Параметры И конфигурация PDE
В этой статье описаны параметры шифрования персональных данных (PDE) и их настройка с помощью Microsoft Intune или поставщиков служб конфигурации (CSP).
Примечание.
PDE можно настроить с помощью политик MDM. Содержимое для защиты с помощью PDE, можно указать, используя API-интерфейсы PDE. В Windows нет пользовательского интерфейса для включения PDE или защиты содержимого с помощью PDE.
API-интерфейсы PDE можно использовать для создания пользовательских приложений и сценариев, чтобы указать, какой содержимое и на каком уровне защищать. Кроме того, API-интерфейсы PDE нельзя использовать для защиты содержимого, пока не будет включена политика PDE.
Параметры PDE
В следующей таблице перечислены необходимые параметры для включения PDE.
Имя параметра | Описание |
---|---|
Включение шифрования персональных данных | PDE не включена по умолчанию. Прежде чем использовать PDE, необходимо включить его. |
Автоматический вход и блокировка последнего интерактивного пользователя после перезапуска | Вход с автоматическим перезапуском Winlogon (ARSO) не поддерживается для использования с PDE. Чтобы использовать PDE, необходимо отключить ARSO. |
Рекомендации по повышению безопасности PDE
В следующей таблице перечислены рекомендуемые параметры для повышения безопасности PDE.
Имя параметра | Описание |
---|---|
Аварийные дампы в режиме ядра и динамические дампы | Аварийные дампы в режиме ядра и динамические дампы потенциально могут привести к раскрытию ключей, используемых PDE для защиты содержимого. Для обеспечения максимальной безопасности отключите аварийные и динамические дампы режима ядра. |
отчеты об ошибках Windows (WER)/аварийные дампы в пользовательском режиме | Отключение отчетов об ошибках Windows предотвращает аварийные дампы пользовательского режима. Аварийные дампы пользовательского режима потенциально могут привести к раскрытию ключей, используемых PDE для защиты содержимого. Для обеспечения максимальной безопасности отключите аварийные дампы пользовательского режима. |
Зимняя спячка | Файлы гибернации могут привести к передаче ключей, используемых шифрованием персональных данных (PDE) для защиты содержимого. Для обеспечения большей безопасности отключите режим гибернации. |
Разрешает пользователям выбирать, необходим ли ввод пароля при возобновлении работы из режима ожидания с подключением | Если эта политика не настроена на устройствах, присоединенных к Microsoft Entra, пользователи на подключенном резервном устройстве могут изменить время после выключения экрана устройства, прежде чем потребуется пароль для пробуждения устройства. Пока экран отключен без требования пароля, ключи, используемые PDE для защиты содержимого, потенциально могут быть раскрыты. Рекомендуется явно отключить эту политику на Microsoft Entra присоединенных устройствах. |
Настройка PDE с помощью Microsoft Intune
Если вы используете Microsoft Intune для управления устройствами, вы можете настроить PDE с помощью политики шифрования дисков, политики каталога параметров или пользовательского профиля.
Политика шифрования дисков
Чтобы настроить устройства с помощью политики шифрования дисков, перейдите в раздел Безопасность конечных> точекШифрование дисков и выберите Создать политику:
- Платформа>Виндоус
- Профиль>Шифрование персональных данных
Введите имя и нажмите кнопку Далее. На странице Параметры конфигурации выберите Включить шифрование персональных данных и настройте параметры при необходимости.
Назначьте политику группе, содержащей в качестве участников устройства или пользователей, которые вы хотите настроить.
Политика каталога параметров
Чтобы настроить устройства с помощью Microsoft Intune, создайте политику каталога параметров и используйте следующие параметры:
Категория | Имя параметра | Значение |
---|---|---|
PDE | Включение шифрования персональных данных (пользователь) | Включение шифрования персональных данных |
Административные шаблоны > Компоненты > Windows Параметры входа Windows | Автоматический вход и блокировка последнего интерактивного пользователя после перезапуска | Отключено |
Дамп памяти | Разрешить динамический дамп | Блокирование |
Дамп памяти | Разрешить аварийный дамп | Блокирование |
Административные шаблоны > Компоненты > Windows отчеты об ошибках Windows | Отключение отчеты об ошибках Windows | Enabled |
Power | Разрешить гибернации | Блокирование |
Системный > вход в систему административных шаблонов > | Разрешает пользователям выбирать, необходим ли ввод пароля при возобновлении работы из режима ожидания с подключением | Отключена |
Назначьте политику группе, содержащей в качестве участников устройства или пользователей, которые вы хотите настроить.
Совет
Используйте следующий вызов Graph, чтобы автоматически создать политику каталога параметров в клиенте без назначений и область тегов.
При использовании этого вызова выполните проверку подлинности в клиенте в окне Обозреватель Graph. При первом использовании Graph Обозреватель может потребоваться авторизовать приложение для доступа к клиенту или изменить существующие разрешения. Для вызова графа требуются разрешения DeviceManagementConfiguration.ReadWrite.All .
POST https://graph.microsoft.com/beta/deviceManagement/configurationPolicies
Content-Type: application/json
{ "id": "00-0000-0000-0000-000000000000", "name": "_MSLearn_PDE", "description": "", "platforms": "windows10", "technologies": "mdm", "roleScopeTagIds": [ "0" ], "settings": [ { "@odata.type": "#microsoft.graph.deviceManagementConfigurationSetting", "settingInstance": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingInstance", "settingDefinitionId": "device_vendor_msft_policy_config_admx_credentialproviders_allowdomaindelaylock", "choiceSettingValue": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingValue", "value": "device_vendor_msft_policy_config_admx_credentialproviders_allowdomaindelaylock_0", "children": [] } } }, { "@odata.type": "#microsoft.graph.deviceManagementConfigurationSetting", "settingInstance": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingInstance", "settingDefinitionId": "device_vendor_msft_policy_config_errorreporting_disablewindowserrorreporting", "choiceSettingValue": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingValue", "value": "device_vendor_msft_policy_config_errorreporting_disablewindowserrorreporting_1", "children": [] } } }, { "@odata.type": "#microsoft.graph.deviceManagementConfigurationSetting", "settingInstance": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingInstance", "settingDefinitionId": "device_vendor_msft_policy_config_windowslogon_allowautomaticrestartsignon", "choiceSettingValue": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingValue", "value": "device_vendor_msft_policy_config_windowslogon_allowautomaticrestartsignon_0", "children": [] } } }, { "@odata.type": "#microsoft.graph.deviceManagementConfigurationSetting", "settingInstance": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingInstance", "settingDefinitionId": "device_vendor_msft_policy_config_memorydump_allowcrashdump", "choiceSettingValue": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingValue", "value": "device_vendor_msft_policy_config_memorydump_allowcrashdump_0", "children": [] } } }, { "@odata.type": "#microsoft.graph.deviceManagementConfigurationSetting", "settingInstance": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingInstance", "settingDefinitionId": "device_vendor_msft_policy_config_memorydump_allowlivedump", "choiceSettingValue": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingValue", "value": "device_vendor_msft_policy_config_memorydump_allowlivedump_0", "children": [] } } }, { "@odata.type": "#microsoft.graph.deviceManagementConfigurationSetting", "settingInstance": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingInstance", "settingDefinitionId": "user_vendor_msft_pde_enablepersonaldataencryption", "choiceSettingValue": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingValue", "value": "user_vendor_msft_pde_enablepersonaldataencryption_1", "children": [] } } }, { "@odata.type": "#microsoft.graph.deviceManagementConfigurationSetting", "settingInstance": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingInstance", "settingDefinitionId": "device_vendor_msft_policy_config_power_allowhibernate", "choiceSettingValue": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingValue", "value": "device_vendor_msft_policy_config_power_allowhibernate_0", "children": [] } } } ] }
Настройка PDE с помощью CSP
Кроме того, можно настроить устройства с помощью CSP политики и PDE CSP.
OMA-URI | Формат | Значение |
---|---|---|
./User/Vendor/MSFT/PDE/EnablePersonalDataEncryption |
int | 1 |
./Device/Vendor/MSFT/Policy/Config/WindowsLogon/AllowAutomaticRestartSignOn |
string | <disabled/> |
./Device/Vendor/MSFT/Policy/Config/MemoryDump/AllowCrashDump |
int | 0 |
./Device/Vendor/MSFT/Policy/Config/MemoryDump/AllowLiveDump |
int | 0 |
./Device/Vendor/MSFT/Policy/Config/ErrorReporting/DisableWindowsErrorReporting |
string | <enabled/> |
./Device/Vendor/MSFT/Policy/Config/Power/AllowHibernate |
int | 0 |
./Device/Vendor/MSFT/Policy/Config/ADMX_CredentialProviders/AllowDomainDelayLock |
string | <disabled/> |
Отключение PDE
После включения PDE не рекомендуется отключать его. Однако если вам нужно отключить PDE, это можно сделать, выполнив следующие действия.
Отключение PDE с помощью политики шифрования дисков
Чтобы отключить PDE-устройства с помощью политики шифрования дисков, перейдите в раздел Безопасность конечных> точекШифрование диска и выберите Создать политику:
- Платформа>Виндоус
- Профиль>Шифрование персональных данных
Введите имя и нажмите кнопку Далее. На странице Параметры конфигурации выберите Отключить шифрование персональных данных.
Назначьте политику группе, содержащей в качестве участников устройства или пользователей, которые вы хотите настроить.
Отключение PDE с помощью политики каталога параметров в Intune
Чтобы настроить устройства с помощью Microsoft Intune, создайте политику каталога параметров и используйте следующие параметры:
Категория | Имя параметра | Значение |
---|---|---|
PDE | Включение шифрования персональных данных (пользователь) | Отключение шифрования персональных данных |
Назначьте политику группе, содержащей в качестве участников устройства или пользователей, которые вы хотите настроить.
Отключение PDE с помощью CSP
Вы можете отключить PDE с помощью CSP, используя следующий параметр:
OMA-URI | Формат | Значение |
---|---|---|
./User/Vendor/MSFT/PDE/EnablePersonalDataEncryption |
int | 0 |
Расшифровка содержимого, зашифрованного PDE
При отключении PDE содержимое, защищенное PDE, не расшифровывается. Это только препятствует защите любого дополнительного содержимого API-интерфейсом PDE. Файлы, защищенные PDE, можно расшифровать вручную, выполнив следующие действия.
- Откройте свойства файла
- На вкладке Общие выберите Дополнительно….
- Снимите флажок Шифровать содержимое для защиты данных.
- Выберите ОК, а затем снова ОК
Файлы, защищенные PDE, также можно расшифровать с помощью cipher.exe
, что может быть полезно в следующих сценариях:
- Расшифровка большого числа файлов на устройстве
- Расшифровка файлов на нескольких устройствах
Чтобы расшифровать файлы на устройстве с помощью cipher.exe
:
Расшифруйте все файлы в каталоге, включая подкаталоги:
cipher.exe /d /s:<path_to_directory>
Расшифруйте один файл или все файлы в указанном каталоге, но не в подкаталогах:
cipher.exe /d <path_to_file_or_directory>
Важно.
После того как пользователь выберет расшифровку файла вручную, пользователь не сможет повторно защитить файл вручную с помощью PDE.