Защита корпоративных данных с помощью Windows Information Protection (WIP)

Примечание.

Начиная с июля 2022 г. Майкрософт не рекомендуется использовать Windows Information Protection (WIP). Майкрософт продолжит поддерживать WIP в поддерживаемых версиях Windows. Новые версии Windows не будут включать новые возможности для WIP, и они не будут поддерживаться в будущих версиях Windows. Дополнительные сведения см. в разделе Объявление о прекращении Information Protection Windows.

Для защиты данных Майкрософт рекомендует использовать Защита информации Microsoft Purview и Защита от потери данных Microsoft Purview. Purview упрощает настройку конфигурации и предоставляет расширенный набор возможностей.

Применимо к:

  • Windows 10
  • Windows 11

С увеличением числа устройств, принадлежащих сотрудникам, на предприятии также возрастает риск случайной утечки данных через приложения и службы, такие как электронная почта, социальные сети и общедоступное облако, которые находятся вне контроля предприятия. Сюда относятся случаи, когда сотрудник отправляет изображения с техническими данными со своей личной электронной почты, копирует и вставляет информацию о продукции в твит или сохраняет рабочий отчет по продажам в своем хранилище в общедоступном облаке.

Windows Information Protection (WIP), ранее известная как защита корпоративных данных (EDP), позволяет предотвратить возможную потерю данных, не влияя на работу сотрудников. WIP также помогает защитить корпоративные приложения и данные от случайной потери на принадлежащих компании и личных устройствах, которые сотрудники приносят с собой на работу, и при этом не требует вносить изменения в среду или другие приложения. Azure Rights Management, другая технология защиты данных, также работает вместе с WIP. Она расширяет защиту данных, которые покидают устройство, например при отправке вложений электронной почты из корпоративной версии почтового клиента управления правами.

Важно.

Хотя Windows Information Protection может остановить случайные утечки данных со стороны честных сотрудников, она не предназначена для предотвращения удаления корпоративных данных злоумышленниками. Дополнительные сведения о преимуществах, предоставляемых WIP, см. в разделе Почему используется WIP? далее в этом разделе.

Видео. Защита корпоративных данных от случайного копирования в неправильное место

Предварительные условия

Это программное обеспечение потребуется для запуска windows Information Protection на предприятии:

Операционная система Решение для управления
Windows 10 версии 1607 или более поздней Microsoft Intune

-ИЛИ-

Майкрософт Configuration Manager

-ИЛИ-

Ваше текущее корпоративное решение для управления мобильными устройствами (MDM). Сведения о сторонних решениях MDM см. в документации по продукту. Если сторонние MDM не поддерживают политики в пользовательском интерфейсе, обратитесь к документации по CSP EnterpriseDataProtection .

Что такое контроль корпоративных данных?

Для эффективной совместной работы необходимо обмениваться данными с другими сотрудниками предприятия. Этот общий доступ может быть одним из крайних случаев, когда каждый имеет доступ ко всему без какой-либо безопасности. Другая крайняя крайности, когда люди не могут делиться чем-либо, и все это высоко защищено. Большинство предприятий используют нечто среднее между этими двумя крайностями, при этом эффективность работы зависит от равновесия между предоставлением необходимого доступа и риском непреднамеренного раскрытия данных.

Как администратор вы можете определять круг пользователей, получающих доступ к данным, с помощью элементов управления доступом, таких как учетные данные сотрудников. Однако только потому, что кто-то имеет право на доступ к вашим данным, не гарантирует, что данные останутся в защищенных расположениях предприятия. Таким образом, элементы управления доступом — это отличное начало, их недостаточно.

В конечном счете, все эти меры безопасности схожи в одном: при малейшем неудобстве сотрудники начнут искать пути обхода ограничений системы безопасности. Например, если вы не разрешите сотрудникам обмениваться файлами через защищенную систему, сотрудники будут обращаться к внешнему приложению, которое, скорее всего, не имеет элементов управления безопасностью.

Использование систем защиты от потери данных

Чтобы устранить эту недостаточность безопасности, компании разработали системы защиты от потери данных (также известные как DLP). Требования систем защиты от потери данных:

  • Набор правил определения и категоризации данных, требующих защиты. Например, набор правил может содержать правила, определяющие номера кредитных карт или карт социального страхования.

  • Возможность проверки данных компании на предмет соответствия заданным правилам. На данный момент в Microsoft Exchange Server и Exchange Online эта служба доступна для передаваемой электронной почты, в то время как в Microsoft SharePoint и SharePoint Online эта служба доступна для содержимого библиотек документов.

  • Возможность указывать действия над данными, соответствующими условиям правила, включая предоставление сотрудникам возможности обхода применения правила. Например, в Майкрософт SharePoint и SharePoint Online система Защита от потери данных Microsoft Purview позволяет предупреждать сотрудников о том, что общие данные содержат конфиденциальную информацию, и предоставлять к ним доступ (с необязательной записью в журнале аудита).

К сожалению, системы защиты от потери данных не идеальны. Например, чем менее детализирован набор правил, тем больше ложных срабатываний создается. Такое поведение может привести к тому, что сотрудники считают, что правила замедляют их работу и их необходимо обойти, чтобы оставаться продуктивными, что может привести к неправильной блокировке или неправильному освобождению данных. Еще одна серьезная проблема состоит в необходимости масштабного внедрения систем защиты от потери данных для их эффективной работы. Например, если компания использует систему защиты от потери данных для электронной почты, но не для файловых ресурсов или хранилища документов, могут возникнуть утечки данных по незащищенным каналам. Возможно, самая большая проблема с системами защиты от потери данных заключается в том, что они предоставляют возможности jarring, которые прерывают естественный рабочий процесс сотрудников. Он может остановить некоторые операции (например, отправку сообщения с вложением, которое система помечает как конфиденциальные), а разрешить другие, часто в соответствии с тонкими правилами, которые сотрудник не видит и не может понять.

Использование систем управления правами на доступ к данным

Для решения возможных проблем с системами защиты от потери данных компании разработали системы управления правами на доступ к данным (IRM). Системы управления правами на доступ к данным встраивают средства защиты в сами документы, то есть при создании документа сотрудник определяет тип применяемой защиты. Например, сотрудник может запретить переадресацию и печать документа, предоставление к нему общего доступа за пределами организации и так далее.

После выбора типа защиты создающее приложение зашифровывает документ, чтобы его могли открывать только авторизованные пользователи и только в совместимых приложениях. После того как сотрудник откроет документ, приложение отвечает за реализацию указанных средств защиты. Поскольку защита перемещается вместе с документом, если авторизованное лицо отправляет его неавторизованному лицу, несанкционированное лицо не сможет прочитать или изменить его. Но для эффективной работы систем управления правами на доступ к данным требуется развернуть и настроить как серверную, так и клиентскую среду. А так как только совместимые клиенты могут работать с защищенными документами, работа сотрудников может неожиданно прерваться при попытке использовать несовместимое приложение.

А что произойдет, если сотрудник покинет компанию или отменит регистрацию устройства?

Наконец, существует риск утечки данных из вашей компании, когда сотрудник покидает или отменяет регистрацию устройства. Ранее вы удали все корпоративные данные с устройства, а также любые другие персональные данные на устройстве.

Преимущества WIP

Windows Information Protection предоставляет:

  • Очевидное разделение между персональными и корпоративными данными без необходимости переключения сотрудниками сред или приложений.

  • Дополнительная защита данных в существующих бизнес-приложениях без необходимости обновления приложений.

  • Возможность стирать корпоративные данные с устройств, зарегистрированные в Intune, сохраняя при этом личные данные.

  • Использование отчета об аудитах для отслеживания проблем и принятия корректирующих действий.

  • Интеграция с существующей системой управления (Microsoft Intune, Майкрософт Configuration Manager или текущей системой управления мобильными устройствами (MDM) для настройки, развертывания и управления Information Protection Windows для вашей компании.

Зачем использовать WIP?

Windows Information Protection — это механизм управления мобильными приложениями (MAM) на Windows 10. WIP предоставляет новый способ управления применением политики данных для приложений и документов в операционных системах Windows 10 настольных компьютеров, а также возможность удалять доступ к корпоративным данным как с корпоративных, так и с личных устройств (после регистрации в решении для управления предприятием, например Intune).

  • Изменение представления о применении политики данных. В качестве корпоративного администратора вам необходимо поддерживать соответствие вашей политики данных и доступа к данным нормативным требованиям. Windows Information Protection помогает защитить предприятие на корпоративных устройствах и устройствах, принадлежащих сотрудникам, даже если сотрудник не использует устройство. Когда сотрудник создает какие-либо материалы с помощью защищенного на корпоративном уровне устройства, он может сохранить эти материалы в виде рабочего документа. Если это рабочий документ, он локально сохраняется как корпоративные данные.

  • Управление корпоративными документами, приложениями и режимами шифрования.

    • Копирование или загрузка корпоративных данных. Когда сотрудник или приложение загружает материалы из такого расположения, как SharePoint, сетевая папка или корпоративное интернет-расположение, с помощью устройства, защищенного с использованием WIP, WIP шифрует данные на этом устройстве.

    • Использование защищенных приложений. Управляемым приложениям (приложениям, которые вы включили в список защищенных приложений в политике WIP) разрешен доступ к корпоративным данным и они будут взаимодействовать по-разному при использовании с неразрешимыми, некорпорациональными приложениями или приложениями только для личных пользователей. Например, если уровень управления WIP определен как Блокировка, ваши сотрудники могут копировать и вставлять содержимое из одного защищенного приложения в другое защищенное приложение, но не в личные приложения. Представьте, что сотрудник отдела кадров хочет скопировать описание работы из защищенного приложения на внутренний веб-сайт карьеры, в защищенное предприятием расположение, но делает ошибку и пытается вставить в личное приложение вместо этого. Действие вставки завершается сбоем, и появится уведомление о том, что приложению не удалось вставить из-за ограничения политики. После этого сотрудник без каких-либо проблем корректно выполняет вставку информации на веб-сайт для поиска работы.

    • Управляемые приложения и ограничения. WIP помогает контролировать, какие приложения могут получать доступ и использовать корпоративные данные. После добавления приложения в список защищенных, оно может использоваться для работы с корпоративными данными. В зависимости от установленного режима управления WIP, всем приложениям, отсутствующим в этом списке, запрещается доступ к корпоративным данным.

      Вам не нужно изменять бизнес-приложения, которые никогда не касаются персональных данных, чтобы вывести их в список защищенных приложений; просто включите их в список защищенных приложений.

    • Определение уровня доступа к данным. WIP позволяет блокировать, разрешать переопределения или проводить аудит действий сотрудников по предоставлению доступа к данным. Если скрыть переопределения, действие немедленно останавливается. Разрешение переопределений позволяет сотруднику узнать о наличии риска, однако дает ему возможность продолжить предоставления общего доступа к данным, при этом записывая и выполняя аудит действий. Автоматически просто регистрирует действие, не останавливая ничего, что сотрудник мог бы переопределить при использовании этого параметра; сбор сведений, которые помогут вам увидеть шаблоны недопустимого общего доступа, чтобы вы могли выполнить обучающие действия или найти приложения, которые должны быть добавлены в список защищенных приложений. Сведения о том, как собирать файлы журнала аудита, вы найдете в статье Как собирать журналы событий аудита Windows Information Protection (WIP).

    • Шифрование данных. Windows Information Protection помогает защитить корпоративные данные в локальных файлах и на съемных носителях.

      Такие приложения, как Microsoft Word, поддерживают работу с WIP, чтобы обеспечить защиту данных в локальных файлах и на съемных носителях. Такие приложения называются корпоративными. Например, если сотрудник открывает содержимое, зашифрованное WIP, из Word, изменяет содержимое, а затем пытается сохранить измененную версию с другим именем, Word автоматически применяет windows Information Protection к новому документу.

    • Предотвращение случайного раскрытия данных на общедоступных ресурсах. Windows Information Protection помогает защитить корпоративные данные от случайного совместного использования в общедоступных пространствах, таких как общедоступное облачное хранилище. Например, если Dropbox™ отсутствует в списке защищенных приложений, сотрудники не смогут синхронизировать зашифрованные файлы с личным облачным хранилищем. Вместо этого, если сотрудник сохраняет содержимое приложения из списка защищенных приложений, например Microsoft OneDrive для бизнеса, зашифрованные файлы могут свободно синхронизироваться с корпоративным облаком. При этом выполняется их локальное шифрование.

    • Предотвращение случайного раскрытия данных на съемных носителях. Windows Information Protection помогает предотвратить утечку корпоративных данных при копировании или передаче на съемный носитель. Например, если сотрудник помещает корпоративные данные на USB-накопитель, который также содержит персональные данные, корпоративные данные остаются зашифрованными, а персональные данные — нет.

  • Отзыв доступа к данным компании с устройств, защищенных на корпоративном уровне. Windows Information Protection позволяет администраторам отзывать корпоративные данные с одного или нескольких устройств, зарегистрированных MDM, оставляя при этом персональные данные в покое. Это преимущество, когда сотрудник покидает вашу компанию или если устройство украдено. После определения необходимости удаления доступа к данным, можно использовать Microsoft Intune для отмены регистрации устройства, чтобы при его следующем подключении к сети ключ шифрования пользователя для этого устройства был отозван и корпоративные данные стали бы нечитаемыми.

    Примечание.

    Для управления устройствами Surface рекомендуется использовать Current Branch Майкрософт Configuration Manager.
    Configuration Manager также позволяет отозвать корпоративные данные. Однако эта операция выполняется путем сброса устройства до заводских настроек.

Как работает WIP

Windows Information Protection помогает решать повседневные задачи на предприятии. К ним относятся:

  • предотвращение потери корпоративных данных даже на устройствах, принадлежащих сотрудникам, которые невозможно заблокировать;

  • снижение недовольства сотрудников, вызванного ограничениями политик управления данными на принадлежащих компании устройствах;

  • сохранение прав собственности и контроль за корпоративными данными;

  • Управление доступом к сети и данным и совместное использование данных для приложений, которые не знают предприятия

Корпоративные сценарии

Windows Information Protection в настоящее время решает следующие корпоративные сценарии:

  • Вы можете шифровать корпоративные данные на собственных устройствах сотрудников и корпоративных устройствах.

  • Вы можете удаленно стирать корпоративные данные с управляемых компьютеров, включая собственные компьютеры сотрудников, без воздействия на личные данные.

  • Вы можете защитить определенные приложения, которые могут получать доступ к корпоративным данным, которые четко распознаются для сотрудников. Вы также можете запрещать незащищенным приложениям доступ к корпоративным данным.

  • Работа ваших сотрудников не будет прерываться при переключении между личными и корпоративными приложениями, если при этом действуют корпоративные политики. Переключение сред или вход в систему несколько раз не требуется.

Режимы защиты WIP

Корпоративные данные автоматически шифруются после их загрузки на устройство из корпоративного источника или после того, как сотрудник помечает их как корпоративные. Затем, когда корпоративные данные записываются на диск, Windows Information Protection использует предоставленную Windows шифрующую файловую систему (EFS) для их защиты и связывания с корпоративным удостоверением.

Политика windows Information Protection включает список доверенных приложений, защищенных для доступа к корпоративным данным и их обработки. Этот список приложений реализуется через функцию AppLocker. Он позволяет определять, каким приложениям разрешено запускаться, и сообщает операционной системе Windows о возможности изменения корпоративных данных приложениями. Приложения, включенные в этот список, не нужно изменять для открытия корпоративных данных, так как их присутствие в списке позволяет Windows определить, предоставлять ли им доступ. Однако в Windows 10 появилась новая функция: разработчики приложений могут использовать новый набор программных интерфейсов (API) для создания грамотных приложений, которые могут использовать и изменять как корпоративные, так и персональные данные. Огромное преимущество работы с просвещенными приложениями заключается в том, что приложения двойного назначения, такие как Майкрософт Word, можно использовать с меньшей заботой о шифровании персональных данных по ошибке, так как API-интерфейсы позволяют приложению определять, принадлежат ли данные предприятию или являются ли они личными.

Примечание.

Сведения о том, как собирать файлы журнала аудита, вы найдете в статье Как собирать журналы событий аудита Windows Information Protection (WIP).

Вы можете настроить политику windows Information Protection для использования 1 из 4 режимов защиты и управления:

Режим Описание
Блокирование Windows Information Protection ищет недопустимые методы обмена данными и не позволяет сотруднику выполнить действие. Сюда может относиться предоставление общего доступа к корпоративным данным в приложениях, которые не защищены на корпоративном уровне (в дополнение к совместному использованию таких данных в различных приложениях), а также попытки предоставить доступ к данным вне сети вашей организации.
Разрешить переопределения Windows Information Protection ищет недопустимый общий доступ к данным, предупреждая сотрудников, если они делают что-то потенциально небезопасное. Тем не менее в этом режиме управления сотрудник может переопределить политику и предоставить доступ к данным. При этом сведения о его действии будут внесены в журнал аудита.
Автоматически Windows Information Protection работает автоматически, регистрирует недопустимый общий доступ к данным, не останавливая ничего, что было бы предложено для взаимодействия с сотрудниками в режиме разрешить переопределения. Неразрешенные действия, например несанкционированные попытки приложений получить доступ к сетевым ресурсам или данным, защищенным с помощью WIP, останавливаются.
Отключено Windows Information Protection отключена и не помогает защитить или проверить данные.

После отключения WIP будет выполнена попытка расшифровать все файлы с тегами WIP на локально подключенных дисках. Предыдущие сведения о расшифровке и политике не будут автоматически повторно использоваться при повторном включении Windows Information Protection.

Отключение WIP

Можно выключить все средства защиты Windows Information Protection и ограничения. В этом случае все устройства, управляемые WIP, будут расшифрованы, система вернется к состоянию до включения WIP без потери данных. Однако это не рекомендуется. Если вы решили отключить WIP, вы всегда можете снова включить его, но расшифровка и сведения о политике не будут автоматически применяться повторно.

Дальнейшие действия

После того как вы решите использовать WIP в своей среде, создайте политику windows Information Protection (WIP).