EnterpriseDataProtection 云解决方案提供商
注意
从 2022 年 7 月开始,Microsoft将弃用 Windows 信息保护 (WIP) 。 Microsoft将继续在受支持的 Windows 版本上支持 WIP。 新版本的 Windows 不包括 WIP 的新功能,并且将来的 Windows 版本中不支持它。 有关详细信息,请参阅 宣布 Windows 信息保护即将推出。
为了满足数据保护需求,Microsoft 建议使用 Microsoft Purview 信息保护 和 Microsoft Purview 数据丢失防护。 Purview 简化了配置设置,并提供一组高级功能。
下表显示了 Windows 的适用性:
| 版次 | Windows 10 | Windows 11 |
|---|---|---|
| Home 键 | 是 | 是 |
| 专业版 | 是 | 是 |
| Windows SE | 否 | 是 |
| 商用版 | 是 | 是 |
| 企业 | 是 | 是 |
| 教育 | 是 | 是 |
EnterpriseDataProtection 配置服务提供程序 (CSP) 用于配置 Windows 信息保护 (WIP) (以前称为企业数据保护)的设置。 有关 WIP 的详细信息,请参阅 使用 Windows 信息保护 (WIP) 来保护企业数据 。
注意
若要使 Windows 信息保护正常工作,还必须配置 AppLocker CSP 和特定于网络隔离的设置。 有关详细信息,请参阅策略 CSP 中的 AppLocker CSP 和 NetworkIsolation 策略。
虽然 Windows 信息保护不依赖于 VPN,但为了获得最佳结果,应在配置 WIP 策略之前先配置 VPN 配置文件。 有关 VPN 最佳做法建议,请参阅 VPNv2 CSP。
若要了解有关 Windows 信息保护的详细信息,请参阅以下文章:
以下示例以树格式显示 EnterpriseDataProtection CSP。
./Device/Vendor/MSFT
EnterpriseDataProtection
----Settings
--------EDPEnforcementLevel
--------EnterpriseProtectedDomainNames
--------AllowUserDecryption
--------DataRecoveryCertificate
--------RevokeOnUnenroll
--------RMSTemplateIDForEDP
--------AllowAzureRMSForEDP
--------EDPShowIcons
----Status
./Device/Vendor/MSFT/EnterpriseDataProtection
CSP 的根节点。
设置
Windows 信息保护 (WIP) 配置设置的根节点。
Settings/EDPEnforcementLevel
设置 WIP 强制级别。
注意
设置此值不足以在设备上启用 Windows 信息保护。 当 WIP 清理正在运行时,尝试更改此值将失败。
以下列表显示支持的值:
- 0 (默认) - 关闭/无保护 (解密以前受保护的数据) 。
- 1 - 静默模式 (仅加密和审核) 。
- 2 - 允许替代模式 (加密、提示和允许替代,以及审核) 。
- 3 - 隐藏替代 (加密、提示但隐藏替代以及审核) 。
支持的操作包括“添加”、“获取”、“替换”和“删除”。 值类型为整数。
Settings/EnterpriseProtectedDomainNames
企业用于其用户标识的域列表,由管道 () | 分隔。 列表中的第一个域必须是主要企业 ID,即表示 Windows 信息保护的管理机构。 将其中一个域的用户身份视为企业托管的帐户,与之相关联的数据应受到保护。 例如,企业拥有的所有电子邮件帐户的域应会显示在此列表中。 当 WIP 清理正在运行时,尝试更改此值将失败。
不支持更改主要企业 ID,这可能会导致客户端出现意外行为。
注意
客户端要求域名为规范域名,否则客户端将拒绝该设置。
下面是创建规范域名的步骤:
- 将仅) (A-Z 的 ASCII 字符转换为小写。 例如,Microsoft.COM -> microsoft.com。
- 使用 IDN_USE_STD3_ASCII_RULES 作为标志调用 IdnToAscii 。
- 调用未设置标志的 IdnToUnicode (dwFlags = 0) 。
支持的操作包括“添加”、“获取”、“替换”和“删除”。 值类型为字符串。
Settings/AllowUserDecryption
允许用户解密文件。 如果设置为 0 (不允许) ,则用户将无法通过操作系统或应用程序用户体验删除企业内容保护。
重要提示
从 Windows 10 版本 1703 开始,不再支持 AllowUserDecryption。
以下列表显示支持的值:
- 0 - 不允许。
- 1(默认值)- 允许。
最受限制的值为 0。
支持的操作包括“添加”、“获取”、“替换”和“删除”。 值类型为整数。
Settings/DataRecoveryCertificate
指定可用于加密文件的数据恢复的恢复证书。 此证书与用于加密文件系统 (EFS) 的数据恢复代理 (DRA) 证书相同,仅通过移动设备管理 (MDM) 而不是组策略传递。
注意
如果同时配置了此策略和相应的组策略设置,则会强制实施组策略设置。
来自 MDM 策略的 DRA 信息必须是与预期来自 GP 的相同序列化的二进制 Blob。 二进制 Blob 是以下结构的序列化版本:
//
// Recovery Policy Data Structures
//
typedef struct _RECOVERY_POLICY_HEADER {
USHORT MajorRevision;
USHORT MinorRevision;
ULONG RecoveryKeyCount;
} RECOVERY_POLICY_HEADER, *PRECOVERY_POLICY_HEADER;
typedef struct _RECOVERY_POLICY_1_1 {
RECOVERY_POLICY_HEADER RecoveryPolicyHeader;
RECOVERY_KEY_1_1 RecoveryKeyList[1];
} RECOVERY_POLICY_1_1, *PRECOVERY_POLICY_1_1;
#define EFS_RECOVERY_POLICY_MAJOR_REVISION_1 (1)
#define EFS_RECOVERY_POLICY_MINOR_REVISION_0 (0)
#define EFS_RECOVERY_POLICY_MINOR_REVISION_1 (1)
///////////////////////////////////////////////////////////////////////////////
// /
// RECOVERY_KEY Data Structure /
// /
///////////////////////////////////////////////////////////////////////////////
//
// Current format of recovery data.
//
typedef struct _RECOVERY_KEY_1_1 {
ULONG TotalLength;
EFS_PUBLIC_KEY_INFO PublicKeyInfo;
} RECOVERY_KEY_1_1, *PRECOVERY_KEY_1_1;
typedef struct _EFS_PUBLIC_KEY_INFO {
//
// The length of this entire structure, including string data
// appended to the end. The length should be a multiple of 8 for
// 64 bit alignment
//
ULONG Length;
//
// Sid of owner of the public key (regardless of format).
// This field is to be treated as a hint only.
//
ULONG PossibleKeyOwner;
//
// Contains information describing how to interpret
// the public key information
//
ULONG KeySourceTag;
union {
struct {
//
// The following fields contain offsets based at the
// beginning of the structure. Each offset is to
// a NULL terminated WCHAR string.
//
ULONG ContainerName;
ULONG ProviderName;
//
// The exported public key used to encrypt the FEK.
// This field contains an offset from the beginning of the
// structure.
//
ULONG PublicKeyBlob;
//
// Length of the PublicKeyBlob in bytes
//
ULONG PublicKeyBlobLength;
} ContainerInfo;
struct {
ULONG CertificateLength; // in bytes
ULONG Certificate; // offset from start of structure
} CertificateInfo;
struct {
ULONG ThumbprintLength; // in bytes
ULONG CertHashData; // offset from start of structure
} CertificateThumbprint;
};
} EFS_PUBLIC_KEY_INFO, *PEFS_PUBLIC_KEY_INFO;
//
// Possible KeyTag values
//
typedef enum _PUBLIC_KEY_SOURCE_TAG {
EfsCryptoAPIContainer = 1,
EfsCertificate,
EfsCertificateThumbprint
} PUBLIC_KEY_SOURCE_TAG, *PPUBLIC_KEY_SOURCE_TAG;
对于 EFSCertificate KeyTag,应为 DER ENCODED 二进制证书。
支持的操作包括“添加”、“获取”、“替换”和“删除”。 值类型是 base-64 编码证书。
Settings/RevokeOnUnenroll
此策略控制当设备从管理服务取消注册时是否撤销 Windows 信息保护密钥。 如果设置为 0 (不撤销密钥) ,则不会撤销密钥,并且用户在取消注册后将继续有权访问受保护的文件。 如果未撤销密钥,则以后不会进行已撤销的文件清理。 在发送取消注册命令之前,如果希望设备在取消注册时执行选择性擦除,则应将此策略显式设置为 1。
以下列表显示支持的值:
- 0 - 不撤销密钥。
- 1 (默认) - 撤销密钥。
支持的操作包括“添加”、“获取”、“替换”和“删除”。 值类型为整数。
Settings/RevokeOnMDMHandoff
已添加到 Windows 10 版本 1703。 此策略控制当设备从移动应用程序管理 (MAM) 升级到 MDM 时是否撤销 Windows 信息保护密钥。 如果设置为 0 (不撤销密钥) ,则不会撤销密钥,并且用户在升级后将继续有权访问受保护的文件。 如果为 MDM 服务配置了与 MAM 服务相同的 WIP EnterpriseID,则建议使用此设置。
- 0 - 不撤销密钥。
- 1 (默认) - 撤销密钥。
支持的操作包括“添加”、“获取”、“替换”和“删除”。 值类型为整数。
Settings/RMSTemplateIDForEDP
用于 Rights Management Service 的 TemplateID GUID (RMS) 加密。 RMS 模板允许 IT 管理员配置有关谁有权访问受 RMS 保护的文件以及他们有权访问多长时间的详细信息。
支持的操作包括“添加”、“获取”、“替换”和“删除”。 值类型是 GUID) (字符串。
Settings/AllowAzureRMSForEDP
指定是否允许 Windows 信息保护的 Azure RMS 加密。
- 0 (默认) - 请勿使用 RMS。
- 1 - 使用 RMS。
支持的操作包括“添加”、“获取”、“替换”和“删除”。 值类型为整数。
Settings/SMBAutoEncryptedFileExtensions
已添加到 Windows 10 版本 1703。 指定文件扩展名列表,以便在从服务器消息块 (SMB) 共享的服务器消息块复制时加密这些扩展名的文件,如 NetworkIsolation/EnterpriseIPRange 和 NetworkIsolation/EnterpriseNetworkDomainNames 的策略 CSP 节点中定义的那样。 在列表中使用分号 (;) 分隔符。 如果未指定此策略,则会应用现有的自动加密行为。 配置此策略后,只会加密列表中扩展名为的文件。 支持的操作包括“添加”、“获取”、“替换”和“删除”。 值类型为字符串。
Settings/EDPShowIcons
确定是否将覆盖添加到 “开始 ”菜单上的“资源管理器”和“仅限企业”应用磁贴中受 WIP 保护的文件的图标。 从 Windows 10 版本 1703 开始,此设置还会在受 WIP 保护的应用的标题栏中配置 Windows 信息保护图标的可见性。 以下列表显示支持的值:
- 0 (默认) - 图标或磁贴上没有 WIP 覆盖。
- 1 - 在只能创建企业内容的受保护文件和应用上显示 WIP 覆盖。
支持的操作包括“添加”、“获取”、“替换”和“删除”。 值类型为整数。
地位
一个只读位掩码,指示设备上的 Windows 信息保护的当前状态。 MDM 服务可以使用此值来确定 WIP 的当前总体状态。 如果配置了 WIP 强制策略和 WIP AppLocker 设置,WIP 仅在 (位 0 = 1) 。
建议的值:
| 保留供将来使用 | WIP 强制设置 Set = 1 未设置 = 0 |
保留供将来使用 | 已配置 AppLocker 是 = 1 否 = 0 |
WIP on = 1 WIP off = 0 |
|---|---|---|---|---|
| 4 | 3 | 2 | 1 | 0 |
位 0 指示 WIP 是打开还是关闭。
第 1 位指示是否设置了 AppLocker WIP 策略。
第 3 位指示是否配置了必需的 Windows 信息保护策略。 如果未配置一个或多个必需的 WIP 策略,则位 3 设置为 0 (零) 。
下面是必需的 WIP 策略列表:
- EnterpriseDataProtection CSP 中的 EDPEnforcementLevel
- EnterpriseDataProtection CSP 中的 DataRecoveryCertificate
- EnterpriseDataProtection CSP 中的 EnterpriseProtectedDomainNames
- 策略 CSP 中的 NetworkIsolation/EnterpriseIPRange
- 策略 CSP 中的 NetworkIsolation/EnterpriseNetworkDomainNames
第 2 位和第 4 位保留供将来使用。
支持的操作为 Get。 值类型为整数。