Dowiedz się więcej o ochronie przed utratą danych punktu końcowego

Uwaga

Zgodność w usłudze Microsoft 365 nosi teraz nazwę Microsoft Purview, a rozwiązaniom w obszarze zgodności nadano nowe nazwy. Aby uzyskać więcej informacji na temat Microsoft Purview, zobacz ogłoszenie na blogu.

Możesz użyć Ochrona przed utratą danych w Microsoft Purview (DLP) do monitorowania akcji wykonywanych na elementach, które zostały uznane za wrażliwe, i aby zapobiec niezamierzonemu udostępnianiu tych elementów. Aby uzyskać więcej informacji na temat ochrony przed utratą danych, zobacz Dowiedz się więcej o zapobieganiu utracie danych.

Ochrona przed utratą danych punktu końcowego (Endpoint DLP) rozszerza możliwości monitorowania aktywności i ochrony DLP na poufne elementy, które są fizycznie przechowywane na urządzeniach Windows 10, Windows 11 i macOS (Catalina 10.15 i nowszych). Po dołączeniu urządzeń do rozwiązań Microsoft Purview informacje o tym, co użytkownicy robią z poufnymi elementami, są widoczne w Eksploratorze aktywności i można wymuszać akcje ochronne na tych elementach za pośrednictwem zasad DLP.

Porada

Jeśli szukasz kontroli urządzenia dla magazynu wymiennego, zobacz Ochrona punktu końcowego w usłudze Microsoft Defender Device Control Removable Storage Access Control.

Uwaga

W Microsoft Purview ocena zasad DLP elementów poufnych odbywa się centralnie, więc nie ma opóźnienia czasowego dystrybucji zasad i aktualizacji zasad do poszczególnych urządzeń. Aktualizacja zasad w Centrum zgodności zwykle trwa około godziny, zanim te aktualizacje zostaną zsynchronizowane w całej usłudze. Po zsynchronizowania aktualizacji zasad elementy na urządzeniach docelowych są automatycznie ponownie oceniane przy następnym uzyskaniu dostępu lub modyfikacji.

Działania punktu końcowego, które można monitorować i podejmować

Protokół DLP punktu końcowego umożliwia przeprowadzanie inspekcji następujących typów działań, które użytkownicy przyjmują na poufnych elementach, które są fizycznie przechowywane Windows 10, Windows 11 lub macOS urządzeniach.

Działanie Opis Windows 10 1809 i nowsze/Windows 11 macOS Catalina 10.15 Możliwość inspekcji/ograniczenia
przekazywanie do usługi w chmurze lub dostęp przez niedozwolone przeglądarki Wykrywa, kiedy użytkownik próbuje przekazać element do domeny usługi z ograniczeniami lub uzyskać dostęp do elementu za pośrednictwem przeglądarki. Jeśli korzystają z przeglądarki, która jest wyświetlana w programie DLP jako niezauzwalana przeglądarka, działanie przekazywania zostanie zablokowane, a użytkownik zostanie przekierowany do korzystania z Microsoft Edge. Microsoft Edge zezwoli na przekazywanie lub dostęp na podstawie konfiguracji zasad DLP lub zablokuje je Obsługiwane Obsługiwane możliwość przeprowadzania inspekcji i ograniczania
kopiowanie do innej aplikacji Wykrywa, kiedy użytkownik próbuje skopiować informacje z chronionego elementu, a następnie wkleić je do innej aplikacji, procesu lub elementu. To działanie nie wykrywa kopiowania i wklejania informacji w tej samej aplikacji, procesie lub elemencie. Obsługiwane Obsługiwane możliwość przeprowadzania inspekcji i ograniczania
kopiowanie na nośnik wymienny USB Wykrywa, kiedy użytkownik próbuje skopiować element lub informacje na nośnik wymienny lub urządzenie USB. Obsługiwane Obsługiwane możliwość przeprowadzania inspekcji i ograniczania
kopiowanie do udziału sieciowego Wykrywa, kiedy użytkownik próbuje skopiować element do udziału sieciowego lub zamapowanego dysku sieciowego Obsługiwane Obsługiwane możliwość przeprowadzania inspekcji i ograniczania
drukowanie dokumentu Wykrywa, kiedy użytkownik próbuje wydrukować chroniony element na drukarce lokalnej lub sieciowej. Obsługiwane Obsługiwane możliwość przeprowadzania inspekcji i ograniczania
kopiowanie do sesji zdalnej Wykrywa, kiedy użytkownik próbuje skopiować element do sesji pulpitu zdalnego Obsługiwane nieobsługiwane możliwość przeprowadzania inspekcji i ograniczania
kopiowanie na urządzenie Bluetooth Wykrywa, kiedy użytkownik próbuje skopiować element do niedozwolonej aplikacji Bluetooth (zgodnie z definicją na liście niedozwolonych Bluetooth aps w ustawieniach DLP punktu końcowego). Obsługiwane nieobsługiwane możliwość przeprowadzania inspekcji i ograniczania
tworzenie elementu Wykrywa, kiedy użytkownik tworzy element Obsługiwane Obsługiwane z możliwością inspekcji
zmienianie nazwy elementu Wykrywa, kiedy użytkownik zmienia nazwę elementu Obsługiwane Obsługiwane z możliwością inspekcji

Najlepsze rozwiązanie dotyczące zasad DLP punktu końcowego

Załóżmy, że chcesz zablokować wszystkim elementom, które zawierają numery kart kredytowych, pozostawienie punktów końcowych użytkowników działu finansów. Zalecamy:

  • Tworzenie zasad i określanie zakresu do punktów końcowych i do tej grupy użytkowników.
  • Utwórz regułę w zasadach, która wykrywa typ informacji, które chcesz chronić. W takim przypadku zawartość zawiera wartość Typ informacji poufnych*, a następnie wybierz pozycję Karta kredytowa.
  • Ustaw akcje dla każdego działania na Wartość Blokuj.

Aby uzyskać więcej wskazówek dotyczących projektowania zasad DLP, zobacz Projektowanie zasad ochrony przed utratą danych .

Monitorowane pliki

Program Endpoint DLP obsługuje monitorowanie tych typów plików. DLP przeprowadza inspekcję działań dla tych typów plików, nawet jeśli nie ma dopasowania zasad.

  • Pliki programu Word
  • pliki PowerPoint
  • pliki Excel
  • Pliki PDF
  • pliki .csv
  • Pliki tsv
  • pliki .txt
  • Pliki rtf
  • Pliki .c
  • Pliki klasy
  • Pliki cpp
  • Pliki cs
  • Pliki .h
  • Pliki java

Jeśli chcesz tylko monitorować dane z dopasowań zasad, możesz wyłączyć działanie Zawsze przeprowadzaj inspekcję plików dla urządzeń w ustawieniach globalnych DLP punktu końcowego.

Uwaga

Jeśli ustawienie Zawsze sprawdzaj działanie pliku dla urządzeń jest włączone, działania w dowolnym pliku programu Word, PowerPoint, Excel, PDF i .csv są zawsze poddawane inspekcji, nawet jeśli urządzenie nie jest objęte żadnymi zasadami.

Porada

Aby upewnić się, że działania są poddawane inspekcji dla wszystkich obsługiwanych typów plików, utwórz niestandardowe zasady DLP.

Program DLP punktu końcowego monitoruje działanie oparte na typie MIME, więc działania zostaną przechwycone, nawet jeśli rozszerzenie pliku zostanie zmienione.

Typy plików

Typy plików to grupa formatów plików, które są używane do ochrony określonych przepływów pracy lub obszarów działalności. W zasadach DLP można użyć co najmniej jednego typu plików.

Typ pliku Aplikacja monitorowane rozszerzenia plików
przetwarzanie tekstu Word, PDF .doc, .docx, .docm, .dot, .dotx, .dotm, .docb, .pdf
Arkusza kalkulacyjnego Excel, CSV, TSV .xls, .xlsx, .xlt, .xlm, .xlsm, .xltx, .xltm, .xlsb, .xlw, .csv, .tsv
Prezentacji PowerPoint .ppt, .pptx, .pos, .pps, .pptm, .potx, .potm, .ppam, .ppsx
Archiwum narzędzia archiwum plików i kompresji .zip, .zipx, .rar, .7z, .tar, .gz
Adres e-mail Outlook .pst, .ost, .msg

Rozszerzenia plików

Jeśli typy plików nie obejmują rozszerzeń plików, które należy wyświetlić jako warunek w zasadach, możesz użyć rozszerzeń plików rozdzielonych przecinkami.

Ważne

Opcji rozszerzeń plików i typów plików nie można używać jako warunków w tej samej regule. Jeśli chcesz używać ich jako warunków w tych samych zasadach, muszą one być w oddzielnych regułach.

Ważne

Te wersje Windows obsługują typy plików i funkcje rozszerzenia plików:

  • Windows 10 wersje 20H1/20H2/21H1 (KB 5006738)
  • Windows 10 wersje 19H1/19H2 (KB 5007189)
  • Windows 10 RS5 (KB 5006744)

Co się różni w programie Endpoint DLP

Istnieje kilka dodatkowych pojęć, o których należy pamiętać przed rozpoczęciem analizy DLP punktu końcowego.

Włączanie zarządzania urządzeniami

Zarządzanie urządzeniami to funkcja, która umożliwia zbieranie danych telemetrycznych z urządzeń i wprowadza ją do Microsoft Purview rozwiązań, takich jak endpoint DLP i zarządzanie ryzykiem wewnętrznym. Musisz dołączyć wszystkie urządzenia, których chcesz użyć jako lokalizacji w zasadach DLP.

włączanie zarządzania urządzeniami.

Dołączanie i odłączanie są obsługiwane za pośrednictwem skryptów pobranych z centrum zarządzania urządzeniami. Centrum ma niestandardowe skrypty dla każdej z tych metod wdrażania:

  • skrypt lokalny (maksymalnie 10 maszyn)
  • Zasady grupy
  • System Center Configuration Manager (wersja 1610 lub nowsza)
  • Zarządzanie urządzeniami/Microsoft Intune mobilne
  • Skrypty dołączania interfejsu VDI dla maszyn nietrwałych

strony dołączania urządzenia.

Procedury opisane w temacie Wprowadzenie do Microsoft 365 DLP punktu końcowego umożliwiają dołączanie urządzeń.

Jeśli urządzenia zostały dołączone za pośrednictwem Ochrona punktu końcowego w usłudze Microsoft Defender, te urządzenia zostaną automatycznie wyświetlone na liście urządzeń. Możesz włączyć monitorowanie urządzeń, aby używać protokołu DLP punktu końcowego.

listy urządzeń zarządzanych.

Wyświetlanie danych DLP punktu końcowego

Alerty związane z zasadami DLP wymuszanymi na urządzeniach punktu końcowego można wyświetlić, przechodząc do pulpitu nawigacyjnego zarządzania alertami DLP.

Informacje o alertach.

Możesz również wyświetlić szczegóły skojarzonego zdarzenia z bogatymi metadanymi na tym samym pulpicie nawigacyjnym

informacje o zdarzeniu.

Po dołączeniu urządzenia informacje o inspekcji działań są przepływane do Eksploratora działań jeszcze przed skonfigurowaniem i wdrożeniem wszystkich zasad DLP, które mają urządzenia jako lokalizację.

zdarzenia dlp punktu końcowego w Eksploratorze działań.

Punkt końcowy DLP zbiera obszerne informacje na temat inspekcji działania.

Jeśli na przykład plik zostanie skopiowany na wymienny nośnik USB, te atrybuty zostaną wyświetlone w szczegółach działania:

  • typ działania
  • adres IP klienta
  • docelowa ścieżka pliku
  • wystąpił sygnatura czasowa
  • nazwa pliku
  • Użytkownika
  • Formatem
  • rozmiar pliku
  • typ informacji poufnych (jeśli dotyczy)
  • wartość sha1
  • wartość sha256
  • poprzednia nazwa pliku
  • Lokalizacji
  • Nadrzędny
  • Filepath
  • typ lokalizacji źródłowej
  • Platformy
  • nazwa urządzenia
  • typ lokalizacji docelowej
  • aplikacja, która wykonała kopię
  • Ochrona punktu końcowego w usłudze Microsoft Defender identyfikator urządzenia (jeśli dotyczy)
  • producent wymiennych urządzeń multimedialnych
  • model urządzenia nośnika wymiennego
  • numer seryjny urządzenia nośnika wymiennego

kopiuj do atrybutów działania usb.

Następne kroki

Po zapoznaniu się z punktem końcowym DLP wykonaj następujące czynności:

  1. Dołączanie urządzeń Windows 10 lub Windows 11 do Microsoft Purview omówienie
  2. Dołączanie urządzeń macOS do Microsoft Purview omówienie
  3. Konfigurowanie ustawień ochrony przed utratą danych punktu końcowego
  4. Korzystanie z ochrony przed utratą danych punktu końcowego

Zobacz też