Microsoft Personal Data Encryption voor Windows 11

Microsoft heeft een nieuwe beveiligingsfunctie geïntroduceerd voor Windows 11: Personal Data Encryption (PDE). Deze functionaliteit werd gepresenteerd tijdens de onlangs gehouden Microsoft Ignite 2024, en het heeft mijn aandacht meteen getrokken. De sessie, gepresenteerd door Katharine Holdsworth, ging niet alleen over PDE, maar ook over verschillende andere innovaties die Windows 11 veiliger en gebruiksvriendelijker maken. Je kunt de volledige sessie hier bekijken: Microsoft Ignite - Personal Data Encryption.

Toen ik Personal Data Encryption voor het eerst zag, moest ik gelijk aan twee dingen denken:

1. Vergelijking met Windows Information Protection (WIP): Heeft Microsoft hiermee de oude oplossing WIP opgevolgd, of zijn er fundamentele verschillen in hoe de bescherming van gegevens nu wordt benaderd?
   

2. Interessante use-cases, zoals gedeelde werkplekken: Ik kom nog regelmatig gedeelde werkplekken tegen, waarbij alles van OneDrive tot andere Microsoft 365-tools actief moet zijn. PDE lijkt hier een uitermate waardevolle oplossing te bieden, vooral als het gaat om het veilig delen van werkbestanden zonder risico voor de privacy van de gebruiker.

In deze blogpost gaan we dieper in op wat PDE precies is, wat je nodig hebt om het te configureren, en hoe het verschilt van bestaande oplossingen zoals WIP. Laten we eerst eens kijken naar wat er nodig is om deze nieuwe beveiligingsfunctionaliteit in te schakelen en welke voordelen het met zich meebrengt.

Wat is Personal Data Encryptie?

Personal Data Encryptie is een beveiligingsmechanisme dat is ontworpen om de persoonlijke OneDrive inhoud van gebruikers te beschermen door middel van versleuteling. Het maakt gebruik van Windows Hello for Business als moderne authenticatie, waarbij de gebruiker zich kan aanmelden met een PIN-code of biometrische gegevens, zoals vingerafdrukken of gezichtsherkenning.

De encryptiesleutels die Personal Data Encryptie gebruikt, worden veilig opgeslagen binnen de Windows Hello-container. Wanneer een gebruiker zich aanmeldt met Windows Hello, wordt deze container ontgrendeld, waardoor de sleutels beschikbaar komen om de gegevens van de gebruiker te ontgrendelen. Dit biedt een extra laag bescherming voor gevoelige informatie op het apparaat.

De eerste versie van Personal Data Encryptie werd geïntroduceerd in Windows 11, versie 22H2, en bracht een reeks publieke API’s met zich mee waarmee applicaties de versleuteling van gebruikersinhoud kunnen implementeren. In de nieuwste versie van Windows 11, versie 24H2, is de functionaliteit verder uitgebreid met Personal Data Encryptie voor bekende mappen, zoals de Windows-mappen Documenten, Afbeeldingen en Bureaublad. Dit zorgt ervoor dat ook de bestanden in deze vaak gebruikte mappen veilig zijn tegen ongeautoriseerde toegang.

Vereisten

Voordat Personal Data Encryptie gebruikt kan worden, is het belangrijk om te weten dat er een aantal harde vereisten worden gesteld, namelijk:

• Windows 11, versie 22H2 of hoger

• Microsoft Entra Joined, domein of hybride wordt niet ondersteund

• Windows Hello for Business moet aan staan

• Windows 11 Enterprise of Educatie Editie

Configureren van Personal Data Encryptie (PDE)

Voor het configureren van PDE zullen we met behulp van Microsoft Intune de configuratie gaan doorvoeren. Het is hierbij belangrijk om een aantal zaken goed in te stellen:

Voorbeeld instellingen:

Gebruikerservaring

Wat is het effect op de gebruiker? Zodra PDE wordt toegepast op het apparaat, verschijnt er direct een melding op het startscherm van Windows 11 "You need to sign in with Windows Hello to access files your organization has encrypted on this devices."

Zoals Microsoft uitlegt, maakt Personal Data Encryption (PDE) gebruik van de technologie van Windows Hello for Business om gegevens te ontgrendelen. Het is zodoende belangrijk om in te loggen met Windows Hello for Business PIN of Biometrisch!

1. PDE koppelt gegevensversleutelingssleutels aan de gebruikersgegevens. Wanneer een gebruiker zich aanmeldt op een apparaat met Windows Hello for Business, worden de ontgrendelingssleutels vrijgegeven, waardoor de versleutelde gegevens toegankelijk worden voor de gebruiker.

2. Zodra een gebruiker zich afmeldt, worden de ontgrendelingssleutels verwijderd. Hierdoor blijven de gegevens ontoegankelijk, zelfs als een andere gebruiker zich aanmeldt op hetzelfde apparaat.

Na het aanmelden met Windows Hello for Business (WHfB) verschijnt er een nieuw pictogram bij de OneDrive-koppelingen voor Mijn Documenten, Mijn Foto's en Mijn Bureaublad:

Wanneer we Mijn Documenten openen, zien we dat er bij alle bestanden en mappen een sleutelpictogram is toegevoegd. Dit pictogram geeft aan dat de gegevens extra zijn beveiligd met Personal Data Encryption.

Het voordeel van deze extra versleuteling is dat niemand anders die op dit apparaat inlogt toegang heeft tot de gecachte OneDrive-bestanden. Zelfs met lokale beheerdersrechten kunnen deze bestanden niet worden geopend door een andere gebruiker. In dit voorbeeld ben ik ingelogd met het account Winston, dat tevens beschikt over lokale beheerdersrechten.

Conclusie

De introductie van Personal Data Encryption (PDE) biedt niet alleen extra beveiliging voor persoonlijke OneDrive-bestanden, maar heeft ook een duidelijk voordeel voor gedeelde werkplekken. In omgevingen waar meerdere gebruikers op hetzelfde apparaat moeten inloggen, kunnen zich situaties voordoen waarin toegang tot elkaars OneDrive-cachebestanden mogelijk lijkt. Hoewel rechten dit normaliter zouden moeten blokkeren, biedt PDE een aanvullende beveiligingslaag die ervoor zorgt dat niemand ongeautoriseerd toegang krijgt tot deze bestanden. Dit maakt PDE een waardevolle toevoeging in scenario's met gedeeld apparaatgebruik.

Resources

Personal Data Encryption | Microsoft Learn

Personal Data Encryption settings and configuration | Microsoft Learn