Dowiedz się więcej o ochronie przed utratą danych punktu końcowego
Uwaga
Zgodność w usłudze Microsoft 365 nosi teraz nazwę Microsoft Purview, a rozwiązaniom w obszarze zgodności nadano nowe nazwy. Aby uzyskać więcej informacji na temat Microsoft Purview, zobacz ogłoszenie na blogu.
Możesz użyć Ochrona przed utratą danych w Microsoft Purview (DLP) do monitorowania akcji wykonywanych na elementach, które zostały uznane za wrażliwe, i aby zapobiec niezamierzonemu udostępnianiu tych elementów. Aby uzyskać więcej informacji na temat ochrony przed utratą danych, zobacz Dowiedz się więcej o zapobieganiu utracie danych.
Ochrona przed utratą danych punktu końcowego (Endpoint DLP) rozszerza możliwości monitorowania aktywności i ochrony DLP na poufne elementy, które są fizycznie przechowywane na urządzeniach Windows 10, Windows 11 i macOS (Catalina 10.15 i nowszych). Po dołączeniu urządzeń do rozwiązań Microsoft Purview informacje o tym, co użytkownicy robią z poufnymi elementami, są widoczne w Eksploratorze aktywności i można wymuszać akcje ochronne na tych elementach za pośrednictwem zasad DLP.
Porada
Jeśli szukasz kontroli urządzenia dla magazynu wymiennego, zobacz Ochrona punktu końcowego w usłudze Microsoft Defender Device Control Removable Storage Access Control.
Uwaga
W Microsoft Purview ocena zasad DLP elementów poufnych odbywa się centralnie, więc nie ma opóźnienia czasowego dystrybucji zasad i aktualizacji zasad do poszczególnych urządzeń. Aktualizacja zasad w Centrum zgodności zwykle trwa około godziny, zanim te aktualizacje zostaną zsynchronizowane w całej usłudze. Po zsynchronizowania aktualizacji zasad elementy na urządzeniach docelowych są automatycznie ponownie oceniane przy następnym uzyskaniu dostępu lub modyfikacji.
Działania punktu końcowego, które można monitorować i podejmować
Protokół DLP punktu końcowego umożliwia przeprowadzanie inspekcji następujących typów działań, które użytkownicy przyjmują na poufnych elementach, które są fizycznie przechowywane Windows 10, Windows 11 lub macOS urządzeniach.
| Działanie | Opis | Windows 10 1809 i nowsze/Windows 11 | macOS Catalina 10.15 | Możliwość inspekcji/ograniczenia |
|---|---|---|---|---|
| przekazywanie do usługi w chmurze lub dostęp przez niedozwolone przeglądarki | Wykrywa, kiedy użytkownik próbuje przekazać element do domeny usługi z ograniczeniami lub uzyskać dostęp do elementu za pośrednictwem przeglądarki. Jeśli korzystają z przeglądarki, która jest wyświetlana w programie DLP jako niezauzwalana przeglądarka, działanie przekazywania zostanie zablokowane, a użytkownik zostanie przekierowany do korzystania z Microsoft Edge. Microsoft Edge zezwoli na przekazywanie lub dostęp na podstawie konfiguracji zasad DLP lub zablokuje je | Obsługiwane | Obsługiwane | możliwość przeprowadzania inspekcji i ograniczania |
| kopiowanie do innej aplikacji | Wykrywa, kiedy użytkownik próbuje skopiować informacje z chronionego elementu, a następnie wkleić je do innej aplikacji, procesu lub elementu. To działanie nie wykrywa kopiowania i wklejania informacji w tej samej aplikacji, procesie lub elemencie. | Obsługiwane | Obsługiwane | możliwość przeprowadzania inspekcji i ograniczania |
| kopiowanie na nośnik wymienny USB | Wykrywa, kiedy użytkownik próbuje skopiować element lub informacje na nośnik wymienny lub urządzenie USB. | Obsługiwane | Obsługiwane | możliwość przeprowadzania inspekcji i ograniczania |
| kopiowanie do udziału sieciowego | Wykrywa, kiedy użytkownik próbuje skopiować element do udziału sieciowego lub zamapowanego dysku sieciowego | Obsługiwane | Obsługiwane | możliwość przeprowadzania inspekcji i ograniczania |
| drukowanie dokumentu | Wykrywa, kiedy użytkownik próbuje wydrukować chroniony element na drukarce lokalnej lub sieciowej. | Obsługiwane | Obsługiwane | możliwość przeprowadzania inspekcji i ograniczania |
| kopiowanie do sesji zdalnej | Wykrywa, kiedy użytkownik próbuje skopiować element do sesji pulpitu zdalnego | Obsługiwane | nieobsługiwane | możliwość przeprowadzania inspekcji i ograniczania |
| kopiowanie na urządzenie Bluetooth | Wykrywa, kiedy użytkownik próbuje skopiować element do niedozwolonej aplikacji Bluetooth (zgodnie z definicją na liście niedozwolonych Bluetooth aps w ustawieniach DLP punktu końcowego). | Obsługiwane | nieobsługiwane | możliwość przeprowadzania inspekcji i ograniczania |
| tworzenie elementu | Wykrywa, kiedy użytkownik tworzy element | Obsługiwane | Obsługiwane | z możliwością inspekcji |
| zmienianie nazwy elementu | Wykrywa, kiedy użytkownik zmienia nazwę elementu | Obsługiwane | Obsługiwane | z możliwością inspekcji |
Najlepsze rozwiązanie dotyczące zasad DLP punktu końcowego
Załóżmy, że chcesz zablokować wszystkim elementom, które zawierają numery kart kredytowych, pozostawienie punktów końcowych użytkowników działu finansów. Zalecamy:
- Tworzenie zasad i określanie zakresu do punktów końcowych i do tej grupy użytkowników.
- Utwórz regułę w zasadach, która wykrywa typ informacji, które chcesz chronić. W takim przypadku zawartość zawiera wartość Typ informacji poufnych*, a następnie wybierz pozycję Karta kredytowa.
- Ustaw akcje dla każdego działania na Wartość Blokuj.
Aby uzyskać więcej wskazówek dotyczących projektowania zasad DLP, zobacz Projektowanie zasad ochrony przed utratą danych .
Monitorowane pliki
Program Endpoint DLP obsługuje monitorowanie tych typów plików. DLP przeprowadza inspekcję działań dla tych typów plików, nawet jeśli nie ma dopasowania zasad.
- Pliki programu Word
- pliki PowerPoint
- pliki Excel
- Pliki PDF
- pliki .csv
- Pliki tsv
- pliki .txt
- Pliki rtf
- Pliki .c
- Pliki klasy
- Pliki cpp
- Pliki cs
- Pliki .h
- Pliki java
Jeśli chcesz tylko monitorować dane z dopasowań zasad, możesz wyłączyć działanie Zawsze przeprowadzaj inspekcję plików dla urządzeń w ustawieniach globalnych DLP punktu końcowego.
Uwaga
Jeśli ustawienie Zawsze sprawdzaj działanie pliku dla urządzeń jest włączone, działania w dowolnym pliku programu Word, PowerPoint, Excel, PDF i .csv są zawsze poddawane inspekcji, nawet jeśli urządzenie nie jest objęte żadnymi zasadami.
Porada
Aby upewnić się, że działania są poddawane inspekcji dla wszystkich obsługiwanych typów plików, utwórz niestandardowe zasady DLP.
Program DLP punktu końcowego monitoruje działanie oparte na typie MIME, więc działania zostaną przechwycone, nawet jeśli rozszerzenie pliku zostanie zmienione.
Typy plików
Typy plików to grupa formatów plików, które są używane do ochrony określonych przepływów pracy lub obszarów działalności. W zasadach DLP można użyć co najmniej jednego typu plików.
| Typ pliku | Aplikacja | monitorowane rozszerzenia plików |
|---|---|---|
| przetwarzanie tekstu | Word, PDF | .doc, .docx, .docm, .dot, .dotx, .dotm, .docb, .pdf |
| Arkusza kalkulacyjnego | Excel, CSV, TSV | .xls, .xlsx, .xlt, .xlm, .xlsm, .xltx, .xltm, .xlsb, .xlw, .csv, .tsv |
| Prezentacji | PowerPoint | .ppt, .pptx, .pos, .pps, .pptm, .potx, .potm, .ppam, .ppsx |
| Archiwum | narzędzia archiwum plików i kompresji | .zip, .zipx, .rar, .7z, .tar, .gz |
| Adres e-mail | Outlook | .pst, .ost, .msg |
Rozszerzenia plików
Jeśli typy plików nie obejmują rozszerzeń plików, które należy wyświetlić jako warunek w zasadach, możesz użyć rozszerzeń plików rozdzielonych przecinkami.
Ważne
Opcji rozszerzeń plików i typów plików nie można używać jako warunków w tej samej regule. Jeśli chcesz używać ich jako warunków w tych samych zasadach, muszą one być w oddzielnych regułach.
Ważne
Te wersje Windows obsługują typy plików i funkcje rozszerzenia plików:
- Windows 10 wersje 20H1/20H2/21H1 (KB 5006738)
- Windows 10 wersje 19H1/19H2 (KB 5007189)
- Windows 10 RS5 (KB 5006744)
Co się różni w programie Endpoint DLP
Istnieje kilka dodatkowych pojęć, o których należy pamiętać przed rozpoczęciem analizy DLP punktu końcowego.
Włączanie zarządzania urządzeniami
Zarządzanie urządzeniami to funkcja, która umożliwia zbieranie danych telemetrycznych z urządzeń i wprowadza ją do Microsoft Purview rozwiązań, takich jak endpoint DLP i zarządzanie ryzykiem wewnętrznym. Musisz dołączyć wszystkie urządzenia, których chcesz użyć jako lokalizacji w zasadach DLP.
Dołączanie i odłączanie są obsługiwane za pośrednictwem skryptów pobranych z centrum zarządzania urządzeniami. Centrum ma niestandardowe skrypty dla każdej z tych metod wdrażania:
- skrypt lokalny (maksymalnie 10 maszyn)
- Zasady grupy
- System Center Configuration Manager (wersja 1610 lub nowsza)
- Zarządzanie urządzeniami/Microsoft Intune mobilne
- Skrypty dołączania interfejsu VDI dla maszyn nietrwałych
Procedury opisane w temacie Wprowadzenie do Microsoft 365 DLP punktu końcowego umożliwiają dołączanie urządzeń.
Jeśli urządzenia zostały dołączone za pośrednictwem Ochrona punktu końcowego w usłudze Microsoft Defender, te urządzenia zostaną automatycznie wyświetlone na liście urządzeń. Możesz włączyć monitorowanie urządzeń, aby używać protokołu DLP punktu końcowego.
Wyświetlanie danych DLP punktu końcowego
Alerty związane z zasadami DLP wymuszanymi na urządzeniach punktu końcowego można wyświetlić, przechodząc do pulpitu nawigacyjnego zarządzania alertami DLP.
Możesz również wyświetlić szczegóły skojarzonego zdarzenia z bogatymi metadanymi na tym samym pulpicie nawigacyjnym
Po dołączeniu urządzenia informacje o inspekcji działań są przepływane do Eksploratora działań jeszcze przed skonfigurowaniem i wdrożeniem wszystkich zasad DLP, które mają urządzenia jako lokalizację.
Punkt końcowy DLP zbiera obszerne informacje na temat inspekcji działania.
Jeśli na przykład plik zostanie skopiowany na wymienny nośnik USB, te atrybuty zostaną wyświetlone w szczegółach działania:
- typ działania
- adres IP klienta
- docelowa ścieżka pliku
- wystąpił sygnatura czasowa
- nazwa pliku
- Użytkownika
- Formatem
- rozmiar pliku
- typ informacji poufnych (jeśli dotyczy)
- wartość sha1
- wartość sha256
- poprzednia nazwa pliku
- Lokalizacji
- Nadrzędny
- Filepath
- typ lokalizacji źródłowej
- Platformy
- nazwa urządzenia
- typ lokalizacji docelowej
- aplikacja, która wykonała kopię
- Ochrona punktu końcowego w usłudze Microsoft Defender identyfikator urządzenia (jeśli dotyczy)
- producent wymiennych urządzeń multimedialnych
- model urządzenia nośnika wymiennego
- numer seryjny urządzenia nośnika wymiennego
Następne kroki
Po zapoznaniu się z punktem końcowym DLP wykonaj następujące czynności:
- Dołączanie urządzeń Windows 10 lub Windows 11 do Microsoft Purview omówienie
- Dołączanie urządzeń macOS do Microsoft Purview omówienie
- Konfigurowanie ustawień ochrony przed utratą danych punktu końcowego
- Korzystanie z ochrony przed utratą danych punktu końcowego
Zobacz też
- Wprowadzenie do ochrony przed utratą danych w punkcie końcowym firmy Microsoft
- Używanie ochrony przed utratą danych w punkcie końcowym firmy Microsoft
- Dowiedz się więcej o ochronie przed utratą danych
- Twórz, testuj i dostrajaj zasady DLP
- Wprowadzenie za pomocą Eksploratora działań
- Ochrona punktu końcowego w usłudze Microsoft Defender
- Zarządzanie ryzykiem wewnętrznym