Параметры И конфигурация PDE
В этой статье описаны параметры шифрования персональных данных (PDE) и их настройка с помощью Microsoft Intune или поставщиков служб конфигурации (CSP).
Примечание.
PDE можно настроить с помощью политик MDM. Содержимое для защиты с помощью PDE, можно указать, используя API-интерфейсы PDE. В Windows нет пользовательского интерфейса для включения PDE или защиты содержимого с помощью PDE.
API-интерфейсы PDE можно использовать для создания пользовательских приложений и сценариев, чтобы указать, какой содержимое и на каком уровне защищать. Кроме того, API-интерфейсы PDE нельзя использовать для защиты содержимого, пока не будет включена политика PDE.
Параметры PDE
В следующей таблице перечислены необходимые параметры для включения PDE.
| Имя параметра | Описание |
|---|---|
| Включение шифрования персональных данных | PDE не включена по умолчанию. Прежде чем использовать PDE, необходимо включить его. |
| Автоматический вход и блокировка последнего интерактивного пользователя после перезапуска | Вход с автоматическим перезапуском Winlogon (ARSO) не поддерживается для использования с PDE. Чтобы использовать PDE, необходимо отключить ARSO. |
Рекомендации по повышению безопасности PDE
В следующей таблице перечислены рекомендуемые параметры для повышения безопасности PDE.
| Имя параметра | Описание |
|---|---|
| Аварийные дампы в режиме ядра и динамические дампы | Аварийные дампы в режиме ядра и динамические дампы потенциально могут привести к раскрытию ключей, используемых PDE для защиты содержимого. Для обеспечения максимальной безопасности отключите аварийные и динамические дампы режима ядра. |
| отчеты об ошибках Windows (WER)/аварийные дампы в пользовательском режиме | Отключение отчетов об ошибках Windows предотвращает аварийные дампы пользовательского режима. Аварийные дампы пользовательского режима потенциально могут привести к раскрытию ключей, используемых PDE для защиты содержимого. Для обеспечения максимальной безопасности отключите аварийные дампы пользовательского режима. |
| Спящего режима | Файлы гибернации могут привести к передаче ключей, используемых шифрованием персональных данных (PDE) для защиты содержимого. Для обеспечения большей безопасности отключите режим гибернации. |
| Разрешает пользователям выбирать, необходим ли ввод пароля при возобновлении работы из режима ожидания с подключением | Если эта политика не настроена на устройствах, присоединенных к Microsoft Entra, пользователи на подключенном резервном устройстве могут изменить время после выключения экрана устройства, прежде чем потребуется пароль для пробуждения устройства. Пока экран отключен без требования пароля, ключи, используемые PDE для защиты содержимого, потенциально могут быть раскрыты. Рекомендуется явно отключить эту политику на Microsoft Entra присоединенных устройствах. |
Настройка PDE с помощью Microsoft Intune
Чтобы настроить устройства с помощью Microsoft Intune, создайте политику каталога параметров и используйте следующие параметры:
| Категория | Имя параметра | Значение |
|---|---|---|
| PDE | Включение шифрования персональных данных (пользователь) | Включение шифрования персональных данных |
| Административные шаблоны > Компоненты > Windows Параметры входа Windows | Автоматический вход и блокировка последнего интерактивного пользователя после перезапуска | Отключено |
| Дамп памяти | Разрешить динамический дамп | Блокирование |
| Дамп памяти | Разрешить аварийный дамп | Блокирование |
| Административные шаблоны > Компоненты > Windows отчеты об ошибках Windows | Отключение отчеты об ошибках Windows | Enabled |
| Power | Разрешить гибернации | Блокирование |
| Системный > вход в систему административных шаблонов > | Разрешает пользователям выбирать, необходим ли ввод пароля при возобновлении работы из режима ожидания с подключением | Отключена |
Назначьте политику группе, содержащей в качестве участников устройства или пользователей, которые вы хотите настроить.
Совет
Используйте следующий вызов Graph, чтобы автоматически создать политику каталога параметров в клиенте без назначений и область тегов.
При использовании этого вызова выполните проверку подлинности в клиенте в окне Обозреватель Graph. При первом использовании Graph Обозреватель может потребоваться авторизовать приложение для доступа к клиенту или изменить существующие разрешения. Для вызова графа требуются разрешения DeviceManagementConfiguration.ReadWrite.All .
POST https://graph.microsoft.com/beta/deviceManagement/configurationPolicies
Content-Type: application/json
{ "id": "00-0000-0000-0000-000000000000", "name": "_MSLearn_PDE", "description": "", "platforms": "windows10", "technologies": "mdm", "roleScopeTagIds": [ "0" ], "settings": [ { "@odata.type": "#microsoft.graph.deviceManagementConfigurationSetting", "settingInstance": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingInstance", "settingDefinitionId": "device_vendor_msft_policy_config_admx_credentialproviders_allowdomaindelaylock", "choiceSettingValue": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingValue", "value": "device_vendor_msft_policy_config_admx_credentialproviders_allowdomaindelaylock_0", "children": [] } } }, { "@odata.type": "#microsoft.graph.deviceManagementConfigurationSetting", "settingInstance": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingInstance", "settingDefinitionId": "device_vendor_msft_policy_config_errorreporting_disablewindowserrorreporting", "choiceSettingValue": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingValue", "value": "device_vendor_msft_policy_config_errorreporting_disablewindowserrorreporting_1", "children": [] } } }, { "@odata.type": "#microsoft.graph.deviceManagementConfigurationSetting", "settingInstance": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingInstance", "settingDefinitionId": "device_vendor_msft_policy_config_windowslogon_allowautomaticrestartsignon", "choiceSettingValue": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingValue", "value": "device_vendor_msft_policy_config_windowslogon_allowautomaticrestartsignon_0", "children": [] } } }, { "@odata.type": "#microsoft.graph.deviceManagementConfigurationSetting", "settingInstance": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingInstance", "settingDefinitionId": "device_vendor_msft_policy_config_memorydump_allowcrashdump", "choiceSettingValue": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingValue", "value": "device_vendor_msft_policy_config_memorydump_allowcrashdump_0", "children": [] } } }, { "@odata.type": "#microsoft.graph.deviceManagementConfigurationSetting", "settingInstance": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingInstance", "settingDefinitionId": "device_vendor_msft_policy_config_memorydump_allowlivedump", "choiceSettingValue": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingValue", "value": "device_vendor_msft_policy_config_memorydump_allowlivedump_0", "children": [] } } }, { "@odata.type": "#microsoft.graph.deviceManagementConfigurationSetting", "settingInstance": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingInstance", "settingDefinitionId": "user_vendor_msft_pde_enablepersonaldataencryption", "choiceSettingValue": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingValue", "value": "user_vendor_msft_pde_enablepersonaldataencryption_1", "children": [] } } }, { "@odata.type": "#microsoft.graph.deviceManagementConfigurationSetting", "settingInstance": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingInstance", "settingDefinitionId": "device_vendor_msft_policy_config_power_allowhibernate", "choiceSettingValue": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingValue", "value": "device_vendor_msft_policy_config_power_allowhibernate_0", "children": [] } } } ] }
Настройка PDE с помощью CSP
Кроме того, можно настроить устройства с помощью CSP политики и PDE CSP.
| OMA-URI | Формат | Значение |
|---|---|---|
./User/Vendor/MSFT/PDE/EnablePersonalDataEncryption |
int | 1 |
./Device/Vendor/MSFT/Policy/Config/WindowsLogon/AllowAutomaticRestartSignOn |
string | <disabled/> |
./Device/Vendor/MSFT/Policy/Config/MemoryDump/AllowCrashDump |
int | 0 |
./Device/Vendor/MSFT/Policy/Config/MemoryDump/AllowLiveDump |
int | 0 |
./Device/Vendor/MSFT/Policy/Config/ErrorReporting/DisableWindowsErrorReporting |
string | <enabled/> |
./Device/Vendor/MSFT/Policy/Config/Power/AllowHibernate |
int | 0 |
./Device/Vendor/MSFT/Policy/Config/ADMX_CredentialProviders/AllowDomainDelayLock |
string | <disabled/> |
Отключение PDE
После включения PDE не рекомендуется отключать его. Однако если вам нужно отключить PDE, это можно сделать, выполнив следующие действия.
Отключение PDE с помощью политики каталога параметров в Intune
Чтобы настроить устройства с помощью Microsoft Intune, создайте политику каталога параметров и используйте следующие параметры:
| Категория | Имя параметра | Значение |
|---|---|---|
| PDE | Включение шифрования персональных данных (пользователь) | Отключение шифрования персональных данных |
Назначьте политику группе, содержащей в качестве участников устройства или пользователей, которые вы хотите настроить.
Отключение PDE с помощью CSP
Вы можете отключить PDE с помощью CSP, используя следующий параметр:
| OMA-URI | Формат | Значение |
|---|---|---|
./User/Vendor/MSFT/PDE/EnablePersonalDataEncryption |
int | 0 |
Расшифровка содержимого, зашифрованного PDE
При отключении PDE содержимое, защищенное PDE, не расшифровывается. Это только препятствует защите любого дополнительного содержимого API-интерфейсом PDE. Файлы, защищенные PDE, можно расшифровать вручную, выполнив следующие действия.
- Откройте свойства файла
- На вкладке Общие выберите Дополнительно….
- Снимите флажок Шифровать содержимое для защиты данных.
- Выберите ОК, а затем снова ОК
Файлы, защищенные PDE, также можно расшифровать с помощью cipher.exe, что может быть полезно в следующих сценариях:
- Расшифровка большого числа файлов на устройстве
- Расшифровка файлов на нескольких устройствах
Чтобы расшифровать файлы на устройстве с помощью cipher.exe:
Расшифруйте все файлы в каталоге, включая подкаталоги:
cipher.exe /d /s:<path_to_directory>Расшифруйте один файл или все файлы в указанном каталоге, но не в подкаталогах:
cipher.exe /d <path_to_file_or_directory>
Важно.
После того как пользователь выберет расшифровку файла вручную, пользователь не сможет повторно защитить файл вручную с помощью PDE.
Дальнейшие действия
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по