CSP EnterpriseDataProtection
Observação
A partir de julho de 2022, a Microsoft vai preterir o Windows Information Protection (WIP). A Microsoft continuará a suportar o WIP em versões suportadas do Windows. As novas versões do Windows não incluirão novas capacidades para o WIP e não serão suportadas em versões futuras do Windows. Para obter mais informações, consulte Anunciar o pôr-do-sol do Windows Information Protection.
Para as suas necessidades de proteção de dados, a Microsoft recomenda que utilize o Microsoft Purview Information Protection e a Prevenção de Perda de Dados do Microsoft Purview. O Purview simplifica a configuração da configuração e fornece um conjunto avançado de capacidades.
A tabela abaixo mostra a aplicabilidade do Windows:
| Edição | Windows 10 | Windows 11 |
|---|---|---|
| Home | Sim | Sim |
| Pro | Sim | Sim |
| Windows SE | Não | Sim |
| Negócios | Sim | Sim |
| Enterprise | Sim | Sim |
| Educação | Sim | Sim |
O fornecedor de serviços de configuração (CSP) EnterpriseDataProtection é utilizado para configurar definições para o Windows Information Protection (WIP), anteriormente conhecido como Enterprise Data Protection. Para obter mais informações sobre o WIP, consulte Proteger os seus dados empresariais com o Windows Information Protection (WIP).
Observação
Para tornar o Windows Information Protection funcional, o CSP do AppLocker e as definições específicas do isolamento de rede também têm de ser configurados. Para obter mais informações, veja AppLocker CSP and NetworkIsolation policies in Policy CSP (Política CSP do AppLocker e Políticas de Rede) no CSP de Políticas.
Embora o Windows Information Protection não tenha nenhuma dependência rígida na VPN, para obter os melhores resultados, deve configurar os perfis VPN primeiro antes de configurar as políticas wip. Para obter recomendações de melhores práticas de VPN, veja VPNv2 CSP.
Para saber mais sobre o Windows Information Protection, consulte os seguintes artigos:
- Criar uma política de WIP (Proteção de informações Windows)
- Diretrizes gerais e práticas recomendadas para WIP (Proteção de informações Windows)
O exemplo seguinte mostra o CSP EnterpriseDataProtection no formato de árvore.
./Device/Vendor/MSFT
EnterpriseDataProtection
----Settings
--------EDPEnforcementLevel
--------EnterpriseProtectedDomainNames
--------AllowUserDecryption
--------DataRecoveryCertificate
--------RevokeOnUnenroll
--------RMSTemplateIDForEDP
--------AllowAzureRMSForEDP
--------EDPShowIcons
----Status
./Device/Vendor/MSFT/EnterpriseDataProtection
O nó raiz do CSP.
Configurações
O nó raiz para as definições de configuração do Windows Information Protection (WIP).
Definições/EDPEnforcementLevel
Defina o nível de imposição do WIP.
Observação
Definir este valor não é suficiente para ativar o Windows Information Protection no dispositivo. As tentativas de alterar este valor falharão quando a limpeza do WIP estiver em execução.
A lista a seguir mostra os valores com suporte:
- 0 (predefinição) - Desativado/Sem proteção (desencripta dados anteriormente protegidos).
- 1 - Modo silencioso (encriptar e auditar apenas).
- 2 - Permitir o modo de substituição (encriptar, pedir e permitir substituições e auditoria).
- 3 - Oculta substituições (encriptar, pedir, mas ocultar substituições e auditoria).
As operações suportadas são Adicionar, Obter, Substituir e Eliminar. Tipo de valor é número inteiro.
Definições/EnterpriseProtectedDomainNames
Uma lista de domínios utilizados pela empresa para as respetivas identidades de utilizador separadas por pipes (|). O primeiro domínio na lista tem de ser o ID de empresa principal, ou seja, aquele que representa a autoridade de gestão do Windows Information Protection. As identidades dos usuários de um desses domínios são consideradas uma conta gerenciada pela empresa, e os dados associados a ela devem ser protegidos. Por exemplo, espera-se que os domínios de todas as contas de e-mail pertencentes à empresa apareçam nesta lista. As tentativas de alterar este valor falharão quando a limpeza do WIP estiver em execução.
A alteração do ID empresarial principal não é suportada e pode causar um comportamento inesperado no cliente.
Observação
O cliente requer que o nome de domínio seja canónico. Caso contrário, a definição será rejeitada pelo cliente.
Eis os passos para criar nomes de domínio canónicos:
- Transforme os carateres ASCII (apenas A-Z) em minúsculas. Por exemplo, Microsoft.COM -> microsoft.com.
- Chame IdnToAscii com IDN_USE_STD3_ASCII_RULES como sinalizadores.
- Chame IdnToUnicode sem sinalizadores definidos (dwFlags = 0).
As operações suportadas são Adicionar, Obter, Substituir e Eliminar. Tipo de valor é cadeia de caracteres.
Definições/AllowUserDecryption
Permite ao utilizador desencriptar ficheiros. Se estiver definido como 0 (Não Permitido), o utilizador não poderá remover a proteção do conteúdo empresarial através do sistema operativo ou das experiências do utilizador da aplicação.
Importante
A partir do Windows 10, versão 1703, a AllowUserDecryption já não é suportada.
A lista a seguir mostra os valores com suporte:
- 0 - Não permitido.
- 1 (padrão) – Permitido.
O valor de restrição máxima é 0.
As operações suportadas são Adicionar, Obter, Substituir e Eliminar. Tipo de valor é número inteiro.
Definições/DataRecoveryCertificate
Especifica um certificado de recuperação que pode ser utilizado para a recuperação de dados de ficheiros encriptados. Este certificado é o mesmo que o certificado do agente de recuperação de dados (DRA) para encriptar o sistema de ficheiros (EFS), apenas entregue através da gestão de dispositivos móveis (MDM) em vez da Política de Grupo.
Observação
Se esta política e a definição da Política de Grupo correspondente estiverem configuradas, a definição da Política de Grupo é imposta.
As informações de DRA da política de MDM têm de ser um blob binário serializado idêntico ao esperado do GP. O blob binário é a versão serializada da seguinte estrutura:
//
// Recovery Policy Data Structures
//
typedef struct _RECOVERY_POLICY_HEADER {
USHORT MajorRevision;
USHORT MinorRevision;
ULONG RecoveryKeyCount;
} RECOVERY_POLICY_HEADER, *PRECOVERY_POLICY_HEADER;
typedef struct _RECOVERY_POLICY_1_1 {
RECOVERY_POLICY_HEADER RecoveryPolicyHeader;
RECOVERY_KEY_1_1 RecoveryKeyList[1];
} RECOVERY_POLICY_1_1, *PRECOVERY_POLICY_1_1;
#define EFS_RECOVERY_POLICY_MAJOR_REVISION_1 (1)
#define EFS_RECOVERY_POLICY_MINOR_REVISION_0 (0)
#define EFS_RECOVERY_POLICY_MINOR_REVISION_1 (1)
///////////////////////////////////////////////////////////////////////////////
// /
// RECOVERY_KEY Data Structure /
// /
///////////////////////////////////////////////////////////////////////////////
//
// Current format of recovery data.
//
typedef struct _RECOVERY_KEY_1_1 {
ULONG TotalLength;
EFS_PUBLIC_KEY_INFO PublicKeyInfo;
} RECOVERY_KEY_1_1, *PRECOVERY_KEY_1_1;
typedef struct _EFS_PUBLIC_KEY_INFO {
//
// The length of this entire structure, including string data
// appended to the end. The length should be a multiple of 8 for
// 64 bit alignment
//
ULONG Length;
//
// Sid of owner of the public key (regardless of format).
// This field is to be treated as a hint only.
//
ULONG PossibleKeyOwner;
//
// Contains information describing how to interpret
// the public key information
//
ULONG KeySourceTag;
union {
struct {
//
// The following fields contain offsets based at the
// beginning of the structure. Each offset is to
// a NULL terminated WCHAR string.
//
ULONG ContainerName;
ULONG ProviderName;
//
// The exported public key used to encrypt the FEK.
// This field contains an offset from the beginning of the
// structure.
//
ULONG PublicKeyBlob;
//
// Length of the PublicKeyBlob in bytes
//
ULONG PublicKeyBlobLength;
} ContainerInfo;
struct {
ULONG CertificateLength; // in bytes
ULONG Certificate; // offset from start of structure
} CertificateInfo;
struct {
ULONG ThumbprintLength; // in bytes
ULONG CertHashData; // offset from start of structure
} CertificateThumbprint;
};
} EFS_PUBLIC_KEY_INFO, *PEFS_PUBLIC_KEY_INFO;
//
// Possible KeyTag values
//
typedef enum _PUBLIC_KEY_SOURCE_TAG {
EfsCryptoAPIContainer = 1,
EfsCertificate,
EfsCertificateThumbprint
} PUBLIC_KEY_SOURCE_TAG, *PPUBLIC_KEY_SOURCE_TAG;
Para EFSCertificate KeyTag, espera-se que seja um certificado binário CODIFICADO POR DER.
As operações suportadas são Adicionar, Obter, Substituir e Eliminar. O tipo de valor é certificado codificado com base 64.
Definições/RevogarOnUnenroll
Esta política controla se pretende revogar as chaves do Windows Information Protection quando um dispositivo é anulado do serviço de gestão. Se definida como 0 (Não revogar chaves), as chaves não serão revogadas e o utilizador continuará a ter acesso a ficheiros protegidos após a anulação da inscrição. Se as chaves não forem revogadas, não haverá limpeza de ficheiro revogada, mais tarde. Antes de enviar o comando anular a inscrição, quando pretender que um dispositivo efetue uma eliminação seletiva quando a inscrição for cancelada, deve definir explicitamente esta política como 1.
A lista a seguir mostra os valores com suporte:
- 0 - Não revogar chaves.
- 1 (predefinição) - Revogar chaves.
As operações suportadas são Adicionar, Obter, Substituir e Eliminar. Tipo de valor é número inteiro.
Definições/RevogarOnMDMHandoff
Adicionado ao Windows 10, versão 1703. Esta política controla se pretende revogar as chaves do Windows Information Protection quando um dispositivo é atualizado da gestão de aplicações móveis (MAM) para a MDM. Se definida como 0 (Não revogar chaves), as chaves não serão revogadas e o utilizador continuará a ter acesso a ficheiros protegidos após a atualização. Esta definição é recomendada se o serviço MDM estiver configurado com o mesmo WIP EnterpriseID que o serviço MAM.
- 0 - Não revogar chaves.
- 1 (predefinição) - Revogar chaves.
As operações suportadas são Adicionar, Obter, Substituir e Eliminar. Tipo de valor é número inteiro.
Definições/RMSTemplateIDForEDP
TEMPLATEID GUID para utilizar para encriptação do Serviço de Gestão de Direitos (RMS). O modelo do RMS permite ao administrador de TI configurar os detalhes sobre quem tem acesso ao ficheiro protegido por RMS e quanto tempo têm acesso.
As operações suportadas são Adicionar, Obter, Substituir e Eliminar. O tipo de valor é cadeia (GUID).
Definições/PermitirAzureRMSForEDP
Especifica se pretende permitir a encriptação do Azure RMS para o Windows Information Protection.
- 0 (predefinição) – não utilize o RMS.
- 1 - Utilize RMS.
As operações suportadas são Adicionar, Obter, Substituir e Eliminar. Tipo de valor é número inteiro.
Definições/SMBAutoEncryptedFileExtensions
Adicionado ao Windows 10, versão 1703. Especifica uma lista de extensões de ficheiro, para que os ficheiros com estas extensões sejam encriptados ao copiar a partir de uma partilha SMB (Server Message Block) dentro do limite empresarial, conforme definido nos nós CSP de Política para NetworkIsolation/EnterpriseIPRange e NetworkIsolation/EnterpriseNetworkDomainNames. Utilize ponto e vírgula (;) delimitador na lista. Quando esta política não é especificada, é aplicado o comportamento de encriptação automática existente. Quando esta política estiver configurada, apenas os ficheiros com as extensões na lista serão encriptados. As operações suportadas são Adicionar, Obter, Substituir e Eliminar. Tipo de valor é cadeia de caracteres.
Definições/EDPShowIcons
Determina se as sobreposições são adicionadas a ícones para ficheiros protegidos pelo WIP no Explorador e apenas mosaicos de aplicações empresariais no menu Iniciar . A partir do Windows 10, versão 1703, esta definição também configura a visibilidade do ícone do Windows Information Protection na barra de título de uma aplicação protegida por WIP. A lista a seguir mostra os valores com suporte:
- 0 (predefinição) - Não existem sobreposições wip em ícones ou mosaicos.
- 1 - Mostrar sobreposições do WIP em ficheiros e aplicações protegidos que só podem criar conteúdo empresarial.
As operações suportadas são Adicionar, Obter, Substituir e Eliminar. Tipo de valor é número inteiro.
Estado
Uma máscara de bit só de leitura que indica o estado atual do Windows Information Protection no Dispositivo. O serviço MDM pode utilizar este valor para determinar o estado geral atual do WIP. O WIP só está ativado (bit 0 = 1) se as políticas obrigatórias do WIP e as definições do Wip AppLocker estiverem configuradas.
Valores sugeridos:
| Reservado para utilização futura | Definições obrigatórias do WIP Definir = 1 Não definido = 0 |
Reservado para utilização futura | AppLocker configurado Sim = 1 Não = 0 |
WIP ativado = 1 WIP desativado = 0 |
|---|---|---|---|---|
| 4 | 3 | 2 | 1 | 0 |
Bit 0 indica se o WIP está ativado ou desativado.
O Bit 1 indica se as políticas do WIP do AppLocker estão definidas.
O Bit 3 indica se as políticas obrigatórias do Windows Information Protection estão configuradas. Se uma ou mais das políticas de WIP obrigatórias não estiverem configuradas, o bit 3 está definido como 0 (zero).
Eis a lista de políticas wip obrigatórias:
- EDPEnforcementLevel em EnterpriseDataProtection CSP
- DataRecoveryCertificate em EnterpriseDataProtection CSP
- EnterpriseProtectedDomainNames em EnterpriseDataProtection CSP
- NetworkIsolation/EnterpriseIPRange no CSP de Política
- NetworkIsolation/EnterpriseNetworkDomainNames no CSP de Políticas
Os bits 2 e 4 estão reservados para utilização futura.
A operação com suporte é Get. Tipo de valor é número inteiro.
Artigos relacionados
Referência de provedor de serviços de configuração
Proteger os dados empresariais usando a Proteção de Informações do Windows (WIP)