Einstellungen und Konfiguration der Verschlüsselung personenbezogener Daten
In diesem Artikel werden die Einstellungen für die Verschlüsselung personenbezogener Daten und deren Konfiguration über Microsoft Intune oder Konfigurationsdienstanbieter (Configuration Service Providers, CSP) beschrieben.
Hinweis
Die Verschlüsselung personenbezogener Daten kann mithilfe von MDM-Richtlinien konfiguriert werden. Der Inhalt, der durch die Verschlüsselung personenbezogener Daten geschützt werden soll, kann mithilfe von APIs für die Verschlüsselung personenbezogener Daten angegeben werden. Es gibt keine Benutzeroberfläche in Windows, um die Verschlüsselung personenbezogener Daten zu aktivieren oder Inhalte mithilfe der Verschlüsselung personenbezogener Daten zu schützen.
Die APIs für die Verschlüsselung personenbezogener Daten können verwendet werden, um benutzerdefinierte Anwendungen und Skripts zu erstellen, um anzugeben, welche Inhalte geschützt werden sollen und auf welcher Ebene der Inhalt geschützt werden soll. Darüber hinaus können die APIs für die Verschlüsselung personenbezogener Daten erst zum Schutz von Inhalten verwendet werden, wenn die Richtlinie für die Verschlüsselung personenbezogener Daten aktiviert wurde.
Einstellungen für die Verschlüsselung personenbezogener Daten
In der folgenden Tabelle sind die erforderlichen Einstellungen zum Aktivieren der Verschlüsselung personenbezogener Daten aufgeführt.
| Einstellungsname | Beschreibung |
|---|---|
| Aktivieren der Verschlüsselung personenbezogener Daten | Die Verschlüsselung personenbezogener Daten ist standardmäßig nicht aktiviert. Bevor die Verschlüsselung personenbezogener Daten verwendet werden kann, müssen Sie sie aktivieren. |
| Melden Sie sich an, und sperren Sie den letzten interaktiven Benutzer automatisch nach einem Neustart. | Winlogon Automatic Restart Sign-On (ARSO) wird für die Verwendung mit der Verschlüsselung personenbezogener Daten nicht unterstützt. Um die Verschlüsselung personenbezogener Daten verwenden zu können, muss ARSO deaktiviert sein. |
Empfehlungen zur Härtung der Verschlüsselung personenbezogener Daten
In der folgenden Tabelle sind die empfohlenen Einstellungen aufgeführt, um die Sicherheit von Personal Data Encryption zu verbessern.
| Einstellungsname | Beschreibung |
|---|---|
| Absturzabbilder und Liveabbilder im Kernelmodus | Absturzabbilder im Kernelmodus und Liveabbilder können potenziell dazu führen, dass die Schlüssel verfügbar gemacht werden, die von der Verschlüsselung personenbezogener Daten zum Schutz von Inhalten verwendet werden. Für größtmögliche Sicherheit sollten Sie Absturzabbilder und Liveabbilder im Kernelmodus deaktivieren. |
| Windows-Fehlerberichterstattung (WER)/Absturzabbilder im Benutzermodus | Die Deaktivierung der Windows-Fehlerberichterstattung verhindert Absturzabbilder im Benutzermodus. Absturzabbilder im Benutzermodus können potenziell dazu führen, dass die Schlüssel, die von der Verschlüsselung personenbezogener Daten zum Schutz von Inhalten verwendet werden, verfügbar gemacht werden. Für größtmögliche Sicherheit sollten Sie Absturzabbilder im Benutzermodus deaktivieren. |
| Winterschlaf | Ruhezustandsdateien können dazu führen, dass die schlüssel, die von der Verschlüsselung personenbezogener Daten zum Schutz von Inhalten verwendet werden, verfügbar gemacht werden. Für größtmögliche Sicherheit sollten Sie den Ruhezustand deaktivieren. |
| Benutzer ermöglichen auszuwählen, ob ein Kennwort erforderlich ist, wenn eine Sitzung aus dem Ruhezustand fortgesetzt wird | Wenn diese Richtlinie auf Microsoft Entra verbundenen Geräten nicht konfiguriert ist, können Benutzer auf einem verbundenen Standbygerät die Zeitspanne nach dem Ausschalten des Gerätebildschirms ändern, bevor ein Kennwort zum Reaktivieren des Geräts erforderlich ist. Während der Zeit, in der der Bildschirm ausgeschaltet wird, aber kein Kennwort erforderlich ist, können die Schlüssel, die von der Verschlüsselung personenbezogener Daten zum Schutz von Inhalten verwendet werden, möglicherweise verfügbar gemacht werden. Es wird empfohlen, diese Richtlinie auf Microsoft Entra eingebundenen Geräten explizit zu deaktivieren. |
Konfigurieren der Verschlüsselung personenbezogener Daten mit Microsoft Intune
Wenn Sie Microsoft Intune verwenden, um Ihre Geräte zu verwalten, können Sie die Verschlüsselung personenbezogener Daten mithilfe einer Datenträgerverschlüsselungsrichtlinie, einer Einstellungskatalogrichtlinie oder eines benutzerdefinierten Profils konfigurieren.
Datenträgerverschlüsselungsrichtlinie
Navigieren Sie zum Konfigurieren von Geräten mit einer Datenträgerverschlüsselungsrichtlinie zu Endpunktsicherheit>Datenträgerverschlüsselung , und wählen Sie Richtlinie erstellen aus:
- Bahnsteig>Fenster
- Profil>Verschlüsselung personenbezogener Daten
Geben Sie einen Namen an, und wählen Sie Weiter aus. Wählen Sie auf der Seite Konfigurationseinstellungen die Option Personenbezogene Datenverschlüsselung aktivieren aus, und konfigurieren Sie die Einstellungen nach Bedarf.
Weisen Sie die Richtlinie einer Gruppe zu, die als Mitglieder die Geräte oder Benutzer enthält, die Sie konfigurieren möchten.
Einstellungskatalogrichtlinie
Um Geräte mit Microsoft Intune zu konfigurieren, erstellen Sie eine Einstellungskatalogrichtlinie, und verwenden Sie die folgenden Einstellungen:
| Kategorie | Einstellungsname | Wert |
|---|---|---|
| PDE | Aktivieren der Verschlüsselung personenbezogener Daten (Benutzer) | Aktivieren der Verschlüsselung personenbezogener Daten |
| Administrative Vorlagen > Windows-Komponenten > Windows-Anmeldeoptionen | Melden Sie sich an, und sperren Sie den letzten interaktiven Benutzer automatisch nach einem Neustart. | Deaktiviert |
| Speicherabbild | Liveabbild zulassen | Blockieren |
| Speicherabbild | Absturzabbild zulassen | Blockieren |
| Administrative Vorlagen > Windows-Komponenten > Windows-Fehlerberichterstattung | Deaktivieren von Windows-Fehlerberichterstattung | Aktiviert |
| Leistung | Ruhezustand zulassen | Blockieren |
| Administrative Vorlagen > Systemanmeldung > | Benutzer ermöglichen auszuwählen, ob ein Kennwort erforderlich ist, wenn eine Sitzung aus dem Ruhezustand fortgesetzt wird | Deaktiviert |
Weisen Sie die Richtlinie einer Gruppe zu, die als Mitglieder die Geräte oder Benutzer enthält, die Sie konfigurieren möchten.
Tipp
Verwenden Sie den folgenden Graph-Aufruf, um die Einstellungskatalogrichtlinie automatisch in Ihrem Mandanten ohne Zuweisungen oder Bereichstags zu erstellen.
Wenn Sie diesen Aufruf verwenden, authentifizieren Sie sich bei Ihrem Mandanten im Fenster Graph Explorer. Wenn Graph Explorer zum ersten Mal verwendet wird, müssen Sie die Anwendung möglicherweise für den Zugriff auf Ihren Mandanten autorisieren oder die vorhandenen Berechtigungen ändern. Dieser Graphaufruf erfordert DeviceManagementConfiguration.ReadWrite.All-Berechtigungen .
POST https://graph.microsoft.com/beta/deviceManagement/configurationPolicies
Content-Type: application/json
{ "id": "00-0000-0000-0000-000000000000", "name": "_MSLearn_PDE", "description": "", "platforms": "windows10", "technologies": "mdm", "roleScopeTagIds": [ "0" ], "settings": [ { "@odata.type": "#microsoft.graph.deviceManagementConfigurationSetting", "settingInstance": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingInstance", "settingDefinitionId": "device_vendor_msft_policy_config_admx_credentialproviders_allowdomaindelaylock", "choiceSettingValue": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingValue", "value": "device_vendor_msft_policy_config_admx_credentialproviders_allowdomaindelaylock_0", "children": [] } } }, { "@odata.type": "#microsoft.graph.deviceManagementConfigurationSetting", "settingInstance": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingInstance", "settingDefinitionId": "device_vendor_msft_policy_config_errorreporting_disablewindowserrorreporting", "choiceSettingValue": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingValue", "value": "device_vendor_msft_policy_config_errorreporting_disablewindowserrorreporting_1", "children": [] } } }, { "@odata.type": "#microsoft.graph.deviceManagementConfigurationSetting", "settingInstance": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingInstance", "settingDefinitionId": "device_vendor_msft_policy_config_windowslogon_allowautomaticrestartsignon", "choiceSettingValue": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingValue", "value": "device_vendor_msft_policy_config_windowslogon_allowautomaticrestartsignon_0", "children": [] } } }, { "@odata.type": "#microsoft.graph.deviceManagementConfigurationSetting", "settingInstance": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingInstance", "settingDefinitionId": "device_vendor_msft_policy_config_memorydump_allowcrashdump", "choiceSettingValue": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingValue", "value": "device_vendor_msft_policy_config_memorydump_allowcrashdump_0", "children": [] } } }, { "@odata.type": "#microsoft.graph.deviceManagementConfigurationSetting", "settingInstance": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingInstance", "settingDefinitionId": "device_vendor_msft_policy_config_memorydump_allowlivedump", "choiceSettingValue": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingValue", "value": "device_vendor_msft_policy_config_memorydump_allowlivedump_0", "children": [] } } }, { "@odata.type": "#microsoft.graph.deviceManagementConfigurationSetting", "settingInstance": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingInstance", "settingDefinitionId": "user_vendor_msft_pde_enablepersonaldataencryption", "choiceSettingValue": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingValue", "value": "user_vendor_msft_pde_enablepersonaldataencryption_1", "children": [] } } }, { "@odata.type": "#microsoft.graph.deviceManagementConfigurationSetting", "settingInstance": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingInstance", "settingDefinitionId": "device_vendor_msft_policy_config_power_allowhibernate", "choiceSettingValue": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingValue", "value": "device_vendor_msft_policy_config_power_allowhibernate_0", "children": [] } } } ] }
Konfigurieren der Verschlüsselung personenbezogener Daten mit CSP
Alternativ können Sie Geräte mit dem Richtlinien-CSP und dem CSP für die Verschlüsselung personenbezogener Daten konfigurieren.
| OMA-URI | Format | Wert |
|---|---|---|
./User/Vendor/MSFT/PDE/EnablePersonalDataEncryption |
int | 1 |
./Device/Vendor/MSFT/Policy/Config/WindowsLogon/AllowAutomaticRestartSignOn |
string | <disabled/> |
./Device/Vendor/MSFT/Policy/Config/MemoryDump/AllowCrashDump |
int | 0 |
./Device/Vendor/MSFT/Policy/Config/MemoryDump/AllowLiveDump |
int | 0 |
./Device/Vendor/MSFT/Policy/Config/ErrorReporting/DisableWindowsErrorReporting |
string | <enabled/> |
./Device/Vendor/MSFT/Policy/Config/Power/AllowHibernate |
int | 0 |
./Device/Vendor/MSFT/Policy/Config/ADMX_CredentialProviders/AllowDomainDelayLock |
string | <disabled/> |
Deaktivieren der Verschlüsselung personenbezogener Daten
Sobald die Verschlüsselung personenbezogener Daten aktiviert ist, wird davon abgeraten, sie zu deaktivieren. Wenn Sie die Verschlüsselung personenbezogener Daten jedoch deaktivieren müssen, können Sie dies mithilfe der folgenden Schritte tun.
Deaktivieren der Verschlüsselung personenbezogener Daten mit einer Datenträgerverschlüsselungsrichtlinie
Navigieren Sie zum Deaktivieren von Personal Data Encryption-Geräten mithilfe einer Datenträgerverschlüsselungsrichtlinie zu Endpunktsicherheit>Datenträgerverschlüsselung , und wählen Sie Richtlinie erstellen aus:
- Bahnsteig>Fenster
- Profil>Verschlüsselung personenbezogener Daten
Geben Sie einen Namen an, und wählen Sie Weiter aus. Wählen Sie auf der Seite Konfigurationseinstellungen die Option Verschlüsselung personenbezogener Daten deaktivieren aus.
Weisen Sie die Richtlinie einer Gruppe zu, die als Mitglieder die Geräte oder Benutzer enthält, die Sie konfigurieren möchten.
Deaktivieren der Verschlüsselung personenbezogener Daten mit einer Einstellungskatalogrichtlinie in Intune
Um Geräte mit Microsoft Intune zu konfigurieren, erstellen Sie eine Einstellungskatalogrichtlinie, und verwenden Sie die folgenden Einstellungen:
| Kategorie | Einstellungsname | Wert |
|---|---|---|
| PDE | Aktivieren der Verschlüsselung personenbezogener Daten (Benutzer) | Deaktivieren der Verschlüsselung personenbezogener Daten |
Weisen Sie die Richtlinie einer Gruppe zu, die als Mitglieder die Geräte oder Benutzer enthält, die Sie konfigurieren möchten.
Deaktivieren der Verschlüsselung personenbezogener Daten mit CSP
Sie können die Verschlüsselung personenbezogener Daten mit CSP mithilfe der folgenden Einstellung deaktivieren:
| OMA-URI | Format | Wert |
|---|---|---|
./User/Vendor/MSFT/PDE/EnablePersonalDataEncryption |
int | 0 |
Entschlüsseln verschlüsselter Inhalte
Durch das Deaktivieren der Verschlüsselung personenbezogener Daten werden keine durch die Verschlüsselung personenbezogener Daten geschützten Inhalte entschlüsselt. Sie verhindert nur, dass die API für die Verschlüsselung personenbezogener Daten zusätzliche Inhalte schützen kann. Pgeschützte Dateien können mit den folgenden Schritten manuell entschlüsselt werden:
- Öffnen Sie die Eigenschaften der Datei
- Wählen Sie auf der Registerkarte Allgemein die Option Erweitert... aus
- Deaktivieren Sie die Option Inhalte verschlüsseln, um Daten zu schützen
- Wählen Sie OK, und dann noch einmal OK aus
Geschützte Dateien können auch mit cipher.exeentschlüsselt werden, was in den folgenden Szenarien hilfreich sein kann:
- Entschlüsseln einer großen Anzahl von Dateien auf einem Gerät
- Entschlüsseln von Dateien auf mehreren Geräten
So entschlüsseln Sie Dateien auf einem Gerät mit cipher.exe:
Entschlüsseln Sie alle Dateien unter einem Verzeichnis, einschließlich der Unterverzeichnisse:
cipher.exe /d /s:<path_to_directory>Entschlüsselt eine einzelne Datei oder alle Dateien im angegebenen Verzeichnis, aber keine Unterverzeichnisse:
cipher.exe /d <path_to_file_or_directory>
Wichtig
Sobald ein Benutzer die manuelle Entschlüsselung einer Datei auswählt, kann der Benutzer die Datei nicht mehr manuell mithilfe der Verschlüsselung personenbezogener Daten schützen.