Windows 客户端中的加密和数据保护
当人们带着他们的计算机和设备旅行时,他们的机密信息会随他们一起传输。 无论在何处存储机密数据,都必须保护机密数据免受未经授权的访问,无论是通过物理设备盗窃还是恶意应用程序。 加密和数据保护功能包括:
- 加密硬盘驱动器
- BitLocker
加密硬盘驱动器
加密硬盘驱动器使用 BitLocker 驱动器加密提供的快速加密来增强数据安全性和管理。 通过将加密操作卸载到硬件,加密硬盘驱动器可以提高 BitLocker 性能并减少 CPU 使用率和功耗。 由于加密的硬盘驱动器可快速加密数据,因此企业设备可以扩展 BitLocker 部署,对工作效率的影响最小。
加密硬盘驱动器提供:
- 更好的性能:集成到驱动器控制器中的加密硬件允许驱动器以完整数据速率运行,且不会降低性能。
- 基于硬件的强安全性:加密始终“打开”,用于加密的密钥永远不会离开硬盘驱动器。 用户身份验证由驱动器在解锁之前执行,与操作系统无关。
- 易用性:加密对用户是透明的,用户不需要启用它。 使用板载加密密钥可以轻松擦除加密的硬盘驱动器;无需重新加密驱动器上的数据。
- 降低拥有成本:无需使用新的基础结构来管理加密密钥,因为 BitLocker 使用现有基础结构来存储恢复信息。 你的设备可更高效地运行,因为处理器周期无需用于加密过程。
加密硬盘驱动器是一类新的硬盘驱动器,在硬件级别自加密并允许完全磁盘硬件加密。
BitLocker
BitLocker 驱动器加密是一项数据保护功能,它与操作系统集成,用于解决来自丢失、被盗或销毁不当的计算机的数据被盗或泄露的威胁。
BitLocker 使用硬件安全测试接口 (HSTI) 、新式待机、UEFI 安全启动和 TPM 等技术,为操作系统、固定数据和可移动数据驱动器提供加密。
Windows 通过改进现有选项和提供新策略来持续改善数据保护。
个人数据加密 (PDE)
(适用于:Windows 11版本 22H2 及更高版本)
个人数据加密 (PDE) 是 Windows 11 版本 22H2 中引入的一项安全功能,它为 Windows 提供额外的加密功能。 PDE 与 BitLocker 的不同之处在于,它加密单个文件和内容,而不是整个卷和磁盘。 除了其他加密方法(如 BitLocker)之外,还会发生 PDE。
PDE 利用Windows Hello 企业版将数据加密密钥与用户凭据链接。 此功能可以最大程度地减少用户为访问内容而必须记住的凭据数。 例如,将 BitLocker 与 PIN 配合使用时,用户需要两次进行身份验证-一次是使用 BitLocker PIN,另一次是使用 Windows 凭据。 此要求要求用户记住两个不同的凭据。 使用 PDE 时,用户只需通过Windows Hello 企业版输入一组凭据。
由于 PDE 利用Windows Hello 企业版,因此 PDE 也易于访问,因为使用 Windows Hello 企业版 时可以使用辅助功能。
与在启动时释放数据加密密钥的 BitLocker 不同,PDE 在用户使用 Windows Hello 企业版 登录之前不会释放数据加密密钥。 用户只有在使用 Windows Hello 企业版 登录到 Windows 后才能访问其受 PDE 保护的内容。 此外,PDE 还可以在设备锁定时放弃加密密钥。
注意
可以使用 MDM 策略启用 PDE。 可以使用 PDE API 指定受 PDE 保护的内容。 Windows 中没有用于启用 PDE 或使用 PDE 保护内容的用户界面。