使用 Windows 信息保护 (WIP) 保护企业数据

注意

从 2022 年 7 月开始,Microsoft 将弃用 Windows 信息保护 (WIP) 。 Microsoft 将继续在受支持的 Windows 版本上支持 WIP。 新版本的 Windows 不包括 WIP 的新功能,并且将来的 Windows 版本中不支持它。 有关详细信息,请参阅宣布 Windows 信息保护的日落

为了满足数据保护需求,Microsoft 建议使用 Microsoft Purview 信息保护Microsoft Purview 数据丢失防护。 Purview 简化了配置设置,并提供一组高级功能。

适用于:

  • Windows 10
  • Windows 11

随着企业中员工拥有的设备的增加,通过企业无法控制的应用和服务(如电子邮件、社交媒体和公有云)意外泄露数据的风险也越来越大。 例如,当员工从其个人电子邮件帐户发送最新的工程图片、复制产品信息并粘贴到推文,或者将正在进行的销售报告保存到其公共云存储时。

Windows 信息保护 (WIP)(以前称为企业数据保护 (EDP))有助于防范此潜在的数据泄露,并且不会影响员工体验。 WIP 还有助于保护企业应用和数据,以免在企业拥有的设备和员工自带的个人设备上发生意外的数据泄露,而且不需要对你的环境或其他应用进行更改。 Azure Rights Management(另一种数据保护技术)也与 WIP 配合使用。 它扩展了离开设备的数据的数据保护,例如,从权限管理邮件客户端的企业感知版本发送电子邮件附件时。

重要提示

虽然 Windows 信息保护可以阻止从诚实员工意外泄露数据,但它并不是为了阻止恶意内部人士删除企业数据。 有关 WIP 提供的优势的详细信息,请参阅本主题后面的 为什么使用 WIP?

视频:防止企业数据意外复制到错误位置

必备条件

你将需要此软件才能在企业中运行 Windows 信息保护:

操作系统 管理解决方案
Windows 10 版本 1607 或更高版本 Microsoft Intune

-或-

Microsoft Configuration Manager

- 或 -

当前公司范围内的第三方移动设备管理 (MDM) 解决方案。 有关第三方 MDM 解决方案的信息,请参阅产品附带的文档。 如果第三方 MDM 没有针对策略的 UI 支持,请参阅 EnterpriseDataProtection CSP 文档。

什么是企业数据控制?

有效协作意味着需要与企业内的其他人员共享数据。 这种共享可能来自一个极端,即每个人都可以在没有任何安全性的情况下访问所有内容。 另一个极端是,当人们不能共享任何东西,它都是高度安全的。 大多数企业介于这两种极端情况之间,成功的关键在于平衡提供必要访问权限和潜在的不当数据泄露。

作为管理员,可以通过使用访问控制(例如,员工凭据)解决谁可以访问你的数据的问题。 但是,仅仅因为某人有权访问你的数据并不保证数据将保留在企业的安全位置。 因此,访问控制是一个很好的开始,它们还不够。

最后,所有这些安全措施都有一个共通的方面:仅当员工在寻找绕过这些安全限制之前,他们还能忍受带来的不便。 例如,如果你不允许员工通过受保护的系统共享文件,则员工将转向很可能缺少安全控制的外部应用。

使用数据丢失防护系统

为了帮助解决这种安全不足问题,公司开发了数据丢失防护 (也称为 DLP) 系统。 数据丢失防护系统需要:

  • 一组有关系统如何可以识别和分类需要保护数据的规则。 例如,规则集可能包含识别信用卡号的规则和识别社会保险号码的另一条规则。

  • 一种用于扫描公司数据以查看它是否与已定义的任何规则匹配的方法。 目前,Microsoft Exchange Server 和 Exchange Online 针对电子邮件传输过程提供此服务,而 Microsoft SharePoint 和 SharePoint Online 针对文档库中存储的内容提供此服务。

  • 可以指定数据匹配规则时将执行的操作,包括员工是否可以绕过强制执行。 例如,在 Microsoft SharePoint 和 SharePoint Online 中,Microsoft Purview 数据丢失防护系统允许您警告员工共享数据包括敏感信息,并 (与可选的审核日志条目) 共享这些数据。

遗憾的是,数据丢失防护系统自身同样存在问题。 例如,规则集越详细,创建的误报就越多。 此行为可能导致员工认为规则会减慢其工作速度,并且需要绕过规则才能保持工作效率,这可能导致数据被错误地阻止或不当发布。 另一个主要问题是:数据丢失防护系统必须广泛实现方才有效。 例如,如果公司将数据丢失防护系统用于电子邮件,但未用于文件共享或文档存储,你可能会发现数据通过不受保护的渠道泄露。 数据丢失防护系统的最大问题是,它提供了中断员工自然工作流的不和谐体验。 它可以停止某些操作 (例如发送带有附件的邮件,系统将其标记为敏感) 同时允许其他操作,通常是根据员工看不到和无法理解的微妙规则。

使用信息权限管理系统

为帮助解决数据丢失防护系统潜在的问题,公司开发了信息权限管理(也称为 IRM)系统。 信息权限管理系统直接将保护嵌入文档中,以便当员工创建文档时,该员工可以确定要应用哪种类型的保护。 例如,员工可以选择在组织之外停止对文档进行转发、打印、共享等。

保护类型设置完成后,创建应用会加密该文档,以便只有授权用户可以打开它,甚至只可以在兼容应用中才可以打开它。 员工打开该文档后,应用负责强制执行指定的保护。 由于保护随文档一起传播,因此,如果授权人员将其发送给未经授权的人员,则未经授权的人员将无法读取或更改文档。 不过,为使此方法有效工作,信息权限管理系统需要你同时在服务器和客户端环境中进行部署和设置。 而且,由于只有兼容的客户端可以使用受保护的文档,因此如果员工尝试使用不兼容的应用,其工作可能会意外中断。

当员工离开公司或注销设备时会出现什么情况?

最后,当员工离开或取消注册设备时,公司存在数据泄露的风险。 以前,你会擦除设备中的所有公司数据,以及设备上的任何其他个人数据。

WIP 的优点

Windows 信息保护提供:

  • 个人和公司数据之间的明显分离,而不要求员工切换环境或应用。

  • 对于现有业务线应用的其他数据保护,而无需更新应用。

  • 可从注册了 Intune MDM 的设备中擦除公司数据,但不影响个人数据。

  • 将审核报告用于跟踪问题和补救措施。

  • 与现有管理系统 (Microsoft Intune、Microsoft Configuration Manager或当前移动设备管理 (MDM) 系统) 集成,以便为公司配置、部署和管理 Windows 信息保护。

为什么使用 WIP?

Windows 信息保护是Windows 10上的 MAM) 机制 (移动应用程序管理。 WIP 提供了一种管理Windows 10桌面操作系统上的应用和文档的数据策略强制实施的新方法,以及在企业管理解决方案(如Intune) )中注册后, (删除对企业和个人设备对企业数据的访问权限。

  • 改变考虑数据策略实施的方式。 作为企业管理员,你需要维护数据策略和数据访问中的合规性。 Windows 信息保护可帮助保护企业和员工拥有的设备,即使员工不使用设备也是如此。 当员工在企业保护的设备上创建内容时,他们可以选择将其保存为工作文档。 如果是工作文档,它将作为企业数据在本地维护。

  • 管理企业文档、应用和加密模式。

    • 复制或下载企业数据。 当员工或应用从某个位置(如 SharePoint)、网络共享或企业 Web 位置下载内容时,同时使用 WIP 保护的设备,WIP 将对该设备上的数据进行加密。

    • 使用受保护的应用。 托管应用 (已包含在 WIP 策略中的 “受保护应用 ”列表中的应用) 允许访问企业数据,并且与非企业感知或仅限个人的应用一起使用时,将以不同的方式进行交互。 例如,如果 WIP 管理设置为 “阻止”,则员工可以将一个受保护的应用复制并粘贴到另一个受保护的应用,但不能复制到个人应用。 假设人力资源人员想要将工作说明从受保护的应用复制到内部职业网站(企业保护的位置),但犯了一个错误,并尝试改为粘贴到个人应用中。 粘贴操作失败,并弹出一条通知,指出应用由于策略限制而无法粘贴。 然后,HR 人员正确地粘贴到职业网站,未发生问题。

    • 托管的应用和限制。 借助 WIP,你可以控制哪些应用可以访问和使用企业数据。 将应用添加到受保护的应用列表后,该应用将信任企业数据。 将中止所有不在此列表上的应用访问企业数据,具体取决于 WIP 管理模式。

      无需修改从不接触个人数据的业务线应用,将其列为受保护的应用;只需将它们包含在受保护的应用列表中。

    • 确定你的数据访问级别。 借助 WIP,你可以阻止、允许覆盖或审核员工的数据共享操作。 使用隐藏覆盖,可以立即终止操作。 允许覆盖会使员工知道存在风险,但允许员工继续共享数据,同时记录并审核该操作。 静默仅记录操作,而不会停止员工在使用此设置时可能重写的任何内容;收集有助于查看不当共享模式的信息,以便采取教育性操作或查找应添加到受保护应用列表的应用。 有关如何收集审核日志文件的信息,请参阅如何收集 Windows 信息保护 (WIP) 审核事件日志

    • 静态数据加密。 Windows 信息保护有助于保护本地文件和可移动媒体上的企业数据。

      Microsoft Word 等应用与 WIP 一起使用有助于对本地文件和可移动媒体上的数据持续提供保护。 这些应用被称为企业感知型应用。 例如,如果员工从Word打开 WIP 加密的内容,编辑内容,然后尝试使用其他名称保存编辑的版本,Word会自动将 Windows 信息保护应用于新文档。

    • 有助于防止数据意外泄露到公共空间。 Windows 信息保护有助于防止企业数据意外共享到公共空间(例如公有云存储)。 例如,如果 Dropbox™ 不在受保护的应用列表中,则员工将无法将加密文件同步到其个人云存储。 相反,如果员工将内容存储在受保护应用列表中的某个应用(例如Microsoft OneDrive for Business),则加密文件可以自由同步到业务云,同时在本地维护加密。

    • 有助于防止数据意外泄露到可移动媒体。 Windows 信息保护有助于防止企业数据在复制或传输到可移动媒体时泄露。 例如,如果员工将企业数据放在通用串行总线 (USB) 驱动器上,而该驱动器也包含个人数据,则企业数据将保持加密状态,而个人数据不会加密。

  • 从企业保护的设备中删除对企业数据的访问权限。 Windows 信息保护使管理员能够从一个或多个已注册 MDM 的设备撤销企业数据,同时保留个人数据。 当员工离开公司或设备被盗时,这是一项权益。 在确定需要删除数据访问权限后,可以使用 Microsoft Intune 注销该设备以便在该设备连接到网络时,撤消设备的用户加密密钥,并使企业数据变为不可读。

    注意

    对于 Surface 设备的管理,建议使用当前分支Microsoft Configuration Manager。
    Configuration Manager还允许撤销企业数据。 不过,它执行此操作的方式是执行设备的恢复出厂设置。

WIP 的工作原理

Windows 信息保护可帮助解决企业中的日常挑战。 包括:

  • 有助于防止企业数据泄露,甚至可防止无法锁定的员工所拥有的设备上的数据出现泄露。

  • 降低员工因对企业拥有的设备施以严格的数据管理策略而产生的挫折感。

  • 有助于保持对企业数据的所有权和控制。

  • 帮助控制非企业感知应用的网络和数据访问和数据共享

企业方案

Windows 信息保护当前可解决以下企业方案:

  • 你可以在员工所拥有和公司所拥有的设备上针对企业数据进行加密。

  • 你可以远程擦除托管计算机(包括员工所拥有的计算机)上的企业数据,而不会影响个人数据。

  • 可以保护可以访问员工可清楚地识别的企业数据的特定应用。 你也可以中止非受保护应用访问企业数据。

  • 企业策略就位后,你的员工将不会在个人和企业应用之间切换时中断其工作。 不需要多次切换环境或登录。

WIP 保护模式

企业数据从企业源加载到设备上后,或者如果员工将数据标记为公司数据,则数据会自动加密。 然后,当企业数据写入磁盘时,Windows 信息保护使用 Windows 提供的加密文件系统 (EFS) 对其进行保护并将其与企业标识相关联。

你的 Windows 信息保护策略包括受保护以访问和处理公司数据的受信任应用列表。 通过 AppLocker 功能实现此应用列表,该功能控制允许运行的应用以及让 Windows 操作系统了解可以编辑公司数据的应用。 无需修改此列表中包含的应用即可打开公司数据,因为列表上的应用允许 Windows 确定是否授予其访问权限。 但是,Windows 10 新增功能,应用开发人员可以使用一组新的应用程序编程接口 (API) 创建可以使用和编辑企业数据和个人数据的启发式应用。 使用启发式应用的巨大好处是,使用双重用途应用(如 Microsoft Word)可以减少对错误加密个人数据的关注,因为 API 允许应用确定数据是企业拥有还是个人拥有。

注意

有关如何收集审核日志文件的信息,请参阅如何收集 Windows 信息保护 (WIP) 审核事件日志

可以将 Windows 信息保护策略设置为使用 4 种保护和管理模式中的 1 种:

模式 描述
阻止 Windows 信息保护查找不适当的数据共享做法,并阻止员工完成操作。 除了在应用之间共享企业数据或在组织网络之外尝试共享之外,这还可以包括向非企业保护的应用共享企业数据。
允许覆盖 Windows 信息保护查找不适当的数据共享,并警告员工如果执行可能不安全的事情。 但是,此管理模式允许员工覆盖策略并共享数据,同时将该操作记录到审核日志。
静默 Windows 信息保护以静默方式运行,记录不适当的数据共享,而不会停止在“允许替代”模式下提示员工交互的任何操作。 像应用不恰当地尝试访问网络资源或 WIP 保护的数据等不被允许的操作仍将受到阻止。
关闭 Windows 信息保护已关闭,无法保护或审核数据。

关闭 WIP 后,系统将尝试解密本地连接的驱动器上的任何 WIP 标记文件。 如果重新打开 Windows 信息保护,则不会自动重新应用以前的解密和策略信息。

关闭 WIP

你可以关闭所有 Windows 信息保护和限制,在不丢失数据的情况下解密 WIP 管理的所有设备并还原到使用 WIP 之前的状态。 但是,不建议这样做。 如果选择关闭 WIP,则始终可以将其重新打开,但不会自动重新应用解密和策略信息。

后续步骤

决定在环境中使用 WIP 后,创建 Windows 信息保护 (WIP) 策略