Saiba mais sobre a prevenção contra perda de dados do Ponto de extremidade

Você pode usar Prevenção Contra Perda de Dados do Microsoft Purview (DLP) para monitorar as ações que estão sendo tomadas em itens que você determinou serem confidenciais e para ajudar a evitar o compartilhamento não intencional desses itens.

A DLP (prevenção contra perda de dados do ponto de extremidade) estende os recursos de monitoramento e proteção de atividades do DLP para itens confidenciais que são armazenados fisicamente em dispositivos Windows 10/11 e macOS (as três versões principais mais recentes lançadas). Depois que os dispositivos são integrados às soluções do Microsoft Purview, as informações sobre o que os usuários estão fazendo com itens confidenciais ficam visíveis no gerenciador de atividades. Em seguida, você pode impor ações de proteção nesses itens por meio de políticas DLP.

Dica

Se você estiver procurando controle de dispositivo para repositório removível, consulte Controle de acesso para repositório removível do controle de dispositivo do Microsoft Defender para Ponto de Extremidade.

Dica

Se você não for um cliente E5, use a avaliação de soluções do Microsoft Purview de 90 dias para explorar como recursos adicionais do Purview podem ajudar sua organização a gerenciar as necessidades de segurança e conformidade de dados. Comece agora no hub de avaliações portal de conformidade do Microsoft Purview. Saiba mais sobre os termos de inscrição e avaliação.

Atividades do ponto de extremidade que você pode monitorar e executar

A DLP de ponto de extremidade permite que você audite e gerencie os seguintes tipos de atividades que os usuários executam em itens confidenciais armazenados fisicamente em dispositivos Windows 10, Windows 11 ou macOS.

Atividade Descrição Windows 10 (21H2, 22H2), Windows 11 (21H2, 22H2), Windows Server 2019, Server 2022 (21H2 em diante) para pontos de extremidade (X64) Windows 11 (21H2, 22H2) para pontos de extremidade (ARM64) macOS três versões mais recentes lançadas Auditável/
Restrinível
Carregar no serviço de nuvem ou acessar por navegadores não permitidos Detecta quando um usuário tenta carregar um item em um domínio de serviço restrito ou acessar um item por meio de um navegador. Se eles estiverem usando um navegador não permitido, a atividade de upload será bloqueada e o usuário será redirecionado para usar o Microsoft Edge. Em seguida, o Microsoft Edge permite ou bloqueia o upload ou o acesso com base na configuração da política DLP. Você pode bloquear, avisar ou auditar quando arquivos protegidos podem ser carregados ou impedidos de serem carregados em serviços de nuvem com base na lista de domínios permitidos/não permitidos nas configurações de prevenção contra perda de dados. Quando a ação configurada é definida para avisar ou bloquear, outros navegadores (definidos na lista de navegadores não permitidos nas configurações de prevenção contra perda de dados são impedidos de acessar o arquivo. Com suporte Com suporte Com suporte Auditável e restrinível
Colar em navegadores com suporte Detecta quando um usuário tenta colar conteúdo em um domínio de serviço restrito. Com suporte Com suporte Incompatível Auditável e restrinível
Copiar para mídia removível USB Quando essa atividade é detectada, você pode bloquear, avisar ou auditar a cópia ou movimentação de arquivos protegidos de um dispositivo de ponto de extremidade para mídia removível USB. Com suporte Com suporte Com suporte Auditável e restrinível
Copiar para um compartilhamento de rede Quando essa atividade é detectada, você pode bloquear, avisar ou auditar a cópia ou movimentação de arquivos protegidos de um dispositivo de ponto de extremidade para qualquer compartilhamento de rede, incluindo dispositivos USB redirecionados que são exibidos como compartilhamentos de rede em uma Área de Trabalho Virtual do Azure com Windows 365. Com suporte Com suporte Com suporte Auditável e restrinível
Imprimir documentos Quando essa atividade é detectada, você pode bloquear, avisar ou auditar a impressão de arquivos protegidos de um dispositivo de ponto de extremidade. Essa atividade também se aplica a impressoras redirecionadas ao usar a Área de Trabalho Virtual do Azure junto com Windows 365. Com suporte Com suporte Com suporte Auditável e restrinível
Copiar para uma sessão remota Detecta quando um usuário tenta copiar um item para uma sessão de área de trabalho remota. Com suporte Com suporte Incompatível Auditável e restrinível
Copiar para um dispositivo Bluetooth Detecta quando um usuário tenta copiar um item para um aplicativo Bluetooth não permitido (conforme definido na lista de aplicativos Bluetooth não permitidos nas configurações de prevenção contra perda de dados Configurações>de ponto de extremidade. Com suporte Com suporte Com suporte Auditável e restrinível
Criar um item Detecta a criação de um item. Com suporte Com suporte Com suporte Auditável
Renomear um item Detecta a renomeação de um item. Com suporte Com suporte Com suporte Auditável
Copiar para a área de transferência Quando essa atividade é detectada, você pode bloquear, bloquear com substituição ou auditar a cópia de arquivos protegidos em uma área de transferência em um dispositivo de ponto de extremidade. Se a regra estiver configurada como Bloquear ou Bloquear com cópia de substituição for bloqueada quando o conteúdo de origem for confidencial, exceto quando o destino estiver dentro do mesmo aplicativo do Microsoft 365 Office. Essa atividade também se aplica a áreas de transferência redirecionadas ao usar a Área de Trabalho Virtual do Azure com Windows 365. Com suporte Com suporte Com suporte Auditável e restrinível
Acesso por aplicativos não permitidos Detecta quando um aplicativo que está na lista de aplicativos não permitidos (conforme definido em aplicativos restritos e grupos de aplicativos) tenta acessar arquivos protegidos em um dispositivo de ponto de extremidade. Com suporte Com suporte Com suporte

Copiar para o comportamento da área de transferência

Quando você configura uma regra para Bloquear ou Bloquear com substituição quando um usuário tenta a atividade Copiar para área de transferência em um arquivo que corresponde à política, os usuários finais veem esse comportamento com essas configurações:

  • Word arquivo 123 contém informações confidenciais que correspondem à cópia à regra bloco de área de transferência.

  • O arquivo 123 do Excel contém informações confidenciais que correspondem à cópia à regra bloco de área de transferência.

  • O arquivo 123 do PowerPoint contém informações confidenciais que correspondem à cópia à regra bloco de área de transferência.

  • Word arquivo 789 não contém informações confidenciais.

  • O arquivo 789 do Excel não contém informações confidenciais.

  • O arquivo 789 do PowerPoint não contém informações confidenciais.

  • O arquivo XYZ (ou qualquer aplicativo ou processo não baseado no Microsoft Office) contém informações confidenciais que correspondem à cópia à regra bloco de área de transferência.

  • O bloco de notas (ou qualquer aplicativo ou processo não baseado no Microsoft Office) não contém informações confidenciais.

Origem Destino Comportamento
Word arquivo 123/Excel arquivo 123/PowerPoint arquivo 123 Word arquivo 123/Excel arquivo 123/PowerPoint arquivo 123 copiar e colar são permitidos, em outras palavras, é permitido copiar e colar arquivo intra.
Word arquivo 123/Arquivo do Excel 123/Arquivo do PowerPoint 123 Word arquivo 789/Excel arquivo 789/PowerPoint arquivo 789 copiar e colar são bloqueados, em outras palavras, a cópia e a cola do arquivo intermissão são bloqueadas.
Word arquivo 789/Excel arquivo 789/PowerPoint arquivo 789 Word arquivo 123/Arquivo do Excel 123/Arquivo do PowerPoint 123 copiar e colar são permitidos
Word arquivo 123/Excel arquivo 123/PowerPoint arquivo 123 Arquivo de bloco de notas ABC copiar e colar são bloqueados
Arquivo de bloco de notas XYZ qualquer a cópia está bloqueada
Arquivo de bloco de notas ABC qualquer copiar e colar são permitidos

Prática recomendada para políticas DLP de ponto de extremidade

Digamos que você queira impedir que todos os itens que contenham números de cartão de crédito deixem os terminais dos usuários do departamento financeiro. Recomendamos:

  • Crie uma política e o escopo para pontos de extremidade e para esse grupo de usuários.
  • Crie uma regra na política que detecte o tipo de informação que você deseja proteger. Nesse caso, defina o conteúdo comotipo de informações confidenciais*e selecione Cartão de Crédito.
  • Defina as ações de cada atividade para Bloquear.

Para obter mais informações sobre como projetar suas políticas DLP, consulte Projetar uma política de prevenção contra perda de dados .

Observação

No Microsoft Purview, a avaliação da política DLP de itens confidenciais ocorre centralmente, portanto, não há nenhum retardo de tempo para que políticas e atualizações de política sejam distribuídas para dispositivos individuais. Quando uma política é atualizada no centro de conformidade, geralmente leva cerca de uma hora para que essas atualizações sejam sincronizadas em todo o serviço. Uma vez sincronizadas as atualizações de políticas, os itens nos dispositivos destino são automaticamente reavaliados na próxima vez em que forem acessados ou modificados. (Versão prévia) Para alterações de Grupos Autorizados, a política precisará de 24 horas para sincronizar.

Arquivos monitorados

Arquivos monitorados por meio da política

O DLP do ponto de extremidade monitora esses tipos de arquivo por meio da política em Windows 10, 11 e nas três versões mais recentes do macOS:

Windows 10, 11 macOS
.doc, .docx, .docm, .dot, .dotx, .dotm, .docb, .xls, .xlsx, .xlt, .xlm, .xlsm, .xltx, .xltm, .xlsb, .xlw, .ppt, .pptx, pos, .pps, .pptm, .potx, .potm, .ppam, .ppsx, .pbix, .pdf, .csv, .tsv, .zip, .zipx, .rar, .7z, .tar, .war, .gz, .dlp, .txt, .c, .class, .cpp, .cs, .h, .java, .html, .htm, .rtf, .json, .config .doc, .docx, .docm, .dot, .dotx, .dotm, .docb, .xls, .xlsx, .xlt, .xlm, .xlsm, .xlsm, .xltx, .xltm, .xlsb, .xlw, .ppt, .pptx, .pos, .pps, .pptm, .potx, .potm, .ppam, .ppsx, .pbix, .pdf, .csv, .tsv, .txt, .c, .cpp, .cs, .h, .java, .html, .htm, .rtf, .json, .config

Observação

Esses tipos de arquivo podem ser monitorados por meio de configurações de política em Windows 10, 11, se o OCR estiver habilitado:

.jpg, .png, .tif, .tiff, .bmp, .jpeg

Arquivos auditados independentemente da correspondência de política

As atividades podem ser auditadas nesses tipos de arquivo em Windows 10, 11 e nas três versões mais recentes do macOS, mesmo que não exista nenhuma correspondência de política:

Windows 10, 11 macOS
.doc, .docx, .docm, .dot, .dotx, .dotm, .docb, .xls, .xlsx, .xlt, .xlm, .xlsm, .xlsm, .xltx, .xltm, .xlsb, .xlw, .ppt, .pptx, .pos, .pps, .pptm, .potx, .potm, .ppam, .ppsx, .pbix, .pdf, .csv, .tsv, .zip, .zipx, .rar, .7z, .tar, .war, .gz, .dlp .doc, .docx, .docm, .dot, .dotx, .dotm, .docb, .xls, .xlsx, .xlt, .xlm, .xlsm, .xltx, .xltm, .xlsb, .xlw, .ppt, .pptx, .pos, .pps, .pptm, .potx, .potm, .ppam, .ppsx, .pbix, .pdf, .csv, .tsv,

Observação

Esses tipos de arquivo podem ser auditados, independentemente de uma correspondência de política, em Windows 10, 11, desde que o OCR esteja habilitado:

.jpg, .png, .tif, .tiff, .bmp, .jpeg

Importante

Para obter informações sobre os requisitos da Adobe para usar recursos de DLP (Prevenção Contra Perda de Dados do Microsoft Purview) com arquivos PDF, consulte este artigo da Adobe: Proteção de Informações do Microsoft Purview Suporte no Acrobat.

Se você quiser apenas monitorar dados de correspondências de política, poderá desativar a atividade de arquivo de auditoria Always para dispositivos nasconfigurações> de ponto de extremidade de prevenção de perdade dados.

Se a atividade de arquivo de auditoria Always para dispositivos estiver ativada, as atividades em qualquer Word, PowerPoint, Excel, PDF e .csv arquivos serão sempre auditadas, mesmo que o dispositivo não seja alvo de nenhuma política.

Para garantir que as atividades sejam auditadas para todos os tipos de arquivo com suporte, crie uma política DLP personalizada.

O DLP do ponto de extremidade monitora a atividade com base no tipo MIME, portanto, as atividades são capturadas, mesmo que a extensão de arquivo seja alterada, para esses tipos de arquivos:

Depois que a extensão for alterada para qualquer outra extensão de arquivo:

  • .doc
  • .docx
  • .xls
  • .xlsx
  • .ppt
  • .pptx
  • .pdf

Se a extensão for alterada apenas para extensões de arquivo com suporte:

  • .txt
  • .Msg
  • .Rtf
  • .C
  • .Cpp
  • .H
  • .Cs
  • .Java
  • .Tsv

Tipos de arquivos

Os tipos de arquivo são um agrupamento de formatos de arquivo. Eles são usados para proteger fluxos de trabalho específicos ou áreas de negócios. Você pode usar um ou mais tipos de arquivo como condições em suas políticas DLP.

Tipo de Arquivo Aplicativos Extensões de arquivo monitoradas
processamento de texto Word, PDF .doc, .docx, .docm, .dot, dotx, .dotm, .docb, .pdf
planilha Excel, CSV, TSV .xls, .xlsx, .xlt, .xlm, .xlsm, xltx, xltm, xlsb, .xlw, .csv, .tsv
apresentação PowerPoint .ppt, .pptx, .pos, .pps, .pptm, .potx, .potm, .ppam, .ppsx
arquivar Ferramentas de arquivo e compactação .zip, .zipx, .rar, .7z, .tar, .gz
email Outlook .Msg

Extensões de arquivo

Se os tipos de arquivo não cobrirem as extensões de arquivo que você precisa listar como uma condição em uma política, você poderá usar extensões de arquivo separadas por vírgula.

Importante

As extensões de arquivo e as opções de tipos de arquivo não podem ser usadas como condições na mesma regra. Se você quiser usá-las como condições na mesma política, elas deverão estar em regras separadas.

As seguintes versões do Windows dão suporte a extensões de arquivo e recursos de tipos de arquivo :

Importante

Verifique se os pontos de extremidade integrados estão em execução no Windows 10 mais recente, 11 atualizações conforme documentado nos links correspondentes acima.

Observação

Recomendamos que você não configure políticas DLP para as seguintes extensões de arquivo:

  • Ost
  • Pst
  • Pf
  • Exe
  • Dll
  • Mui

O que é diferente no Endpoint DLP

Há alguns conceitos adicionais que você precisa saber antes de mergulhar no Endpoint DLP.

Habilitar o gerenciamento de dispositivos

O gerenciamento de dispositivos é a funcionalidade que habilita a coleta de telemetria de dispositivos e a coloca em soluções do Microsoft Purview, como DLP de ponto de extremidade e o gerenciamento de risco interno. Você precisa integrar todos os dispositivos que deseja usar como locais em suas políticas DLP.

habilitar o gerenciamento de dispositivos.

A integração e o offboarding são tratados por meio de scripts que você baixa do centro de gerenciamento de dispositivos. O centro de gerenciamento de dispositivos tem scripts personalizados para cada um dos seguintes métodos de implantação:

  • Script local (até 10 máquinas)
  • Política de grupo
  • System Center Configuration Manager (versão 1610 ou posterior)
  • Gerenciamento de dispositivos móveis/Microsoft Intune
  • Scripts de integração VDI para máquinas não persistentes

página de integração do dispositivo.

Use os procedimentos no Introdução ao Microsoft 365 Endpoint DLP a dispositivos integrados.

A integração de dispositivos ao Defender também os integra ao DLP. Portanto, se você tiver integrado dispositivos por meio de Microsoft Defender para Ponto de Extremidade, esses dispositivos aparecerão automaticamente na lista de dispositivos. Você só precisa ativar o monitoramento do dispositivo para usar o DLP do ponto de extremidade.

lista de dispositivos gerenciados.

Exibir dados de DLP do Endpoint

Você pode exibir alertas relacionados às políticas DLP impostas em dispositivos de ponto de extremidade acessando o Painel de Gerenciamento de Alertas DLP e Investigar incidentes de perda de dados com Microsoft Defender XDR.

Informações de alerta.

Você também pode exibir detalhes do evento associado, com metadados ricos, no mesmo dashboard

informações do evento.

Após a integração de um dispositivo, as informações sobre as atividades auditadas fluem no explorador de atividades mesmo antes de você configurar e implantar as políticas DLP que têm dispositivos como um local.

eventos dlp do ponto de extremidade no gerenciador de atividades.

O Endpoint DLP coleta informações abrangentes sobre atividades auditadas.

Por exemplo, se um arquivo for copiado para uma mídia USB removível, você verá esses atributos nos detalhes da atividade:

  • tipo de atividade
  • IP do Cliente
  • caminho do arquivo de destino
  • carimbo de data/hora ocorrido
  • nome do arquivo
  • usuário
  • extensão do arquivo
  • tamanho do arquivo
  • tipo de informação confidencial (se aplicável)
  • valor SHA1
  • valor SHA256
  • nome do arquivo anterior
  • localização
  • primário
  • FilePath
  • Tipo de local de origem
  • plataforma
  • nome do dispositivo
  • Tipo de local de destino
  • aplicativo que executou a cópia
  • ID de dispositivo do Microsoft Defender para Ponto de Extremidade (se aplicável)
  • fabricante do dispositivo de mídia removível
  • modelo do dispositivo de mídia removível
  • número de série do dispositivo de mídia removível

copiar para atributos de atividade usb.

Dispositivos DLP e offline do ponto de extremidade

Quando um dispositivo de ponto de extremidade do Windows está offline, as políticas existentes continuam a ser impostas em arquivos existentes. Além disso, com a proteção just-in-time habilitada e no modo "bloquear", quando um novo arquivo é criado em um dispositivo offline, o arquivo ainda é impedido de ser compartilhado até que o dispositivo se conecte ao serviço de classificação de dados e à avaliação seja concluído. Se uma nova política for criada no servidor ou uma política existente for modificada, essas alterações serão atualizadas no dispositivo depois que ela se reconectar à Internet.

Considere os seguintes casos de uso.

  1. As políticas que foram enviadas por push para um dispositivo continuarão a ser aplicadas a arquivos já classificados como confidenciais mesmo depois que o dispositivo ficar offline.
  2. As políticas atualizadas no portal de conformidade enquanto um dispositivo estiver offline não serão enviadas por push para esse dispositivo. Da mesma forma, essas políticas não serão impostas nesse dispositivo até que o dispositivo esteja novamente online. No entanto, a política desatualizada que existe no dispositivo offline ainda será imposta. Proteção just-in-time

Se as notificações forem configuradas para serem exibidas, elas sempre serão exibidas quando as políticas DLP forem disparadas, independentemente de o dispositivo estar online ou não.

Observação

Embora as políticas que já foram enviadas para um dispositivo offline sejam impostas, os eventos de aplicação não aparecem no gerenciador de atividades até que o dispositivo esteja novamente online.

As políticas DLP são sincronizadas regularmente com dispositivos de ponto de extremidade. Se um dispositivo estiver offline, as políticas não poderão ser sincronizadas. Nesse caso, a lista Dispositivos reflete que o dispositivo está fora de sincronização com as políticas no servidor.

Importante

Essa funcionalidade não tem suporte em dispositivos de ponto de extremidade macOS.

Proteção just-in-time

A proteção just-in-time bloqueia todas as atividades de saída nos seguintes arquivos monitorados até que a avaliação da política seja concluída com êxito:

  • Itens que nunca foram avaliados.
  • Itens nos quais a avaliação ficou obsoleta. Estes são itens avaliados anteriormente que não foram reavaliados pelas versões atuais e atualizadas da nuvem das políticas.

Antes de implantar a proteção just-in-time, primeiro você deve implantar o Antimalware Client versão 4.18.23080 ou posterior.

Observação

Para computadores com uma versão desatualizada do Cliente Antimalware, recomendamos desabilitar a proteção just-in-time instalando um dos seguintes KBs:

Para habilitar a proteção just-in-time no Portal de Conformidade do Microsoft Purview, selecione Configurações no painel de navegação esquerdo, escolha Proteção just-in-time e configure as configurações desejadas.

Escolha quais locais monitorar

  • Selecione Dispositivos.
  • Escolha Editar.
  • No painel de sobrevoo, selecione o escopo de contas e grupos de distribuição aos quais você deseja aplicar proteção just-in-time. (Tenha em mente que, enquanto a avaliação de política está sendo processada, o DLP do Ponto de Extremidade bloqueará todas as atividades de saída para cada usuário cuja conta está no escopo selecionado. O DLP do ponto de extremidade auditará as atividades de saída de todas as contas de usuário que foram especificamente excluídas (por meio da configuração Excluir) ou não estão no escopo.)

Observação

Tenha em mente que, para todos os usuários selecionados no Escopo, o DLP do Ponto de Extremidade bloqueará todas as atividades de saída enquanto aguarda a conclusão da avaliação da política; para usuários que não estão no Escopo ou estão na configuração Excluir, o DLP do Ponto de Extremidade auditará as atividades de saída.

  • Ação de fallback em caso de falha: essa configuração especifica o modo de aplicação que o DLP deve aplicar quando a avaliação da política não for concluída. Não importa qual valor você selecione, a telemetria relevante será exibida no gerenciador de atividades.

Dica

Dicas para maximizar a produtividade do usuário:

  • Configure e implante suas políticas de DLP do Ponto de Extremidade em seus dispositivos antes de habilitar a proteção just-in-time para impedir o bloqueio desnecessário da atividade do usuário durante a avaliação da política.
  • Configure cuidadosamente suas configurações para atividades de saída. A proteção just-in-time bloqueia uma atividade de saída somente quando essa atividade tem um ou mais blocos ou blocos com políticas de substituição . Isso significa que as atividades de saída que não estão especificamente bloqueadas serão auditadas apenas, mesmo para usuários incluídos no escopo das políticas aplicáveis.
  • Como a proteção just-in-time bloqueará a atividade de saída somente quando essa atividade tiver um ou mais Blocos ou Bloquear com política de substituição , o que significa que se o enduser, mesmo no Escopo, não tiver nenhuma política DLP ou apenas política de Auditoria DLP, a proteção just-in-time só auditará a atividade de saída.

Para obter mais informações, consulte Usar proteção just-in-time do Ponto de Extremidade..

Próximas etapas

Agora que você aprendeu sobre o Endpoint DLP, as próximas etapas são:

  1. Integrar dispositivos Windows 10 e Windows 11 na visão geral do Microsoft Purview
  2. Integrar dispositivos macOS na visão geral do Microsoft Purview
  3. Configurar as definições de prevenção contra perda de dados de ponto de extremidade
  4. Usando a Prevenção contra perda de dados de ponto de extremidade

Confira também