Потребности в защите и безопасности данных развиваются, особенно в связи с удаленной работой, ростом числа рядовых сотрудников, быстрым внедрением BYOD и рабочей культурой без периметра. Ноутбуки и настольные компьютеры с ОС Windows пользуются огромной популярностью как на предприятиях, так и в личных целях.
Безопасность корпоративных данных на персональных компьютерах (компьютерах и ноутбуках с Windows, принадлежащих сотрудникам) находится под угрозой, когда эти устройства работают за пределами корпоративных сетей и инфраструктуры.
Именно здесь политика защиты информации Microsoft Windows играет важную роль в обеспечении безопасности корпоративных данных.
В этой статье мы подробно рассмотрим Windows Information Protection — WIP для защиты корпоративных данных.
Что такое защита информации Microsoft Windows (WIP)?
Windows Information Protection — это набор политик, которые помогают организациям и их последующим ИТ-командам защищать корпоративные данные на устройствах, принадлежащих преимущественно сотрудникам, не ухудшая при этом общее удобство работы пользователей, что является основной причиной интенсивного внедрения Windows в корпоративной среде.
Microsoft Windows Information Protection (WIP), ранее называвшаяся Enterprise Data Protection (EDP), была представлена вместе с юбилейным обновлением Windows 10 с целью поддержки и дополнения Windows 10 современное управление.
Когда мы определяем значение Windows Information Protection или WIP, оно чаще всего связано с настольными компьютерами и ноутбуками Windows, принадлежащими сотрудникам.
Но важно понимать, что Windows — это операционная система, не зависящая от владельца, а это означает, что Windows Information Protection (WIP) также может использоваться для безопасность корпоративных данных на полностью управляемых корпоративных устройствах.
Зачем использовать WIP — защиту информации Windows?
Количество персональных устройств Windows, используемых в бизнесе, растет в геометрической прогрессии. В то время как некоторые организации полностью полагаются на то, что сотрудники используют свои личные устройства для работы, многие допускают и зависят от частичного использования устройств сотрудников — это может быть выполнение задачи на выходных, устранение чрезвычайной ситуации или работа удаленно.
Растущее распространение принадлежащих сотрудникам устройств на рабочих местах (локальных или удаленных) привело к дополнительным опасениям по поводу безопасности корпоративных данных.
Растущий риск случайной утечки данных через один из многих веб-сайтов или приложений, к которым сотрудники получают доступ на своих персональных компьютерах, является основной причиной, по которой предприятиям необходимо незавершенное производство.
Кроме того, защищает корпоративные данные от преднамеренного взлома попытки сотрудников при доступе к корпоративным данным на устройстве, где у них также есть доступ к социальным сетям, совместному использованию и общедоступному облачному хранилищу.
Преимущество политики WIP заключается в том, что она не дублирует и не пересекается с пользовательским интерфейсом компьютера. В отличие от полностью управляемого устройства, управляемого с помощью управление мобильностью предприятия Инструмент, с помощью которого ИТ-администраторы блокируют/ограничивают доступ к некоммерческим и неавторизованным приложениям, политика защиты информации Windows работает синхронно с контролем и конфиденциальностью сотрудников на их личных устройствах.
Каковы преимущества защиты информации Windows (WIP)?
- Защита корпоративных данных на устройствах сотрудников
- Обеспечение отсутствия изменений в существующей корпоративной среде и приложениях.
- Упростите исходный пользовательский интерфейс Windows
Защита корпоративных данных с помощью Windows Information Protection (WIP)
Основная идея WIP — не только защитить корпоративные данные на устройствах сотрудников, но также разделить корпоративные и личные данные на устройствах сотрудников и выборочно применять политики защиты данных для корпоративных данных.
Это гарантирует, что, хотя корпоративные данные защищены и поддерживают уровень безопасности предприятия, личные данные сотрудников не будут затронуты.
Давайте посмотрим, как влияет WIP:
Корпоративные данные
WIP добавляет корпоративный тег или идентификатор к корпоративным данным на устройствах сотрудников и автоматически шифрует данные при их загрузке, сохранении или получении из заранее определенных корпоративных источников.
К этим источникам относятся корпоративные приложения, корпоративные сети и защищенные корпоративные домены. Любые данные, поступающие из этих источников, шифруются с использованием WIP.
ИТ-администраторы могут определить политику WIP и предотвратить копирование корпоративные данные и вставить его в личные приложения/данные. Доступ к файлам корпоративных данных возможен только через защищенные приложения и недоступен из незащищенных приложений.
Личные данные
Персональные данные сотрудника остаются неизменными и незатронутыми применением политики Windows Information Protection (WIP).
Когда организации отключают политику WIP на вышедших из эксплуатации устройствах или устройствах сотрудников, которые больше не связаны с организацией, личные данные остаются без изменений.
Даже если на этих устройствах с помощью MDM выполняется удаленное удаление данных, личные данные остаются нетронутыми. Это один из главных плюсов WIP.
Просвещенные приложения против непросвещенных приложений
Нам необходимо понимать два основных типа приложений и их терминологию, используемую в соответствии с Windows Information Protection. В отношении WIP часто упоминаются два типа приложений: просвещенные приложения и непросвещенные приложения.
Просвещенные приложения:
Это приложения, которые могут различать корпоративные и личные данные. Приложения Microsoft Office 365 ProPlus, такие как MS Word, MS Excel, MS PowerPoint, MS OneNote и MSOutlook, являются усовершенствованными приложениями.
Непросвещенные приложения:
Это приложения, которые не могут отличить корпоративные данные от личных данных. Распространенными примерами непросвещенных приложений являются Gmail и Google. браузер Chrome.
Пока ИТ-администраторы создают политику WIP, они выбирают непросвещенные приложения в качестве разрешенных, и через эти приложения можно получить доступ к корпоративным данным. Непросвещенные приложения рассматривают все данные на устройстве как корпоративные и шифруют их.
Сюда также входят персональные данные сотрудника. Политика Windows Information Protection (WIP) гарантирует, что когда для бизнес-операций требуется непросвещенное приложение, данные всегда шифруются.
Рекомендуется разрешить только просвещенные приложения, а настройки WIP гарантируют, что шифруются только корпоративные данные. Это решает общую проблему, связанную с защитой информации клиента в Windows 10 или защитой конфиденциальной информации в Windows.
Управляемые приложения:
Это приложения, работающие на устройствах в корпоративном контексте. Это не персональные приложения, включенные сотрудником, и их должны разрешить ИТ-администраторы. Эти приложения также известны как корпоративные приложения или корпоративные приложения.
Вариант использования защиты информации Windows
Наиболее распространенным вариантом использования Windows Information Protection является BYOD-устройства. Например, пользователь имеет доступ к нескольким корпоративным документам и изображениям.
На том же компьютере он/она может загрузить корпоративный документ в свое личное облачное хранилище или поделиться им в социальных сетях без Windows Information Protection (WIP).
Или сотрудники могут поделиться любой конфиденциальной деловой информацией по своей личной электронной почте, привлекая злоумышленников к данным. Аналогичным образом пользователи могут открыть личный файл с помощью корпоративного приложения.
Настройка WIP для устройств Windows 10 с помощью Scalefusion MDM
В этом разделе мы узнаем, как шаг за шагом настроить WIP на Scalefusion. Windows 10 МДМ. но давайте начнем с требований Windows Information Protection.
Предварительные требования для защиты информации Windows (WIP)
- Windows 10 версии 1607 и новее
- Windows 10 Mobile версии 1607 и более поздних версий.
- Решение Scalefusion MDM для настройки WIP
Пошаговое руководство по настройке WIP
Шаг 1. Начните работу с Scalefusion
Чтобы включить WIP на устройствах с Windows 10, регистрация и вход на платформу Scalefusion MDM. Вы можете использовать свой корпоративный идентификатор для регистрации или зарегистрироваться, используя учетные данные Azure AD, чтобы дополнительно использовать параметры присоединения к Azure AD.
Регистрация с помощью Azure AD, а также помощь в беспрепятственном добавлении пользователей на панель мониторинга MDM и отправке им приглашения в зачислять свои BYO-устройства в управление.
После регистрации устройств на платформе MDM вы можете приступить к настройке политик использования устройств с Windows 10 для работы.
Шаг 2. Определение профиля/политики устройства
Перейдите в раздел «Управление устройствами» на панели управления. Создайте профиль или отредактируйте существующий профиль устройства, который будет применяться к личным компьютерам. Включает приложения и сайты из белого списка доступ к ним на устройстве.
Шаг 3. Создайте политику защиты информации Windows (WIP)
В разделе настроек вы можете активировать Защиту информации Windows. Если вы пропустите настройки, вы не сможете применить их на устройствах BYOD. Давайте посмотрим на подробные настройки, доступные для включения режима WIP.
- Базовые настройки
Настройка этих параметров является обязательной.
1.1 Вы можете выбрать уровень защиты режима защиты информации Windows.
- Если вы отключите эту функцию, копирование данных будет разрешено между управляемыми и неуправляемыми приложениями.
- В настройке «Разрешить и регистрировать действия» действия копирования регистрируются. Эти данные можно получить из журналов аудита WIP.
- В настройке «Разрешить переопределение и регистрацию действий» пользователям просто отображается предупреждение при копировании данных, и пользователь может переопределить настройки.
- Для полной защиты корпоративных данных рекомендуется выбрать настройку блокировки, которая предотвращает любое копирование данных между защищенными и незащищенными приложениями.
1.2 Определите фирменный стиль, который является основным доменом — данные, передаваемые из этого домена, всегда будут зашифрованы с помощью шифрованной файловой системы (EFS), предоставляемой Windows.
1.3 Вы можете скрыть или отобразить значок портфеля незавершенного производства, который будет отображаться в защищенных приложениях и файлах данных. Если сотрудникам нужно знать, как проверить, включена ли защита информации Windows для определенного файла или приложения, они могут проверить значок портфеля в правом верхнем углу.
1.4 Включение этого параметра сделает файлы корпоративных данных доступными для чтения, когда IP-адрес отключен на устройствах или устройства больше не зарегистрированы в Scalefusion MDM.
- Целевые настройки приложения:
Это также обязательные настройки.
2.1 Здесь выберите приложения UWP или Win32, которым разрешен доступ к корпоративным данным. Выберите данные, от которых приложения защищены, а какие освобождены. Вам необходимо выбрать хотя бы одно приложение. Например, если вы хотите включить WIP для браузера Chrome, вы можете выбрать браузер Chrome из списка приложений.
2.2. Если вы выберете параметр защиты для любого приложения, оно сможет получить доступ к корпоративным данным, соблюдая политики автоматического шифрования/маркировки. Передаваемые данные из этих приложений и файлы, загруженные из этих приложений, будут зашифрованы на диске.
2.3 Опция освобождения подходит для приложений, которые несовместимы с WIP, но все же нуждаются в доступе к корпоративным данным. Если вы выберете этот вариант, приложение получит доступ к корпоративным данным, но данные не будут зашифрованы и могут привести к утечке.
Мы рекомендуем защищать все приложения для безопасности корпоративных данных. Если какое-либо из приложений не может обрабатывать файлы корпоративных данных, мы рекомендуем выбрать освобожденные настройки вместо очистки.
- Расширенные настройки: Общие
3.1 Список корпоративных прокси-серверов является авторитетным (не выполнять автоматическое обнаружение): если вы включите этот параметр, пользователи смогут переопределить автоматическое обнаружение прокси-серверов Windows.
3.2 Список корпоративных диапазонов IP-адресов является авторитетным (не выполнять автоматическое определение: после включения этого параметра пользователи могут переопределить автоматическое определение диапазонов IP-адресов Windows).
3.3 Зашифрованные расширения файлов: Определите расширения файлов, которые всегда должны шифроваться. Если расширения файлов не определены, будет включено автоматическое шифрование. Вы можете добавить несколько типов расширений файлов, используя запятую.
Например, если вам не нужно шифровать какой-либо тип видеофайла на устройстве, он всегда будет освобожден от шифрования.
3.4 Защищенные доменные имена: выберите и добавьте список доменов, отличных от вашего основного домена, для которых шифрование будет автоматизировано. Это могут быть ваши домены электронной почты и т. д. Вы можете добавить несколько доменов, разделенных символом трубы.
- Расширенные настройки: периметр сети
Выберите, где защищенные приложения смогут получить доступ к корпоративным данным. Выберите расположение корпоративной сети, добавьте сетевые источники для шифрования. Для удаленно работающих сотрудников рекомендуется указать все сетевые источники. Windows Information Protection блокирует интернет-соединения, которые невозможно идентифицировать, от доступа к корпоративным данным через эти настройки.
4.1 Корпоративные облачные ресурсы: выберите облачные ресурсы, которые следует считать защищенными.
4.2 Защищенные домены предприятия: выберите DNS-имена, образующие вашу корпоративную сеть. Это поможет определить периметр сети и диапазоны IP-адресов.
4.3 Диапазоны IP-адресов предприятия. Добавьте диапазоны IP-адресов для сети предприятия. Вы можете добавить несколько значений.
4.4 Внутренние прокси-серверы. Укажите прокси-сервер, через который будет маршрутизироваться трафик в корпоративное облако.
4.5 Внешние прокси-серверы: добавьте список ваших внешних прокси-серверов, через которые будет разрешен и защищен трафик.
4.6 Нейтральные источники. Добавьте аутентифицированные конечные точки перенаправления для вашего предприятия.
Шаг 4. Обновите профиль
Сохраните настройки профиля и примените их к устройству. Все устройства с этой политикой теперь будут включены с этими настройками для WIP. Вы можете применить профиль к устройству или группе устройств.
Если вы хотите узнать, как проверить состояние защиты информации Windows, вы можете просто посетить профиль на панели управления Scalefusion и посмотреть, в каких профилях он включен.
Ограничения защиты информации Windows (WIP)
Прежде чем настраивать параметры на уровне предприятия, важно взвесить все «за» и «против» технологии Windows Information Protection (WIP). Хотя WIP является одной из ключевых функций безопасности данных, предлагаемых Windows 10, у WIP есть несколько ограничений, таких как:
- После определения основной фирменный стиль не может быть изменен.
- Корпоративные данные на USB-накопителях, возможно, потребуется привязать к защищенным устройствам на основе конфигурации клиента Azure Information Protection для Windows (Azure RMS) для шифрования.
- Прямой доступ несовместим с WIP
- Параметр групповой политики NetworkIsolation может переопределять параметры политики WIP MDM.
- Если Cortana (виртуальная помощь Windows 10) добавлена в качестве защищенного приложения, это все равно может привести к утечке данных.
- WIP лучше всего работает для одного пользователя на устройство. При использовании нескольких пользовательских настроек у второго пользователя могут возникнуть проблемы с совместимостью приложений.
- Файлы установки приложения, загруженные из корпоративной сети, могут работать не так, как ожидалось.
- Папки с кэшированием на стороне клиента не защищены с помощью WIP.
- Протокол удаленного рабочего стола (RDP) можно использовать для подключения к устройству, управляемому WIP.
- Загрузка корпоративного файла в личное расположение с помощью Microsoft Edge или Internet Explorer невозможна.
- Устойчивая файловая система (ReFS) не поддерживается WIP.
- Веб-страницы, использующие элементы управления ActiveX, не защищены WIP.
- Папки, для которых для параметра MakeFolderAvailableOfflineDisabled установлено значение False, не защищаются WIP.
- Файлы в каталоге Windows не могут быть зашифрованы
- Автономные файлы данных Microsoft Office Outlook не защищены WIP
- Без регистрации MDM в рамках WIP можно управлять только просвещенными приложениями. Следовательно, рекомендуется использовать WIP в сочетании со Scalefusion MDM.
Scalefusion MDM обеспечивает шифрование и защиту корпоративных данных за счет сочетания настроек контроля доступа, WIP и Bitlocker.
Защита информации Windows и защита информации Azure (WIP или AIP)
Мы обсудили список функций и настроек безопасности для Политика Windows MDM, в частности контейнер «В разработке» (WIP). Azure Information Protection (AIP), ранее известная как Azure RMS, также является функцией, представленной в Windows 10 для предотвращения утечки корпоративных данных.
Но есть разница между Windows Information Protection и Azure Information Protection.
Azure Information Protection AIP — это облачный набор параметров, который позволяет ИТ-администраторам маркировать, классифицировать и защищать документы и сообщения для локальных устройств, которые являются частью Office 365 AD.
Хотя документы и сообщения можно защитить с помощью веб-приложений Office и настольных приложений Office 365, AD RMS помогает защитить документы и сообщения, используя возможности локального оборудования.
Самая большая разница между WIP и AIP заключается в том, что он не может решить проблему шифрования данных смешанных устройств или BYOD. В AIP шифруется весь набор данных и приложения, тогда как в WIP шифруются только выбранные приложения (корпоративные приложения) и данные, передаваемые через них.
В WIP рабочие данные автоматически шифруются после определения настроек профиля. Кроме того, WIP помечает данные на основе их источника, и любые данные, поступающие из источников корпоративных данных, шифруются. Это позволяет сотрудникам, которые являются владельцами устройств, иметь полный контроль над своими личными данными, такими как файлы и приложения.
Еще одно важное различие между AIP и WIP заключается в том, что для WIP требуется Решение MDM для определения политики и работает только в Windows 10 Anniversary Edition или более поздней версии.
Обзор
Это подробное руководство по защите информации Windows может помочь корпоративным ИТ-командам использовать настройки WIP для простой защиты корпоративных данных с помощью Масштаб Fusion MDM.
Scalefusion MDM для Windows 10 имеет широкий спектр функций безопасности и настроек контроля доступа, которые упрощают работу на личных ПК для сотрудников, повышая их производительность и одновременно упрощая управление для ИТ-команд.
Часто задаваемые вопросы
1. Каковы преимущества защиты информации Microsoft Windows?
Microsoft Windows Information Protection (WIP) обеспечивает надежную безопасность данных за счет шифрования и классификации конфиденциальной информации. Это позволяет организациям контролировать доступ к данным, предотвращать утечку данных и обеспечивать соблюдение нормативных требований. WIP защищает конфиденциальные данные, повышает производительность и снижает риски несанкционированного доступа или утечки данных.
2. Как включить защиту информации Windows?
Чтобы активировать защиту информации Windows, перейдите в «Настройки» > «Обновление и безопасность» > «Безопасность Windows» > «Защита от вирусов и угроз». Нажмите «Управление настройками» в разделе «Настройки защиты от вирусов и угроз» и включите «Блокировать подозрительное поведение».
3. Каковы преимущества защиты информации Windows (WIP)?
Windows Information Protection (WIP) предлагает несколько преимуществ, включая защиту данных путем шифрования конфиденциальной информации, разделения личных и рабочих данных, контроля над доступом приложений к корпоративным данным и гибкого применения политик для предотвращения утечек данных, повышения общей безопасности и соблюдения требований в организациях. .
4. Как работает незавершенное производство?
Windows Information Protection (WIP) помогает защитить конфиденциальные данные, разделяя личную и корпоративную информацию. Он классифицирует и шифрует данные на основе политики, обеспечивая доступ к корпоративным данным только авторизованным пользователям и приложениям. Он обеспечивает надежную защиту всех устройств и интегрируется с решениями MDM для управления.
5. Как использовать защиту информации Windows?
Чтобы использовать защиту информации Windows, сначала убедитесь, что она включена в настройках Windows. Затем определите политику защиты данных вашей организации. После настройки WIP автоматически применяет эти политики для защиты конфиденциальных данных на устройствах Windows, помогая предотвратить утечку данных и несанкционированный доступ.
