Поставщик служб конфигурации EnterpriseDataProtection

  • Статья

В таблице ниже показано применимость Windows:

Выпуск Windows 10 Windows 11
Домашняя Да Да
Pro Да Да
Windows SE Нет Да
Для бизнеса Да Да
Корпоративная Да Да
Для образовательных учреждений Да Да

Поставщик службы конфигурации EnterpriseDataProtection (CSP) используется для настройки параметров windows Information Protection (WIP), ранее известной как Корпоративная защита данных. Дополнительные сведения о WIP см. в статье Защита корпоративных данных с помощью Windows Information Protection (WIP).

Примечание.

Начиная с июля 2022 г. корпорация Майкрософт не рекомендует использовать Windows Information Protection (WIP) и ИНТЕРФЕЙСы API, поддерживающие WIP. Корпорация Майкрософт продолжит поддерживать WIP в поддерживаемых версиях Windows. Новые версии Windows не будут включать новые возможности для WIP, и они не будут поддерживаться в будущих версиях Windows. Дополнительные сведения см. в разделе Объявление о прекращении Information Protection Windows.

Для защиты данных корпорация Майкрософт рекомендует использовать Защита информации Microsoft Purview и Защита от потери данных Microsoft Purview. Purview упрощает настройку конфигурации и предоставляет расширенный набор возможностей.

Примечание.

Чтобы сделать Windows Information Protection функциональной, необходимо также настроить CSP AppLocker и параметры сетевой изоляции. Дополнительные сведения см. в статье Политики CSP и NetworkIsolation AppLocker в CSP политики.

Хотя Windows Information Protection не имеет жесткой зависимости от VPN, для достижения наилучших результатов необходимо сначала настроить профили VPN, прежде чем настраивать политики WIP. Рекомендации по VPN см. в статье VPNv2 CSP.

Дополнительные сведения о windows Information Protection см. в следующих статьях:

В следующем примере показан поставщик служб CSP EnterpriseDataProtection в формате дерева.

./Device/Vendor/MSFT
EnterpriseDataProtection
----Settings
--------EDPEnforcementLevel
--------EnterpriseProtectedDomainNames
--------AllowUserDecryption
--------DataRecoveryCertificate
--------RevokeOnUnenroll
--------RMSTemplateIDForEDP
--------AllowAzureRMSForEDP
--------EDPShowIcons
----Status

./Device/Vendor/MSFT/EnterpriseDataProtection Корневой узел для поставщика служб CSP.

Параметры Корневой узел для параметров конфигурации windows Information Protection (WIP).

Settings/EDPEnforcementLevel Задайте уровень принудительного применения WIP.

Примечание.

Установка этого значения недостаточно для включения Information Protection Windows на устройстве. Попытки изменить это значение завершатся ошибкой при выполнении очистки WIP.

В следующем списке показаны поддерживаемые значения:

  • 0 (по умолчанию) — выкл. или нет защиты (расшифровывает ранее защищенные данные).
  • 1 — автоматический режим (только шифрование и аудит).
  • 2 — разрешить режим переопределения (шифрование, запрос и разрешение переопределений и аудит).
  • 3 — скрывает переопределения (шифрование, запрос, но скрытие переопределений и аудит).

Поддерживаемые операции: Add, Get, Replace и Delete. Тип значения - целое число.

Settings/EnterpriseProtectedDomainNames Список доменов, используемых предприятием для удостоверений пользователей, разделенных каналами ("|"). Первым доменом в списке должен быть основной идентификатор предприятия, то есть домен, представляющий центр управления для Windows Information Protection. Удостоверения пользователей с одного из этих доменов считается учетной записью, управляемой предприятием, а данные, связанные с такой учетной записью, должны быть защищены. Например, домены для всех учетных записей электронной почты, принадлежащих предприятию, должны отображаться в этом списке. Попытки изменить это значение завершатся ошибкой при выполнении очистки WIP.

Изменение основного корпоративного идентификатора не поддерживается и может привести к непредвиденному поведению клиента.

Примечание.

Для клиента требуется, чтобы доменное имя было каноническим, в противном случае параметр будет отклонен клиентом.

Ниже приведены действия по созданию канонических доменных имен.

  1. Преобразование символов ASCII (только A–Z) в нижний регистр. Например, Microsoft.COM —> microsoft.com.
  2. Вызовите IdnToAscii с IDN_USE_STD3_ASCII_RULES в качестве флагов.
  3. Вызов idnToUnicode без установленных флагов (dwFlags = 0).

Поддерживаемые операции: Add, Get, Replace и Delete. Тип значения - строка.

Settings/AllowUserDecryption Позволяет пользователю расшифровывать файлы. Если задано значение 0 (не разрешено), пользователь не сможет удалить защиту корпоративного содержимого с помощью операционной системы или взаимодействия с приложением.

Важно.

Начиная с Windows 10 версии 1703 AllowUserDecryption больше не поддерживается.

В следующем списке показаны поддерживаемые значения:

  • 0 - не разрешено
  • 1 (по умолчанию) - разрешено.

Самое ограниченное значение — 0.

Поддерживаемые операции: Add, Get, Replace и Delete. Тип значения - целое число.

Settings/DataRecoveryCertificate Указывает сертификат восстановления, который можно использовать для восстановления данных зашифрованных файлов. Этот сертификат совпадает с сертификатом агента восстановления данных (DRA) для шифруемой файловой системы (EFS), который предоставляется только через управление мобильными устройствами (MDM) вместо групповая политика.

Примечание.

Если настроены эта политика и соответствующий параметр групповая политика, применяется параметр групповая политика.

Сведения о DRA из политики MDM должны быть сериализованными двоичными BLOB-объектами, идентичными ожидаемому от GP. Двоичный BLOB-объект представляет собой сериализованную версию следующей структуры:

//
//  Recovery Policy Data Structures
//

typedef struct _RECOVERY_POLICY_HEADER {
    USHORT      MajorRevision;
    USHORT      MinorRevision;
    ULONG       RecoveryKeyCount;
} RECOVERY_POLICY_HEADER, *PRECOVERY_POLICY_HEADER;

typedef struct _RECOVERY_POLICY_1_1    {
        RECOVERY_POLICY_HEADER  RecoveryPolicyHeader;
        RECOVERY_KEY_1_1        RecoveryKeyList[1];
}   RECOVERY_POLICY_1_1, *PRECOVERY_POLICY_1_1;

#define EFS_RECOVERY_POLICY_MAJOR_REVISION_1   (1)
#define EFS_RECOVERY_POLICY_MINOR_REVISION_0   (0)

#define EFS_RECOVERY_POLICY_MINOR_REVISION_1   (1)

///////////////////////////////////////////////////////////////////////////////
//                                                                            /
//  RECOVERY_KEY Data Structure                                               /
//                                                                            /
///////////////////////////////////////////////////////////////////////////////

//
// Current format of recovery data.
//

typedef struct _RECOVERY_KEY_1_1   {
        ULONG               TotalLength;
        EFS_PUBLIC_KEY_INFO PublicKeyInfo;
} RECOVERY_KEY_1_1, *PRECOVERY_KEY_1_1;


typedef struct _EFS_PUBLIC_KEY_INFO {

    //
    // The length of this entire structure, including string data
    // appended to the end. The length should be a multiple of 8 for
    // 64 bit alignment
    //

    ULONG Length;

    //
    // Sid of owner of the public key (regardless of format).
   // This field is to be treated as a hint only.
    //

    ULONG PossibleKeyOwner;

    //
    // Contains information describing how to interpret
    // the public key information
    //

    ULONG KeySourceTag;

    union {

        struct {

            //
            // The following fields contain offsets based at the
            // beginning of the structure.  Each offset is to
            // a NULL terminated WCHAR string.
            //

            ULONG ContainerName;
            ULONG ProviderName;

            //
            // The exported public key used to encrypt the FEK.
            // This field contains an offset from the beginning of the
            // structure.
            //

            ULONG PublicKeyBlob;

            //
            // Length of the PublicKeyBlob in bytes
            //

            ULONG PublicKeyBlobLength;

        } ContainerInfo;

        struct {

            ULONG CertificateLength;       // in bytes
            ULONG Certificate;             // offset from start of structure

        } CertificateInfo;


        struct {

            ULONG ThumbprintLength;        // in bytes
            ULONG CertHashData;            // offset from start of structure

        } CertificateThumbprint;
    };



} EFS_PUBLIC_KEY_INFO, *PEFS_PUBLIC_KEY_INFO;

//
// Possible KeyTag values
//

typedef enum _PUBLIC_KEY_SOURCE_TAG {
    EfsCryptoAPIContainer = 1,
    EfsCertificate,
    EfsCertificateThumbprint
} PUBLIC_KEY_SOURCE_TAG, *PPUBLIC_KEY_SOURCE_TAG;

Для EFSCertificate KeyTag это должен быть двоичный сертификат DER ENCODED.

Поддерживаемые операции: Add, Get, Replace и Delete. Тип значения — сертификат в кодировке Base-64.

Settings/RevokeOnUnenroll Эта политика определяет, следует ли отзывать ключи windows Information Protection при отмене регистрации устройства в службе управления. Если задано значение 0 (не отменять ключи), ключи не будут отозваны, и пользователь будет по-прежнему иметь доступ к защищенным файлам после отмены регистрации. Если ключи не отозваны, очистка отозванных файлов не будет выполняться позже. Перед отправкой команды отмены регистрации, если требуется, чтобы устройство делало выборочную очистку при отмене регистрации, следует явно задать для этой политики значение 1.

В следующем списке показаны поддерживаемые значения:

  • 0 — не отзывать ключи.
  • 1 (по умолчанию) — отзыв ключей.

Поддерживаемые операции: Add, Get, Replace и Delete. Тип значения - целое число.

Settings/RevokeOnMDMHandoff Добавлено в Windows 10 версии 1703. Эта политика определяет, следует ли отзывать ключи windows Information Protection при обновлении устройства с управления мобильными приложениями (MAM) до MDM. Если задано значение 0 (не отменять ключи), ключи не будут отозваны и пользователь будет по-прежнему иметь доступ к защищенным файлам после обновления. Этот параметр рекомендуется использовать, если служба MDM настроена с тем же WIP EnterpriseID, что и служба MAM.

  • 0 — не отзывать ключи.
  • 1 (по умолчанию) — отзыв ключей.

Поддерживаемые операции: Add, Get, Replace и Delete. Тип значения - целое число.

Settings/RMSTemplateIDForEDP Идентификатор GUID TemplateID, используемый для шифрования службы Управления правами (RMS). Шаблон RMS позволяет ИТ-администратору настроить сведения о том, кто имеет доступ к защищенному RMS файлу и как долго у них есть доступ.

Поддерживаемые операции: Add, Get, Replace и Delete. Тип значения — строка (GUID).

Settings/AllowAzureRMSForEDP Указывает, следует ли разрешить шифрование Azure RMS для Windows Information Protection.

  • 0 (по умолчанию) — не используйте RMS.
  • 1 — используйте RMS.

Поддерживаемые операции: Add, Get, Replace и Delete. Тип значения - целое число.

Settings/SMBAutoEncryptedFileExtensions Добавлено в Windows 10 версии 1703. Задает список расширений файлов, чтобы файлы с этими расширениями шифрулись при копировании из общей папки SMB в пределах корпоративной границы, как определено в узлах CSP политики для NetworkIsolation/EnterpriseIPRange и NetworkIsolation/EnterpriseNetworkDomainNames. Используйте точку с запятой (;) разделитель в списке. Если эта политика не указана, применяется существующее поведение автоматического шифрования. Если эта политика настроена, шифруются только файлы с расширениями в списке. Поддерживаемые операции: Add, Get, Replace и Delete. Тип значения - строка.

Параметры/EDPShowIcons Определяет, добавляются ли наложения на значки для защищенных WIP файлов в Обозреватель и плитки только корпоративных приложений в меню Пуск. Начиная с Windows 10 версии 1703 этот параметр также настраивает видимость значка Windows Information Protection в строке заголовка приложения, защищенного WIP. В следующем списке показаны поддерживаемые значения:

  • 0 (по умолчанию) — нет наложений WIP на значки или плитки.
  • 1. Отображение наложений WIP на защищенных файлах и приложениях, которые могут создавать только корпоративное содержимое.

Поддерживаемые операции: Add, Get, Replace и Delete. Тип значения - целое число.

Статус Битовая маска только для чтения, указывающая текущее состояние windows Information Protection на устройстве. Служба MDM может использовать это значение для определения текущего общего состояния WIP. WIP включен (бит 0 = 1), если настроены обязательные политики WIP и параметры WIP AppLocker.

Предлагаемые значения:

Зарезервировано для использования в будущем Обязательные параметры WIP
Set = 1
Не задано = 0		 Зарезервировано для использования в будущем Настройка AppLocker
Да = 1
Нет = 0		 WIP в = 1
WiP off = 0
4 3 2 1 0

Бит 0 указывает, включен или выключен WIP.

Бит 1 указывает, заданы ли политики WIP AppLocker.

Бит 3 указывает, настроены ли обязательные политики Information Protection Windows. Если одна или несколько обязательных политик WIP не настроены, бит 3 имеет значение 0 (ноль).

Ниже приведен список обязательных политик WIP:

  • EDPEnforcementLevel в CSP EnterpriseDataProtection
  • DataRecoveryCertificate в поставщике CSP EnterpriseDataProtection
  • EnterpriseProtectedDomainNames в поставщике CSP EnterpriseDataProtection
  • NetworkIsolation/EnterpriseIPRange в CSP политики
  • NetworkIsolation/EnterpriseNetworkDomainNames в CSP политики

Биты 2 и 4 зарезервированы для использования в будущем.

Поддерживаемая операция — Get. Тип значения - целое число.

Справочник по поставщикам служб конфигурации