Criptografia de Dados Pessoais (PDE)
A partir de Windows 11, versão 22H2, PDE (Personal Data Encryption) é um recurso de segurança que fornece recursos de criptografia de dados baseados em arquivo para o Windows.
O PDE utiliza Windows Hello para Empresas para vincular chaves de criptografia de dados com credenciais de usuário. Quando um usuário entra em um dispositivo usando Windows Hello para Empresas, as chaves de descriptografia são liberadas e os dados criptografados são acessíveis ao usuário.
Quando um usuário faz logon, as chaves de descriptografia são descartadas e os dados são inacessíveis, mesmo que outro usuário entre no dispositivo.
O uso de Windows Hello para Empresas oferece as seguintes vantagens:
- Ele reduz o número de credenciais para acessar conteúdo criptografado: os usuários só precisam entrar com Windows Hello para Empresas
- Os recursos de acessibilidade disponíveis ao usar Windows Hello para Empresas estendem-se ao conteúdo protegido por PDE
O PDE difere do BitLocker, pois criptografa arquivos em vez de volumes e discos inteiros. O PDE ocorre além de outros métodos de criptografia, como o BitLocker.
Ao contrário do BitLocker, que libera chaves de criptografia de dados na inicialização, o PDE não libera chaves de criptografia de dados até que um usuário entre usando o Windows Hello para Empresas.
Pré-requisitos
Para usar o PDE, os seguintes pré-requisitos devem ser atendidos:
- Windows 11, versão 22H2 e posterior
- Os dispositivos devem ser Microsoft Entra ingressados. Não há suporte para dispositivos híbridos ingressados no domínio e Microsoft Entra
- Os usuários devem entrar usando Windows Hello para Empresas
Importante
Se você entrar com uma senha ou uma chave de segurança, não poderá acessar o conteúdo protegido por PDE.
Edição do Windows e requisitos de licenciamento
A tabela a seguir lista as edições do Windows que compatíveis com a Criptografia de dados pessoais (PDE):
| Windows Pro | Windows Enterprise | Windows Pro Education/SE | Educação do Windows |
|---|---|---|---|
| Não | Sim | Não | Sim |
Os direitos de licença de criptografia de dados pessoais (PDE) são concedidos pelas seguintes licenças:
| Windows Pro/Pro Education/SE | Windows Enterprise E3 | Windows Enterprise E5 | Windows Education A3 | Windows Educação A5 |
|---|---|---|---|---|
| Não | Sim | Sim | Sim | Sim |
Para obter mais informações sobre o licenciamento do Windows, consulte Visão geral do licenciamento do Windows.
Níveis de proteção PDE
O PDE usa o AES-CBC com uma chave de 256 bits para proteger o conteúdo e oferece dois níveis de proteção. O nível de proteção é determinado com base nas necessidades organizacionais. Esses níveis podem ser definidos por meio das APIs de PDE.
| Item | Nível 1 | Nível 2 |
|---|---|---|
| Dados protegidos por PDE acessíveis quando o usuário tiver entrado por meio do Windows Hello para Empresas | Sim | Sim |
| Os dados protegidos por PDE podem ser acessados na tela de bloqueio do Windows | Sim | Os dados podem ser acessados por um minuto após o bloqueio e, em seguida, não estão mais disponíveis |
| Os dados protegidos por PDE podem ser acessados depois que o usuário sai do Windows | Não | Não |
| Os dados protegidos por PDE podem ser acessados quando o dispositivo é desligado | Não | Não |
| Os dados protegidos por PDE são acessíveis por meio de caminhos UNC | Não | Não |
| Os dados protegidos por PDE podem ser acessados ao assinar com a senha do Windows em vez do Windows Hello para Empresas | Não | Não |
| Os dados protegidos por PDE podem ser acessados por meio da sessão da Área de Trabalho Remota | Não | Não |
| Chaves de descriptografia usadas pelo PDE descartadas | Depois que o usuário sair do Windows | Um minuto após a tela de bloqueio do Windows ser ativada ou depois que o usuário sair do Windows |
Acessibilidade de conteúdo protegido por PDE
Quando um arquivo é protegido com PDE, seu ícone mostrará um cadeado. Se o usuário não tiver entrado localmente com o Windows Hello para Empresas ou se um usuário não autorizado tentar acessar o conteúdo protegido por PDE, o acesso ao conteúdo será negado.
Os cenários em que um usuário terá o acesso negado ao conteúdo protegido por PDE incluem:
- O usuário entrou no Windows por meio de uma senha em vez de entrar com Windows Hello para Empresas biométrico ou PIN
- Se protegido por meio da proteção de nível 2, quando o dispositivo estiver bloqueado
- Ao tentar acessar o conteúdo no dispositivo remotamente. Por exemplo, caminhos de rede UNC
- Sessões de Área de Trabalho Remota
- Outros usuários no dispositivo que não são proprietários do conteúdo, mesmo que estejam conectados por meio de Windows Hello para Empresas e tenham permissões para navegar até o conteúdo protegido do PDE
Diferenças entre a PDE e o BitLocker
A PDE destina-se a trabalhar junto com o BitLocker. A PDE não é uma substituição ao BitLocker, nem o BitLocker é uma substituição à PDE. O uso de ambos os recursos juntos fornece melhor segurança do que usar apenas o BitLocker ou a PDE. No entanto, há diferenças entre o BitLocker e a PDE e como eles funcionam. Essas diferenças são o motivo pelo qual usá-los em conjunto oferece melhor segurança.
| Item | PDE | BitLocker |
|---|---|---|
| Liberação da chave de descriptografia | Na entrada do usuário por meio do Windows Hello para Empresas | Na inicialização |
| Chaves de descriptografia descartadas | Quando o usuário sai do Windows ou um minuto depois que a tela de bloqueio do Windows é ativada | No desligamento |
| Conteúdo protegido | Todos os arquivos em pastas protegidas | Volume ou unidade inteiro |
| Autenticação para acessar conteúdo protegido | Windows Hello para Empresas | Quando o BitLocker com TPM + PIN está habilitado, o PIN do BitLocker mais a entrada do Windows |
Diferenças entre PDE e EFS
A principal diferença entre proteger arquivos com PDE em vez de EFS é o método que eles usam para proteger o arquivo. A PDE usa o Windows Hello para Empresas para proteger as chaves que protegem os arquivos. O EFS usa certificados para proteger e proteger os arquivos.
Para ver se um arquivo está protegido com PDE ou com EFS:
- Abrir as propriedades do arquivo
- Na guia Geral, selecione Avançado...
- Nas janelas Atributos Avançados, selecione Detalhes
Para arquivos protegidos por PDE, emStatus de Proteção: haverá um item listado como Criptografia de Dados Pessoais: e ele terá o atributo de Ativado.
Para arquivos protegidos por EFS, em Usuários que podem acessar este arquivo:, haverá uma Impressão digital do Certificado ao lado dos usuários com acesso ao arquivo. Também haverá uma seção na parte inferior rotulada Certificados de recuperação para esse arquivo, conforme definido pela política de recuperação:.
Informações de criptografia, incluindo qual método de criptografia está sendo usado para proteger o arquivo, podem ser obtidas com o cipher.exe /c comando.
Recomendações para usar o PDE
Veja a seguir as recomendações para usar o PDE:
- Habilitar a Criptografia de Unidade do BitLocker. Embora o PDE funcione sem BitLocker, é recomendável habilitar o BitLocker. O PDE deve funcionar ao lado do BitLocker para aumentar a segurança, pois ele não é um substituto para o BitLocker
- Solução de backup, como o OneDrive no Microsoft 365. Em determinados cenários, como redefinições de TPM ou redefinições de PIN destrutivas, as chaves usadas pelo PDE para proteger o conteúdo serão perdidas tornando qualquer conteúdo protegido por PDE inacessível. A única maneira de recuperar esse conteúdo é de um backup. Se os arquivos forem sincronizados com o OneDrive, para recuperar o acesso, você deverá sincronizar novamente o OneDrive
- Windows Hello para Empresas serviço de redefinição de PIN. Redefinições de PIN destrutivas farão com que as chaves usadas pelo PDE para proteger o conteúdo sejam perdidas, tornando qualquer conteúdo protegido com PDE inacessível. Após uma redefinição de PIN destrutiva, o conteúdo protegido com PDE deve ser recuperado de um backup. Por esse motivo, Windows Hello para Empresas serviço de redefinição de PIN é recomendado, pois fornece redefinições de PIN não destrutivas
- Windows Hello Segurança de Entrada Aprimorada oferece segurança adicional ao autenticar com Windows Hello para Empresas por meio de biometria ou PIN
Aplicativos do Windows integrados compatíveis com a PDE
Determinados aplicativos do Windows são compatíveis com a PDE sem interrupções. Se o PDE estiver habilitado em um dispositivo, esses aplicativos utilizarão o PDE:
| Nome do aplicativo | Detalhes |
|---|---|
| Dá suporte à proteção de corpos de email e anexos |
Próximas etapas
- Saiba mais sobre as opções disponíveis para configurar a PDE (Personal Data Encryption) e como configurá-las por meio de Microsoft Intune ou CSP (provedor de serviços de configuração): configurações e configuração do PDE
- Examinar as perguntas frequentes sobre a PDE (Personal Data Encryption)