据加密功能。 启用后,将自动加密 Windows 文件夹“桌面”、“文档”和“图片”及其内容。 此功能提供了一种快速简便的方法,可向常用文件夹添加额外的安全层。
必备条件
若要使用个人数据加密,必须满足以下先决条件:
- Windows 11版本 22H2 及更高版本
- 已知文件夹的个人数据加密仅适用于 Windows 11 版本 24H2 及更高版本
- 设备必须Microsoft Entra联接或Microsoft Entra混合联接。 不支持已加入域的设备
- 用户必须使用 Windows Hello 登录
重要提示
如果使用密码或 FIDO2 安全密钥登录,则无法访问受个人数据加密保护的内容。
Windows 版本和许可要求
下表列出了支持个人数据加密的 Windows 版本:
| Windows 专业版 | Windows 企业版 | Windows 专业教育版/SE | Windows 教育版 |
|---|---|---|---|
| 否 | 是 | 否 | 是 |
个人数据加密许可证权利由以下许可证授予:
| Windows 专业版/专业教育版/SE | Windows 企业版 E3 | Windows 企业版 E5 | Windows 教育版 A3 | Windows 教育版 A5 |
|---|---|---|---|---|
| 否 | 是 | 是 | 是 | 是 |
有关 Windows 许可的详细信息,请参阅 Windows 许可概述。
个人数据加密保护级别
个人数据加密使用具有 256 位密钥的 AES-CBC 来保护内容,并提供两个级别的保护。 保护级别根据组织需求确定。 可以通过 个人数据加密 API 设置这些级别。
| 项目 | 1 级 | 2 级 |
|---|---|---|
| 用户通过 Windows Hello 登录时可访问的受保护数据 | 是 | 是 |
| 可在 Windows 锁屏界面上访问受保护的数据 | 是 | 在锁屏后一分钟内可以访问数据,之后便不可访问 |
| 用户注销 Windows 后可以访问受保护的数据 | 否 | 否 |
| 设备关闭时可以访问受保护的数据 | 否 | 否 |
| 可通过 UNC 路径访问受保护的数据 | 否 | 否 |
| 使用 Windows 密码而不是Windows Hello进行签名时,可以访问受保护的数据 | 否 | 否 |
| 可通过远程桌面会话访问受保护的数据 | 否 | 否 |
| 个人数据加密使用的解密密钥被丢弃 | 用户注销 Windows 后 | Windows 锁屏界面启动后或用户注销 Windows 后一分钟 |
个人数据加密保护的内容辅助功能
使用个人数据加密保护文件时,其图标会显示一个挂锁。 如果用户未使用Windows Hello在本地登录,或者未经授权的用户尝试访问受保护的内容,则拒绝访问。
拒绝用户访问个人数据加密保护内容的情况包括:
- 用户使用密码登录,而不是使用Windows Hello (生物识别或 PIN)
- 如果通过级别 2 保护进行保护,则当设备锁定时
- 尝试远程访问设备上的内容时。 例如,UNC 网络路径
- 远程桌面会话
- 设备上非内容所有者的其他用户,即使他们通过Windows Hello登录并有权导航到个人数据加密保护的内容
个人数据加密与 BitLocker 之间的差异
个人数据加密旨在与 BitLocker 协同工作。 个人数据加密不是 BitLocker 的替代品,BitLocker 也不是个人数据加密的替代品。 与单独使用 BitLocker 或个人数据加密相比,同时使用这两种功能可提供更好的安全性。 但是,BitLocker 和个人数据加密之间存在差异,以及它们的工作方式。 这些差异是将它们一起使用可提供更好的安全性的原因。
| 个人数据加密 | BitLocker | |
|---|---|---|
| 释放解密密钥 | 通过 Windows Hello 登录时 | 启动时 |
| 解密密钥已丢弃 | 当用户注销 Windows 时或 Windows 锁屏界面启用后一分钟 | 关闭时 |
| 受保护的内容 | 受保护的文件夹中的所有文件 | 整个卷/驱动器 |
| 用于访问受保护内容的身份验证 | Windows Hello 企业版 | 启用 BitLocker 和 TPM + PIN 时,BitLocker PIN 加上 Windows 登录 |
个人数据加密与 EFS 之间的差异
使用个人数据加密而不是 EFS 保护文件之间的main区别在于他们用来保护文件的方法。 个人数据加密使用Windows Hello 企业版来保护保护文件的密钥。 EFS 使用证书来保护文件。
若要查看文件是否受到个人数据加密或 EFS 的保护,请执行以下作:
- 打开文件的属性
- 在“常规”选项卡下,选择“高级…”
- 在“高级属性”窗口中,选择“详细信息”
对于“个人数据加密”受保护的文件,在 “保护状态”下, 有一个项目列为 “个人数据加密为:打开”。
对于 EFS 保护的文件,在 “可以访问此文件的用户:”下,有一个 证书指纹 ,旁边是有权访问该文件的用户。 还有一个部分标有 恢复策略定义的此文件的恢复证书。
可以使用 命令获取 cipher.exe /c 加密信息,包括用于保护文件的加密方法。
有关使用个人数据加密的建议
下面是使用个人数据加密的建议:
- 启用 BitLocker 驱动器加密。 虽然个人数据加密在没有 BitLocker 的情况下工作,但建议启用 BitLocker。 个人数据加密旨在与 BitLocker 协同工作以提高安全性,因为它不能替代 BitLocker
- 备份解决方案,例如 Microsoft 365 中的 OneDrive。 在某些情况下,例如 TPM 重置或破坏性 PIN 重置,个人数据加密用于保护内容的密钥将丢失,使任何受保护的内容无法访问。 恢复此类内容的唯一方法是从备份中恢复。 如果文件已同步到 OneDrive,若要重新获得访问权限,必须重新同步 OneDrive
- Windows Hello 企业版 PIN 重置服务。 破坏性 PIN 重置会导致个人数据加密用于保护内容的密钥丢失,使受个人数据加密保护的任何内容都无法访问。 破坏性 PIN 重置后,必须从备份中恢复受个人数据加密保护的内容。 因此,建议Windows Hello 企业版 PIN 重置服务,因为它提供非破坏性 PIN 重置
- Windows Hello增强的登录安全性在通过生物识别或 PIN 使用Windows Hello进行身份验证时提供更高的安全性
后续步骤
- 了解用于配置个人数据加密的可用选项,以及如何通过Microsoft Intune或配置服务提供商 (CSP) :个人数据加密设置和配置对其进行配置
- 查看 个人数据加密常见问题解答