PDE-Einstellungen und -Konfiguration
In diesem Artikel werden die PDE-Einstellungen (Personal Data Encryption) und deren Konfiguration über Microsoft Intune oder Configuration Service Providers (CSP) beschrieben.
Hinweis
PDE kann mithilfe von MDM-Richtlinien konfiguriert werden. Der durch PDE zu schützende Inhalt kann mithilfe von PDE-APIs angegeben werden. Es gibt keine Benutzeroberfläche in Windows, um PDE zu aktivieren oder Inhalte mithilfe von PDE zu schützen.
Die PDE-APIs können zur Erstellung benutzerdefinierter Anwendungen und Skripte verwendet werden, um festzulegen, welche Inhalte auf welcher Ebene geschützt werden sollen. Außerdem können die PDE-APIs erst dann zum Schutz von Inhalten verwendet werden, wenn die PDE-Richtlinie aktiviert wurde.
PDE-Einstellungen
In der folgenden Tabelle sind die erforderlichen Einstellungen zum Aktivieren von PDE aufgeführt.
| Einstellungsname | Beschreibung |
|---|---|
| Aktivieren der Verschlüsselung personenbezogener Daten | PDE ist standardmäßig nicht aktiviert. Bevor PDE verwendet werden kann, müssen Sie sie aktivieren. |
| Melden Sie sich an, und sperren Sie den letzten interaktiven Benutzer automatisch nach einem Neustart. | Für die Verwendung mit PDE wird keine Winlogon-Anmeldung (Automatic Restart Sign-On, ARSO) unterstützt. Um PDE verwenden zu können, muss ARSO deaktiviert sein. |
Empfehlungen zur PDE-Härtung
In der folgenden Tabelle sind die empfohlenen Einstellungen aufgeführt, um die Sicherheit von PDE zu verbessern.
| Einstellungsname | Beschreibung |
|---|---|
| Absturzabbilder und Liveabbilder im Kernelmodus | Absturzabbilder im Kernelmodus und Liveabbilder können möglicherweise dazu führen, dass die von PDE zum Schutz von Inhalten verwendeten Schlüssel offengelegt werden. Für größtmögliche Sicherheit sollten Sie Absturzabbilder und Liveabbilder im Kernelmodus deaktivieren. |
| Windows-Fehlerberichterstattung (WER)/Absturzabbilder im Benutzermodus | Die Deaktivierung der Windows-Fehlerberichterstattung verhindert Absturzabbilder im Benutzermodus. Absturzabbilder im Benutzermodus können möglicherweise dazu führen, dass die von PDE zum Schutz von Inhalten verwendeten Schlüssel offengelegt werden. Für größtmögliche Sicherheit sollten Sie Absturzabbilder im Benutzermodus deaktivieren. |
| Winterschlaf | Ruhezustandsdateien können dazu führen, dass die schlüssel, die von der Personal Data Encryption (PDE) zum Schutz von Inhalten verwendet werden, verfügbar gemacht werden. Für größtmögliche Sicherheit sollten Sie den Ruhezustand deaktivieren. |
| Benutzer ermöglichen auszuwählen, ob ein Kennwort erforderlich ist, wenn eine Sitzung aus dem Ruhezustand fortgesetzt wird | Wenn diese Richtlinie auf Microsoft Entra verbundenen Geräten nicht konfiguriert ist, können Benutzer auf einem verbundenen Standbygerät die Zeitspanne nach dem Ausschalten des Gerätebildschirms ändern, bevor ein Kennwort zum Reaktivieren des Geräts erforderlich ist. Während der Zeit, in der der Bildschirm deaktiviert ist, aber kein Kennwort erforderlich ist, könnten die von PDE verwendeten Schlüssel zum Schutz von Inhalten möglicherweise offengelegt werden. Es wird empfohlen, diese Richtlinie auf Microsoft Entra eingebundenen Geräten explizit zu deaktivieren. |
Konfigurieren von PDE mit Microsoft Intune
Wenn Sie Microsoft Intune verwenden, um Ihre Geräte zu verwalten, können Sie PDE mithilfe einer Datenträgerverschlüsselungsrichtlinie, einer Einstellungskatalogrichtlinie oder eines benutzerdefinierten Profils konfigurieren.
Datenträgerverschlüsselungsrichtlinie
Navigieren Sie zum Konfigurieren von Geräten mit einer Datenträgerverschlüsselungsrichtlinie zu Endpunktsicherheit>Datenträgerverschlüsselung , und wählen Sie Richtlinie erstellen aus:
- Bahnsteig>Fenster
- Profil>Verschlüsselung personenbezogener Daten
Geben Sie einen Namen an, und wählen Sie Weiter aus. Wählen Sie auf der Seite Konfigurationseinstellungen die Option Personenbezogene Datenverschlüsselung aktivieren aus, und konfigurieren Sie die Einstellungen nach Bedarf.
Weisen Sie die Richtlinie einer Gruppe zu, die als Mitglieder die Geräte oder Benutzer enthält, die Sie konfigurieren möchten.
Einstellungskatalogrichtlinie
Um Geräte mit Microsoft Intune zu konfigurieren, erstellen Sie eine Einstellungskatalogrichtlinie, und verwenden Sie die folgenden Einstellungen:
| Kategorie | Einstellungsname | Wert |
|---|---|---|
| PDE | Aktivieren der Verschlüsselung personenbezogener Daten (Benutzer) | Aktivieren der Verschlüsselung personenbezogener Daten |
| Administrative Vorlagen > Windows-Komponenten > Windows-Anmeldeoptionen | Melden Sie sich an, und sperren Sie den letzten interaktiven Benutzer automatisch nach einem Neustart. | Deaktiviert |
| Speicherabbild | Liveabbild zulassen | Blockieren |
| Speicherabbild | Absturzabbild zulassen | Blockieren |
| Administrative Vorlagen > Windows-Komponenten > Windows-Fehlerberichterstattung | Deaktivieren von Windows-Fehlerberichterstattung | Aktiviert |
| Leistung | Ruhezustand zulassen | Blockieren |
| Administrative Vorlagen > Systemanmeldung > | Benutzer ermöglichen auszuwählen, ob ein Kennwort erforderlich ist, wenn eine Sitzung aus dem Ruhezustand fortgesetzt wird | Deaktiviert |
Weisen Sie die Richtlinie einer Gruppe zu, die als Mitglieder die Geräte oder Benutzer enthält, die Sie konfigurieren möchten.
Tipp
Verwenden Sie den folgenden Graph-Aufruf, um die Einstellungskatalogrichtlinie automatisch in Ihrem Mandanten ohne Zuweisungen oder Bereichstags zu erstellen.
Wenn Sie diesen Aufruf verwenden, authentifizieren Sie sich bei Ihrem Mandanten im Fenster Graph Explorer. Wenn Graph Explorer zum ersten Mal verwendet wird, müssen Sie die Anwendung möglicherweise für den Zugriff auf Ihren Mandanten autorisieren oder die vorhandenen Berechtigungen ändern. Dieser Graphaufruf erfordert DeviceManagementConfiguration.ReadWrite.All-Berechtigungen .
POST https://graph.microsoft.com/beta/deviceManagement/configurationPolicies
Content-Type: application/json
{ "id": "00-0000-0000-0000-000000000000", "name": "_MSLearn_PDE", "description": "", "platforms": "windows10", "technologies": "mdm", "roleScopeTagIds": [ "0" ], "settings": [ { "@odata.type": "#microsoft.graph.deviceManagementConfigurationSetting", "settingInstance": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingInstance", "settingDefinitionId": "device_vendor_msft_policy_config_admx_credentialproviders_allowdomaindelaylock", "choiceSettingValue": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingValue", "value": "device_vendor_msft_policy_config_admx_credentialproviders_allowdomaindelaylock_0", "children": [] } } }, { "@odata.type": "#microsoft.graph.deviceManagementConfigurationSetting", "settingInstance": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingInstance", "settingDefinitionId": "device_vendor_msft_policy_config_errorreporting_disablewindowserrorreporting", "choiceSettingValue": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingValue", "value": "device_vendor_msft_policy_config_errorreporting_disablewindowserrorreporting_1", "children": [] } } }, { "@odata.type": "#microsoft.graph.deviceManagementConfigurationSetting", "settingInstance": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingInstance", "settingDefinitionId": "device_vendor_msft_policy_config_windowslogon_allowautomaticrestartsignon", "choiceSettingValue": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingValue", "value": "device_vendor_msft_policy_config_windowslogon_allowautomaticrestartsignon_0", "children": [] } } }, { "@odata.type": "#microsoft.graph.deviceManagementConfigurationSetting", "settingInstance": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingInstance", "settingDefinitionId": "device_vendor_msft_policy_config_memorydump_allowcrashdump", "choiceSettingValue": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingValue", "value": "device_vendor_msft_policy_config_memorydump_allowcrashdump_0", "children": [] } } }, { "@odata.type": "#microsoft.graph.deviceManagementConfigurationSetting", "settingInstance": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingInstance", "settingDefinitionId": "device_vendor_msft_policy_config_memorydump_allowlivedump", "choiceSettingValue": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingValue", "value": "device_vendor_msft_policy_config_memorydump_allowlivedump_0", "children": [] } } }, { "@odata.type": "#microsoft.graph.deviceManagementConfigurationSetting", "settingInstance": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingInstance", "settingDefinitionId": "user_vendor_msft_pde_enablepersonaldataencryption", "choiceSettingValue": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingValue", "value": "user_vendor_msft_pde_enablepersonaldataencryption_1", "children": [] } } }, { "@odata.type": "#microsoft.graph.deviceManagementConfigurationSetting", "settingInstance": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingInstance", "settingDefinitionId": "device_vendor_msft_policy_config_power_allowhibernate", "choiceSettingValue": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingValue", "value": "device_vendor_msft_policy_config_power_allowhibernate_0", "children": [] } } } ] }
Konfigurieren von PDE mit CSP
Alternativ können Sie Geräte mithilfe des Richtlinien-CSP und des PDE-CSP konfigurieren.
| OMA-URI | Format | Wert |
|---|---|---|
./User/Vendor/MSFT/PDE/EnablePersonalDataEncryption |
int | 1 |
./Device/Vendor/MSFT/Policy/Config/WindowsLogon/AllowAutomaticRestartSignOn |
string | <disabled/> |
./Device/Vendor/MSFT/Policy/Config/MemoryDump/AllowCrashDump |
int | 0 |
./Device/Vendor/MSFT/Policy/Config/MemoryDump/AllowLiveDump |
int | 0 |
./Device/Vendor/MSFT/Policy/Config/ErrorReporting/DisableWindowsErrorReporting |
string | <enabled/> |
./Device/Vendor/MSFT/Policy/Config/Power/AllowHibernate |
int | 0 |
./Device/Vendor/MSFT/Policy/Config/ADMX_CredentialProviders/AllowDomainDelayLock |
string | <disabled/> |
Deaktivieren von PDE
Sobald PDE aktiviert ist, ist es nicht empfehlenswert, es zu deaktivieren. Wenn Sie PDE jedoch deaktivieren müssen, können Sie dies mithilfe der folgenden Schritte tun.
Deaktivieren von PDE mit einer Datenträgerverschlüsselungsrichtlinie
Um PDE-Geräte mithilfe einer Datenträgerverschlüsselungsrichtlinie zu deaktivieren, wechseln Sie zu Endpunktsicherheit>Datenträgerverschlüsselung , und wählen Sie Richtlinie erstellen aus:
- Bahnsteig>Fenster
- Profil>Verschlüsselung personenbezogener Daten
Geben Sie einen Namen an, und wählen Sie Weiter aus. Wählen Sie auf der Seite Konfigurationseinstellungen die Option Verschlüsselung personenbezogener Daten deaktivieren aus.
Weisen Sie die Richtlinie einer Gruppe zu, die als Mitglieder die Geräte oder Benutzer enthält, die Sie konfigurieren möchten.
Deaktivieren von PDE mit einer Einstellungskatalogrichtlinie in Intune
Um Geräte mit Microsoft Intune zu konfigurieren, erstellen Sie eine Einstellungskatalogrichtlinie, und verwenden Sie die folgenden Einstellungen:
| Kategorie | Einstellungsname | Wert |
|---|---|---|
| PDE | Aktivieren der Verschlüsselung personenbezogener Daten (Benutzer) | Deaktivieren der Verschlüsselung personenbezogener Daten |
Weisen Sie die Richtlinie einer Gruppe zu, die als Mitglieder die Geräte oder Benutzer enthält, die Sie konfigurieren möchten.
Deaktivieren von PDE mit CSP
Sie können PDE mit CSP mithilfe der folgenden Einstellung deaktivieren:
| OMA-URI | Format | Wert |
|---|---|---|
./User/Vendor/MSFT/PDE/EnablePersonalDataEncryption |
int | 0 |
Entschlüsseln von PDE-verschlüsselten Inhalten
Die Deaktivierung von PDE entschlüsselt keine PDE-geschützten Inhalte. Sie verhindert lediglich, dass die PDE-API zusätzliche Inhalte schützen kann. PDE-geschützte Dateien können mithilfe der folgenden Schritte manuell entschlüsselt werden:
- Öffnen Sie die Eigenschaften der Datei
- Wählen Sie auf der Registerkarte Allgemein die Option Erweitert... aus
- Deaktivieren Sie die Option Inhalte verschlüsseln, um Daten zu schützen
- Wählen Sie OK, und dann noch einmal OK aus
PDE-geschützte Dateien können auch mit cipher.exeentschlüsselt werden, was in den folgenden Szenarien hilfreich sein kann:
- Entschlüsseln einer großen Anzahl von Dateien auf einem Gerät
- Entschlüsseln von Dateien auf mehreren Geräten
So entschlüsseln Sie Dateien auf einem Gerät mit cipher.exe:
Entschlüsseln Sie alle Dateien unter einem Verzeichnis, einschließlich der Unterverzeichnisse:
cipher.exe /d /s:<path_to_directory>Entschlüsselt eine einzelne Datei oder alle Dateien im angegebenen Verzeichnis, aber keine Unterverzeichnisse:
cipher.exe /d <path_to_file_or_directory>
Wichtig
Sobald ein Benutzer die manuelle Entschlüsselung einer Datei auswählt, kann der Benutzer die Datei nicht mehr manuell mithilfe von PDE schützen.
Nächste Schritte
- Lesen Sie die häufig gestellten Fragen (Personal Data Encryption, PDE)