Шифрование персональных данных (PDE)
Начиная с Windows 11 версии 22H2 шифрование персональных данных (PDE) — это функция безопасности, которая предоставляет возможности шифрования данных на основе файлов в Windows.
PDE использует Windows Hello для бизнеса для связывания ключей шифрования данных с учетными данными пользователя. Когда пользователь входит на устройство с помощью Windows Hello для бизнеса, ключи расшифровки освобождаются, а зашифрованные данные становятся доступными пользователю.
Когда пользователь выходит из системы, ключи расшифровки удаляются, а данные недоступны, даже если другой пользователь входит в устройство.
Использование Windows Hello для бизнеса обеспечивает следующие преимущества:
- Это сокращает количество учетных данных для доступа к зашифрованным содержимому: пользователям нужно только войти с помощью Windows Hello для бизнеса
- Функции специальных возможностей, доступные при использовании Windows Hello для бизнеса распространяется на содержимое, защищенное PDE.
PDE отличается от BitLocker тем, что шифрует файлы, а не целые тома и диски. PDE применяется в дополнение к другим методам шифрования, таким как BitLocker.
В отличие от BitLocker, который выпускает ключи шифрования данных при загрузке, PDE не выпускает ключи шифрования данных до тех пор, пока пользователь не войдет в систему с помощью Windows Hello для бизнеса.
Предварительные условия
Чтобы использовать PDE, необходимо выполнить следующие предварительные требования:
- Windows 11 версии 22H2 и более поздних
- Устройства должны быть Microsoft Entra присоединены. Присоединенные к домену и Microsoft Entra гибридные устройства не поддерживаются
- Пользователи должны выполнить вход с помощью Windows Hello для бизнеса
Важно.
При входе с помощью пароля или ключа безопасности вы не сможете получить доступ к содержимому, защищенному PDE.
Требования к выпуску и лицензированию Windows
В следующей таблице перечислены выпуски Windows, поддерживающие шифрование персональных данных (PDE):
| Windows Pro | Windows Корпоративная | Windows Pro для образовательных учреждений/SE | Windows для образовательных учреждений |
|---|---|---|---|
| Нет | Да | Нет | Да |
Лицензионные права на шифрование персональных данных (PDE) предоставляются следующими лицензиями:
| Windows Pro/Pro для образовательных учреждений/SE | Windows Корпоративная E3 | Windows Корпоративная E5 | Windows для образовательных учреждений A3 | Windows для образовательных учреждений A5 |
|---|---|---|---|---|
| Нет | Да | Да | Да | Да |
Дополнительные сведения о лицензировании Windows см. в статье Обзор лицензирования Windows.
Уровни защиты PDE
PDE использует AES-CBC с 256-разрядным ключом для защиты содержимого и предлагает два уровня защиты. Уровень защиты определяется в зависимости от потребностей организации. Эти уровни можно установить с помощью API-интерфейсов PDE.
| Элемент | Уровень 1 | Уровень 2 |
|---|---|---|
| Данные, защищенные PDE, доступны при входе пользователя в систему через Windows Hello для бизнеса. | Да | Да |
| Данные, защищенные PDE, доступны на экране блокировки Windows. | Да | Данные доступны в течение одной минуты после блокировки, а затем недоступны |
| Данные, защищенные PDE, доступны после выхода пользователя из Windows. | Нет | Нет |
| Данные, защищенные PDE, доступны, когда устройство отключено | Нет | Нет |
| Данные, защищенные PDE, доступны через UNC-пути. | Нет | Нет |
| Данные, защищенные PDE, доступны при подписании с помощью пароля Windows вместо Windows Hello для бизнеса. | Нет | Нет |
| Данные, защищенные PDE, доступны через сеанс удаленного рабочего стола. | Нет | Нет |
| Ключи расшифровки, используемые PDE, отброшены | После выхода пользователя из Windows | Через минуту после включения экрана блокировки Windows или после выхода пользователя из Windows |
Доступность содержимого, защищенного PDE
На значке файла, защищенного, отображается замок. Если пользователь не вошел локально с помощью Windows Hello для бизнеса или неавторизованный пользователь пытается получить доступ к содержимому, защищенному с помощью PDE, ему будет отказано в доступе к содержимому.
Сценарии, в которых пользователю будет отказано в доступе к содержимому, защищенному с помощью PDE, включают:
- Пользователь вошел в Windows с помощью пароля вместо входа с использованием Windows Hello для бизнеса биометрических данных или ПИН-кода.
- Если устройство защищено с помощью защиты уровня 2, когда устройство заблокировано
- При попытке удаленного доступа к содержимому на устройстве. Например, сетевые пути UNC
- Сеансы удаленного рабочего стола
- Другие пользователи на устройстве, которые не являются владельцами содержимого, даже если они вошли в систему через Windows Hello для бизнеса и имеют разрешения на переход к содержимому, защищенному PDE.
Различия между PDE и BitLocker
PDE предназначен для работы совместно с BitLocker. PDE не является заменой BitLocker, и BitLocker не является заменой PDE. Совместное использование обеих функций обеспечивает более высокий уровень безопасности, чем использование только BitLocker или только PDE. Однако существуют различия между BitLocker и PDE и тем, как они работают. Эти различия объясняют, почему их совместное использование обеспечивает лучшую безопасность.
| Элемент | PDE | BitLocker |
|---|---|---|
| Выпуск ключа расшифровки | При входе пользователя через Windows Hello для бизнеса | При загрузке |
| Ключи расшифровки отброшены | При выходе пользователя из Windows или через минуту после включения экрана блокировки Windows | При завершении работы |
| Защищенное содержимое | Все файлы в защищенных папках | Весь том или диск |
| Проверка подлинности для доступа к защищенному содержимому | Windows Hello для бизнеса | Если включен BitLocker с доверенным платформенным модулем и ПИН-кодом, ПИН-код BitLocker и вход в Windows |
Различия между PDE и EFS
Основное различие между защитой файлов с помощью PDE и EFS заключается в методе, который они используют для защиты файла. PDE использует Windows Hello для бизнеса для защиты ключей, защищающих файлы. EFS использует сертификаты для защиты файлов.
Чтобы узнать, защищен ли файл с помощью PDE или EFS:
- Откройте свойства файла
- На вкладке Общие выберите Дополнительно….
- В окне Дополнительные атрибуты выберите Сведения.
Для файлов, защищенных PDE, в разделе Состояние защиты: есть элемент, указанный как Шифрование персональных данных: с атрибутом Вкл.
Для файлов, защищенных EFS, в разделе Пользователи, которые могут получить доступ к этому файлу: рядом с пользователями, имеющими доступ к файлу, есть Отпечаток сертификата. Внизу также есть раздел с надписью Сертификаты восстановления для этого файла, как определено политикой восстановления:.
Сведения о шифровании, включая метод шифрования, используемый для защиты файла, можно получить с помощью cipher.exe /c команды .
Рекомендации по использованию PDE
Ниже приведены рекомендации по использованию PDE.
- Включите шифрование диска BitLocker. Хотя PDE работает без BitLocker, рекомендуется включить BitLocker. PDE предназначен для работы вместе с BitLocker для повышения безопасности, в то время как он не является заменой BitLocker
- Решение для резервного копирования, например OneDrive в Microsoft 365. В некоторых сценариях, таких как сброс доверенного платформенного модуля или деструктивный сброс ПИН-кода, ключи, используемые PDE для защиты содержимого, будут потеряны, что делает любое содержимое, защищенное PDE, недоступным. Единственный способ восстановить такое содержимое — из резервной копии. Если файлы синхронизированы с OneDrive, чтобы восстановить доступ, необходимо повторно синхронизировать OneDrive.
- Windows Hello для бизнеса службы сброса ПИН-кода. Деструктивный сброс ПИН-кода приведет к потере ключей, используемых PDE для защиты содержимого, что делает любое содержимое, защищенное PDE, недоступным. После разрушительного сброса ПИН-кода содержимое, защищенное PDE, должно быть восстановлено из резервной копии. По этой причине рекомендуется Windows Hello для бизнеса службу сброса ПИН-кода, так как она обеспечивает неразрушающий сброс ПИН-кода.
- Windows Hello расширенная безопасность входа обеспечивает дополнительную безопасность при проверке подлинности с помощью Windows Hello для бизнеса с помощью биометрии или ПИН-кода.
Стандартные приложения Windows, поддерживающие PDE
Некоторые приложения Windows изначально поддерживают PDE. Если PDE включен на устройстве, эти приложения будут использовать PDE:
| Имя приложения | Сведения |
|---|---|
| Поддерживает защиту текста электронной почты и вложений |
Дальнейшие действия
- Сведения о доступных параметрах для настройки шифрования персональных данных (PDE) и о том, как их настроить с помощью Microsoft Intune или поставщика служб конфигурации (CSP): параметры PDE и конфигурация
- Ознакомьтесь с часто задаваемыми вопросами о шифровании персональных данных (PDE)