Cifrado de datos personales (PDE)
A partir de Windows 11, versión 22H2, Cifrado de datos personales (PDE) es una característica de seguridad que proporciona funcionalidades de cifrado de datos basadas en archivos a Windows.
PDE usa Windows Hello para empresas para vincular claves de cifrado de datos con credenciales de usuario. Cuando un usuario inicia sesión en un dispositivo mediante Windows Hello para empresas, se liberan las claves de descifrado y los datos cifrados son accesibles para el usuario.
Cuando un usuario cierra la sesión, se descartan las claves de descifrado y no se pueden acceder a los datos, incluso si otro usuario inicia sesión en el dispositivo.
El uso de Windows Hello para empresas ofrece las siguientes ventajas:
- Reduce el número de credenciales para acceder al contenido cifrado: los usuarios solo necesitan iniciar sesión con Windows Hello para empresas
- Las características de accesibilidad disponibles al usar Windows Hello para empresas ampliar al contenido protegido por PDE
PDE difiere de BitLocker en que cifra archivos en lugar de discos y volúmenes enteros. PDE se produce, además, en otros métodos de cifrado, como BitLocker.
A diferencia de BitLocker, que libera claves de cifrado de datos en el arranque, PDE no libera las claves de cifrado de datos hasta que un usuario inicia sesión con Windows Hello para empresas.
Requisitos previos
Para usar PDE, deben cumplirse los siguientes requisitos previos:
- Windows 11, versión 22H2 y posteriores
- Los dispositivos deben estar Microsoft Entra unidos. No se admiten dispositivos unidos a dominios y Microsoft Entra híbridos
- Los usuarios deben iniciar sesión con Windows Hello para empresas
Importante
Si inicia sesión con una contraseña o una clave de seguridad, no podrá acceder al contenido protegido por PDE.
Requisitos de licencia y de la edición de Windows
En la tabla siguiente se enumeran las ediciones de Windows que admiten el cifrado de datos personales (PDE):
| Windows Pro | Windows Enterprise | Windows Pro Education/SE | Windows Education |
|---|---|---|---|
| No | Sí | No | Sí |
Los derechos de licencia de cifrado de datos personales (PDE) se conceden mediante las siguientes licencias:
| Windows Pro/Pro Education/SE | Windows Enterprise E3 | Windows Enterprise E5 | Windows Education A3 | Windows Education A5 |
|---|---|---|---|---|
| No | Sí | Sí | Sí | Sí |
Se puede obtener más información sobre las licencias de Windows en Información general sobre las licencias de Windows.
Niveles de protección de PDE
PDE usa AES-CBC con una clave de 256 bits para proteger el contenido y ofrece dos niveles de protección. El nivel de protección se determina en función de las necesidades de la organización. Estos niveles se pueden establecer a través de las API de PDE.
| Elemento | Nivel 1 | Nivel 2 |
|---|---|---|
| Datos protegidos por PDE accesibles cuando el usuario ha iniciado sesión a través de Windows Hello para empresas | Sí | Sí |
| Los datos protegidos por PDE son accesibles en la pantalla de bloqueo de Windows | Sí | Los datos son accesibles durante un minuto después del bloqueo y, después, ya no están disponibles. |
| Los datos protegidos por PDE son accesibles después de que el usuario cierre sesión en Windows | No | No |
| Los datos protegidos por PDE son accesibles cuando el dispositivo se apaga | No | No |
| Se puede acceder a los datos protegidos por PDE a través de rutas UNC | No | No |
| Los datos protegidos por PDE son accesibles al firmar con contraseña de Windows en lugar de Windows Hello para empresas | No | No |
| Se puede acceder a los datos protegidos por PDE a través de la sesión de Escritorio remoto | No | No |
| Claves de descifrado usadas por PDE descartadas | Después de que el usuario cierre la sesión de Windows | Un minuto después de que la pantalla de bloqueo de Windows esté activa o después de que el usuario cierre la sesión de Windows |
Accesibilidad del contenido protegido por PDE
Cuando un archivo está protegido con PDE, su icono mostrará un candado. Si el usuario no ha iniciado sesión localmente con Windows Hello para empresas o un usuario no autorizado intenta acceder al contenido protegido por PDE, se le denegará el acceso al contenido.
Entre los casos en los que se denegará a un usuario el acceso al contenido protegido por PDE se incluyen:
- El usuario ha iniciado sesión en Windows mediante una contraseña en lugar de iniciar sesión con Windows Hello para empresas biométrica o PIN
- Si está protegido a través de la protección de nivel 2, cuando el dispositivo está bloqueado
- Al intentar acceder al contenido del dispositivo de forma remota. Por ejemplo, rutas de acceso de red UNC
- Sesiones de Escritorio remoto
- Otros usuarios del dispositivo que no son propietarios del contenido, incluso si han iniciado sesión a través de Windows Hello para empresas y tienen permisos para navegar al contenido protegido por PDE
Diferencias entre PDE y BitLocker
PDE está diseñado para trabajar junto con BitLocker. PDE no es un reemplazo de BitLocker, ni BitLocker es un reemplazo de PDE. El uso conjunto de ambas características proporciona una mejor seguridad que usar BitLocker o PDE solo. Sin embargo, hay diferencias entre BitLocker y PDE y cómo funcionan. Estas diferencias son la razón por la que usarlos juntos ofrece una mejor seguridad.
| Elemento | PDE | BitLocker |
|---|---|---|
| Liberación de la clave de descifrado | En el inicio de sesión del usuario a través de Windows Hello para empresas | En el arranque |
| Claves de descifrado descartadas | Cuando el usuario cierra sesión en Windows o un minuto después de activar la pantalla de bloqueo de Windows | Al apagar |
| Contenido protegido | Todos los archivos de carpetas protegidas | Volumen o unidad completos |
| Autenticación para acceder al contenido protegido | Windows Hello para empresas | Cuando BitLocker con TPM + PIN está habilitado, el PIN de BitLocker y el inicio de sesión de Windows |
Diferencias entre PDE y EFS
La principal diferencia entre proteger archivos con PDE en lugar de EFS es el método que usan para proteger el archivo. PDE usa Windows Hello para empresas para proteger las claves que protegen los archivos. EFS usa certificados para proteger y proteger los archivos.
Para ver si un archivo está protegido con PDE o con EFS:
- Abre las propiedades del archivo
- En la pestaña General, seleccione Opciones avanzadas...
- En las ventanas Atributos avanzados, seleccione Detalles.
En el caso de los archivos protegidos por PDE, en Estado de protección: habrá un elemento que aparezca como Cifrado de datos personales: y tendrá el atributo Activado.
En el caso de los archivos protegidos por EFS, en Usuarios que pueden acceder a este archivo:, habrá una huella digital de certificado junto a los usuarios con acceso al archivo. También habrá una sección en la parte inferior con la etiqueta Certificados de recuperación para este archivo tal y como se define en la directiva de recuperación:.
La información de cifrado, incluido el método de cifrado que se usa para proteger el archivo, se puede obtener con el cipher.exe /c comando .
Recomendaciones para usar PDE
Las siguientes son recomendaciones para usar PDE:
- Habilite el cifrado de unidad bitlocker. Aunque PDE funciona sin BitLocker, se recomienda habilitar BitLocker. PDE está diseñado para trabajar junto con BitLocker para aumentar la seguridad en él no es un reemplazo para BitLocker
- Solución de copia de seguridad, como OneDrive en Microsoft 365. En determinados escenarios, como restablecimientos de TPM o restablecimientos de PIN destructivos, las claves usadas por PDE para proteger el contenido se perderán haciendo que cualquier contenido protegido por PDE sea inaccesible. La única manera de recuperar este contenido es desde una copia de seguridad. Si los archivos se sincronizan con OneDrive, para recuperar el acceso debe volver a sincronizar OneDrive.
- Windows Hello para empresas servicio de restablecimiento de PIN. Los restablecimientos de PIN destructivos harán que las claves usadas por PDE para proteger el contenido se pierdan, lo que hará que no se pueda acceder a cualquier contenido protegido con PDE. Después de un restablecimiento de PIN destructivo, el contenido protegido con PDE debe recuperarse de una copia de seguridad. Por este motivo, se recomienda Windows Hello para empresas servicio de restablecimiento de PIN, ya que proporciona restablecimientos de PIN no destructivos.
- Windows Hello seguridad de inicio de sesión mejorada ofrece seguridad adicional al autenticarse con Windows Hello para empresas a través de biometría o PIN
Aplicaciones de Windows que admiten PDE
Algunas aplicaciones de Windows admiten PDE de fábrica. Si PDE está habilitado en un dispositivo, estas aplicaciones usarán PDE:
| Nombre de la aplicación | Detalles |
|---|---|
| Correo | Admite la protección tanto de los cuerpos de correo electrónico como de los datos adjuntos |
Pasos siguientes
- Obtenga información sobre las opciones disponibles para configurar el cifrado de datos personales (PDE) y cómo configurarlas a través de Microsoft Intune o el proveedor de servicios de configuración (CSP): configuración y configuración de PDE
- Revise las preguntas más frecuentes sobre el cifrado de datos personales (PDE)
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de