Windows information protection что это
Создание и развертывание Windows защиты информации (WIP) с помощью Intune
Политики защиты Windows (WIP) с Windows 10 приложениями можно использовать для защиты приложений без регистрации устройств.
Прежде чем начать
При добавлении политики WIP необходимо понимать несколько понятий:
Список разрешенных и освобожденных приложений
Защищенные приложения: Эти приложения — это приложения, которые должны придерживаться этой политики.
Освобожденные приложения: Эти приложения освобождаются от этой политики и могут получать доступ к корпоративным данным без ограничений.
Типы приложений
Предварительные требования
Перед созданием политики WIP необходимо настроить поставщика MAM. Узнайте больше о настройке поставщика MAM с помощью Intune.
WIP не поддерживает несколько удостоверений, одновременно может существовать только один управляемый идентификатор. Дополнительные сведения о возможностях и ограничениях WIP см. в дополнительных сведениях о защите корпоративных данных с помощью Windows защиты информации (WIP).
Кроме того, необходимо иметь следующую лицензию и обновить:
Добавление политики WIP
После создания Intune в организации можно создать политику, спецификуемую для WIP.
Дополнительные сведения о создании политик WIP для Intune, включая доступные параметры и их настройку, см. в документе Create a Windows Information Protection (WIP) с помощью MAM с помощью портала для Microsoft Intune в библиотеке Безопасность Windows документации.
Добавление рекомендуемых приложений в список защищенных приложений
Добавление приложения Store в список защищенных приложений
Добавление приложения Store
Добавление настольного приложения в список защищенных приложений
Добавление настольного приложения
WiP Обучение
После добавления приложений, которые необходимо защитить с помощью WIP, необходимо применить режим защиты с помощью wiP Обучение.
Прежде чем начать
WiP Обучение это отчет, который позволяет отслеживать приложения с поддержкой WIP и приложения, неизвестные WIP. Неизвестные приложения — это приложения, не развернутые ИТ-отделом организации. Вы можете экспортировать эти приложения из отчета и добавлять их в политики WIP, чтобы избежать нарушения производительности, прежде чем они будут применять WIP в режиме «Block».
Помимо просмотра сведений о приложениях с поддержкой WIP можно просмотреть сводку устройств, которые имеют общие данные о работе с веб-сайтами. С помощью этих сведений можно определить, какие веб-сайты должны быть добавлены в групповые и пользовательские политики WIP. В сводке показано, какие URL-адреса веб-сайтов доступны приложениям с поддержкой WIP.
При работе с приложениями с поддержкой WIP и неизвестными wiP-приложениями рекомендуется начинать с Silent или Allow Overrides, проверяя с небольшой группой, что у вас есть нужные приложения в списке защищенных приложений. После этого вы можете изменить конечную политику обеспечения соблюдения, блок.
Какие режимы защиты?
Блокировка
WIP ищет неприемлемые методы обмена данными и останавливает пользователя от выполнения действия. Заблокированные действия могут включать обмен информацией между не корпоративными приложениями и обмен корпоративными данными между другими людьми и устройствами за пределами организации.
Разрешить переопределения
WIP ищет недопустимый обмен данными, предупреждая пользователей о том, что они делают что-то потенциально небезопасное. Однако этот режим позволяет пользователю переопределять политику и делиться данными, внося действие в журнал аудита.
Silent
WIP выполняется в режиме бесшумного ведения журнала ненадлежащего обмена данными, не блокируя все, что было бы предложено для взаимодействия сотрудников в режиме Разрешить переопределение. Неоконченные действия, такие как ненадлежащие попытки приложений получить доступ к сетевому ресурсу или данным, защищенным WIP, по-прежнему остановлены.
Отключение (не рекомендуется)
WiP отключен и не помогает защитить или аудит данных.
После отключения WIP предпринята попытка расшифровки любых файлов с тегами WIP на локально присоединенных дисках. Обратите внимание, что предыдущие сведения о расшифровке и политике не будут автоматически повторно при включив защиту WIP.
Добавление режима защиты
Из области политики приложения выберите имя политики, а затем выберите необходимые параметры.
Выберите параметр, а затем выберите Сохранить.
Разрешить Windows поиска для поиска зашифрованных элементов
Позволяет или отоносят индексацию элементов. Этот переключатель для Windows индексатора поиска, который контролирует индексацию зашифрованных элементов, таких как защищенные Windows защиты информации (WIP).
Этот параметр политики защиты приложений находится в расширенных параметрах политики защиты Windows информации. Политика защиты приложений должна быть задатка платформе Windows 10, а состояние политики регистрации приложений должно быть задано с регистрацией.
Когда политика включена, элементы, защищенные WIP, индексироваться, а метаданные о них хранятся в незашифрованном расположении. Метаданные включают такие вещи, как путь к файлу и изменение даты.
Когда политика отключена, защищенные элементы WIP не индексироваться и не показываться в результатах в Кортана или проводнике файлов. Может также повлиять на производительность фотографий и Groove приложений, если на устройстве много защищенных файлов мультимедиа WIP.
Добавление расширений зашифрованных файлов
В дополнение к настройке указателя Windows поиска для поиска зашифрованных элементов можно указать список расширений файлов. Файлы с этими расширениями шифруются при копировании с сервера блока сообщений (SMB) в пределах корпоративной границы, как определено в списке расположения сети. Если эта политика не указана, применяется существующее поведение автоматического шифрования. При настройке этой политики шифруются только файлы с расширениями в списке.
Развертывание политики защиты приложений WIP
Эта информация применяется к WIP без регистрации устройства.
После создания политики защиты приложений WIP необходимо развернуть ее в организации с помощью MAM.
На области политики приложения выберите недавно созданную политику защиты приложений, выберите группы пользователей Добавить > группу пользователей.
Список групп пользователей, в составе всех групп безопасности в Azure Active Directory, открывается в области Добавить группу пользователей.
Выберите группу, к которая будет применяться политика, а затем выберите Выберите развертывание политики.
Дальнейшие действия
Дополнительные сведения о защите Windows см.в этой Windows защите данных предприятия.
Ограничения при использовании Windows Information Protection (WIP)
Область применения
В следующем списке приводится информация о наиболее распространенных проблемах, с которыми вы можете столкнуться при запуске WIP в организации.
Ограничение. Корпоративные данные на USB-дисках могут быть привязаны к устройству, на которое оно было защищено, в зависимости от конфигурации Azure RMS.
Как он появляется:
Обходное решение. Совместное доступ к файлам с другими сотрудниками через корпоративные серверы файлов или корпоративные облачные расположения. Если данные необходимо предоставить через USB, сотрудники могут расшифровать защищенные файлы, но эта процедура будет проходить аудит.
Мы настоятельно рекомендуем рассказывать сотрудникам о том, как можно ограничить или исключить необходимость этой расшифровки.
Ограничение. Прямой доступ несовместим с WIP.
Как он появляется: Прямой доступ может возникнуть проблемы с тем, как WIP обеспечивает поведение приложений и перемещение данных из-за того, как WIP определяет, что является корпоративным сетевым ресурсом, а что нет.
Обходное решение. Рекомендуется использовать VPN для клиентского доступа к ресурсам интрасети.
Использование VPN не является обязательным для WIP.
Ограничение. Параметр групповой политики networkIsolation имеет приоритет над настройками политики MDM.
Ограничение: Кортана потенциально может разрешить утечку данных, если она в списке разрешенных приложений.
Ограничение: WIP предназначен для использования одним пользователем на одно устройство.
Ограничение. Установщики, скопированные из корпоративной сетевой папки, могут работать неправильно.
Запустите установщик непосредственно из общей папки.
Расшифруйте локально скопированные файлы, необходимые для установки.
Пометьте сетевую папку с установочными данными как «личное». Для этого необходимо задать диапазонам IP-адресов предприятия свойство Authoritative и затем исключить IP-адрес файлового сервера, также можно поместить файловый сервер в список прокси-серверов организации.
Ограничение. Изменение основного корпоративного удостоверения не поддерживается.
Ограничение. Перенаправленные папки с Client-Side кэшировать не совместимы с WIP.
Как он появляется: Приложения могут столкнуться с ошибками доступа при попытке чтения кэширования, автономного файла.
Обходное решение. Миграция для использования другого метода синхронизации файлов, например папки работы или OneDrive для бизнеса.
Дополнительные сведения о папках для работы и автономных файлах см. в блоге Work Folders and Offline Files дляWindows защиты информации». Если у вас возникли проблемы с открытием файлов в автономном режиме при использовании автономных файлов и WIP, см. в статью Can’t open files offline Files and Windows Information Protection.
Ограничение: неуправляемое устройство может использовать протокол удаленного рабочего стола (RDP) для подключения к устройству с управлением WIP.
Как он появляется:
Обходное решение. Отключение RDP для предотвращения доступа, так как нет возможности ограничить доступ только к устройствам, управляемым WIP. RDP отключен по умолчанию.
Ограничение. Вы не можете загрузить корпоративный файл в личное расположение с помощью Microsoft Edge или Internet Explorer.
Ограничение: ActiveX элементы управления следует использовать с осторожностью.
Как это выглядит: веб-страницы, использующие элементы ActiveX, потенциально могут взаимодействовать с другими внешними процессами, которые не защищены с помощью WIP.
Обходное решение. Рекомендуется перейти на использование Microsoft Edge, более безопасного и безопасного браузера, который предотвращает использование ActiveX элементов управления. Мы также рекомендуем использовать Internet Explorer 11 только для бизнес-приложений, которым необходимы устаревшие технологии.
Ограничение. Упругие файловая система (ReFS) в настоящее время не поддерживается с WIP.
Ограничение: WIP не включен, если в любой из следующих папок установлен параметр MakeFolderAvailableOfflineDisabled для False:
Как это выглядит: WIP не включен для сотрудников в вашей организации. Код ошибки 0x807c0008, если WIP развернут с помощью Microsoft Endpoint Configuration Manager.
Обходное решение. Не задайте параметр MakeFolderAvailableOfflineDisabled false для любой из указанных папок. Этот параметр можно настроить, как описано здесь».
Если вы сейчас используете перенаправленные папки, рекомендуем перейти на решение синхронизации файлов, которое поддерживает WIP, например Work Folders или OneDrive для бизнеса. Кроме того, если вы используете перенаправленные папки после применения WIP, вы не сможете открывать файлы в автономном режиме.
Ограничение. Только с помощью просвещенных приложений можно управлять без регистрации устройств
Как он появляется. Если пользователь регистрирует устройство для управления мобильными приложениями (MAM) без регистрации устройства, управлять будут только просвещенные приложения. Это необходимо для предотвращения непреднамеренно шифрования личных файлов незасвеченными приложениями.
Незасвеченные приложения, которым необходимо получить доступ к работе с помощью MAM, необходимо повторно компилировать в качестве приложений LOB или управлять с помощью MDM с регистрацией устройств.
Обходное решение. Если необходимо управлять всеми приложениями, зарегистрируй устройство для MDM.
Ограничение. По дизайну файлы в каталоге Windows (%windir% или C:/Windows) не могут быть зашифрованы, так как к ним должен получать доступ любой пользователь. Если файл в каталоге Windows шифруется одним пользователем, другие пользователи не могут получить к нему доступ.
Ограничение: OneNote записных OneDrive для бизнеса необходимо правильно настроить для работы с WIP.
Как это выглядит: OneNote могут возникнуть ошибки, синхронизируются OneDrive для бизнеса записной книжки и предлагают изменить владение файлом на Личный. Попытка просмотреть записную книжку в OneNote Online в браузере покажет ошибку и не сможет ее просмотреть.
Обходное решение: OneNote записные книжки, которые вновь копируются в папку OneDrive для бизнеса из File Explorer, должны быть исправлены автоматически. Для этого выполните следующие действия:
Подождите несколько минут, чтобы OneDrive завершить синхронизацию & обновления записной книжки, и папка должна автоматически преобразоваться в ярлык Интернета. Открытие ярлыка откроет записную книжку в браузере, которую можно открыть в клиенте OneNote с помощью кнопки «Открыть в приложении».
Ограничение: Microsoft Office Outlook автономные файлы данных (PST и OST-файлы) не помечены как файлы Work и поэтому не защищены.
Когда корпоративные данные записаны на диск, WIP использует предоставленную Windows шифруемую файловую систему (EFS), чтобы защитить их и связать их с вашей корпоративной идентичностью. Необходимо иметь в виду одно предостереть о том, что области предварительного просмотра в Проводнике файлов не будут работать для зашифрованных файлов.
Отправляйте нам правки, добавления и отзывы, чтобы помочь улучшить этот раздел. Узнать о том, как принять участие в развитии этого раздела, можно в статье Дополнение наших материалов.
🔥 Windows Information Protection (WIP) автоматически защищает секретные файлы
Защита конфиденциальных данных всегда должна быть важным аспектом каждой операционной системы, и это хорошо знает Microsoft.
Компания проделала замечательную работу с Windows 10 для решения большинства проблем, связанных с безопасностью, и Windows Information Protection является ее важной частью.
Следует отметить, что этот пакет защиты включает в себя такие элементы, как защита информации Windows, защита информации Azure и защита Microsoft Cloud App.
Дело в том, что защита информации Windows, также известная как WIP, хорошо защищает автоматически классифицируемые файлы с помощью функции типов конфиденциальной информации.
Он использует все преимущества Windows Defender ATP, но имейте в виду, что последние улучшения доступны только в Windows 10 1903 и более поздних версиях.
Настройка WIP
Прежде чем мы продолжим, мы поговорим о том, как настроить защиту информации Windows.
Это довольно просто и прямо к делу, так что давайте начнем работать для вашего удовольствия.
Итак, первое, что нужно сделать пользователю, это посетить manage.microsoft.com через веб-браузер и войти в систему с учетной записью администратора Windows Intune.
После этого пользователь должен увидеть панель навигации слева и выбрать опцию «Policies».
Вот и все, что нужно для настройки WIP.
Как вы можете сказать, задача довольно проста, особенно для тех, кто разбирается в компьютере.
Защитите систему с помощью Endpoint Data Loss Prevention
Когда дело доходит до управления метками чувствительности, это можно сделать в центре соответствия Microsoft 365 с относительной легкостью.
Для тех, кто не знал, Защитник Windows может извлечь файл, чтобы проверить, не был ли он заражен вирусом или вредоносным ПО.
Он также может проверить, содержит ли файл конфиденциальную информацию, такую как номера кредитных карт или другие типы важных данных.
Типы конфиденциальной информации по умолчанию включают номера кредитных карт, номера телефонов, номера водительских прав и многое другое.
Однако здесь интересно то, что пользователи могут устанавливать пользовательские типы конфиденциальной информации, если они того пожелают.
Windows Information Protection
Всякий раз, когда пользователь создает или редактирует файл в конечной точке Windows 10, содержимое быстро извлекается и оценивается Защитником Windows ATP.
Затем он проверит файлы на наличие определенных типов конфиденциальной информации.
Теперь, если файлы имеют совпадение, Защитник Windows ATP затем перейдет к применению предотвращения потери данных конечной точки.
Следует отметить, что Защитник Windows ATP интегрирован с Microsoft Azure Information Protection, функцией, которая была разработана главным образом для обнаружения данных.
Он также может сообщать конфиденциальные типы данных, которые были недавно обнаружены.
Для тех, кто хочет увидеть типы конфиденциальной информации, мы рекомендуем проверить в соответствии с классификациями через соответствие Microsoft Office 365.
Помните, что все типы конфиденциальной информации по умолчанию имеют Microsoft в качестве издателя.
Когда дело доходит до пользовательских типов, они будут привязаны к имени арендатора.
Защита корпоративных данных с помощью Windows Information Protection (WIP)
Область применения:
Дополнительные сведения о том, какие компоненты и функции поддерживаются в каждом выпуске Windows, вы найдете в сравнении выпусков Windows 10.
По мере того как сотрудники все чаще используют на работе собственные устройства, растет и риск случайной утечки данных через приложения и службы, не контролируемые организациями, например приложения для работы с электронной почтой и социальными сетями, а также общедоступные облака. Сюда относятся случаи, когда сотрудник отправляет изображения с техническими данными со своей личной электронной почты, копирует и вставляет информацию о продукции в твит или сохраняет рабочий отчет по продажам в своем хранилище в общедоступном облаке.
Windows Information Protection (WIP), ранее известная как защита корпоративных данных (EDP), позволяет предотвратить возможную потерю данных, не влияя на работу сотрудников. WIP также помогает защитить корпоративные приложения и данные от случайной потери на принадлежащих компании и личных устройствах, которые сотрудники приносят с собой на работу, и при этом не требует вносить изменения в среду или другие приложения. Наконец, другая технология защиты данных, управление правами Azure, также может использоваться совместно с WIP. Она позволяет улучшить безопасность данных, покидающих устройство, например при отправке почтовых вложений с помощью корпоративной версии почтового клиента, поддерживающего управление правами.
Хотя WIP может остановить случайные утечки данных от честных сотрудников, он не предназначен для того, чтобы помешать злоумышленникам удалять корпоративные данные. Дополнительные сведения о преимуществах, которые предоставляет WIP, см. в разделе Почему используется WIP? далее в этом разделе.
Видео. Защита корпоративных данных от случайного копирования в неправильное место
Необходимые условия
Для запуска WIP в вашей организации вам необходимо следующее программное обеспечение.
| Операционная система | Решение для управления |
|---|---|
| Windows10 версии1607 или более поздней | Microsoft Intune Microsoft Endpoint Configuration Manager Ваше текущее корпоративное решение для управления мобильными устройствами (MDM) от стороннего поставщика. Подробные сведения о сторонних решениях MDM см. в документации, поставляемой вместе с продуктом. Если стороннее решение MDM не поддерживает пользовательский интерфейс для политик, см. статью Поставщик служб конфигурации EnterpriseDataProtection. |
Что такое контроль корпоративных данных?
Для эффективной совместной работы необходимо обмениваться данными с другими сотрудниками предприятия. Существует две крайних модели обмена. Первая предполагает всеобщий доступ ко всем данным без какой-либо защиты, а вторая— абсолютный запрет обмена данными между пользователями и максимальную степень защиты. Большинство предприятий используют нечто среднее между этими двумя крайностями, при этом эффективность работы зависит от равновесия между предоставлением необходимого доступа и риском непреднамеренного раскрытия данных.
Как администратор вы можете определять круг пользователей, получающих доступ к данным, с помощью элементов управления доступом, таких как учетные данные сотрудников. Однако предоставление права доступа к данным не гарантирует того, что они останутся в пределах системы безопасности предприятия. Это значит, что элементы управления доступом, несмотря на их эффективность,— лишь начальный этап.
В конечном счете, все эти меры безопасности схожи в одном: при малейшем неудобстве сотрудники начнут искать пути обхода ограничений системы безопасности. Например, если запретить сотрудникам обмениваться файлами через защищенную систему, они будут использовать внешнее приложение, которое наверняка лишено элементов управления безопасностью.
Использование систем защиты от потери данных
Чтобы помочь в устранении этой неэффективности безопасности, компании разработали системы предотвращения потери данных (также известные как DLP). Требования систем защиты от потери данных:
Набор правил определения и категоризации данных, требующих защиты. Например, набор правил может содержать правила, определяющие номера кредитных карт или карт социального страхования.
Возможность проверки данных компании на предмет соответствия заданным правилам. На данный момент в Microsoft Exchange Server и Exchange Online эта служба доступна для передаваемой электронной почты, в то время как в Microsoft SharePoint и SharePoint Online эта служба доступна для содержимого библиотек документов.
Возможность указывать действия над данными, соответствующими условиям правила, включая предоставление сотрудникам возможности обхода применения правила. Например, в Microsoft SharePoint и SharePoint Online система защиты от потери данных Майкрософт позволяет предупреждать сотрудников о содержании конфиденциальных сведений в передаваемых данных и предоставлять им возможность поделиться этими данными вопреки предупреждению (с необязательной записью в журнале аудита).
К сожалению, системы защиты от потери данных не идеальны. Например, чем меньше подробный набор правил, тем больше ложных срабатывалось, что приводит сотрудников к тому, что правила замедляют их работу и их необходимо обходить, чтобы оставаться продуктивными, что может привести к неправильному блокированию или неправильному опубликованию данных. Еще одна серьезная проблема состоит в необходимости масштабного внедрения систем защиты от потери данных для их эффективной работы. Например, если компания использует систему защиты от потери данных для электронной почты, но не для файловых ресурсов или хранилища документов, могут возникнуть утечки данных по незащищенным каналам. Но, возможно, самая большая проблема с системами предотвращения потери данных заключается в том, что он обеспечивает возможность прерывать естественный рабочий процесс сотрудников, останавливая некоторые операции (например, отправку сообщения с вложением, которое система тегов как чувствительная), а также позволяет другим, часто в соответствии с тонкими правилами, которые сотрудник не видит и не может понять.
Использование систем управления правами на доступ к данным
Для решения возможных проблем с системами защиты от потери данных компании разработали системы управления правами на доступ к данным (IRM). Системы управления правами на доступ к данным встраивают средства защиты в сами документы, то есть при создании документа сотрудник определяет тип применяемой защиты. Например, сотрудник может запретить переадресацию и печать документа, предоставление к нему общего доступа за пределами организации и так далее.
После выбора типа защиты создающее приложение зашифровывает документ, чтобы его могли открывать только авторизованные пользователи и только в совместимых приложениях. После того как сотрудник откроет документ, приложение отвечает за реализацию указанных средств защиты. Средства защиты перемещаются вместе с документом, поэтому если авторизованный пользователь отправит его неавторизованному, последний не сможет прочесть или изменить документ. Но для эффективной работы систем управления правами на доступ к данным требуется развернуть и настроить как серверную, так и клиентскую среду. А поскольку с защищенными документами могут работать только совместимые клиенты, ход работы сотрудника может неожиданно прерваться, если он попробует воспользоваться несовместимым приложением.
А что произойдет, если сотрудник покинет компанию или отменит регистрацию устройства?
Наконец, существует риск утечки данных из компании, когда сотрудник оставляет устройство без присмотра или отменяет его регистрацию. Раньше можно было просто очистить все корпоративные данные с устройства, в том числе и любые находящиеся на нем персональные данные.
Преимущества WIP
WIP предоставляет следующие возможности.
Очевидное разделение между персональными и корпоративными данными без необходимости переключения сотрудниками сред или приложений.
Дополнительная защита данных в существующих бизнес-приложениях без необходимости обновления приложений.
Возможность стирать корпоративные данные с устройств, зарегистрированные в Intune, сохраняя при этом личные данные.
Использование отчета об аудитах для отслеживания проблем и принятия корректирующих действий.
Интеграция с существующей системой управления (Microsoft Intune, Microsoft Endpoint Configuration Manager или текущей системой управления мобильными устройствами (MDM) для настройки, развертывания и управления WIP для вашей компании.
Зачем использовать WIP?
WIP — это механизм управления мобильными приложениями (MAM) на Windows 10. WIP предоставляет вам новый способ управления исполнением политики данных для приложений и документов на настольных операционных системах Windows 10, а также возможность удаления доступа к корпоративным данным как с корпоративных, так и с персональных устройств (после регистрации в корпоративном решении управления, например Intune).
Изменение представления о применении политики данных. В качестве корпоративного администратора вам необходимо поддерживать соответствие вашей политики данных и доступа к данным нормативным требованиям. WIP помогает защитить предприятие как на корпоративных, так и на корпоративных устройствах, даже если сотрудник не использует устройство. Когда сотрудник создает какие-либо материалы с помощью защищенного на корпоративном уровне устройства, он может сохранить эти материалы в виде рабочего документа. Если это рабочий документ, он становится локально защищенным и ему присваивается статус корпоративного.
Управление корпоративными документами, приложениями и режимами шифрования.
Копирование или загрузка корпоративных данных. Когда сотрудник или приложение загружает материалы из такого расположения, как SharePoint, сетевая папка или корпоративное интернет-расположение, с помощью устройства, защищенного с использованием WIP, WIP шифрует данные на этом устройстве.
Использование защищенных приложений. Управляемые приложения (приложения, которые вы **** включили в список защищенных приложений в политике WIP) имеют право на доступ к корпоративным данным и будут по-разному взаимодействовать при их неосвоеченном, непредприятном или личном доступе к приложениям. Например, если уровень управления WIP определен как Блокировка, ваши сотрудники могут копировать и вставлять содержимое из одного защищенного приложения в другое защищенное приложение, но не в личные приложения. Imagine hr-лицо хочет скопировать описание задания из защищенного приложения на внутренний веб-сайт карьеры, защищенное предприятием, но ошибается и вместо этого пытается вклеить его в личное приложение. Операция вставки завершится ошибкой, и будет выведено уведомление с описанием того, что приложению не удалось выполнить вставку из-за ограничений, наложенных политикой. После этого сотрудник без каких-либо проблем корректно выполняет вставку информации на веб-сайт для поиска работы.
Управляемые приложения и ограничения. WIP помогает контролировать, какие приложения могут получать доступ и использовать корпоративные данные. После добавления приложения в список защищенных, оно может использоваться для работы с корпоративными данными. В зависимости от установленного режима управления WIP, всем приложениям, отсутствующим в этом списке, запрещается доступ к корпоративным данным.
Вам не нужно изменять бизнес-приложения, которые никогда не касаются персональных данных, чтобы перечислить их в качестве защищенных приложений; просто включите их в список защищенных приложений.
Определение уровня доступа к данным. WIP позволяет блокировать, разрешать переопределения или проводить аудит действий сотрудников по предоставлению доступа к данным. Если скрыть переопределения, действие немедленно останавливается. Разрешение переопределений позволяет сотруднику узнать о наличии риска, однако дает ему возможность продолжить предоставления общего доступа к данным, при этом записывая и выполняя аудит действий. Silent просто регистрит действие, не останавливая все, что сотрудник мог переопределять при использовании этого параметра; сбор информации, которая поможет вам увидеть шаблоны ненадлежащего общего доступа, чтобы можно было принять дополнительные меры или найти приложения, которые должны быть добавлены в список защищенных приложений. Сведения о том, как собирать файлы журнала аудита, вы найдете в статье Как собирать журналы событий аудита Windows Information Protection (WIP).
Шифрование данных. WIP помогает защитить корпоративные данные в локальных файлах и на съемных носителях.
Такие приложения, как Microsoft Word, поддерживают работу с WIP, чтобы обеспечить защиту данных в локальных файлах и на съемных носителях. Такие приложения называются корпоративными. Например, если пользователь открывает материалы Word, зашифрованные с помощью WIP, изменяет их содержимое, а затем пытается сохранить измененную версию под другим именем, Word автоматически обрабатывает новый документ посредством WIP, обеспечивая его шифрования.
Предотвращение случайного раскрытия данных на общедоступных ресурсах. WIP позволяет защитить ваши корпоративные данные от случайного раскрытия на общедоступных ресурсах, таких как хранилище в общедоступном облаке. Например, если Dropbox™ отсутствует в списке защищенных приложений, сотрудники не смогут синхронизировать зашифрованные файлы со своим личным облачным хранилищем. Вместо этого, если сотрудник сохраняет содержимое приложения из списка защищенных приложений, например Microsoft OneDrive для бизнеса, зашифрованные файлы могут свободно синхронизироваться с корпоративным облаком. При этом выполняется их локальное шифрование.
Предотвращение случайного раскрытия данных на съемных носителях. WIP помогает предотвратить утечку корпоративных данных при их копировании или переносе на съемный носитель. Например, если сотрудник помещает корпоративные данные на накопитель USB, где также хранятся личные данные, корпоративные данные остаются зашифрованные, тогда как личные данные – нет.
Отзыв доступа к данным компании с устройств, защищенных на корпоративном уровне. WIP предоставляет администраторам возможность отзывать корпоративные данные с одного или нескольких устройств, зарегистрированных в MDM, не трогая при этом личные данные. Это становится преимуществом, если сотрудник покидает компанию или если его устройство украден. После определения необходимости удаления доступа к данным, можно использовать Microsoft Intune для отмены регистрации устройства, чтобы при его следующем подключении к сети ключ шифрования пользователя для этого устройства был отозван и корпоративные данные стали бы нечитаемыми.
Для управления устройствами Surface рекомендуется использовать текущую ветвь Microsoft Endpoint Configuration Manager.
Microsoft Endpoint Manager также позволяет отоискить корпоративные данные. Однако эта операция выполняется путем сброса устройства до заводских настроек.
Как работает WIP
WIP позволяет преодолевать ежедневные трудности, возникающие в организации. К ним относятся:
предотвращение потери корпоративных данных даже на устройствах, принадлежащих сотрудникам, которые невозможно заблокировать;
снижение недовольства сотрудников, вызванного ограничениями политик управления данными на принадлежащих компании устройствах;
сохранение прав собственности и контроль за корпоративными данными;
помощь в управлении сетью и доступом к данным, а также обмен данными с приложениями, которые не являются корпоративными.
Корпоративные сценарии
В настоящее время WIP позволяет использовать следующие корпоративные сценарии.
Вы можете шифровать корпоративные данные на собственных устройствах сотрудников и корпоративных устройствах.
Вы можете удаленно стирать корпоративные данные с управляемых компьютеров, включая собственные компьютеры сотрудников, без воздействия на личные данные.
Вы можете защитить определенные приложения, которые могут получать доступ к корпоративным данным, которые хорошо узнаваемы для сотрудников. Вы также можете запрещать незащищенным приложениям доступ к корпоративным данным.
Работа ваших сотрудников не будет прерываться при переключении между личными и корпоративными приложениями, если при этом действуют корпоративные политики. Переключения сред или многократного входа не потребуется.
Режимы защиты WIP
Корпоративные данные автоматически зашифровываются, после того как они загружены на устройство из корпоративного источника или помечены сотрудником как корпоративные. Затем при записи корпоративных данных на диск WIP использует шифрованную файловую систему (EFS) Windows, чтобы защитить их и связать с вашим корпоративным удостоверением.
Политика WIP включает список доверенных приложений, защищенных для доступа к корпоративным данным и обработки их. Этот список приложений реализуется через функцию AppLocker. Он позволяет определять, каким приложениям разрешено запускаться, и сообщает операционной системе Windows о возможности изменения корпоративных данных приложениями. Приложения в этом списке не требуют изменений для доступа к корпоративным данным, так как Windows определяет возможность предоставления им доступа в зависимости от их наличия в списке. Однако в Windows 10 появилась новая функция: разработчики приложений могут использовать новый набор программных интерфейсов (API) для создания грамотных приложений, которые могут использовать и изменять как корпоративные, так и персональные данные. Колоссальное преимущество грамотных приложений состоит в том, что при использовании приложений двойного назначения, например Microsoft Word, можно не опасаться ошибочного шифрования персональных данных, так как эти API позволяют приложению определять принадлежность данных компании или лично пользователю.
Сведения о том, как собирать файлы журнала аудита, вы найдете в статье Как собирать журналы событий аудита Windows Information Protection (WIP).
Вы можете настроить политику WIP на использование от 1 до 4 режимов защиты и управления.
| Режим | Описание |
|---|---|
| Блокирование | WIP обнаруживает случаи недопустимого предоставления доступа к данным и запрещает сотруднику выполнить действие. Сюда может относиться предоставление общего доступа к корпоративным данным в приложениях, которые не защищены на корпоративном уровне, (в дополнение к совместному использованию таких данных в различных приложениях), а также попытки предоставить доступ к данным вне сети вашей организации. |
| Разрешить переопределения | WIP обнаруживает случаи недопустимого предоставления доступа к данным и предупреждает сотрудника о том, что он собирается выполнить потенциально небезопасное действие. Тем не менее в этом режиме управления сотрудник может переопределить политику и предоставить доступ к данным. При этом сведения о его действии будут внесены в журнал аудита. |
| Автоматически | WIP работает в автоматическом режиме, занося в журнал сведения о недопустимом предоставлении доступа к данным, но не останавливает никакие действия, предупреждения о которых пользователь увидел бы в режиме «Разрешить переопределения». Неразрешенные действия, например несанкционированные попытки приложений получить доступ к сетевым ресурсам или данным, защищенным с помощью WIP, останавливаются. |
| Отключено | Средство WIP отключено. Оно не защищает данные и не производит их аудит. После отключения WIP будет выполнена попытка расшифровать все файлы с тегами WIP на локально подключенных дисках. Имейте в виду, что введенные ранее сведения о расшифровке и политике не применяются повторно автоматически, если вы снова включите защиту WIP. |
Отключение WIP
Можно выключить все средства защиты Windows Information Protection и ограничения. В этом случае все устройства, управляемые WIP, будут расшифрованы, система вернется к состоянию до включения WIP без потери данных. Однако делать это не рекомендуется. Если вы решили отключить WIP, эту функцию всегда можно включить обратно, однако сведения о расшифровке и политике не будут автоматически применяться повторно.
Следующие этапы
После принятия решения об использовании WIP на своем предприятии вам потребуется следующее:
Отправляйте нам правки, добавления и отзывы, чтобы помочь улучшить этот раздел. Сведения о том, как внести свой вклад в эту тему, см. в Windows документации по ИТ-специалистам.