Proteger os dados empresariais usando a Proteção de Informações do Windows (WIP)

Artigo
07/22/2022
15 minutos para ler

Observação

A partir de julho de 2022, a Microsoft está preterindo o Windows Proteção de Informações (WIP). A Microsoft continuará a dar suporte à WIP em versões com suporte do Windows. As novas versões do Windows não incluirão novos recursos para WIP e não serão compatíveis com versões futuras do Windows. Para obter mais informações, consulte Anunciando o pôr do sol do Windows Proteção de Informações.

Para suas necessidades de proteção de dados, a Microsoft recomenda que você use Proteção de Informações do Microsoft Purview e Prevenção Contra Perda de Dados do Microsoft Purview. O Purview simplifica a configuração e fornece um conjunto avançado de funcionalidades.

Aplica-se a:

Windows 10
Windows 11

Com o aumento de dispositivos de propriedade de funcionários na empresa, também há um risco crescente de vazamento acidental de dados por meio de aplicativos e serviços, como email, mídia social e nuvem pública, que estão fora do controle da empresa. Por exemplo, quando um funcionário envia as fotos de seus trabalhos de engenharia mais recentes de sua conta de email pessoal, copia e cola informações do produto em um Tweet ou salva um relatório de vendas em andamento no armazenamento de nuvem pública.

A Proteção de Informações do Windows (WIP), conhecida anteriormente como EDP (Proteção de Dados Empresariais), ajuda a proteger contra esse potencial vazamento de dados sem interferir na experiência do funcionário. A WIP também ajuda a proteger aplicativos e dados corporativos contra o vazamento de dados acidental em dispositivos de propriedade da empresa e dispositivos pessoais que os funcionários levam para o trabalho, sem exigir alterações no ambiente ou em outros aplicativos. Por fim, outra tecnologia de proteção de dados, Azure Rights Management, também funciona com a WIP para estender a proteção para dados que saiam do dispositivo, como acontece quando anexos de email são enviados de uma versão com reconhecimento da empresa de um cliente de email de gerenciamento de direitos.

Importante

Embora o Windows Proteção de Informações possa impedir vazamentos acidentais de dados de funcionários honestos, ele não se destina a impedir que usuários mal-intencionados de insiders removam dados corporativos. Para obter mais detalhes sobre os benefícios que a WIP oferece, consulte Por que usar a WIP mais adiante neste tópico.

Vídeo: Proteger os dados corporativos de serem copiados acidentalmente para o local errado

Pré-requisitos

Você precisará desse software para executar o Windows Proteção de Informações em sua empresa:

Sistema operacional	Solução de gerenciamento
Windows 10, versão 1607 ou posterior	Microsoft Intune - OU - Microsoft Endpoint Configuration Manager - OU - A solução atual de MDM (gerenciamento de dispositivo móvel) de terceiros que abrange toda a empresa. Para obter informações sobre soluções de MDM de terceiros, confira a documentação que acompanha o produto. Se seu MDM terceirizado não oferecer suporte de interface do usuário para as políticas, consulte a documentação EnterpriseDataProtection CSP.

Sistema operacional

Solução de gerenciamento

Windows 10, versão 1607 ou posterior

Microsoft Intune

- OU -

Microsoft Endpoint Configuration Manager

- OU -

A solução atual de MDM (gerenciamento de dispositivo móvel) de terceiros que abrange toda a empresa. Para obter informações sobre soluções de MDM de terceiros, confira a documentação que acompanha o produto. Se seu MDM terceirizado não oferecer suporte de interface do usuário para as políticas, consulte a documentação EnterpriseDataProtection CSP.

O que é o controle de dados empresariais?

Colaboração eficaz significa que você precisa compartilhar dados com outras pessoas em sua empresa. Esse compartilhamento pode ser de um extremo em que todos têm acesso a tudo sem qualquer segurança, até o outro extremo, onde as pessoas não podem compartilhar nada e tudo é altamente protegido. A maioria das empresas se enquadra em algum lugar entre os dois extremos, onde o sucesso é equilibrado entre fornecer o acesso necessário com o potencial para a divulgação inadequada de dados.

Sendo um administrador, você pode resolver a questão de quem tem acesso aos dados usando controles de acesso, como credenciais de funcionário. No entanto, só porque alguém tem o direito de acessar seus dados não garante que os dados permanecerão nos locais seguros da empresa. Isso significa que, embora os controles de acesso sejam um ótimo começo, eles não são suficientes.

Por fim, todas essas medidas de segurança têm uma coisa em comum: os funcionários vão aturar tanto inconveniente até certo ponto antes de procurar maneiras para driblar as restrições de segurança. Por exemplo, se você não permitir que os funcionários compartilhem arquivos por meio de um sistema protegido, os funcionários se voltarão para um aplicativo externo que provavelmente não tem controles de segurança.

Usando sistemas de prevenção contra perda de dados

Para ajudar a resolver essa insuficiência de segurança, as empresas desenvolveram sistemas de prevenção contra perda de dados (também conhecidos como DLP). Os sistemas de prevenção contra perda de dados exigem:

Um conjunto de regras sobre como o sistema pode identificar e categorizar os dados que precisam ser protegidos. Por exemplo, um conjunto de regras pode conter uma regra que identifica os números de cartões de crédito e outra que identifica os números do CPF.
Uma maneira para verificar os dados empresariais a fim de ver se correspondem a qualquer uma das suas regras definidas. Atualmente, o Microsoft Exchange Server e o Exchange Online fornecem esse serviço para o email em trânsito, enquanto o Microsoft SharePoint e o SharePoint Online fornecem esse serviço para o conteúdo armazenado em bibliotecas de documentos.
A capacidade para especificar o que acontece quando dados correspondem a uma regra, incluindo se os funcionários podem ignorar imposições. Por exemplo, no Microsoft SharePoint e no SharePoint Online, o sistema de prevenção contra perda de dados do Microsoft Purview permite avisar seus funcionários de que os dados compartilhados incluem informações confidenciais e compartilhá-los de qualquer maneira (com uma entrada de log de auditoria opcional).

Infelizmente, sistemas de prevenção contra perda de dados têm seus próprios problemas. Por exemplo, quanto menos detalhado o conjunto de regras, mais falsos positivos são criados, levando os funcionários a acreditarem que as regras atrasam o trabalho e precisam ser ignoradas para permanecerem produtivas, potencialmente fazendo com que os dados sejam bloqueados incorretamente ou liberados incorretamente. Outro grande problema é que os sistemas de prevenção contra perda de dados devem ser implementados amplamente para que sejam eficazes. Por exemplo, se sua empresa usa um sistema de prevenção contra perda de dados para email, mas não para compartilhamentos de arquivos ou armazenamento de documentos, você pode descobrir que há vazamentos de dados por canais desprotegidos. Mas talvez o maior problema com os sistemas de prevenção contra perda de dados seja que ele fornece uma experiência jarring que interrompe o fluxo de trabalho natural dos funcionários interrompendo algumas operações (como enviar uma mensagem com um anexo que o sistema marca como confidencial) enquanto permite que outras pessoas, geralmente de acordo com regras sutis que o funcionário não vê e não consegue entender.

Usando sistemas de gerenciamento de direitos de informação

Para ajudar a resolver os possíveis problemas de sistemas de prevenção contra perda de dados, as empresas desenvolveram sistemas de gerenciamento de direitos de informação (também conhecido como IRM). Os sistemas de gerenciamento de direitos de informação incorporam a proteção diretamente nos documentos, para que quando um funcionário crie um documento, ele determine que tipo de proteção deve ser aplicada. Por exemplo, um funcionário pode optar por impedir que o documento seja encaminhado, impresso, compartilhado fora da organização e assim por diante.

Depois que o tipo de proteção for definido, o aplicativo de criação criptografa o documento para que somente as pessoas autorizadas possam abri-lo e, ainda assim, apenas em aplicativos compatíveis. Depois que um funcionário abrir o documento, o aplicativo se torna responsável pela imposição das proteções especificadas. Como a proteção viaja com o documento, se uma pessoa autorizada o enviar a uma pessoa não autorizada, a pessoa não autorizada não poderá lê-lo ou alterá-lo. No entanto, para que isso funcione de modo eficaz, os sistemas de gerenciamento de direitos de informação exigem que você implante e configure um ambiente de servidor e de cliente. E, como somente clientes compatíveis podem trabalhar com documentos protegidos, o trabalho de um funcionário pode ser interrompido inesperadamente se ele tentar usar um aplicativo não compatível.

E quando um funcionário deixa a empresa ou cancela o registro de um dispositivo?

Por fim, há o risco de vazamento de dados de sua empresa quando um funcionário sai ou cancela o registro de um dispositivo. Anteriormente, você simplesmente apagava todos os dados corporativos do dispositivo, juntamente com quaisquer outros dados pessoais.

Benefícios da WIP

O Windows Proteção de Informações fornece:

Separação óbvia entre dados pessoais e corporativos, sem a necessidade de os funcionários alternarem ambientes ou aplicativos.
Proteção adicional de dados para aplicativos de linha de negócios existentes, sem a necessidade de atualizá-los.
Capacidade de apagar dados corporativos de dispositivos registrados no MDM do Intune, deixando somente dados pessoais.
Uso de relatórios de auditoria para o monitoramento de problemas e ações corretivas.
Integração com seu sistema de gerenciamento existente (Microsoft Intune, Microsoft Endpoint Configuration Manager ou seu sistema MDM (gerenciamento de dispositivo móvel) atual) para configurar, implantar e gerenciar o Windows Proteção de Informações para sua empresa.

Por que usar a WIP?

O Windows Proteção de Informações é o mecanismo de MAM (gerenciamento de aplicativo móvel) Windows 10. A WIP oferece uma nova maneira de gerenciar a imposição de política de dados para aplicativos e documentos em sistemas operacionais de área de trabalho do Windows 10, juntamente com a capacidade de remover o acesso a dados corporativos de dispositivos corporativos e pessoais (após o registro em uma solução de gerenciamento empresarial, como Intune).

Mude a maneira como você pensa em imposição da política de dados. Como administrador corporativo, você precisa manter a conformidade com a política de dados e o acesso a dados. O Windows Proteção de Informações ajuda a proteger a empresa em dispositivos corporativos e de propriedade do funcionário, mesmo quando o funcionário não está usando o dispositivo. Ao criar conteúdo em um dispositivo protegido corporativo, os funcionários podem optar por salvá-lo como um documento de trabalho. Se for um documento de trabalho, ele será mantido localmente como dados corporativos.
Gerencie os modos de criptografia, aplicativos e documentos corporativos.
- Cópia ou download de dados corporativos. Quando um funcionário ou um aplicativo baixa conteúdo de um local como SharePoint, um compartilhamento de rede ou um local Web corporativo, usando um dispositivo protegido pela WIP, a WIP criptografa os dados no dispositivo.
- Usando aplicativos protegidos. Aplicativos gerenciados (aplicativos que você incluiu na **** lista de aplicativos protegidos em sua política wip) têm permissão para acessar seus dados corporativos e interagirão de forma diferente quando usados com aplicativos não permitidos, não corporativos ou somente pessoais. Por exemplo, caso o gerenciamento da WIP esteja definido como Bloquear, os funcionários podem copiar e colar de um aplicativo protegido para outro aplicativo protegido, mas não para aplicativos pessoais. Imagine que uma pessoa de RH queira copiar uma descrição de trabalho de um aplicativo protegido para o site de carreira interno, um local protegido pela empresa, mas comete um erro e tenta colar em um aplicativo pessoal. A ação colar falha e uma notificação é exibida, dizendo que o aplicativo não pôde colar devido a uma restrição de política. O funcionário do RH cola então a descrição corretamente no site de carreiras, sem problema.
- Aplicativos gerenciados e restrições. Com a WIP, é possível controlar quais aplicativos podem acessar e usar os dados corporativos. Depois que você adiciona um aplicativo à lista de aplicativos protegidos, dados corporativos são confiados ao aplicativo. Todos os aplicativos não incluídos nessa lista são impedidos de acessar os dados corporativos, dependendo do modo de gerenciamento da WIP.
  
  Você não precisa modificar aplicativos de linha de negócios que nunca tocam em dados pessoais para listá-los como aplicativos protegidos; basta incluí-los na lista de aplicativos protegidos.
- Decisão do nível de acesso aos dados. A WIP permite bloquear, permitir substituições ou auditar ações de compartilhamento de dados dos funcionários. Ocultar substituições interrompe imediatamente a ação. A permissão de substituições informa ao funcionário que há um risco, mas permite que ele continue compartilhando os dados enquanto grava e audita a ação. Silenciosamente, apenas registra a ação sem parar nada que o funcionário poderia ter substituído ao usar essa configuração; coletando informações que podem ajudá-lo a ver padrões de compartilhamento inadequado para que você possa executar uma ação educacional ou encontrar aplicativos que devem ser adicionados à sua lista de aplicativos protegidos. Para obter informações sobre como coletar os arquivos de log de auditoria, consulte Como coletar logs de eventos de auditoria de Proteção de Informações do Windows (WIP).
- Criptografia de dados em repouso. O Windows Proteção de Informações ajuda a proteger dados corporativos em arquivos locais e em mídia removível.
  
  Aplicativos como o Microsoft Word trabalham com a WIP para ajudar a continuar a proteção de dados em todos os arquivos locais e mídia removível. Esses aplicativos são conhecidos como aplicativos com reconhecimento corporativo. Por exemplo, se um funcionário abrir o conteúdo criptografado por WIP do Word, editar o conteúdo e tentar salvar a versão editada com um nome diferente, o Word aplicará automaticamente o Windows Proteção de Informações ao novo documento.
- Ajuda para evitar a divulgação acidental de dados em espaços públicos. O Windows Proteção de Informações ajuda a proteger seus dados corporativos contra o compartilhamento acidental com espaços públicos, como o armazenamento em nuvem pública. Por exemplo, se o Dropbox™ não estiver em sua lista de aplicativos protegidos, os funcionários não poderão sincronizar arquivos criptografados com o armazenamento em nuvem pessoal. Em vez disso, se o funcionário armazenar o conteúdo em um aplicativo na lista de aplicativos protegidos, como o Microsoft OneDrive for Business, os arquivos criptografados poderão ser sincronizados livremente com a nuvem comercial, mantendo a criptografia localmente.
- Ajuda para evitar a divulgação acidental de dados para mídia removível. O Windows Proteção de Informações ajuda a impedir que os dados corporativos vazem quando são copiados ou transferidos para mídia removível. Por exemplo, se um funcionário colocar dados corporativos em uma unidade USB (Barramento Serial Universal) que também tenha dados pessoais, os dados corporativos permanecerão criptografados, enquanto os dados pessoais não.
Remova o acesso a dados corporativos de dispositivos protegidos corporativos. O Windows Proteção de Informações dá aos administradores a capacidade de revogar dados corporativos de um ou vários dispositivos registrados no MDM, deixando os dados pessoais sozinhos. Isso é um benefício quando um funcionário sai da empresa, ou no caso de um dispositivo roubado. Depois de determinar que o acesso aos dados precisa ser removido, você poderá usar o Microsoft Intune para cancelar o registro do dispositivo, de maneira que, quando se conectar à rede, a chave de criptografia do usuário do dispositivo será revogada e os dados corporativos permanecerão ilegíveis.

Observação

Para o gerenciamento de dispositivos Surface, é recomendável usar o Branch Atual do Microsoft Endpoint Configuration Manager.
O Microsoft Endpoint Manager também permite revogar dados corporativos. No entanto, ele faz isso realizando uma redefinição de fábrica do dispositivo.

Como a WIP funciona

O Windows Proteção de Informações ajuda a resolver seus desafios diários na empresa. Inclusive:

Ajudar a evitar vazamentos de dados corporativos, até mesmo em dispositivos de propriedade do funcionário que não possam ser bloqueados.
Reduzir frustrações do funcionário por causa de políticas de gerenciamento de dados restritivas em dispositivos de propriedade do empresa.
Ajudar a manter a propriedade e o controle dos dados corporativos.
Ajudando a controlar a rede, o acesso a dados e o compartilhamento de dados para aplicativos que não têm reconhecimento corporativo

Cenários corporativos

O Windows Proteção de Informações atualmente aborda esses cenários empresariais:

Você pode criptografar dados corporativos em dispositivos de propriedade do funcionário e da empresa.
Você pode apagar remotamente dados corporativos de computadores gerenciados, incluindo computadores de propriedade do funcionário, sem afetar os dados pessoais.
Você pode proteger aplicativos específicos que podem acessar dados corporativos claramente reconhecíveis aos funcionários. Você também pode impedir o acesso de aplicativos não protegidos aos dados corporativos.
Seus funcionários não terão o trabalho interrompido ao alternarem entre aplicativos pessoais e corporativos enquanto as políticas corporativas estiverem em vigor. Não é necessário alternar ambientes ou entrar várias vezes.

Modos de proteção da WIP

Os dados corporativos são criptografados automaticamente depois que são carregados em um dispositivo de uma fonte corporativa ou se um funcionário marca os dados como corporativos. Em seguida, quando os dados corporativos são gravados em disco, o Windows Proteção de Informações usa o EFS (Encrypting File System) fornecido pelo Windows para protegê-los e associá-los à sua identidade corporativa.

Sua política Proteção de Informações Windows inclui uma lista de aplicativos confiáveis protegidos para acessar e processar dados corporativos. Essa lista de aplicativos é implementada por meio da funcionalidade AppLocker, que controla quais aplicativos podem ser executados e permitindo que o sistema operacional Windows saiba que os aplicativos podem editar dados corporativos. Os aplicativos incluídos nesta lista não precisam ser modificados para abrir dados corporativos porque sua presença na lista permite que o Windows determine se deseja conceder acesso a eles. No entanto, uma novidade no Windows 10, os desenvolvedores de aplicativos podem usar um novo conjunto de APIs (interfaces de programação de aplicativo) para criar aplicativos habilitados que podem usar e editar dados corporativos e pessoais. Um grande benefício de trabalhar com aplicativos habilitados é que aplicativos de uso duplo, como o Microsoft Word, podem ser usados com menos preocupação sobre como criptografar dados pessoais por engano, pois as APIs permitem que o aplicativo determine se os dados são de propriedade da empresa ou se eles são de propriedade pessoal.

Observação

Para obter informações sobre como coletar os arquivos de log de auditoria, consulte Como coletar logs de eventos de auditoria de Proteção de Informações do Windows (WIP).

Você pode definir sua política de Proteção de Informações Windows para usar 1 de 4 modos de proteção e gerenciamento:

Modo	Descrição
Bloqueio	O Windows Proteção de Informações procura práticas inadequadas de compartilhamento de dados e impede que o funcionário conclua a ação. Isso pode incluir o compartilhamento de dados corporativos com aplicativos protegidos que não sejam da empresa, além de compartilhar dados corporativos entre aplicativos ou a tentativa de compartilhamento fora da rede da organização.
Permitir substituições	O Windows Proteção de Informações procura compartilhamento inadequado de dados, avisando os funcionários se eles fizerem algo considerado potencialmente inseguro. No entanto, esse modo de gerenciamento permite que o funcionário substitua a política e compartilhe os dados, registrando a ação no log de auditoria.
Silencioso	O Windows Proteção de Informações é executado silenciosamente, registrando em log o compartilhamento inadequado de dados, sem interromper nada que tenha sido solicitado para interação do funcionário enquanto estiver no modo Permitir substituições. Ações não permitidas, como aplicativos tentando acessar de maneira inadequada um recurso de rede ou dados protegidos pela WIP, continuam sendo interrompidas.
Desativada	O Windows Proteção de Informações está desativado e não ajuda a proteger ou auditar seus dados. Depois de desativar a WIP, é feita uma tentativa de descriptografar todos os arquivos marcados pela WIP nas unidades conectadas localmente. Lembre-se de que suas informações de política e descriptografia anteriores não serão reaplicadas automaticamente se você ativar o Windows Proteção de Informações novamente.

Desativar a WIP

Você pode desativar a Proteção de Informações do Windows e todas as restrições, fazendo a descriptografia de todos os dispositivos gerenciados pela WIP e revertendo para o ponto em que estava antes da WIP, sem perda de dados. No entanto, isso não é recomendado. Se você optar por desativar a WIP, sempre poderá ativá-la novamente, mas suas informações de descriptografia e política não serão reaplicadas automaticamente.

Próximas etapas

Depois de decidir usar a WIP em seu ambiente, crie uma política de Proteção de Informações (WIP) do Windows.