Guia de administração: tipos de arquivo compatíveis com o cliente clássico do Azure Proteção de Informações

  • Artigo

O cliente clássico do Azure Proteção de Informações pode aplicar o seguinte a documentos e emails:

  • Apenas classificação

  • Classificação e proteção

  • Apenas proteção

O cliente da Proteção de Informações do Azure também pode inspecionar o conteúdo de alguns tipos de arquivo usando tipos conhecidos de informações confidenciais ou expressões regulares que você define.

Use as seguintes informações para verificar quais tipos de arquivo são compatíveis com o cliente da Proteção de Informações do Azure, para entender os diferentes níveis de proteção e como alterar o nível de proteção padrão, e identificar quais arquivos são excluídos automaticamente (ignorados) da classificação e da proteção.

Para os tipos de arquivos listados, não há suporte para os locais de WebDav.

Tipos de arquivo com suporte apenas para classificação

Os seguintes tipos de arquivo podem ser classificados mesmo quando não estão protegidos.

  • Formato de documento portátil do Adobe: .pdf

  • Microsoft Project: .mpp, .mpt

  • Microsoft Publisher: .pub

  • Microsoft XPS: .xps .oxps

  • Imagens: .jpg, .jpe, .jpeg, .jif, .jfif, .jfi. png, .tif, .tiff

  • Autodesk Design Review 2013: .dwfx

  • Adobe Photoshop: .psd

  • Digital Negative: .dng

  • Microsoft Office: tipos de arquivo na tabela a seguir.

    Os formatos de arquivo compatíveis com esses tipos de arquivo são os formatos 97-2003 e o Formato XML Aberto do Office para os seguintes programas do Office: Word, Excel e PowerPoint.

    Tipo de arquivo do Office Tipo de arquivo do Office
    .doc

    .docm

    .docx

    .dot

    .dotm

    .dotx

    .potm

    .potx

    .pps

    .ppsm

    .ppsx

    .ppt

    .pptm

    .pptx

    .vdw

    .vsd    		 .vsdm

    .vsdx

    .vss

    .vssm

    .vst

    .vstm

    .vssx

    .vstx

    .xls

    .xlsb

    .xlt

    .xlsm

    .xlsx

    .xltm

    .xltx

Outros tipos de arquivo dão suporte à classificação quando eles também estão protegidos. Para esses tipos de arquivo, consulte a seção Tipos de arquivo com suporte para classificação e proteção.

Por exemplo, na atual política padrão, o rótulo Geral aplica classificação e não aplica proteção. Você pode aplicar o rótulo Geral a um arquivo chamado sales.pdf, mas não pode aplicar esse rótulo a um arquivo chamado sales.txt.

Também na política padrão atual, a classificação Confidencial \ Todos os Funcionários aplica-se à classificação e à proteção. Você pode aplicar esse rótulo a um arquivo chamado sales.pdf e a um arquivo chamado sales.txt. Você também pode aplicar somente proteção a esses arquivos, sem classificação.

Tipos de arquivo com suporte para proteção

O cliente de Proteção de Informações do Azure dá suporte à proteção em dois níveis diferentes, conforme descrito na tabela a seguir.

Tipo de proteção Nativo Genérico
Descrição Para arquivos de texto, imagem, do Microsoft Office (Word, Excel, PowerPoint), arquivos pdf e para outros tipos de arquivos de aplicativos que dão suporte ao serviço Rights Management, a proteção nativa fornece um alto nível de proteção que inclui criptografia e aplicação de direitos (permissões). Para outros tipos de arquivo com suporte, a proteção genérica fornece um nível de proteção que inclui encapsulamento de arquivo usando o tipo de arquivo .pfile e a autenticação para verificar se um usuário está autorizado a abrir o arquivo.
Proteção A proteção de arquivos é imposta das seguintes maneiras:

- Para que conteúdo protegido seja processado, autenticação bem-sucedida deve ocorrer para aqueles que recebem o arquivo por email ou recebem acesso a ele por meio de permissões de arquivo ou compartilhamento.

– Além disso, os direitos de uso e a política, que foram definidos pelo proprietário do conteúdo quando os arquivos foram protegidos, são impostos quando o conteúdo é renderizado no visualizador da Proteção de Informações do Azure (para arquivos de texto e imagem protegidos) ou o aplicativo associado (para todos os outros tipos de arquivo compatíveis).		 A proteção de arquivos é imposta das seguintes maneiras:

– Para que conteúdo protegido seja processado, a autenticação bem-sucedida deve ocorrer para as pessoas autorizados a abrir o arquivo e recebem acesso a ele. Se a autorização falhar, o arquivo não abre.

- Direitos de uso e a política definida pelo proprietário do conteúdo são exibidos para informar aos usuários autorizados a política de uso pretendido.

- Ocorre o log de auditoria de usuários autorizados que abrem e acessam arquivos. No entanto, os direitos de uso não são impostos.
Padrão para tipos de arquivo Este é o nível de proteção padrão para os seguintes tipos de arquivo:

- Arquivos de texto e imagem

- Arquivos do Microsoft Office (Word, Excel, PowerPoint)

- Formato de documento portátil (.pdf)

Para obter mais informações, consulte a seção a seguir, Tipos de arquivo com suporte para classificação e proteção.		 Isso é a proteção-padrão para todos os outros tipos de arquivos (como .vsdx, .rtf e assim por diante) que não têm suporte pela proteção nativa.

Você pode alterar o nível de proteção padrão que o cliente de Proteção de Informações do Azure aplica. Você pode alterar o nível padrão de nativo para genérico ou de genérico para nativo e até mesmo impedir que o cliente de Proteção de Informações do Azure aplique a proteção. Para obter mais informações, consulte a seção Alterando o nível de proteção padrão de arquivos neste artigo.

A proteção de dados pode ser aplicada automaticamente quando um usuário seleciona um rótulo que um administrador configurou ou os usuários podem especificar suas próprias configurações personalizadas de proteção usando níveis de permissão.

Tamanhos de arquivo compatíveis para proteção

O cliente da Proteção de Informações do Azure tem suporte para proteção com tamanhos máximos de arquivo.

  • Para arquivos de Office:

    Aplicativo do Office Tamanho máximo de arquivo com suporte
    Word 2007 (compatível apenas com AD RMS)

    Word 2010

    Word 2013

    Word 2016    		 32 bits: 512 MB

    64 bits: 512 MB
    Excel 2007 (compatível apenas com AD RMS)

    Excel 2010

    Excel 2013

    Excel 2016    		 32 bits: 2 GB

    64 bits: limitado apenas pelo espaço em disco ou pela memória disponível
    PowerPoint 2007 (compatível apenas com AD RMS)

    PowerPoint 2010

    PowerPoint 2013

    PowerPoint 2016    		 32 bits: limitado apenas pelo espaço em disco ou pela memória disponível

    64 bits: limitado apenas pelo espaço em disco ou pela memória disponível

  • Para todos os outros arquivos:

    • Para proteger outros tipos de arquivo e abri-los no Visualizador da Proteção de Informações do Azure: o tamanho máximo do arquivo é limitado apenas pela memória e espaço em disco disponível.

    • Para desproteger os arquivos usando o cmdlet Unprotect-RMSFile: o tamanho máximo compatível com arquivos .pst é de 5GB. Os outros tipos de arquivo são limitados apenas e pelo espaço em disco e pela memória disponíveis

      Dica

      Se você precisar pesquisar ou recuperar itens protegidos em arquivos .pst grandes, consulte Removendo a proteção em arquivos PST.

Tipos de arquivo com suporte para classificação e proteção

A tabela a seguir lista um subconjunto de tipos de arquivo que oferecem suporte à proteção nativa do cliente de proteção de informações do Azure, e que também podem ser classificados.

Esses tipos de arquivo são identificados separadamente porque, quando são protegidos nativamente, a extensão de nome de arquivo original é alterada, e esses arquivos se tornam somente leitura. Observe que, quando os arquivos são protegidos genericamente, a extensão de nome de arquivo original sempre é alterada para. pfile.

Aviso

Se você tem firewalls, proxies da web ou softwares de segurança que inspecionam e atuam de acordo com as extensões de nome de arquivo, talvez seja necessário reconfigurar esses softwares e dispositivos de rede para que fiquem compatíveis com essas novas extensões de nome de arquivo.

Extensão de nome de arquivo original Extensão de nome de arquivo protegida
.txt .ptxt
.xml .pxml
.jpg .pjpg
.jpeg .pjpeg
.pdf .ppdf [1]
.png .ppng
.tif .ptif
.tiff .ptiff
.bmp .pbmp
.gif .pgif
.jpe .pjpe
.jfif .pjfif
.jt .pjt
Nota de rodapé 1

Com a versão mais recente do cliente da Proteção de Informações do Azure, a extensão de nome de arquivo do documento PDF protegido permanecerá como .pdf por padrão.

A tabela a seguir lista os tipos de arquivo restantes que oferecem suporte à proteção nativa do cliente de proteção de informações do Azure, e que também podem ser classificados. Você os reconhecerá como tipos de arquivos de aplicativos do Microsoft Office. Os formatos de arquivo compatíveis com esses tipos de arquivo são os formatos 97-2003 e o Formato XML Aberto do Office para os seguintes programas do Office: Word, Excel e PowerPoint.

Para esses arquivos, a extensão de nome de arquivo permanece a mesma depois que o arquivo está protegido por um serviço Rights Management.

Tipos de arquivo suportados pelo Office Tipos de arquivo suportados pelo Office
.doc

.docm

.docx

.dot

.dotm

.dotx

.potm

.potx

.pps

.ppsm

.ppsx

.ppt

.pptm

.pptx

.vsdm		 .vsdx

.vssm

.vssx

.vstm

.vstx

.xla

.xlam

.xls

.xlsb

.xlt

.xlsm

.xlsx

.xltm

.xltx

.xps

Alteração do nível de proteção de arquivos padrão

Você pode alterar como o cliente de Proteção de Informações do Azure protege arquivos editando o Registro. Por exemplo, você pode forçar arquivos que dão suporte à proteção nativa a serem protegidos genericamente pelo cliente de Proteção de Informações do Azure.

Motivos para você fazer isso:

  • Para garantir que todos os usuários possam abrir o arquivo se não tiverem um aplicativo que dê suporte à proteção nativa.

  • Para acomodar sistemas de segurança que tomem as medidas em arquivos pela extensão de nome de arquivo e que podem ser reconfigurados para acomodar a extensão de nome de arquivo .pfile, mas não podem ser reconfigurados para acomodar várias extensões de nome de arquivo para proteção nativa.

Da mesma forma, você pode forçar o cliente de Proteção de Informações do Azure a aplicar a proteção nativa a arquivos que, por padrão, teriam a proteção genérica aplicada. Esta ação pode ser adequada se você tem um aplicativo que seja compatível com as APIs do RMS. Por exemplo, um aplicativo de linha de negócios escrito por seus desenvolvedores internos ou um aplicativo comprado de um ISV (fornecedor independente de software).

Você também pode forçar o cliente de Proteção de Informações do Azure a bloquear a proteção de arquivos (não aplicar a proteção nativa nem a proteção genérica). Por exemplo, essa ação pode ser necessária se você tem um aplicativo ou serviço automatizado que seja capaz de abrir um arquivo específico para processar seu conteúdo. Quando você bloqueia a proteção para um tipo de arquivo, os usuários não podem usar o cliente de Proteção de Informações do Azure para proteger um arquivo que tenha esse tipo de arquivo. Quando eles tentam, eles veem uma mensagem avisando que o administrador impediu a proteção e eles devem cancelar suas ações para proteger o arquivo.

Para configurar o cliente de Proteção de Informações do Azure para aplicar proteção genérica a todos os arquivos que, por padrão, teriam a proteção nativa aplicada, faça as edições a seguir no Registro. Observe que, se a chave FileProtection não existir, você deverá criá-la manualmente.

  1. Crie uma nova chave chamada * para o seguinte caminho do registro, que denota arquivos com qualquer extensão de nome de arquivo:

    • Para versão de 32 bits do Windows: HKEY_LOCAL_MACHINE\Software\Microsoft\MSIPC\FileProtection

    • Para a versão de 64 bits do Windows: HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIPC\FileProtection e HKEY_LOCAL_MACHINE\Software\Microsoft\MSIPC\FileProtection

  2. Na chave recém-adicionada (por exemplo, HKEY_LOCAL_MACHINE\Software\Microsoft\MSIPC\FileProtection\*), crie um novo valor de cadeia de caracteres (REG_SZ) chamado Encryption que tenha o valor de dados de Pfile.

    Essa configuração faz com que o cliente de Proteção de Informações do Azure aplique a proteção genérica.

Essas duas configurações fazem com que o cliente de Proteção de Informações do Azure aplique a proteção genérica a todos os arquivos que têm uma extensão de nome de arquivo. Se essa for sua meta, nenhuma configuração adicional é necessária. Entretanto, você pode definir exceções para tipos de arquivo específicos, para que eles ainda permaneçam nativamente protegidos. Para fazer isso, você deve fazer três (para o Windows de 32 bits) ou seis (para Windows de 64 bits) edições adicionais do registro para cada tipo de arquivo:

  1. Para HKEY_LOCAL_MACHINE\Software\Microsoft\MSIPC\FileProtection e HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIPC\FileProtection (se aplicável): adicione uma nova chave que tenha o nome da extensão de nome do arquivo (sem o período anterior).

    Por exemplo, para arquivos que têm uma extensão de nome de arquivo .docx, crie uma chave chamada DOCX.

  2. Na chave de tipo de arquivo recém adicionada (por exemplo, HKEY_LOCAL_MACHINE\Software\Microsoft\MSIPC\FileProtection\DOCX), crie um novo valor DWORD chamado AllowPFILEEncryption, com o valor 0.

  3. Na chave de tipo de arquivo recém adicionada (por exemplo, HKEY_LOCAL_MACHINE\Software\Microsoft\MSIPC\FileProtection\DOCX), crie um novo valor de cadeia de caracteres chamado Criptografia, com o valor Nativo.

Como resultado dessas configurações, todos os arquivos são genericamente protegidos, exceto os arquivos que têm uma extensão de nome de arquivo .docx. Esses arquivos são protegidos nativamente pelo cliente da Proteção de Informações do Azure.

Repita estes três passos para outros tipos de arquivos que você queira definir como exceções porque eles suportam proteção nativa e você não quer que eles sejam genericamente protegidos pelo cliente de Proteção de Informações do Azure.

Você pode fazer edições de registro semelhantes para outros cenários, alterando o valor da cadeia de caracteres Criptografia que suporta os seguintes valores:

  • Pfile: Proteção genérica

  • Nativo: Proteção nativa

  • Desativado: Bloquear proteção

Depois de fazer essas alterações no registro, não há necessidade de reiniciar o computador. No entanto, se estiver usando comandos do PowerShell para proteger os arquivos, você deverá iniciar uma nova sessão do PowerShell para que as alterações entrem em vigor.

Nesta documentação para desenvolvedores, a proteção genérica é conhecida como "PFile".

Tipos de arquivos que são excluídos da classificação e proteção

Para impedir que os usuários alterem arquivos que são essenciais para as operações do computador, alguns tipos de arquivos e pastas são excluídos automaticamente da classificação e da proteção. Quando os usuários tentam classificar ou proteger esses arquivos usando o cliente da Proteção de Informações do Azure, o programa exibe uma mensagem informando que os arquivos foram excluídos.

  • Tipos de arquivo excluídos: .lnk, .exe, .com, .cmd, .bat, .dll, .ini, .pst, .sca, .drm, .sys, .cpl, .inf, .drv, .dat, .msg, .tmp, .msp, .msi, .pdb, .jar

  • Pastas excluídas:

    • Windows
    • Arquivos de programa (\Program Files e \Program Files (x86))
    • \ProgramData
    • \AppData (para todos os usuários)

Tipos de arquivo que são excluídos da classificação e proteção pelo verificador da Proteção de Informações do Azure

Por padrão, o scanner também exclui os mesmos tipos de arquivo do cliente da Proteção de Informações do Azure com as seguintes exceções:

  • .rtf e .rar também são excluídos

Você pode alterar os tipos de arquivo incluídos ou excluídos na inspeção de arquivo pelo scanner:

Observação

Se você incluir arquivos .rtf para verificação, monitore cuidadosamente o verificador. Alguns arquivos .rtf não podem ser inspecionados com êxito pelo verificador e, para esses arquivos, a inspeção não é concluída e o serviço deve ser reiniciado.

Por padrão, o verificador protege apenas os tipos de arquivo do Office e os arquivos PDF quando protegidos usando o padrão ISO para a criptografia de PDF. Para alterar este comportamento do verificador, edite o registro e especifique os tipos de arquivo adicionais que você deseja proteger. Para obter instruções, consulte Usar o registro para alterar quais tipos de arquivo estão protegidos das instruções de implantação do scanner.

Arquivos que não podem ser protegidos por padrão

Os arquivos protegidos por senha não podem ser protegidos nativamente pelo cliente da Proteção de Informações do Azure, a menos que estejam atualmente abertos no aplicativo que aplica a proteção. Você geralmente vê arquivos PDF que são protegidos por senha, mas outros aplicativos, como aplicativos do Office, também oferecem essa funcionalidade.

Se você alterar o comportamento padrão do cliente da Proteção de Informações do Azure para que ele proteja os arquivos PDF com uma extensão de nome de arquivo .ppdf, o cliente não poderá proteger ou desproteger nativamente os arquivos PDF em nenhuma das seguintes circunstâncias:

  • Um arquivo PDF baseado em formulário.

  • Um arquivo PDF protegido que tem uma extensão de nome de arquivo.pdf.

    O cliente da Proteção de Informações do Azure pode proteger um arquivo PDF desprotegido e pode desproteger e proteger novamente um arquivo PDF protegido que tenha uma extensão de nome de arquivo .ppdf.

Limitações para arquivos de contêiner, como arquivos .zip

Para obter mais informações, consulte a coleção de limitações de Proteção de Informações do Azure.

Tipos de arquivo compatíveis com a inspeção

Sem nenhuma configuração adicional, o cliente da Proteção de Informações do Azure usa o IFilter do Windows para inspecionar o conteúdo de documentos. O IFilter do Windows é usado pelo Windows Search para indexação. Como resultado, os seguintes tipos de arquivo podem ser inspecionados ao usar o verificador da Proteção de Informações do Azure ou o comando Set-AIPFileClassification do PowerShell.

Tipo de aplicativo Tipo de arquivo
Word .doc; docx; .docm; .dot; .dotm; .dotx
Excel .xls; .xlt; .xlsx; .xltx; .xltm; .xlsm; .xlsb
PowerPoint .ppt; .pps; .pot; .pptx; .ppsx; .pptm; .ppsm; .potx; .potm
PDF .pdf
Texto .txt; .xml; .csv

Com uma configuração adicional, outros tipos de arquivo também podem ser inspecionados. Por exemplo, você pode registrar uma extensão de nome de arquivo personalizada para usar o manipulador de filtro existente do Windows para arquivos de texto, além disso, você pode instalar outros filtros de fornecedores de software.

Para verificar quais filtros são instalados, confira a seção Finding a Filter Handler for a Given File Extension (Encontrando um manipulador de filtro para uma determinada extensão de arquivo) do Windows Search Developer's Guide (Guia do Desenvolvedor do Windows Search).

As seções a seguir têm instruções de configuração para inspecionar os arquivos .zip e .tiff.

Para inspecionar arquivos .zip

O verificador da Proteção de Informações do Azure e o comando do PowerShell Set-AIPFileClassification podem inspecionar os arquivos .zip quando estas instruções são seguidas:

  1. No computador que executa o verificador ou a sessão do PowerShell, instale o Office 2010 Filter Pack SP2.

  2. Para o verificador: depois de encontrar informações confidenciais, se o arquivo .zip deve ser classificado e protegido com um rótulo, adicione uma entrada de registro para que essa extensão de nome de arquivo tenha proteção genérica (pfile), conforme descrito em Usar o registro para alterar quais tipos de arquivo estão protegidos das instruções de implantação do scanner.

Cenário de exemplo após seguir estas etapas:

Um arquivo chamado accounts.zip contém planilhas do Excel com números de cartão de crédito. Sua política de Proteção de Informações do Azure tem um rótulo chamado Confidencial\Finanças, que é configurado para descobrir números de cartão de crédito e aplicar automaticamente o rótulo com proteção que restringe o acesso ao grupo de finanças.

Após inspecionar o arquivo, o verificador classifica esse arquivo como Confidencial\Finanças, aplica a proteção genérica ao arquivo de forma que somente os membros dos grupos de Finanças possam descompactá-lo e renomeia o arquivo para accounts.zip.pfile.

Para inspecionar os arquivos .tiff usando OCR

O verificador da Proteção de Informações do Azure e o comando do PowerShell Set-AIPFileClassiciation podem usar o OCR (reconhecimento óptico de caracteres) para inspecionar imagens TIFF com uma extensão de nome de arquivo .tiff, quando você instala o recurso IFilter TIFF do Windows e, em seguida, define as Configurações do IFilter TIFF do Windows no computador que executa o scanner ou a sessão do PowerShell.

Para o verificador: depois de encontrar informações confidenciais, se o arquivo .tiff deve ser classificado e protegido com um rótulo, adicione uma entrada de registro para que essa extensão de nome de arquivo tenha proteção nativa, conforme descrito em Usar o registro para alterar quais tipos de arquivo estão protegidos das instruções de implantação do scanner.

Próximas etapas

Agora que você identificou os tipos de arquivo compatíveis com o cliente da Proteção de Informações do Azure, confira os seguintes recursos para obter informações adicionais que talvez sejam necessários para dar suporte a esse cliente: