Поделиться через


Сведения о защите от потери данных в конечной точке

Вы можете использовать защиту от потери данных Microsoft Purview (DLP) для отслеживания действий, выполняемых с элементами, которые вы определили конфиденциальными, и для предотвращения непреднамеренного совместного использования этих элементов.

Защита от потери данных конечных точек (защита от потери данных в конечной точке) расширяет возможности мониторинга действий и защиты от потери данных для конфиденциальных элементов, физически хранящихся на устройствах с Windows 10/11 и macOS (три последние выпущенные основные версии). После подключения устройств к решениям Microsoft Purview сведения о том, что пользователи делают с конфиденциальными элементами, становятся видимыми в обозревателе действий. Затем можно применить защитные действия к этим элементам с помощью политик защиты от потери данных.

Совет

Если вы ищете управление устройствами для съемного хранилища, см. Управление доступом к управлению устройствами съемного хранилища в Microsoft Defender для конечной точки.

Совет

Если вы не являетесь клиентом E5, используйте 90-дневную пробную версию решений Microsoft Purview, чтобы узнать, как дополнительные возможности Purview могут помочь вашей организации управлять безопасностью данных и соответствием требованиям. Начните сейчас, перейдя в центр пробных версий на портале соответствия требованиям Microsoft Purview. Сведения о регистрации и условиях пробной версии.

Действия в конечных точках, которые вы можете отслеживать и реагировать на них

Защита от потери данных в конечной точке позволяет проводить аудит следующих типов действий, совершаемых пользователями в отношении конфиденциальных элементов, которые физически хранятся на устройствах с Windows 10, Windows 11 или macOS, и управлять ими.

Действие Описание Windows 10 (21H2, 22H2), Windows 11 (21H2, 22H2), Windows Server 2019, Server 2022 (21H2 и далее) для конечных точек (X64) Windows 11 (21H2, 22H2) для конечных точек (ARM64) Три последних выпущенных версии macOS Аудита/
Ограниченная
Отправка в домен облачной службы с ограниченным доступом или доступ из неподключенных браузеров Обнаруживает, когда пользователь пытается отправить элемент в запрещенный домен службы или получить доступ к элементу через браузер. Если пользователь использует не разрешенный браузер, действие отправки блокируется, а пользователь перенаправляется на использование Microsoft Edge. Microsoft Edge разрешает или блокирует отправку или доступ на основе конфигурации политики защиты от потери данных. Вы можете блокировать, предупреждать или выполнять аудит, когда защищенные файлы могут быть отправлены или запрещены для отправки в облачные службы на основе списка разрешенных или не разрешенных доменов в параметрах защиты от потери данных. Если настроенное действие для предупреждения или блокировки, другие браузеры (определенные в списке не разрешенных браузеров в разделе Параметры защиты от потери данных) блокируют доступ к файлу. Поддерживается Поддерживается Поддерживается Возможность аудита и ограничения
Вставка в поддерживаемые браузеры Определяет, когда пользователь пытается вставить содержимое в ограниченный домен службы. Оценка выполняется для вставляемого содержимого. Эта оценка не зависит от того, как классифицируется исходный элемент, из содержимого. Поддерживается Поддерживается Не поддерживается Возможность аудита и ограничения
Копирование в буфер обмена Когда пользователь пытается скопировать содержимое из защищенного файла, можно заблокировать, заблокировать с переопределением или провести аудит копирования защищенных файлов в буфер обмена на устройстве конечной точки. Если для правила настроено значение Блокировать или Блокировать с переопределением копирование блокируется, если исходное содержимое является конфиденциальным, за исключением случаев, когда назначение находится в том же приложении Microsoft 365 Office. Это действие также применяется к перенаправленным буферам обмена при использовании Виртуального рабочего стола Azure с Windows 365. Поддерживается Поддерживается Поддерживается Возможность аудита и ограничения
Копирование на съемные USB-устройства При обнаружении этого действия можно заблокировать, предупредить или проверить копирование или перемещение защищенных файлов с устройства конечной точки на съемный USB-носитель. Поддерживается Поддерживается Поддерживается Возможность аудита и ограничения
Копирование в общую сетевую папку При обнаружении этого действия можно блокировать, предупреждать или проверять копирование или перемещение защищенных файлов с устройства конечной точки в любую сетевую папку, включая перенаправленные USB-устройства, которые отображаются в качестве сетевых ресурсов на Виртуальном рабочем столе Azure с Windows 365. Поддерживается Поддерживается Поддерживается Возможность аудита и ограничения
Print При обнаружении этого действия можно заблокировать, предупредить или провести аудит печати защищенных файлов с устройства конечной точки. Это действие также применяется к перенаправленным принтерам при использовании Виртуального рабочего стола Azure вместе с Windows 365. Поддерживается Поддерживается Поддерживается Возможность аудита и ограничения
Копирование или перемещение с использованием запрещенного приложения Bluetooth Определяет, когда пользователь пытается скопировать элемент в не разрешенное приложение Bluetooth (как определено в списке не разрешенных приложений Bluetooth впараметрах конечной> точки параметров защиты от потери данных). Поддерживается Поддерживается Поддерживается Возможность аудита и ограничения
Копирование или перемещение с помощью RDP Определяет, когда пользователь пытается скопировать элемент в сеанс удаленного рабочего стола. Поддерживается Поддерживается Не поддерживается Возможность аудита и ограничения
Создание элемента Обнаруживает создание элемента. Поддерживается Поддерживается Поддерживается Аудита
Переименование элемента Обнаруживает переименование элемента. Поддерживается Поддерживается Поддерживается Аудита
Доступ с помощью ограниченных приложений Обнаруживает, когда приложение, которое находится в списке ограниченных приложений (как определено в ограниченных приложениях и группах приложений), пытается получить доступ к защищенным файлам на устройстве конечной точки. Поддерживается Поддерживается Поддерживается

Поведение копирования в буфер обмена

При настройке правила блокировать или блокировать с переопределением , когда пользователь пытается копировать в буфер обмена содержимое из файла, соответствующего политике, конечные пользователи видят следующее поведение в следующих конфигурациях:

  • Файл Word 123 содержит конфиденциальную информацию, соответствующую правилу копирования в буфер обмена.

  • Файл Excel 123 содержит конфиденциальную информацию, соответствующую правилу копирования в буфер обмена.

  • Файл PowerPoint 123 содержит конфиденциальную информацию, которая соответствует правилу копирования в буфер обмена.

  • Файл Word 789 не содержит конфиденциальных сведений.

  • Файл Excel 789 не содержит конфиденциальных сведений.

  • Файл PowerPoint 789 не содержит конфиденциальной информации.

  • Блокнот (или любое приложение или процесс, отличный от Microsoft Office) файл XYZ содержит конфиденциальную информацию, соответствующую правилу копирования в буфер обмена.

  • Файл ABC блокнота (или любого приложения или процесса, отличного от Microsoft Office), не содержит конфиденциальной информации.

Source Цель Поведение
Word file 123/Excel file 123/PowerPoint file 123 Word file 123/Excel file 123/PowerPoint file 123 Копирование и вставка разрешены, другими словами, копирование внутри файла и вставка разрешены.
Файл Word 123/Файл Excel 123/Файл PowerPoint 123 Word file 789/Excel file 789/PowerPoint file 789 Копирование и вставка блокируются, другими словами, копирование файлов и вставка блокируются.
Word file 789/Excel file 789/PowerPoint file 789 Файл Word 123/Файл Excel 123/Файл PowerPoint 123 Копирование и вставка разрешены
Word file 123/Excel file 123/PowerPoint file 123 Файл Блокнота ABC Копирование и вставка заблокированы
Файл блокнота XYZ любой Копирование заблокировано
Файл Блокнота ABC любой Копирование и вставка разрешены

Рекомендации по политикам защиты от потери данных в конечной точке

Предположим, вы хотите запретить всем элементам, содержащим номера кредитных карт, выходить из конечных точек пользователей финансового отдела. Рекомендации:

  • Создайте политику и распространите ее на конечные точки и на эту группу пользователей.
  • Создайте правило в политике, определяющее тип информации, которую необходимо защитить. В этом случае задайте для содержимого значениеТип конфиденциальной информации*, а затем выберите Кредитная карта.
  • Задайте для каждого действия значение Блокировать.

Дополнительные сведения о разработке политик защиты от потери данных см. в статье Разработка политики защиты от потери данных .

Примечание.

В Microsoft Purview оценка конфиденциальных элементов политикой защиты от потери данных выполняется централизованно, поэтому отсутствует задержка распространения политик и обновлений политик на отдельные устройства. При обновлении политики в Центре соответствия требованиям обычно требуется около часа для синхронизации этих обновлений в службе. Когда синхронизация обновлений политики завершена, элементы на целевых устройствах автоматически переоцениваются при следующем доступе или изменении. (предварительная версия) Для изменений авторизованных групп для синхронизации политики потребуется 24 часа.

Отслеживаемые файлы

Файлы, отслеживаемые с помощью политики

Конечная точка защиты от потери данных отслеживает эти типы файлов с помощью политики в Windows 10, 11 и последних трех основных выпусках macOS:

Windows 10, 11 macOS
.doc, .docx, .docm, .dot, .dotx, .dotm, .docb, .xls, .xlsx, .xlt, .xlm, .xlsm, .xltx, .xltm, xlsb, .xlw, .ppt, .pptx, pos, .pps, .pptm, .potx, potm, .ppam, .ppsx, ppsx, .pbix, .pdf, .csv, .tsv, .zip, .zipx, .rar, .7z, .tar, .war, .gz, .dlp, .txt, .c, .class, .cpp, .cs, .h, .java, .html, .htm, .rtf, .json, .config .doc, .docx, .docm, .dot, dotx, .dotm, .docb, .xls, .xlsx, .xlt, .xlm, .xlsm, .xltx, .xltm, .xlsb, .xlw, .ppt, .pptx, .pos, .pps, .pptm, .potx, .potm, .ppsx, .pbix, .pdf, .csv, .tsv, .txt, .c, .cpp, .cs, .h, .java, .html, .htm, .rtf, .json, .config

Примечание.

Эти типы файлов можно отслеживать с помощью параметров политики на устройствах с Windows 10, 11 и macOS, если включен распознавание текста :

.jpg, .png, .tif, .tiff, .bmp, .jpeg

Файлы, проверенные независимо от соответствия политике

В Windows 10, 11 и последних трех основных выпусках macOS можно выполнять аудит действий для этих типов файлов, даже если не существует соответствия политике:

Windows 10, 11 macOS
.doc, .docx, .docm, .dot, .dotx, .dotm, .docb, .xls, .xlsx, .xlt, .xlm, .xlsm, .xltx, xltx, .xltm, .xlsb, .xlw, .ppt, .pptx, .pos, .pps, .pptm, .potx, .potm, .ppam, .ppsx, .pbix, .pdf, .csv, .tsv, .zip, .zipx, .rar, .7z, .tar, .war, .gz, .dlp .doc, .docx, .docm, .dot, .dotx, .dotm, .docb, .xls, .xlsx, .xlt, .xlm, .xlsm, .xltx, .xltm, .xlsb, .xlw, .ppt, .pptx, .pos, .pps, .pptm, .potx, .potm, ppam, .ppsx, .pbix, .pdf, .csv, .tsv,

Примечание.

Эти типы файлов можно проводить аудит независимо от соответствия политик на устройствах с Windows 10, 11 и macOS, если включена функция распознавания текста :

.jpg, .png, .tif, .tiff, .bmp, .jpeg

Важно!

Сведения о требованиях Adobe к использованию функций защиты от потери данных Microsoft Purview (DLP) с PDF-файлами см. в этой статье Adobe: Microsoft Purview Information Protection Support in Acrobat.

Если вы хотите, чтобы данные мониторинга только из политик совпадали, можно отключить действие Всегда аудит файла для устройств впараметрах конечной> точки параметров защиты от потери данных.

Если параметр Всегда выполнять аудит файлов для устройств включен, действия в любых файлах Word, PowerPoint, Excel, PDF и .csv всегда проверяются, даже если на устройство не применяется ни одной политики.

Чтобы обеспечить аудит действий для всех поддерживаемых типов файлов, создайте настраиваемую политику защиты от потери данных.

Конечная точка защиты от потери данных отслеживает действия на основе типа MIME, поэтому действия регистрируются, даже если расширение файла изменено, для следующих типов файлов:

После изменения расширения на любое другое расширение файла:

  • DOC
  • DOCX
  • XLS
  • XLSX
  • PPT
  • PPTX
  • PDF

Если расширение изменено только на поддерживаемые расширения файлов:

  • .txt
  • .msg
  • RTF
  • .c
  • .cpp
  • .h
  • .cs
  • .Ява
  • .tsv

Типы файлов, сканируемые на наличие содержимого

В качестве условий в политиках защиты от потери данных можно использовать один или несколько типов файлов.

Тип файла Приложения Отслеживаемые расширения файлов
обработка текстов Word, PDF .doc, .docx, .docm, .dot, dotx, .dotm, .docb, .pdf
электронная таблица Excel, CSV, TSV .xls, .xlsx, .xlt, .xlm, .xlsm, xltx, xltm, xlsb, .xlw, .csv, .tsv
презентация PowerPoint PPT, PPTX, POS, PPS, PPTM, POTX, POTM, PPAM, PPSX
archive Средства архивации и сжатия файлов ZIP, ZIPX, RAR, 7Z, TAR, GZ
email Outlook .msg

Чем отличается защита от потери данных в конечной точке

Перед началом глубокой работы с защитой от потери данных в конечной точке необходимо учитывать ряд дополнительных понятий.

Включение управления мобильными устройствами

Управление устройствами — это функция, которая позволяет осуществлять сбор данных телеметрии с устройств и передавать их в решения Microsoft Purview, такие как Защита от потери данных в конечной точке и управление внутренними рисками. Необходимо подключить все устройства, которые вы хотите использовать в качестве расположений в политиках защиты от потери данных.

включить управление устройствами.

Подключение и отключение обрабатываются с помощью скриптов, которые вы скачиваете из центра управления устройствами. Центр управления устройствами имеет пользовательские скрипты для каждого из следующих методов развертывания:

  • Локальный сценарий (до 10 компьютеров)
  • Групповая политика
  • System Center Configuration Manager (версия 1610 или более поздняя)
  • Управление мобильными устройствами/Microsoft Intune
  • Сценарии подключения в инфраструктуре виртуальных рабочих столов (VDI) для временных компьютеров

страница подключения устройства.

Для подключения устройств используйте процедуры, описанные в статье Начало работы с Защитой от потери данных в конечной точке в Microsoft 365.

Подключение устройств к Defender также позволяет подключить их к защите от потери данных. Таким образом, если у вас есть подключенные устройства с помощью Microsoft Defender для конечной точки, эти устройства автоматически отображаются в списке устройств. Чтобы использовать DLP конечной точки, необходимо только включить мониторинг устройств .

список управляемых устройств.

Просмотр данных защиты от потери данных в конечной точке

Оповещения, связанные с политиками защиты от потери данных, применяемыми на устройствах конечных точек, можно просмотреть на панели мониторинга управления оповещениями о защите от потериданных и исследовать инциденты потери данных с помощью XDR в Microsoft Defender.

Сведения об оповещении.

Вы также можете просмотреть сведения о связанном событии с расширенными метаданными на той же панели мониторинга.

Сведения о событии.

После подключения устройства сведения о действиях, прошедших аудит, передаются в обозреватель действий даже до настройки и развертывания любой политики защиты от потери данных с устройствами в качестве расположения.

события DLP конечной точки в обозревателе действий.

Защита от потери данных в конечной точке собирает подробную информацию о действиях, прошедших аудит.

Например, если файл копируется на съемный USB-носитель, то в подробных сведениях о действиях будут отображаться указанные ниже атрибуты:

  • тип действия
  • IP-адрес клиента
  • путь к целевому файлу
  • временная метка события
  • имя файла
  • пользователь
  • расширение файла
  • размер файла
  • типы конфиденциальной информации (если применимо)
  • значение SHA1
  • значение SHA256
  • предыдущее имя файла
  • расположение
  • родитель
  • путь к файлу
  • тип исходного расположения
  • платформа
  • имя устройства
  • тип конечного расположения
  • приложение, которое выполнило копирование
  • ИД устройства Microsoft Defender для конечной точки (если применимо)
  • производитель съемного носителя
  • модель съемного носителя
  • серийный номер съемного носителя

копирование в атрибуты действия USB.

Защита от потери данных конечной точки и автономные устройства

Если устройство конечной точки Windows находится в автономном режиме, существующие политики продолжают применяться к существующим файлам. Кроме того, если включена JIT-защита и в режиме блокировки, при создании нового файла на автономном устройстве доступ к файлу по-прежнему запрещен до тех пор, пока устройство не подключится к службе классификации данных и не завершит оценку. Если на сервере создается новая политика или изменяется существующая политика, эти изменения обновляются на устройстве после повторного подключения к Интернету.

Рассмотрим следующие варианты использования.

  1. Политики, которые были отправлены на устройство, будут по-прежнему применяться к файлам, уже классифицированным как конфиденциальные, даже после отключения устройства.
  2. Политики, которые обновляются на портале соответствия требованиям, пока устройство находится в автономном режиме, не будут отправляться на это устройство. Аналогичным образом, такие политики не будут применяться на этом устройстве, пока устройство не вернется к сети. Однако устаревшая политика, существующая на автономном устройстве, по-прежнему будет применяться. JIT-защита

Если уведомления настроены для отображения, они всегда будут отображаться при активации политик защиты от потери данных, независимо от того, подключено ли устройство к сети.

Примечание.

Хотя политики, которые уже были отправлены на автономное устройство, применяются, события принудительного применения не отображаются в обозревателе действий, пока устройство не вернется к сети.

Политики защиты от потери данных регулярно синхронизируются с конечными точками. Если устройство находится в автономном режиме, политики не могут быть синхронизированы. В этом случае список устройств отражает, что устройство не синхронизировано с политиками на сервере.

Важно!

Эта функция не поддерживается на конечных точках macOS.

JIT-защита

JIT-защита блокирует все действия исходящего трафика в следующих отслеживаемых файлах до успешного завершения оценки политики:

  • Элементы, которые никогда не были оценены.
  • Элементы, для которых оценка устарела. Это ранее оцененные элементы, которые не были повторно оценены текущими обновленными облачными версиями политик.

Перед развертыванием JIT-защиты необходимо сначала развернуть клиент защиты от вредоносных программ версии 4.18.23080 или более поздней.

Примечание.

Для компьютеров с устаревшей версией антивредоносного клиента рекомендуется отключить JIT-защиту, установив один из следующих KB:

Чтобы включить JIT-защиту на портале соответствия требованиям Microsoft Purview, выберите Параметры в области навигации слева, выберите JIT-защита и настройте нужные параметры.

Выбор расположений для мониторинга

  • Выберите Устройства.
  • Нажмите кнопку Изменить.
  • Во всплывающей области выберите область учетных записей и групп рассылки, к которым вы хотите применить JIT-защиту. (Помните, что во время обработки оценки политики защита от потери данных конечной точки блокирует все действия исходящего трафика для каждого пользователя, чья учетная запись находится в выбранной области. Конечная точка защиты от потери данных выполняет аудит действий исходящего трафика для всех учетных записей пользователей, которые были специально исключены (с помощью параметра Исключить) или иным образом не находятся в области.

Примечание.

Помните, что для всех пользователей, которые выбраны в области, защита от потери данных в конечной точке будет блокировать все действия исходящего трафика в ожидании завершения оценки политики. Для пользователей, которые не входят в область или в параметре Исключить, конечная точка защиты от потери данных будет выполнять аудит действий исходящего трафика.

  • Резервное действие в случае сбоя. Эта конфигурация определяет режим принудительного применения, который должен применяться при оценке политики. Независимо от выбранного значения соответствующие данные телеметрии будут отображаться в обозревателе действий.

Совет

Советы по повышению производительности пользователей:

  • Настройте и разверните политики защиты от потери данных на конечных точках на устройствах, прежде чем включать JIT-защиту, чтобы предотвратить неоправданную блокировку действий пользователей во время оценки политики.
  • Обязательно тщательно настройте параметры для действий исходящего трафика. JIT-защита блокирует действие исходящего трафика, только если это действие содержит один или несколько блоков или блоков с политиками переопределения . Это означает, что действия исходящего трафика, которые специально не заблокированы, будут проверяться только для пользователей, включенных в область применения политик.
  • Так как JIT-защита блокирует действие исходящего трафика только в том случае, если это действие содержит один или несколько блоков или блоков с политикой переопределения . Это означает, что если у конечного пользователя, даже в области, нет политики защиты от потери данных или только политики аудита защиты от потери данных, то JIT-защита будет выполнять аудит только исходящего действия.

Дополнительные сведения см. в статье Начало работы с JIT-защитой.

Дальнейшие действия

Теперь, когда вы узнали о защите от потери данных в конечной точке, ознакомьтесь со следующим:

  1. Обзор подключения устройств с Windows 10 или Windows 11 к Microsoft Purview
  2. Обзор подключения устройств с macOS к Microsoft Purview
  3. Настройка параметров защиты от потери данных в конечной точке
  4. Использование Защиты от потери данных в конечной точке

См. также