Защита корпоративных данных с помощью Windows Information Protection (WIP)

Область применения:

  • Windows10, версия 1607 и более поздние версии
  • Windows10 Mobile, версия 1607 и более поздние версии

Дополнительные сведения о том, какие компоненты и функции поддерживаются в каждом выпуске Windows, см. в разделе Сравнение выпусков Windows 10.

По мере того как сотрудники все чаще используют на работе собственные устройства, растет и риск случайной утечки данных через приложения и службы, не контролируемые организациями, например приложения для работы с электронной почтой и социальными сетями, а также общедоступные облака. Сюда относятся случаи, когда сотрудник отправляет изображения с техническими данными со своей личной электронной почты, копирует и вставляет информацию о продукции в твит или сохраняет рабочий отчет по продажам в своем хранилище в общедоступном облаке.

Windows Information Protection (WIP), ранее известная как защита корпоративных данных (EDP), позволяет предотвратить возможную потерю данных, не влияя на работу сотрудников. WIP также помогает защитить корпоративные приложения и данные от случайной потери на принадлежащих компании и личных устройствах, которые сотрудники приносят с собой на работу, и при этом не требует вносить изменения в среду или другие приложения. Наконец, другая технология защиты данных, управление правами Azure, также может использоваться совместно с WIP. Она позволяет улучшить безопасность данных, покидающих устройство, например при отправке почтовых вложений с помощью корпоративной версии почтового клиента, поддерживающего управление правами.

Важно!

В то время как НЗП может прекратить случайную утечку данных от честных сотрудников, она не предназначена для того, чтобы не допустить удаление корпоративных данных от вредоносных участников. Дополнительные сведения о преимуществах, предоставляемых НЗП, читайте в статье Зачем использовать НЗП? далее в этом разделе.

Видео: Защита корпоративных данных от случайного копирования в неправильное место

Необходимые условия

Для запуска WIP в вашей организации вам необходимо следующее программное обеспечение.

Операционная система Решение для управления
Windows10, версия 1607 или более поздняя Microsoft Intune

-ИЛИ-

System Center Configuration Manager

-ИЛИ-

Ваше текущее корпоративное решение для управления мобильными устройствами (MDM) от стороннего поставщика. Подробные сведения о сторонних решениях MDM см. в документации, поставляемой вместе с продуктом. Если стороннее решение MDM не поддерживает пользовательский интерфейс для политик, см. статью Поставщик служб конфигурации EnterpriseDataProtection.

Что такое контроль корпоративных данных?

Для эффективной совместной работы необходимо обмениваться данными с другими сотрудниками предприятия. Существует две крайних модели обмена. Первая предполагает всеобщий доступ ко всем данным без какой-либо защиты, а вторая— абсолютный запрет обмена данными между пользователями и максимальную степень защиты. Большинство предприятий используют нечто среднее между этими двумя крайностями, при этом эффективность работы зависит от равновесия между предоставлением необходимого доступа и риском непреднамеренного раскрытия данных.

Как администратор вы можете определять круг пользователей, получающих доступ к данным, с помощью элементов управления доступом, таких как учетные данные сотрудников. Однако предоставление права доступа к данным не гарантирует того, что они останутся в пределах системы безопасности предприятия. Это значит, что элементы управления доступом, несмотря на их эффективность,— лишь начальный этап.

В конечном счете, все эти меры безопасности схожи в одном: при малейшем неудобстве сотрудники начнут искать пути обхода ограничений системы безопасности. Например, если запретить сотрудникам обмениваться файлами через защищенную систему, они будут использовать внешнее приложение, которое наверняка лишено элементов управления безопасностью.

Использование систем защиты от потери данных

Чтобы помочь решить эту инсуффиЦиенци безопасности, компании разработали системы защиты от потери данных (также называемые системами DLP). Требования систем защиты от потери данных:

  • Набор правил определения и категоризации данных, требующих защиты. Например, набор правил может содержать правила, определяющие номера кредитных карт или карт социального страхования.

  • Возможность проверки данных компании на предмет соответствия заданным правилам. На данный момент в Microsoft Exchange Server и Exchange Online эта служба доступна для передаваемой электронной почты, в то время как в Microsoft SharePoint и SharePoint Online эта служба доступна для содержимого библиотек документов.

  • Возможность указывать действия над данными, соответствующими условиям правила, включая предоставление сотрудникам возможности обхода применения правила. Например, в Microsoft SharePoint и SharePoint Online система защиты от потери данных Майкрософт позволяет предупреждать сотрудников о содержании конфиденциальных сведений в передаваемых данных и предоставлять им возможность поделиться этими данными вопреки предупреждению (с необязательной записью в журнале аудита).

К сожалению, системы защиты от потери данных не идеальны. Например, чем подробнее набор правил, тем больше ложных срабатываний, в результате чего сотрудники будут считать, что правила замедляют работу и их нужно обходить для сохранения производительности. Такой подход может привести к неверной блокировке или выпуску данных. Еще одна серьезная проблема состоит в необходимости масштабного внедрения систем защиты от потери данных для их эффективной работы. Например, если компания использует систему защиты от потери данных для электронной почты, но не для файловых ресурсов или хранилища документов, могут возникнуть утечки данных по незащищенным каналам. Но, возможно, главный недостаток систем защиты от потери данных состоит в том, что они мешают естественному ходу работы сотрудников, останавливая одни операции (например, отправку сообщения с вложением, которое система помечает как конфиденциальное) и разрешая другие. Все это часто происходит по сложным правилам, которые неизвестны и непонятны сотрудникам.

Использование систем управления правами на доступ к данным

Для решения возможных проблем с системами защиты от потери данных компании разработали системы управления правами на доступ к данным (IRM). Системы управления правами на доступ к данным встраивают средства защиты в сами документы, то есть при создании документа сотрудник определяет тип применяемой защиты. Например, сотрудник может запретить переадресацию и печать документа, предоставление к нему общего доступа за пределами организации и так далее.

После выбора типа защиты создающее приложение зашифровывает документ, чтобы его могли открывать только авторизованные пользователи и только в совместимых приложениях. После того как сотрудник откроет документ, приложение отвечает за реализацию указанных средств защиты. Средства защиты перемещаются вместе с документом, поэтому если авторизованный пользователь отправит его неавторизованному, последний не сможет прочесть или изменить документ. Но для эффективной работы систем управления правами на доступ к данным требуется развернуть и настроить как серверную, так и клиентскую среду. А поскольку с защищенными документами могут работать только совместимые клиенты, ход работы сотрудника может неожиданно прерваться, если он попробует воспользоваться несовместимым приложением.

А что произойдет, если сотрудник покинет компанию или отменит регистрацию устройства?

Наконец, существует риск утечки данных из компании, когда сотрудник оставляет устройство без присмотра или отменяет его регистрацию. Раньше можно было просто очистить все корпоративные данные с устройства, в том числе и любые находящиеся на нем персональные данные.

Преимущества WIP

WIP предоставляет следующие возможности.

  • Очевидное разделение между персональными и корпоративными данными без необходимости переключения сотрудниками сред или приложений.

  • Дополнительная защита данных в существующих бизнес-приложениях без необходимости обновления приложений.

  • Возможность стирать корпоративные данные с устройств, зарегистрированные в Intune, сохраняя при этом личные данные.

  • Использование отчета об аудитах для отслеживания проблем и принятия корректирующих действий.

  • Интеграция с текущей системой управления (Microsoft Intune, System Center Configuration Manager или текущей системой управления мобильными устройствами (MDM)) для настройки, развертывания и управления WIP в вашей компании.

Зачем использовать WIP?

НЗП — это механизм управления мобильными приложениями (MAM) в Windows 10. НЗП предоставляет новый способ управления применением политики данных для приложений и документов в операционных системах Windows 10, а также возможность удаления доступа к корпоративным данным на компьютерах с корпоративными и персональных устройствами (после регистрации на предприятии). решение для управления, например Intune.

  • Изменение представления о применении политики данных. В качестве корпоративного администратора вам необходимо поддерживать соответствие вашей политики данных и доступа к данным нормативным требованиям. WIP помогает защитить предприятие на устройствах предприятий и сотрудников, а также в том случае, если сотрудник не использует это устройство. Когда сотрудник создает какие-либо материалы с помощью защищенного на корпоративном уровне устройства, он может сохранить эти материалы в виде рабочего документа. Если это рабочий документ, он становится локально защищенным и ему присваивается статус корпоративного.

  • Управление корпоративными документами, приложениями и режимами шифрования.

    • Копирование или загрузка корпоративных данных. Когда сотрудник или приложение загружает материалы из такого расположения, как SharePoint, сетевая папка или корпоративное интернет-расположение, с помощью устройства, защищенного с использованием WIP, WIP шифрует данные на этом устройстве.

    • Использование защищенных приложений. Управляемые приложения (приложения, которые вы включили в список защищенных приложений в вашей политике НЗП) могут получить доступ к корпоративным данным, и они будут работать по-разному при использовании с неразрешенными, некорпоративными и личными приложениями. Например, если уровень управления WIP определен как Блокировка, ваши сотрудники могут копировать и вставлять содержимое из одного защищенного приложения в другое защищенное приложение, но не в личные приложения. Предположим, сотрудник отдела кадров хочет скопировать должностные обязанности из защищенного приложения на внутренний веб-сайт для поиска работы, в расположение с защищенными корпоративными данными, но ошибается и пытается вставить их в свое личное приложение. Операция вставки завершится ошибкой, и будет выведено уведомление с описанием того, что приложению не удалось выполнить вставку из-за ограничений, наложенных политикой. После этого сотрудник без каких-либо проблем корректно выполняет вставку информации на веб-сайт для поиска работы.

    • Управляемые приложения и ограничения. WIP помогает контролировать, какие приложения могут получать доступ и использовать корпоративные данные. После добавления приложения в список защищенных, оно может использоваться для работы с корпоративными данными. В зависимости от установленного режима управления WIP, всем приложениям, отсутствующим в этом списке, запрещается доступ к корпоративным данным.

      Вам не нужно изменять бизнес-приложения, которые никогда не покасайтесь на личные данные, чтобы их можно было использовать в качестве защищенных приложений. просто включите их в список защищенных приложений.

    • Определение уровня доступа к данным. WIP позволяет блокировать, разрешать переопределения или проводить аудит действий сотрудников по предоставлению доступа к данным. Если скрыть переопределения, действие немедленно останавливается. Разрешение переопределений позволяет сотруднику узнать о наличии риска, однако дает ему возможность продолжить предоставления общего доступа к данным, при этом записывая и выполняя аудит действий. Без предупреждения просто заносится в журнал, не останавливая все, что сотрудник мог переопределяться при использовании этого параметра; сбор сведений, которые помогут вам просмотреть шаблоны нежелательного общего доступа, чтобы вы могли принимать преподаватели и находить приложения, которые нужно добавить в список защищенных приложений. Сведения о том, как собирать файлы журнала аудита, вы найдете в статье Как собирать журналы событий аудита Windows Information Protection (WIP).

    • Шифрование данных. WIP помогает защитить корпоративные данные в локальных файлах и на съемных носителях.

      Такие приложения, как Microsoft Word, поддерживают работу с WIP, чтобы обеспечить защиту данных в локальных файлах и на съемных носителях. Такие приложения называются корпоративными. Например, если пользователь открывает материалы Word, зашифрованные с помощью WIP, изменяет их содержимое, а затем пытается сохранить измененную версию под другим именем, Word автоматически обрабатывает новый документ посредством WIP, обеспечивая его шифрования.

    • Предотвращение случайного раскрытия данных на общедоступных ресурсах. WIP позволяет защитить ваши корпоративные данные от случайного раскрытия на общедоступных ресурсах, таких как хранилище в общедоступном облаке. Например, если Dropbox™ отсутствует в списке защищенных приложений, сотрудники не смогут синхронизировать зашифрованные файлы со своим личным облачным хранилищем. Вместо этого, если сотрудник сохраняет содержимое приложения из списка защищенных приложений, например Microsoft OneDrive для бизнеса, зашифрованные файлы могут свободно синхронизироваться с корпоративным облаком. При этом выполняется их локальное шифрование.

    • Предотвращение случайного раскрытия данных на съемных носителях. WIP помогает предотвратить утечку корпоративных данных при их копировании или переносе на съемный носитель. Например, если сотрудник помещает корпоративные данные на накопитель USB, где также хранятся личные данные, корпоративные данные остаются зашифрованные, тогда как личные данные – нет.

  • Отзыв доступа к данным компании с устройств, защищенных на корпоративном уровне. WIP предоставляет администраторам возможность отзывать корпоративные данные с одного или нескольких устройств, зарегистрированных в MDM, не трогая при этом личные данные. Это становится преимуществом, если сотрудник покидает компанию или если его устройство украден. После определения необходимости удаления доступа к данным, можно использовать Microsoft Intune для отмены регистрации устройства, чтобы при его следующем подключении к сети ключ шифрования пользователя для этого устройства был отозван и корпоративные данные стали бы нечитаемыми.

    Примечание

    При управлении устройствами Surface рекомендуется использовать System Center Configuration Manager версии Current Branch.
    System Center Configuration Manager также позволяет отзывать корпоративные данные. Однако эта операция выполняется путем сброса устройства до заводских настроек.

Как работает WIP

WIP позволяет преодолевать ежедневные трудности, возникающие в организации. К ним относятся:

  • предотвращение потери корпоративных данных даже на устройствах, принадлежащих сотрудникам, которые невозможно заблокировать;

  • снижение недовольства сотрудников, вызванного ограничениями политик управления данными на принадлежащих компании устройствах;

  • сохранение прав собственности и контроль за корпоративными данными;

  • помощь в управлении сетью и доступом к данным, а также обмен данными с приложениями, которые не являются корпоративными.

Корпоративные сценарии

В настоящее время WIP позволяет использовать следующие корпоративные сценарии.

  • Вы можете шифровать корпоративные данные на собственных устройствах сотрудников и корпоративных устройствах.

  • Вы можете удаленно стирать корпоративные данные с управляемых компьютеров, включая собственные компьютеры сотрудников, без воздействия на личные данные.

  • Вы можете защитить определенные приложения, которые могут получать доступ к корпоративным данным, которые четко распознаются сотрудниками. Вы также можете запрещать незащищенным приложениям доступ к корпоративным данным.

  • Работа ваших сотрудников не будет прерываться при переключении между личными и корпоративными приложениями, если при этом действуют корпоративные политики. Переключения сред или многократного входа не потребуется.

Режимы защиты WIP

Корпоративные данные автоматически зашифровываются, после того как они загружены на устройство из корпоративного источника или помечены сотрудником как корпоративные. Затем при записи корпоративных данных на диск WIP использует шифрованную файловую систему (EFS) Windows, чтобы защитить их и связать с вашим корпоративным удостоверением.

Политика НЗП включает список доверенных приложений, защищенных для доступа к корпоративным данным и их обработки. Этот список приложений реализуется через функцию AppLocker. Он позволяет определять, каким приложениям разрешено запускаться, и сообщает операционной системе Windows о возможности изменения корпоративных данных приложениями. Приложения в этом списке не требуют изменений для доступа к корпоративным данным, так как Windows определяет возможность предоставления им доступа в зависимости от их наличия в списке. Однако в Windows 10 появилась новая функция: разработчики приложений могут использовать новый набор программных интерфейсов (API) для создания грамотных приложений, которые могут использовать и изменять как корпоративные, так и персональные данные. Колоссальное преимущество грамотных приложений состоит в том, что при использовании приложений двойного назначения, например Microsoft Word, можно не опасаться ошибочного шифрования персональных данных, так как эти API позволяют приложению определять принадлежность данных компании или лично пользователю.

Примечание

Сведения о том, как собирать файлы журнала аудита, вы найдете в статье Как собирать журналы событий аудита Windows Information Protection (WIP).

Вы можете настроить политику WIP на использование от 1 до 4 режимов защиты и управления.

Режим Описание
Блокирование WIP обнаруживает случаи недопустимого предоставления доступа к данным и запрещает сотруднику выполнить действие. Сюда может относиться предоставление общего доступа к корпоративным данным в приложениях, которые не защищены на корпоративном уровне, (в дополнение к совместному использованию таких данных в различных приложениях), а также попытки предоставить доступ к данным вне сети вашей организации.
Разрешить переопределения WIP обнаруживает случаи недопустимого предоставления доступа к данным и предупреждает сотрудника о том, что он собирается выполнить потенциально небезопасное действие. Тем не менее в этом режиме управления сотрудник может переопределить политику и предоставить доступ к данным. При этом сведения о его действии будут внесены в журнал аудита.
Автоматически WIP работает в автоматическом режиме, занося в журнал сведения о недопустимом предоставлении доступа к данным, но не останавливает никакие действия, предупреждения о которых пользователь увидел бы в режиме "Разрешить переопределения". Неразрешенные действия, например несанкционированные попытки приложений получить доступ к сетевым ресурсам или данным, защищенным с помощью WIP, останавливаются.
Отключено Средство WIP отключено. Оно не защищает данные и не производит их аудит.

После отключения WIP будет выполнена попытка расшифровать все файлы с тегами WIP на локально подключенных дисках. Имейте в виду, что введенные ранее сведения о расшифровке и политике не применяются повторно автоматически, если вы снова включите защиту WIP.

Отключение WIP

Можно выключить все средства защиты Windows Information Protection и ограничения. В этом случае все устройства, управляемые WIP, будут расшифрованы, система вернется к состоянию до включения WIP без потери данных. Однако делать это не рекомендуется. Если вы решили отключить WIP, эту функцию всегда можно включить обратно, однако сведения о расшифровке и политике не будут автоматически применяться повторно.

Следующие этапы

После принятия решения об использовании WIP на своем предприятии вам потребуется следующее:

Примечание

Отправляйте нам правки, добавления и отзывы, чтобы помочь улучшить этот раздел. Сведения о том, как вносить изменения в эту статью, можно найти в статье изменение документации для Windows IT Professional.