Configuração e configuração do PDE
Este artigo descreve as configurações de PDE (Personal Data Encryption) e como configurá-las por meio de Microsoft Intune ou CSP (Provedores de Serviço de Configuração).
Observação
O PDE pode ser configurado usando políticas de MDM. O conteúdo a ser protegido por PDE pode ser especificado usando APIs de PDE. Não há interface de usuário no Windows para ativar o PDE ou proteger o conteúdo usando o PDE.
As APIs de PDE podem ser usadas para criar aplicativos e scripts personalizados para especificar qual conteúdo proteger e em que nível proteger o conteúdo. Além disso, as APIs de PDE não podem ser usadas para proteger o conteúdo até que a política PDE tenha sido habilitada.
Configurações do PDE
A tabela a seguir lista as configurações necessárias para habilitar o PDE.
Nome da configuração | Descrição |
---|---|
Habilitar a criptografia de dados pessoais | O PDE não está habilitado por padrão. Antes que o PDE possa ser usado, você deve habilitá-lo. |
Entrar e bloquear o último usuário interativo automaticamente após uma reinicialização | O ARSO (logon de reinicialização automática) do Winlogon não tem suporte para uso com PDE. Para usar o PDE, o ARSO deve estar desabilitado. |
Recomendações de endurecimento do PDE
A tabela a seguir lista as configurações recomendadas para melhorar a segurança do PDE.
Nome da configuração | Descrição |
---|---|
Despejos de falha no modo kernel e despejos ao vivo | Despejos de memória e despejos dinâmicos no modo kernel podem potencialmente fazer com que as chaves usadas pela PDE protejam o conteúdo a serem expostas. Para maior segurança, desabilite despejos de memória e despejos dinâmicos no modo kernel. |
Relatório de Erros do Windows (WER)/despejos de falha no modo de usuário | Desabilitar Relatório de Erros do Windows impede despejos de memória no modo de usuário. Despejos de memória no modo de usuário podem potencialmente fazer com que as chaves usadas pela PDE protejam o conteúdo a serem expostas. Para maior segurança, desabilite os despejos de memória do modo de usuário. |
Hibernação | Os arquivos de hibernação podem potencialmente fazer com que as chaves usadas pela PDE (Personal Data Encryption) protejam o conteúdo a ser exposto. Para maior segurança, desabilite a hibernação. |
Permitir que os usuários selecionem quando a senha é obrigatória após retomar do modo de espera conectado | Quando essa política não estiver configurada em Microsoft Entra dispositivos ingressados, os usuários em um dispositivo de Espera Conectada podem alterar a quantidade de tempo após a tela do dispositivo ser desligada antes que uma senha seja necessária para acordar o dispositivo. Durante o tempo em que a tela é desligada, mas uma senha não é exigida, as chaves usadas pela PDE para proteger o conteúdo podem ser expostas. É recomendável desabilitar explicitamente essa política em Microsoft Entra dispositivos ingressados. |
Configurar o PDE com Microsoft Intune
Para configurar dispositivos com Microsoft Intune, crie uma política de catálogo de configurações e use as seguintes configurações:
Categoria | Nome da configuração | Valor |
---|---|---|
PDE | Habilitar a criptografia de dados pessoais (usuário) | Habilitar a criptografia de dados pessoais |
Modelos administrativos > Windows Components > Windows Logon Options | Entrar e bloquear o último usuário interativo automaticamente após uma reinicialização | Desabilitado |
Despejo de Memória | Permitir despejo ao vivo | Bloqueio |
Despejo de Memória | Permitir despejo de falhas | Bloqueio |
Modelos administrativos componentes >> do Windows Relatório de Erros do Windows | Desabilitar Relatório de Erros do Windows | Habilitada |
Power | Permitir hibernar | Bloqueio |
Logon do Sistema > de Modelos Administrativos > | Permitir que os usuários selecionem quando a senha é obrigatória após retomar do modo de espera conectado | Desabilitado |
Atribua a política a um grupo que contém como membros os dispositivos ou usuários que você deseja configurar.
Dica
Use a chamada grafo a seguir para criar automaticamente a política de catálogo de configurações em seu locatário sem atribuições nem marcas de escopo.
Ao usar essa chamada, autentique-se no locatário na janela graph Explorer. Se for a primeira vez que usar o Graph Explorer, talvez seja necessário autorizar o aplicativo a acessar seu locatário ou modificar as permissões existentes. Essa chamada de grafo requer permissões DeviceManagementConfiguration.ReadWrite.All .
POST https://graph.microsoft.com/beta/deviceManagement/configurationPolicies
Content-Type: application/json
{ "id": "00-0000-0000-0000-000000000000", "name": "_MSLearn_PDE", "description": "", "platforms": "windows10", "technologies": "mdm", "roleScopeTagIds": [ "0" ], "settings": [ { "@odata.type": "#microsoft.graph.deviceManagementConfigurationSetting", "settingInstance": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingInstance", "settingDefinitionId": "device_vendor_msft_policy_config_admx_credentialproviders_allowdomaindelaylock", "choiceSettingValue": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingValue", "value": "device_vendor_msft_policy_config_admx_credentialproviders_allowdomaindelaylock_0", "children": [] } } }, { "@odata.type": "#microsoft.graph.deviceManagementConfigurationSetting", "settingInstance": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingInstance", "settingDefinitionId": "device_vendor_msft_policy_config_errorreporting_disablewindowserrorreporting", "choiceSettingValue": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingValue", "value": "device_vendor_msft_policy_config_errorreporting_disablewindowserrorreporting_1", "children": [] } } }, { "@odata.type": "#microsoft.graph.deviceManagementConfigurationSetting", "settingInstance": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingInstance", "settingDefinitionId": "device_vendor_msft_policy_config_windowslogon_allowautomaticrestartsignon", "choiceSettingValue": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingValue", "value": "device_vendor_msft_policy_config_windowslogon_allowautomaticrestartsignon_0", "children": [] } } }, { "@odata.type": "#microsoft.graph.deviceManagementConfigurationSetting", "settingInstance": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingInstance", "settingDefinitionId": "device_vendor_msft_policy_config_memorydump_allowcrashdump", "choiceSettingValue": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingValue", "value": "device_vendor_msft_policy_config_memorydump_allowcrashdump_0", "children": [] } } }, { "@odata.type": "#microsoft.graph.deviceManagementConfigurationSetting", "settingInstance": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingInstance", "settingDefinitionId": "device_vendor_msft_policy_config_memorydump_allowlivedump", "choiceSettingValue": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingValue", "value": "device_vendor_msft_policy_config_memorydump_allowlivedump_0", "children": [] } } }, { "@odata.type": "#microsoft.graph.deviceManagementConfigurationSetting", "settingInstance": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingInstance", "settingDefinitionId": "user_vendor_msft_pde_enablepersonaldataencryption", "choiceSettingValue": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingValue", "value": "user_vendor_msft_pde_enablepersonaldataencryption_1", "children": [] } } }, { "@odata.type": "#microsoft.graph.deviceManagementConfigurationSetting", "settingInstance": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingInstance", "settingDefinitionId": "device_vendor_msft_policy_config_power_allowhibernate", "choiceSettingValue": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingValue", "value": "device_vendor_msft_policy_config_power_allowhibernate_0", "children": [] } } } ] }
Configurar o PDE com o CSP
Como alternativa, você pode configurar dispositivos usando o CSP da Política e o CSP do PDE.
OMA-URI | Formato | Valor |
---|---|---|
./User/Vendor/MSFT/PDE/EnablePersonalDataEncryption |
int | 1 |
./Device/Vendor/MSFT/Policy/Config/WindowsLogon/AllowAutomaticRestartSignOn |
string | <disabled/> |
./Device/Vendor/MSFT/Policy/Config/MemoryDump/AllowCrashDump |
int | 0 |
./Device/Vendor/MSFT/Policy/Config/MemoryDump/AllowLiveDump |
int | 0 |
./Device/Vendor/MSFT/Policy/Config/ErrorReporting/DisableWindowsErrorReporting |
string | <enabled/> |
./Device/Vendor/MSFT/Policy/Config/Power/AllowHibernate |
int | 0 |
./Device/Vendor/MSFT/Policy/Config/ADMX_CredentialProviders/AllowDomainDelayLock |
string | <disabled/> |
Desabilitar PDE
Depois que a PDE estiver habilitada, não é recomendável desabilitá-la. No entanto, se você precisar desabilitar o PDE, poderá fazê-lo usando as etapas a seguir.
Desabilitar o PDE com uma política de catálogo de configurações no Intune
Para configurar dispositivos com Microsoft Intune, crie uma política de catálogo de configurações e use as seguintes configurações:
Categoria | Nome da configuração | Valor |
---|---|---|
PDE | Habilitar a criptografia de dados pessoais (usuário) | Desabilitar a criptografia de dados pessoais |
Atribua a política a um grupo que contém como membros os dispositivos ou usuários que você deseja configurar.
Desabilitar o PDE com o CSP
Você pode desabilitar o PDE com o CSP usando a seguinte configuração:
OMA-URI | Formato | Valor |
---|---|---|
./User/Vendor/MSFT/PDE/EnablePersonalDataEncryption |
int | 0 |
Descriptografar conteúdo criptografado por PDE
Desabilitar a PDE não descriptografa nenhum conteúdo protegido por PDE. Isso só impede que a API do PDE seja capaz de proteger qualquer conteúdo adicional. Os arquivos protegidos pelo PDE podem ser descriptografados manualmente usando as seguintes etapas:
- Abrir as propriedades do arquivo
- Na guia Geral, selecione Avançado...
- Desmarque a opção Criptografar conteúdo para proteger dados
- Escolha OK e OK novamente.
Os arquivos protegidos por PDE também podem ser descriptografados usando cipher.exe
, o que pode ser útil nos seguintes cenários:
- Descriptografar um grande número de arquivos em um dispositivo
- Descriptografando arquivos em vários dispositivos
Para descriptografar arquivos em um dispositivo por meio de cipher.exe
:
Descriptografe todos os arquivos em um diretório, incluindo subdiretórios:
cipher.exe /d /s:<path_to_directory>
Descriptografe um único arquivo ou todos os arquivos no diretório especificado, mas não em qualquer subdiretório:
cipher.exe /d <path_to_file_or_directory>
Importante
Depois que um usuário selecionar para descriptografar manualmente um arquivo, o usuário não poderá proteger manualmente o arquivo novamente usando PDE.
Próximas etapas
Comentários
https://aka.ms/ContentUserFeedback.
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulteEnviar e exibir comentários de