Verschlüsselung personenbezogener Daten (PDE)
Ab Windows 11 Version 22H2 ist die Datenverschlüsselung (Personal Data Encryption, PDE) ein Sicherheitsfeature, das Windows dateibasierte Datenverschlüsselungsfunktionen bereitstellt.
PDE verwendet Windows Hello for Business, um Datenverschlüsselungsschlüssel mit Benutzeranmeldeinformationen zu verknüpfen. Wenn sich ein Benutzer mit Windows Hello for Business bei einem Gerät anmeldet, werden Entschlüsselungsschlüssel freigegeben, und der Benutzer kann auf verschlüsselte Daten zugreifen.
Wenn sich ein Benutzer abmeldet, werden Entschlüsselungsschlüssel verworfen, und der Zugriff auf Daten ist nicht möglich, auch wenn sich ein anderer Benutzer beim Gerät anmeldet.
Die Verwendung von Windows Hello for Business bietet folgende Vorteile:
- Dadurch wird die Anzahl der Anmeldeinformationen für den Zugriff auf verschlüsselte Inhalte reduziert: Benutzer müssen sich nur mit Windows Hello for Business
- Die verfügbaren Barrierefreiheitsfeatures, wenn sie Windows Hello for Business auf PDE-geschützte Inhalte erweitern
PDE unterscheidet sich von BitLocker darin, dass Dateien anstelle von ganzen Volumes und Datenträgern verschlüsselt werden. PDE tritt zusätzlich zu anderen Verschlüsselungsmethoden wie BitLocker auf.
Im Gegensatz zu BitLocker, das Datenverschlüsselungsschlüssel beim Start freigibt, gibt PDE Datenverschlüsselungsschlüssel erst frei, wenn sich ein Benutzer mit Windows Hello for Business anmeldet.
Voraussetzungen
Um PDE verwenden zu können, müssen die folgenden Voraussetzungen erfüllt sein:
- Windows 11, Version 22H2 und höher
- Die Geräte müssen Microsoft Entra eingebunden sein. In die Domäne eingebundene und Microsoft Entra hybrid eingebundene Geräte werden nicht unterstützt.
- Benutzer müssen sich mit Windows Hello for Business anmelden
Wichtig
Wenn Sie sich mit einem Kennwort oder einem Sicherheitsschlüssel anmelden, können Sie nicht auf PDE-geschützte Inhalte zugreifen.
Windows-Edition und Lizenzierungsanforderungen
In der folgenden Tabelle sind die Windows-Editionen aufgeführt, die Verschlüsselung personenbezogener Daten (PDE) unterstützen:
| Windows Pro | Windows Enterprise | Windows Pro Education/SE | Windows Education |
|---|---|---|---|
| Nein | Ja | Nein | Ja |
Die Lizenzrechte für die Verschlüsselung persönlicher Daten (PDE) werden durch die folgenden Lizenzen gewährt:
| Windows Pro/Pro Education/SE | Windows Enterprise E3 | Windows Enterprise E5 | Windows Education A3 | Windows Education A5 |
|---|---|---|---|---|
| Nein | Ja | Ja | Ja | Ja |
Weitere Informationen zur Windows-Lizenzierung finden Sie unter Übersicht über die Windows-Lizenzierung.
PDE-Schutzebenen
PDE verwendet AES-CBC mit einem 256-Bit-Schlüssel zum Schutz von Inhalten und bietet zwei Schutzebenen. Die Schutzebene wird auf der Grundlage der organisatorischen Anforderungen festgelegt. Diese Ebenen können über die PDE-APIs festgelegt werden.
| Element | Level 1 | Level 2 |
|---|---|---|
| Zugriff auf durch PDE-geschützte Daten, wenn sich der Benutzer über Windows Hello for Business angemeldet hat | Ja | Ja |
| PDE-geschützte Daten sind auf dem Windows-Sperrbildschirm zugänglich | Ja | Der Zugriff auf die Daten ist nach der Sperre eine Minute lang möglich, danach sind sie nicht mehr verfügbar. |
| PDE-geschützte Daten sind zugänglich, nachdem sich der Benutzer von Windows abgemeldet hat | Nein | Nein |
| PDE-geschützte Daten sind zugänglich, wenn das Gerät ausgeschaltet ist | Nein | Nein |
| PDE-geschützte Daten sind über UNC-Pfade zugänglich | Nein | Nein |
| PDE-geschützte Daten sind zugänglich, wenn Sie mit dem Windows Kennwort anstelle von Windows Hello for Business signieren | Nein | Nein |
| PDE-geschützte Daten sind über eine Remote Desktop-Sitzung zugänglich | Nein | Nein |
| Von PDE verwendete Entschlüsselungsschlüssel werden verworfen | Nachdem sich der Benutzer von Windows abgemeldet hat | Eine Minute, nachdem der Sperrbildschirm von Windows aktiviert wurde oder nachdem sich der Benutzer von Windows abgemeldet hat |
PDE-geschützter Zugriff auf Inhalte
Wenn eine Datei mit PDE geschützt ist, wird auf dem Symbol ein Vorhängeschloss angezeigt. Wenn der Benutzer sich nicht lokal mit Windows Hello for Business angemeldet hat oder ein nicht autorisierter Benutzer versucht, auf PDE-geschützte Inhalte zuzugreifen, wird ihm der Zugriff auf diese Inhalte verweigert.
Zu den Szenarien, in denen einem Benutzer der Zugriff auf PDE-geschützte Inhalte verweigert wird, gehören::
- Der Benutzer hat sich über ein Kennwort bei Windows angemeldet, anstatt sich mit Windows Hello for Business biometrisch oder PIN anzumelden.
- Bei Schutz der Stufe 2, wenn das Gerät gesperrt ist
- Wenn Sie versuchen, aus der Ferne auf Inhalte auf dem Gerät zuzugreifen. Beispiel: UNC-Netzwerkpfade
- Remotedesktopsitzungen
- Andere Benutzer auf dem Gerät, die keine Besitzer der Inhalte sind, auch wenn sie über Windows Hello for Business angemeldet sind und über Berechtigungen zum Navigieren zu den PDE-geschützten Inhalten verfügen
Unterschiede zwischen PDE und BitLocker
PDE ist für die Zusammenarbeit mit BitLocker gedacht. PDE ist weder ein Ersatz für BitLocker noch ist BitLocker ein Ersatz für PDE. Wenn Sie beide Features zusammen verwenden, bietet dies mehr Sicherheit als wenn Sie nur BitLocker oder PDE verwenden. Es gibt jedoch Unterschiede zwischen BitLocker und PDE und wie sie funktionieren. Diese Unterschiede sind der Grund, warum die gemeinsame Verwendung der beiden Systeme mehr Sicherheit bietet.
| Element | PDE | BitLocker |
|---|---|---|
| Freigabe des Entschlüsselungsschlüssels | Bei der Anmeldung des Benutzers über Windows Hello for Business | Beim Start |
| Entschlüsselungsschlüssel verworfen | Wenn sich der Benutzer von Windows abmeldet oder eine Minute nach Aktivierung des Sperrbildschirms von Windows | Beim Herunterfahren |
| Geschützte Inhalte | Alle Dateien in geschützten Ordnern | Gesamter/s Datenträger/Laufwerk |
| Authentifizierung für den Zugriff auf geschützte Inhalte | Windows Hello for Business | Wenn BitLocker mit TPM + PIN aktiviert ist, werden die BitLocker-PIN und die Windows-Anmeldung verwendet |
Unterschiede zwischen PDE und EFS
Der Hauptunterschied zwischen dem Schutz von Dateien mit PDE anstelle von EFS ist die Methode, die sie zum Schutz der Datei verwenden. PDE verwendet Windows Hello for Business, um die Schlüssel zum Schutz der Dateien zu sichern. EFS verwendet Zertifikate, um die Dateien zu sichern und zu schützen.
Um zu sehen, ob eine Datei mit PDE oder mit EFS geschützt ist:
- Öffnen Sie die Eigenschaften der Datei
- Wählen Sie auf der Registerkarte Allgemein die Option Erweitert... aus
- Wählen Sie im Fenster Erweiterte Attribute die Option Details aus
Für PDE-geschützte Dateien finden Sie unter Schutzstatus: ein Element mit dem Namen Verschlüsselung personenbezogener Daten und dem Attribut Aktiviert.
Bei EFS-geschützten Dateien finden Sie unter Benutzer, die auf diese Datei zugreifen können: wird neben den Benutzern, die Zugriff auf die Datei haben, ein Zertifikatfingerabdruck angezeigt. Außerdem wird unten ein Abschnitt mit der Bezeichnung Wiederherstellungszertifikate für diese Datei gemäß der Wiederherstellungsrichtlinie: angezeigt.
Verschlüsselungsinformationen, einschließlich der Verschlüsselungsmethode, die zum Schutz der Datei verwendet wird, können mit dem cipher.exe /c Befehl abgerufen werden.
Empfehlungen für die Verwendung von PDE
Es folgen Empfehlungen für die Verwendung von PDE:
- Aktivieren Sie die BitLocker-Laufwerkverschlüsselung. Obwohl PDE ohne BitLocker funktioniert, wird empfohlen, BitLocker zu aktivieren. PDE soll zusammen mit BitLocker verwendet werden, um die Sicherheit zu erhöhen, da es kein Ersatz für BitLocker ist.
- Sicherungslösung wie OneDrive in Microsoft 365. In bestimmten Szenarien, z. B. TPM-Zurücksetzungen oder destruktive PIN-Zurücksetzungen, gehen die von PDE zum Schützen von Inhalten verwendeten Schlüssel verloren, sodass auf PDE-geschützte Inhalte nicht mehr zugegriffen werden kann. Die einzige Möglichkeit, solche Inhalte wiederherzustellen, ist aus einer Sicherung. Wenn die Dateien mit OneDrive synchronisiert werden, müssen Sie OneDrive erneut synchronisieren, um wieder Zugriff zu erhalten.
- Windows Hello for Business PIN-Zurücksetzungsdienst. Destruktive PIN-Zurücksetzungen führen dazu, dass schlüssel, die von PDE zum Schutz von Inhalten verwendet werden, verloren gehen, sodass auf alle mit PDE geschützten Inhalte nicht zugegriffen werden kann. Nach einer destruktiven PIN-Zurücksetzung müssen mit PDE geschützte Inhalte aus einer Sicherung wiederhergestellt werden. Aus diesem Grund wird Windows Hello for Business PIN-Zurücksetzungsdienst empfohlen, da er nicht destruktive PIN-Zurücksetzungen ermöglicht.
- Windows Hello Erweiterte Anmeldesicherheit bietet zusätzliche Sicherheit bei der Authentifizierung mit Windows Hello for Business über Biometrie oder PIN
Windows-Standardanwendungen, die PDE unterstützen
Bestimmte Windows-Anwendungen unterstützen PDE bereits von Haus aus. Wenn PDE auf einem Gerät aktiviert ist, verwenden diese Anwendungen PDE:
| Name der App | Details |
|---|---|
| Unterstützt den Schutz von E-Mail-Text und Anhängen |
Nächste Schritte
- Erfahren Sie mehr über die verfügbaren Optionen zum Konfigurieren von Personal Data Encryption (PDE) und deren Konfiguration über Microsoft Intune oder Konfigurationsdienstanbieter (CSP): PDE-Einstellungen und -Konfiguration
- Lesen Sie die häufig gestellten Fragen (Personal Data Encryption, PDE)
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für