Руководство администратора. Типы файлов, поддерживаемые классическим клиентом Azure Information Protection

  • Статья

Классический клиент Azure Information Protection может применять следующее к документам и сообщениям электронной почты:

  • только классификацию;

  • классификацию и защиту;

  • только защиту.

Клиент Azure Information Protection также может проверять содержимое некоторых типов файлов с помощью определяемых пользователем хорошо известных типов конфиденциальной информации или регулярных выражений.

Ниже приведены сведения о проверке типов файлов, поддерживаемых клиентом Azure Information Protection, различных уровнях защиты, изменении уровня защиты по умолчанию и автоматическом исключении (пропуске) файлов из классификации и защиты.

Для перечисленных типов расположения WebDav не поддерживаются.

Типы файлов, поддерживающие только классификацию

Следующие типы файлов можно классифицировать, даже если они не защищены.

  • Adobe Portable Document Format: PDF

  • Microsoft Project: MPP, MPT

  • Microsoft Publisher: PUB

  • Microsoft XPS: XPS, OXPS

  • Изображения: JPG, JPE, JPEG, JIF, JFIF, JFI. PNG, TIF, TIFF

  • Autodesk Design Review 2013: DWFX

  • Adobe Photoshop: PSD

  • Digital Negative: DNG

  • Microsoft Office: типы файлов в следующей таблице.

    Для этих типов файлов поддерживаются форматы выпусков 97—2003 и форматы Office Open XML для приложений Office Word, Excel и PowerPoint.

    Тип файла Office Тип файла Office
    .doc

    .docm

    .docx

    DOT

    .dotm

    .dotx

    POTM

    .potx

    PPS

    PPSM

    PPSX

    .ppt

    .pptm

    .pptx

    VDW

    .vsd    		 VSDM

    VSDX

    VSS

    VSSM

    VST

    VSTM

    VSSX

    VSTX

    .xls

    .xlsb

    .xlt

    .xlsm

    .xlsx

    XLTM

    .xltx

Дополнительные типы файлов поддерживают классификацию, если они также защищены. Сведения об этих типах файлов см. в разделе Поддерживаемые типы файлов для классификации и защиты.

Например, в текущей политике по умолчанию метка Общие применяет классификацию, но не применяет защиту. Вы можете применить метку Общие к файлу sales.pdf, но ее невозможно применить к файлу sales.txt.

Также в текущей политике по умолчанию метка Конфиденциально\Все сотрудники применяет классификацию и защиту. Вы можете применить эту метку к файлам sales.pdf и sales.txt. Вы можете также применить к файлам только защиту без классификации.

Типы файлов, поддерживающие защиту

Клиент Azure Information Protection поддерживает защиту на двух различных уровнях, как описано в следующей таблице.

Тип защиты Собственный Универсальный шаблон
Описание Для текстовых файлов, изображений, файлов Microsoft Office (Word, Excel, PowerPoint), PDF-файлов и некоторых других типов файлов приложений, поддерживающих службу Rights Management, собственная защита обеспечивает высокий уровень защиты, включающий шифрование и применение прав доступа (разрешений). Для других поддерживаемых типов файлов универсальная защита обеспечивает уровень защиты, включающий инкапсуляцию файлов с помощью типа PFILE-файла и проверки подлинности, чтобы проверить, авторизован ли пользователь на открытие файла.
Защита Защита файлов обеспечивается одним из следующих способов.

— Перед переходом к просмотру защищенного содержимого необходимо успешно пройти проверку подлинности (для тех лиц, кто получил файл по электронной почте или получает доступ к нему через разрешения для файла или общей папки).

— Кроме того, права на использование и политики, установленные владельцем содержимого при защите файлов, применяются при просмотре содержимого в средстве просмотра Azure Information Protection (для защищенных текстовых и графических файлов) или связанном приложении (для всех других поддерживаемых типов файлов).		 Защита файлов обеспечивается следующими способами.

— Перед переходом к просмотру защищенного содержимого необходимо успешно пройти проверку подлинности (чтобы гарантировать, что пользователь имеет право открыть файл и получить к нему доступ). Если авторизоваться не удалось, файл не открывается.

— Права на использование и политика, установленные владельцем содержимого, отображаются для информирования авторизованных пользователей о политике использования.

— Ведутся журналы аудита авторизованных пользователей, имеющих доступ к файлам и открывающих их. Однако права на использование не применяются.
По умолчанию для типов файлов Это уровень защиты по умолчанию для следующих типов файлов:

— Текстовые и графические файлы.

— Файлы Microsoft Office (Word, Excel, PowerPoint).

— PDF.

Дополнительные сведения см. в следующем разделе: Поддерживаемые типы файлов для классификации и защиты.		 Это уровень защиты по умолчанию для всех остальных типов файлов (например, VSDX, RTF и т. д.), которые не обеспечиваются собственной защитой.

Вы можете изменить уровень защиты по умолчанию, который применяется клиентом Azure Information Protection. Можно изменить уровень по умолчанию с собственного на универсальный, с универсального на собственный и даже отключить применение защиты этим клиентом. Дополнительные сведения см. в этой статье в разделе Изменение уровня защиты файлов по умолчанию.

Защита данных может применяться автоматически при выборе метки, настроенной администратором, либо пользователи могут задать собственные параметры настраиваемой защиты с помощью уровней разрешений.

Размеры файлов, поддерживающих защиту

Существуют максимальные размеры файлов, поддерживаемые клиентом Azure Information Protection для защиты.

  • Для Office файлов:

    Приложения Office Максимальный поддерживаемый размер файла
    Word 2007 (поддерживаются только AD RMS)

    Word 2010

    Word 2013

    Word 2016    		 32-разрядная система: 512 МБ

    64-разрядная система: 512 МБ
    Excel 2007 (поддерживаются только AD RMS)

    Excel 2010

    Excel 2013

    Excel 2016    		 32-разрядная система: 2 ГБ.

    64-разрядная система: ограничивается только доступным объемом места на диске и памятью.
    PowerPoint 2007 (поддерживаются только AD RMS)

    PowerPoint 2010

    PowerPoint 2013

    PowerPoint 2016    		 32-разрядная система: ограничивается только доступным объемом места на диске и памятью.

    64-разрядная система: ограничивается только доступным объемом места на диске и памятью.

  • Для всех других файлов:

    • Для защиты других типов файлов и открытия этих типов файлов в средстве просмотра Azure Information Protection: максимальный размер файла ограничивается только доступным местом на диске и памятью.

    • Для снятия защиты с файлов с помощью командлета Unprotect-RMSFile: максимальный размер файла для PST-файлов составляет 5 ГБ. Для других типов файлов максимальный размер ограничивается только доступным местом на диске и памятью.

      Совет

      Если вам нужно выполнить поиск или восстановление защищенных элементов в больших PST-файлах, см. раздел об удалении защиты для PST-файлов.

Поддерживаемые типы файлов для классификации и защиты

В следующей таблице перечислено подмножество типов файлов с возможностью классификации, в котором поддерживается собственная защита клиента Azure Information Protection.

Эти типы файлов идентифицируются отдельно, так как если на них распространяется собственная защита, то исходное расширение имени файла меняется и файлы становятся доступными только для чтения. Обратите внимание, что в файлах с универсальной защитой исходное расширение имени файла всегда меняется на PFILE.

Предупреждение

При наличии брандмауэров, веб-прокси или программных систем безопасности, которые проверяют и предпринимают действия по расширениям имен файлов, может потребоваться перенастроить сетевые устройства и программное обеспечение для поддержки новых расширений имен файлов.

Исходное расширение имени файла Расширение имени защищаемых файлов
.txt PTXT
XML PXML
.jpg PJPG
JPEG PJPEG
.pdf .ppdf [1]
.png PPNG
.tif .ptif
TIFF PTIFF
BMP PBMP
.gif PGIF
JPE PJPE
JFIF PJFIF
JT PJT
Сноска 1

В последней версии клиента Azure Information Protection у защищенных PDF-документов по умолчанию остается расширение PDF.

В следующей таблице перечислены оставшиеся типы файлов с возможностью классификации, в которых поддерживается собственная защита клиента Azure Information Protection. Они распознаются как типы файлов для приложений Microsoft Office. Для этих типов файлов поддерживаются форматы выпусков 97—2003 и форматы Office Open XML для приложений Office Word, Excel и PowerPoint.

Для этих файлов расширение имени файла остается неизменным после защиты файла службой Rights Management.

Типы файлов, поддерживаемые Office Типы файлов, поддерживаемые Office
.doc

.docm

.docx

DOT

.dotm

.dotx

POTM

.potx

PPS

PPSM

PPSX

.ppt

.pptm

.pptx

VSDM		 VSDX

VSSM

VSSX

VSTM

VSTX

XLA

.xlam

.xls

.xlsb

.xlt

.xlsm

.xlsx

XLTM

.xltx

.xps

Изменение уровня защиты файлов по умолчанию

Вы можете изменить уровень защиты файлов с помощью клиента Azure Information Protection путем редактирования реестра. Например, к файлам, поддерживающим собственную защиту, можно принудительно применить универсальную защиту, которая обеспечивается клиентом Azure Information Protection.

Причины могут быть следующие:

  • Чтобы убедиться, что все пользователи могут открыть файл, если у них нет приложения, поддерживающего собственную защиту.

  • чтобы разместить системы безопасности, выполняющие действия с файлами в зависимости от их расширений, которые можно перенастроить для расширения PFILE имени файла, но нельзя перенастроить для нескольких расширений имен файлов с собственной защитой.

Аналогично можно заставить клиента Azure Information Protection применять собственную защиту к файлам, к которым по умолчанию применялась бы универсальная защита. Это действие может быть целесообразным, если используется приложение, поддерживающее API RMS. Так, это может быть бизнес-приложение, написанное внутренними разработчиками, или приложение, приобретенное у независимого поставщика программного обеспечения (ISV).

Можно также сделать так, чтобы клиент Azure Information Protection блокировал защиту файлов (не применял собственную или универсальную защиту). Например, это может понадобиться при наличии автоматизированного приложения или службы, которые должны иметь возможность открыть конкретный файл для обработки его содержимого. При блокировке защиты для типа файлов пользователи не смогут использовать клиент Azure Information Protection для защиты файлов данного типа. При попытке сделать это они увидят сообщение, что администратор запретил защиту, и необходимо отменить действие по защите файла.

Чтобы клиент Azure Information Protection мог применять универсальную защиту ко всем файлам, к которым по умолчанию применялась бы собственная защита, необходимо следующим образом изменить реестр. Обратите внимание: если раздел FileProtection не существует, необходимо создать его вручную.

  1. Создайте новый раздел с именем * по указанному ниже пути реестра, который обозначает файлы с любым расширением имени файла.

    • Для 32-разрядной версии Windows: HKEY_LOCAL_MACHINE\Software\Microsoft\MSIPC\FileProtection

    • Для 64-разрядной версии Windows: HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIPC\FileProtection и HKEY_LOCAL_MACHINE\Software\Microsoft\MSIPC\FileProtection

  2. В добавленном ключе (например, HKEY_LOCAL_MACHINE\Software\Microsoft\MSIPC\FileProtection\*), создайте новое строковое значение (REG_SZ) с именем Encryption со значением данных Pfile.

    В результате этой настройки клиент Azure Information Protection будет применять универсальную защиту.

Эти две настройки приведут к тому, что клиент Azure Information Protection будет применять универсальную защиту ко всем файлам, имеющим расширение имени файла. Если в этом и заключается ваша цель, дальнейшая настройка не требуется. Однако вы можете задать исключения для определенных типов файлов, чтобы для них по-прежнему применялась собственная защита. Для этого необходимо внести три (для 32-разрядной системы Windows) или шесть (для 64-разрядной системы Windows) изменений в реестр для каждого типа файлов:

  1. Для HKEY_LOCAL_MACHINE\Software\Microsoft\MSIPC\FileProtection и HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIPC\FileProtection (если применимо): добавьте новый ключ с именем расширения имени файла (без предыдущего периода).

    Например, для DOCX-файлов создайте раздел с именем DOCX.

  2. В добавленном разделе типа файлов (например, HKEY_LOCAL_MACHINE\Software\Microsoft\MSIPC\FileProtection\DOCX) создайте параметр DWORD с именем AllowPFILEEncryption и значением 0.

  3. В добавленном разделе типа файлов (например, HKEY_LOCAL_MACHINE\Software\Microsoft\MSIPC\FileProtection\DOCX) создайте новый строковый параметр с именем Encryption и значением Native.

В результате этих параметров ко всем файлам будет применяться универсальная защита, за исключением файлов с расширением DOCX. К этим файлам будет применяться собственная защита клиентом Azure Information Protection.

Повторите эти три шага для других типов файлов, которые необходимо определить как исключения, поскольку они поддерживают собственную защиту и вы не хотите, чтобы к ним применялась универсальная защита клиентом Azure Information Protection.

Можно внести в реестр аналогичные изменения для других сценариев, изменив значение строкового параметра Encryption, который поддерживает следующие значения.

  • Pfile: Универсальная защита

  • Native: собственная защита

  • Off: блокировка защиты

После внесения этих изменений реестра перезагружать компьютер не нужно. Но если вы используете команды PowerShell для защиты файлов, необходимо запустить новый сеанс PowerShell, чтобы изменения вступили в силу.

В этой документации для разработчиков универсальная защита обозначается как PFile.

Типы файлов, исключаемые из классификации и защиты

Чтобы запретить пользователям изменять файлы, которые важны для операций на компьютере, некоторые типы файлов и папок автоматически исключаются из классификации и защиты. При попытке классифицировать или защитить эти файлы с помощью клиента Azure Information Protection они увидят сообщение об исключении файлов.

  • Исключенные типы файлов: LNK, EXE, COM, CMD, BAT, DLL, INI, PST, SCA, DRM, SYS, CPL, INF, DRV, DAT, TMP, MSG, MSP, MSI, PDB, JAR.

  • Исключенные папки:

    • Windows
    • Program Files (\Program Files и \Program Files (x86));
    • \ProgramData;
    • \AppData (для всех пользователей).

Типы файлов, исключаемые из классификации и защиты средством проверки Azure Information Protection

По умолчанию средство проверки исключает те же типы файлов, что и клиент Azure Information Protection, за исключением следующих случаев:

  • файлы RTF и RAR также исключаются.

Вы можете изменить типы файлов, включаемые или исключаемые при проверке файлов с помощью средства проверки.

Примечание

При включении RTF-файлов в сканирование тщательно отслеживайте средство проверки. Некоторые RTF-файлы не могут быть успешно проверены средством проверки; для этих файлов проверка не завершается, и необходимо перезапустить службу.

По умолчанию средство проверки защищает только типы файлов Office и PDF-файлы, если они защищены с помощью стандарта ISO для шифрования формата PDF. Чтобы изменить это поведение средства проверки, необходимо вручную внести изменения в реестр и указать дополнительные типы файлов, которые необходимо защитить. Инструкции см. в разделе "Использование реестра" для изменения типов файлов, защищенных с помощью инструкций по развертыванию средства проверки.

Файлы, которые не могут быть защищены по умолчанию

Клиент Azure Information Protection не может по умолчанию защитить файл, имеющий парольную защиту, если только этот файл не открыт сейчас в приложении, применяющем эту защиту. Наиболее часто встречаются защищенные паролем PDF-файлы. Но эту функциональность предоставляют и другие приложения, например приложения Office.

Если изменить настройки по умолчанию у клиента Azure Information Protection таким образом, чтобы он защищал PDF-файлы, используя расширение PPDF, клиент не сможет применять или снимать защиту для таких файлов:

  • PDF-файл на основе формы;

  • защищенный PDF-файл с расширением PDF.

    Клиент Azure Information Protection может защитить незащищенный PDF-файл, отменить и повторно применить защиту к защищенному PDF-файлу с расширением PPDF.

Ограничения для файлов контейнера, таких как ZIP-файлы

Дополнительные сведения см. в коллекции ограничений Azure Information Protection.

Типы файлов, поддерживающие проверку

Без дополнительной настройки клиент Azure Information Protection использует фильтр Windows IFilter для проверки содержимого документов. Windows Search применяет фильтр Windows IFilter для индексирования. Таким образом, с помощью средства проверки Azure Information Protection или команды PowerShell Set-AIPFileClassification можно проверить следующие типы файлов.

Тип приложения Тип файла
Word .doc; docx; .docm; .dot; .dotm; .dotx
Excel XLS, XLT, XLSX, XLTX, XLTM, XLSM, XLSB
PowerPoint PPT, PPS, POT, PPTX, PPSX, PPTM, PPSM, POTX, POTM
PDF .pdf
текст TXT, XML, CSV

Выполнив дополнительную настройку, можно также проверить другие типы файлов. Например, можно зарегистрировать пользовательское расширение имени файла для использования существующего обработчика фильтров Windows для текстовых файлов и установить дополнительные фильтры от поставщиков программного обеспечения.

Чтобы узнать, какие фильтры установлены, см. сведения в разделе о поиске обработчика фильтра для заданного расширения файла в руководстве для разработчиков Windows Search.

В следующих разделах приводятся инструкции по настройке для проверки ZIP- и TIFF-файлов.

Проверка ZIP-файлов

Следуйте приведенным далее инструкциям, чтобы проверить ZIP-файлы с помощью средства проверки Azure Information Protection и команды PowerShell Set-AIPFileClassification.

  1. На компьютере, где выполняется средство проверки или сеанс PowerShell, установите пакет фильтров Office 2010 с пакетом обновления 2 (SP2).

  2. Для средства проверки: после поиска конфиденциальной информации, если файл .zip должен быть классифицирован и защищен с помощью метки, добавьте запись реестра для этого расширения имени файла, чтобы иметь универсальную защиту (pfile), как описано в разделе "Использование реестра для изменения типов файлов, защищенных от инструкций по развертыванию сканера".

Пример сценария после выполнения этих действий:

Файл с именем accounts.zip содержит электронные таблицы Excel с номерами кредитных карт. Политика Azure Information Protection включает метку с именем Конфиденциально\финансы, которая настроена для обнаружения номеров кредитных карт, и автоматически применяет эту метку с защитой, которая предоставляет доступ только участникам группы "Финансы".

После проверки файла средство проверки классифицирует его как Конфиденциально\финансы, применяет к файлу универсальную защиту, чтобы распаковать его могли только участники групп "Финансы", и переименовывает файл в accounts.zip.pfile.

Проверка TIFF-файлов с помощью OCR

Средство проверки Azure Information Protection и команда PowerShell Set-AIPFileClassiciation могут использовать оптическое распознавание символов (OCR). Оно позволяет проверять изображения TIFF с расширением имени файла TIFF при установке компонента Windows TIFF IFilter и настройке параметров компонента Windows TIFF IFilter на компьютере, где запущено средство проверки.

Для сканера: после поиска конфиденциальной информации, если TIFF-файл должен быть классифицирован и защищен с помощью метки, добавьте запись реестра для этого расширения имени файла, чтобы иметь встроенную защиту, как описано в разделе "Использование реестра для изменения типов файлов, защищенных от инструкций по развертыванию сканера".

Дальнейшие действия

Теперь, когда вы определили типы файлов, поддерживаемые клиентом Azure Information Protection, ознакомьтесь с дополнительными сведениями, которые могут потребоваться для поддержки этого клиента.