Что такое Windows Information Protection (WIP) и как ее применить в вашей компании

Защита информации Windows (WIP) Это технология, реализованная в Windows 10 и более поздних версиях, которая помогает предотвратить утечки данных, не мешая вашей повседневной работе. Проще говоря, позволяет разделять и защищать корпоративные данные на устройствах, которые могут быть как личными, так и корпоративными, контролируя, как эти данные передаются, копируются или перемещаются между приложениями и сетями.

С помощью WIP организации могут определить точные директивы, которые определяют, какие приложения можно открыть документы компании, если скопировать содержимое в буфер обмена и вставить его в другой контекст, или если он вообще зависнет. Благодаря интеграции с системами управления устройствами (MDM) и управления приложениями (MAM), WIP универсален в сценариях BYOD и на полностью управляемых устройствах, минимизируя воздействие на персональные данные пользователя.

Что такое защита информации Windows (WIP)

По сути, WIP — это набор функций Решения Windows, направленные на защиту корпоративной информации на настольных компьютерах, портативный, планшеты и телефоны, которыми организация управляет через MDM или, где применимо, только на уровне приложения с помощью MAM. Начиная с Windows 10 версии 1607, эти возможности позволяют применять политики защиты к корпоративным данным, не вмешиваясь в личные файлы пользователя и не повреждая их.

Используя MDM или MAM, администратор определяет список разрешенных приложений и правила использования данных. Если приложение включено в политику, всё, что оно создаёт или обрабатывает в корпоративном контексте, подпадает под установленные ограничения: например, скопировать и вставить От корпоративного документа до личного, он может быть заблокирован или требовать предупреждения для пользователя, а такие элементы, как доступ к сетей VPN или обмен между приложениями.

Для устройств, зарегистрированных в MDM, типичный процесс ясен: пользователь регистрирует устройство на платформе организации и администратор доставляет директивы через Microsoft Intune или System Center Configuration Manager (SCCM). Для незарегистрированных устройств (BYOD) MAM позволяет применять политики непосредственно к определённым приложениям, чтобы при установке этих приложений Пользователь получает соответствующую политику.

Когда устройство отменяет регистрацию в MDM или пользователь удаляет приложения, управляемые MAM, администраторы могут выборочно удалять корпоративные данные команды. Отзыв доступа затрагивает файлы, зашифрованные с помощью WIP, что исключает риск конфиденциальные документы подвергаются разглашению вне контроля компании.

Как WIP работает с приложениями

Если приложение находится в списке разрешенных политик, все данные, созданные в бизнес-контексте подлежит защите: это может означать, что если доступ пользователя будет отозван, потерять доступ к корпоративным данным этого приложения. Эта логика применима к чисто деловым приложениям, но не к тем, которые пользователи используют как для работы, так и для личных целей.

Для таких случаев Microsoft рекомендует разрабатывать корпоративные приложения (Enlightened/Enterprise-Enterprise), способное интеллектуально различать корпоративное и личное. Таким образом, приложение применяет политику только к тому, что уместно и сохраняет целостность конфиденциальных данных пользователя, избегая таких неудобств, как ненужные запросы или необоснованные блокировки.

Кроме того, включив приложение с API WIP, можно персонализировать опыт- Например, если политика разрешает вставку бизнес-данных в личный документ, приложение может не спрашивать каждый раз и вместо этого отображать их. собственные информационные сообщения при обнаружении определенных действий пользователя.

Для разработчиков есть специальные руководства: Приложения UWP на C# y настольные приложения на C++ Они могут полагаться на техническую документацию WIP для реализации обнаружения контекста, маркировки данных и соблюдения правил, определенных ИТ-отделом.

Приложения, не предназначенные для предприятий: когда и как

Если вы собираетесь создать один приложение для направления бизнеса (LOB) Он предназначен только для корпоративного использования, поэтому вам может не потребоваться включать его через WIP API. Тем не менее, рекомендуется протестировать его в соответствии с политикой, чтобы убедиться, что правильная функция и не шифрует случайно личные файлы пользователя, такие как метаданные, изображения или другие вспомогательные ресурсы.

В случае Приложения для настольных компьютеров WindowsРекомендуется запустить приложение, использовать его, отключить регистрацию устройства в MDM и убедиться, что оно может быть запущено снова. Если какие-либо критически важные файлы зашифрованы WIP и стали недоступны, приложение может не запуститьсяПосле тестирования рекомендуется добавить флаг совместимости в ваш проект, чтобы Windows могла защитить ваши бизнес-данные и не вмешиваться в ваши персональные данные:

MICROSOFTEDPAUTOPROTECTIONALLOWEDAPPINFO
EDPAUTOPROTECTIONALLOWEDAPPINFOID
BEGIN 0x0001
END

Этот флаг не является обязательным для директив, развернутых через МДМ, но это в сценариях МАМ, где управление применяется к определенным приложениям без регистрации всего устройства.

к Приложения UWP которые попадают под действие политики MAM, их включение крайне важно. Хотя это не всегда требуется в MDM, в средах с организациями-потребителями сложно предсказать, какая система управления будет использоваться, поэтому включить приложение гарантирует корректную работу в обоих контекстах.

Интеграция с Microsoft Enter ID и Workplace Join (WPJ)

WIP интегрируется с Служба идентификации входа Microsoft как для пользователя, так и для устройства, во время регистрации и загрузки политики. На персональных устройствах используется Присоединяйтесь к рабочему месту (WPJ): Пользователь добавляет свою рабочую или школьную учетную запись в качестве дополнительной учетной записи, оставляя свою личную учетную запись основной, и устройство регистрируется в WPJ.

Если устройство присоединяется к идентификатору Microsoft Entra, зарегистрирован в МДМ. Как правило, устройство с личной учетной записью в качестве основной учетной записи считается личным устройством и должно быть зарегистрировано в WPJ; корпоративные устройства, с другой стороны, должны быть привязаны к Entra ID и назначаться с МДМ. Практическая деталь: обычные пользователи (не администраторы) могут выполнять Регистрация МАМ напрямую, что упрощает принятие.

Пользователи могут добавить свою учетную запись Entra из совместимого приложения (например, применения Microsoft 365 текущий) или из настроек в Аккаунт > Доступ к работе или школеЭтот рабочий процесс помогает WIP определять корпоративный контекст для ежедневного внедрения соответствующей защиты.

Типы приложений в стадии WIP и их поведение

Чтобы защитить пользовательские приложения на персональных устройствах, WPJ ограничивает применение WIP двумя категориями: включенные приложения (способный различать корпоративные и персональные данные) и совместимые приложения (которые информируют Windows о том, что они не обрабатывают персональные данные, и поэтому Windows может защищать бизнес-контент от их имени).

Соответствующие требованиям приложения должны включать в свои ресурсы информацию о маркировке самозащиты, чтобы Windows знает, что может применять WIP к обрабатываемым компанией данным, не затрагивая остальные. Этот знак аналогичен тому, который указан для настольных приложений, и гарантирует последовательное поведение в развертываниях MAM.

Подготовьте своего клиента Microsoft Entra для MAM

Регистрация MAM требует от провайдера опубликовать свои приложение для управления в галерее Microsoft. Обычно для MDM и MAM используется одно и то же облачное приложение для управления. Если оно уже существует для MDM, вам необходимо обновите его с помощью URL-адресов регистрация и условия использования, характерные для МАМ.

В зависимости от архитектуры компании могут быть один или два поставщика: Если MAM и MDM обслуживаются одним и тем же лицом, будет достаточно одного приложения для администрирования; если они разные, их необходимо настроить. два приложения В Entra ID один для MAM и один для MDM. Это позволяет разделить пути регистрации и распространения полисов в каждом случае.

Регистрация MAM: протокол, аутентификация и пример

Регистрация MAM основана на расширении MAM протокола. [МС-МДЕ2] и поддерживает как метод аутентификации Войти в систему с помощью Microsoft Federated IDИмеются отличия по сравнению с MDM: нет обнаружения MDM, узел APPAUTH в DMAcc CSP является необязательным и не используется сертификат аутентификации клиента. [MS-XCEP]; вместо этого клиент использует токен Entra и сеансы синхронизации устанавливаются по одностороннему протоколу TLS/SSL с аутентификацией сервера.

Пример предоставление XML для МАМ это может быть:

<wap-provisioningdoc version="1.1">
  <characteristic type="APPLICATION">
    <parm name="APPID" value="w7" />
    <parm name="PROVIDER-ID" value="MAM SyncML Server" />
    <parm name="NAME" value="mddprov account" />
    <parm name="ADDR" value="http://localhost:88" />
    <parm name="DEFAULTENCODING" value="application/vnd.syncml.dm+xml" />
  </characteristic>
</wap-provisioningdoc>

Если узел зонда не определен (Голосование), устройство выполнит проверять каждые 24 часа по умолчанию, который задает темп обновления политики в этом режиме управления.

Поддерживаемые CSP и политики блокировки устройств/EAS

WIP поддерживает определенный набор CSP (поставщики услуг конфигурации) и блокирует остальные в сценариях MAM; этот список может меняться со временем El Tiempo Поэтому, основываясь на отзывах клиентов, перед развертыванием рекомендуется ознакомиться с текущей документацией.

Что касается блокирующих элементов управления, MAM поддерживает политики, подобные MDM, используя область Политика CSP DeviceLock и CSP Паспорт для работыНе рекомендуется объединять политики EAS и MAM на одном устройстве, но если это происходит, Windows оценивает, соответствуют ли политики MAM требованиям EAS, и, если да, уведомляет о соблюдении для разрешения синхронизации почты.

Если устройство не соответствует требованиям, EAS может применить собственные политики (требуется права администратора), и эффективный набор будет представлять собой надмножество обоих. Если устройство с EAS позже будет зарегистрировано в MAM, обе группы политик будут существовать одновременно, опять же с комбинированным эффектом.

Синхронизация политик и переключение с MAM на MDM

Синхронизация политики MAM смоделирован по образцу MDM, но клиент использует токены Microsoft Entra для аутентификации в сервисе во время циклов синхронизации. Такой подход упрощает аутентификацию на стороне устройства и уменьшает зависимости клиентских сертификатов.

Windows не поддерживает одновременное применение MAM и MDM на одном устройстве. Если администратор это разрешит, пользователи могут мигрировать с MAM на MDMДля этого вам необходимо настроить URL обнаружения MDM в CSP. DMClientПосле передачи и полной реализации полисов MDM полисы MAM прекращают свое действие.

Как правило, удаление политик WIP с устройства приводит к отключению доступа пользователей к защищенным документам. отозвать (выборочное удаление), если только корректировка EDP.RevokeOnUnenroll установлено значение false. Чтобы предотвратить удаление при переходе с MAM на MDM, администратор должен убедиться, что: обе директивы (MAM и MDM) поддерживают WIP, Идентификатор предприятия EDP идентична в МАМ и МДМ, и EDP.RevokeOnMDMHandoff является ложным.

Когда устройство MAM будет готово к переключению, пользователь увидит ссылку «Зарегистрироваться только для управления устройством» В разделе «Настройки» > «Учётные записи» > «Рабочий или школьный доступ». Если выбрать этот пункт и ввести учётные данные, регистрация будет включена. перейти на МДМ и учетная запись Microsoft пользователя не затрагивается.

Citrix XenMobile Management: политика и настройки WIP

В XenMobile (Citrix) WIP — ранее называвшийся Защита корпоративных данных (EDP)— управляется как политика устройства для Windows 10/11. Можно определить приложения с незавершенным производством и уровень спроса, с базовым списком распространенных приложений и возможностью добавления дополнительных вручную.

Заявки могут быть помечены как Допустимый (чтение, создание и обновление данных компании), Отклонен (они не имеют доступа к данным компании) или Освобождать (Они могут читать данные компании, но не могут создавать или изменять их.) Кроме того, политика поддерживает три режима защиты: бесшумный (аудит без блокировки), замещать (предупреждает и позволяет отменить) и запирать (предотвращает небезопасный обмен), рядом с опцией дезактивированный.

Чтобы исключить приложения с известными проблемами совместимости, Microsoft предоставляет XML-файл AppLocker Рекомендуется. При импорте в XenMobile он объединяется с настройками рабочего стола и приложения магазина в рамках политики, передаваемой на устройство, что помогает избегать конфликтов в реальных сценариях.

Основные параметры, которые можно настроить в XenMobile для WIP:

• Защищенные доменные имена: Домены, используемые идентификатором пользователя (первый действует как основной идентификатор компании). Разделены символом «|».
• Сертификат восстановления данных: Сертификат DRA (EFS), распространяемый через MDM для восстановления данных из зашифрованных файлов; необходим, если вы хотите разблокировать контент на случай непредвиденных обстоятельств.
• Сетевые доменные имена: домены периметра компании; трафик к этим доменам считается защищено WIP.
• Диапазоны IP-адресов: корпоративные диапазоны IPv4/IPv6; WIP рассматривает их как безопасные направления для делиться данными.
• Список диапазонов IP-адресов является авторитетным: Если включено, предотвращает автоматическое определение IP-адреса системой Windows.
• Прокси-серверы: исходящие прокси-серверы для корпоративных ресурсов; необходимы для обеспечения безопасности последовательный доступ когда клиент находится за прокси-сервером.
• Внутренние прокси-серверы: прокси-серверы, используемые для подключения к облачным ресурсам; трафик через эти прокси-серверы рассматривается как корпоративный.
• Облачные ресурсы: Список облачных ресурсов, защищенных WIP, с возможностью назначения внутреннему прокси-серверу.
• Отозвать сертификат WIP при отмене регистрации: отзывает или сохраняет локальные ключи шифрования при отмене подписки.
• Показывать значки наложений: накладывает значок WIP на бизнес-файлы и корпоративные приложения в Доме.

Чтобы создать сертификат восстановления данных (требование политики) на сервере с консолью XenMobile откройте командную строку в любой папке и выполните:

cipher /r:ESFDRA

Мастер запросит пароль и сгенерирует .cer и .pfx; затем в консоли XenMobile импортируйте CER-файл в разделе «Настройки» > «Сертификаты» и примените его к устройствам Windows 10/11. После применения политики вы увидите Иконки в разработке в приложениях и файлах, и если пользователь попытается скопировать или сохранить защищенный контент в незащищенное место, они будут отображаться предупреждения или блокировки в зависимости от уровня спроса.

WIP с Dropbox для команд

WIP можно объединить с настольным приложением Dropbox в Windows 10 или более поздней версии. После настройки устройства добавьте Dropbox в свою учетную запись. список разрешений из программного обеспечения для управления бизнесом: приложение синхронизирует зашифрованные файлы в домене вашей организации, управляемом WIP.

Новые файлы, добавленные в учетные записи Dropbox с компьютеров с WIP, будут защищено по умолчаниюСинхронизация работает нормально, пока учетная запись Dropbox связана с доменом с допустимым доступом; если файл принадлежит домену, который учетная запись не может использовать, не будет синхронизироваться. Эта интеграция доступна только в командные аккаунты из Дропбокса.

Совместимость, требования и практические замечания

Помните, что незавершенное производство применяется к Windows 10 версии 1607 или новее., и что его поддержка интегрирована в систему. В личных условиях это обычное явление для пользователя не регистрируйте устройство В MDM MAM играет важную роль, контролируя конкретные приложения и предоставляя им политики без необходимости управления всей командой.

Чтобы добавить дополнительную рабочую учетную запись Microsoft и зарегистрировать устройство в WPJ, пользователь может сделать это из приложений Microsoft 365 или из Настройки > Учетные записи > Доступ к работе или школе. Это действие устанавливает фирменный стиль на компьютере, что позволяет WIP единообразно классифицировать и защищать трафик, файлы и операции.

Пример двоичной маркировки и AppLocker

Отметка двоичных файлов как Разрешено для WIP (EDP) Сообщает Windows, что приложение может защищать бизнес-данные, не вмешиваясь в личные данные. Пример флага для ресурсов показан выше (EDPAUTOPROTECTIONALLOWEDAPPINFO). Вы также можете управлять областью действия с помощью правил. AppLocker в формате XML.

Иллюстративный фрагмент правила AppLocker, объединяющий правила редактора и пути, может выглядеть следующим образом: с правилом по умолчанию, которое разрешает все, правилом, которое запрещает WordPad, и правилом, которое разрешает Notepad:

<RuleCollection Type="Exe" EnforcementMode="Enabled">
  <FilePathRule Name="(Default Rule) All files" Description="" UserOrGroupS Action="Allow">
    <Conditions>
      <FilePathCondition Path="*" />
    </Conditions>
  </FilePathRule>
  <FilePublisherRule Name="WORDPAD.EXE, from O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US" Description="" UserOrGroupS Action="Deny">
    <Conditions>
      <FilePublisherCondition PublisherName="O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US" ProductName="*" BinaryName="WORDPAD.EXE">
        <BinaryVersionRange LowSection="*" HighSection="*" />
      </FilePublisherCondition>
    </Conditions>
  </FilePublisherRule>
  <FilePublisherRule Name="NOTEPAD.EXE, from O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US" Description="" UserOrGroupS Action="Allow">
    <Conditions>
      <FilePublisherCondition PublisherName="O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US" ProductName="*" BinaryName="NOTEPAD.EXE">
        <BinaryVersionRange LowSection="*" HighSection="*" />
      </FilePublisherCondition>
    </Conditions>
  </FilePublisherRule>
</RuleCollection>

Хотя эти примеры носят общий характер, они помогают понять, как интегрировать AppLocker с WIP в стратегии управления приложениями, точно определяющей, какие двоичные файлы могут обрабатывать корпоративные данные и при каких условиях.

WIP предлагает реалистичный баланс между безопасность и производительность: позволяет ИТ-отделу устанавливать четкие политики в отношении данных, приложений и сетей, уважает личное пространство пользователя и интегрируется с Entra ID, MDM/MAM и такими инструментами, как XenMobile и Dropbox. Если вам нужно защитить информацию, не замедляя работу ваших команд, это сочетание политик, маркировки приложений и гибкое администрирование — это прочная основа, с которой можно начать.