Поделиться через

Поставщик служб конфигурации EnterpriseDataProtection

  • Статья

Примечание.

Начиная с июля 2022 г. корпорация Майкрософт не рекомендует использовать Windows Information Protection (WIP). Корпорация Майкрософт продолжит поддерживать WIP в поддерживаемых версиях Windows. Новые версии Windows не будут включать новые возможности для WIP, и они не будут поддерживаться в будущих версиях Windows. Дополнительные сведения см. в статье Объявление о прекращении работы Windows Information Protection.

Для защиты данных корпорация Майкрософт рекомендует использовать Microsoft Purview Information Protection и Защиту от потери данных Microsoft Purview. Purview упрощает настройку конфигурации и предоставляет расширенный набор возможностей.

В таблице ниже показано применимость Windows:

Выпуск Windows 10 Windows 11
Домашняя Да Да
Pro Да Да
Windows SE Нет Да
Для бизнеса Да Да
Корпоративная Да Да
Для образовательных учреждений Да Да

Поставщик службы конфигурации EnterpriseDataProtection (CSP) используется для настройки параметров Windows Information Protection (WIP), ранее известной как Корпоративная защита данных. Дополнительные сведения о WIP см. в статье Защита корпоративных данных с помощью Windows Information Protection (WIP).

Примечание.

Чтобы обеспечить работоспособность Windows Information Protection, необходимо также настроить CSP AppLocker и параметры сетевой изоляции. Дополнительные сведения см. в статье Политики CSP и NetworkIsolation AppLocker в CSP политики.

Хотя Windows Information Protection не имеет жесткой зависимости от VPN, для достижения наилучших результатов необходимо сначала настроить профили VPN, прежде чем настраивать политики WIP. Рекомендации по VPN см. в статье VPNv2 CSP.

Дополнительные сведения о Windows Information Protection см. в следующих статьях:

В следующем примере показан поставщик служб CSP EnterpriseDataProtection в формате дерева.

./Device/Vendor/MSFT
EnterpriseDataProtection
----Settings
--------EDPEnforcementLevel
--------EnterpriseProtectedDomainNames
--------AllowUserDecryption
--------DataRecoveryCertificate
--------RevokeOnUnenroll
--------RMSTemplateIDForEDP
--------AllowAzureRMSForEDP
--------EDPShowIcons
----Status

./Device/Vendor/MSFT/EnterpriseDataProtection

Корневой узел для поставщика служб CSP.

Параметры

Корневой узел для параметров конфигурации Windows Information Protection (WIP).

Settings/EDPEnforcementLevel

Задайте уровень принудительного применения WIP.

Примечание.

Установка этого значения недостаточно для включения Windows Information Protection на устройстве. Попытки изменить это значение завершатся ошибкой при выполнении очистки WIP.

В следующем списке показаны поддерживаемые значения:

  • 0 (по умолчанию) — выкл. или нет защиты (расшифровывает ранее защищенные данные).
  • 1 — автоматический режим (только шифрование и аудит).
  • 2 . Разрешить режим переопределения (шифрование, запрос и разрешение переопределений и аудит).
  • 3. Скрывает переопределения (шифрование, запрос, но скрытие переопределений и аудит).

Поддерживаемые операции: Add, Get, Replace и Delete. Тип значения - целое число.

Settings/EnterpriseProtectedDomainNames

Список доменов, используемых предприятием для удостоверений пользователей, разделенных по каналам (|). Первым доменом в списке должен быть основной идентификатор предприятия, то есть домен, представляющий центр управления Windows Information Protection. Удостоверения пользователей с одного из этих доменов считается учетной записью, управляемой предприятием, а данные, связанные с такой учетной записью, должны быть защищены. Например, домены для всех учетных записей электронной почты, принадлежащих предприятию, должны отображаться в этом списке. Попытки изменить это значение завершатся ошибкой при выполнении очистки WIP.

Изменение основного корпоративного идентификатора не поддерживается и может привести к непредвиденному поведению клиента.

Примечание.

Для клиента требуется, чтобы доменное имя было каноническим, в противном случае параметр будет отклонен клиентом.

Ниже приведены действия по созданию канонических доменных имен.

  1. Преобразование символов ASCII (только A–Z) в нижний регистр. Например, Microsoft.COM —> microsoft.com.
  2. Вызовите IdnToAscii с IDN_USE_STD3_ASCII_RULES в качестве флагов.
  3. Вызов idnToUnicode без установленных флагов (dwFlags = 0).

Поддерживаемые операции: Add, Get, Replace и Delete. Тип значения - строка.

Settings/AllowUserDecryption

Позволяет пользователю расшифровывать файлы. Если задано значение 0 (не разрешено), пользователь не сможет удалить защиту корпоративного содержимого с помощью операционной системы или взаимодействия с приложением.

Важно.

Начиная с Windows 10 версии 1703 AllowUserDecryption больше не поддерживается.

В следующем списке показаны поддерживаемые значения:

  • 0 - не разрешено.
  • 1 (по умолчанию) — разрешено.

Самое ограниченное значение — 0.

Поддерживаемые операции: Add, Get, Replace и Delete. Тип значения - целое число.

Settings/DataRecoveryCertificate

Указывает сертификат восстановления, который можно использовать для восстановления данных зашифрованных файлов. Этот сертификат совпадает с сертификатом агента восстановления данных (DRA) для шифрующей файловой системы (EFS), который предоставляется только через управление мобильными устройствами (MDM) вместо групповой политики.

Примечание.

Если эта политика и соответствующий параметр групповой политики настроены, параметр групповой политики применяется.

Сведения о DRA из политики MDM должны быть сериализованными двоичными BLOB-объектами, идентичными ожидаемому от GP. Двоичный BLOB-объект представляет собой сериализованную версию следующей структуры:

//
//  Recovery Policy Data Structures
//

typedef struct _RECOVERY_POLICY_HEADER {
    USHORT      MajorRevision;
    USHORT      MinorRevision;
    ULONG       RecoveryKeyCount;
} RECOVERY_POLICY_HEADER, *PRECOVERY_POLICY_HEADER;

typedef struct _RECOVERY_POLICY_1_1    {
        RECOVERY_POLICY_HEADER  RecoveryPolicyHeader;
        RECOVERY_KEY_1_1        RecoveryKeyList[1];
}   RECOVERY_POLICY_1_1, *PRECOVERY_POLICY_1_1;

#define EFS_RECOVERY_POLICY_MAJOR_REVISION_1   (1)
#define EFS_RECOVERY_POLICY_MINOR_REVISION_0   (0)

#define EFS_RECOVERY_POLICY_MINOR_REVISION_1   (1)

///////////////////////////////////////////////////////////////////////////////
//                                                                            /
//  RECOVERY_KEY Data Structure                                               /
//                                                                            /
///////////////////////////////////////////////////////////////////////////////

//
// Current format of recovery data.
//

typedef struct _RECOVERY_KEY_1_1   {
        ULONG               TotalLength;
        EFS_PUBLIC_KEY_INFO PublicKeyInfo;
} RECOVERY_KEY_1_1, *PRECOVERY_KEY_1_1;


typedef struct _EFS_PUBLIC_KEY_INFO {

    //
    // The length of this entire structure, including string data
    // appended to the end. The length should be a multiple of 8 for
    // 64 bit alignment
    //

    ULONG Length;

    //
    // Sid of owner of the public key (regardless of format).
   // This field is to be treated as a hint only.
    //

    ULONG PossibleKeyOwner;

    //
    // Contains information describing how to interpret
    // the public key information
    //

    ULONG KeySourceTag;

    union {

        struct {

            //
            // The following fields contain offsets based at the
            // beginning of the structure.  Each offset is to
            // a NULL terminated WCHAR string.
            //

            ULONG ContainerName;
            ULONG ProviderName;

            //
            // The exported public key used to encrypt the FEK.
            // This field contains an offset from the beginning of the
            // structure.
            //

            ULONG PublicKeyBlob;

            //
            // Length of the PublicKeyBlob in bytes
            //

            ULONG PublicKeyBlobLength;

        } ContainerInfo;

        struct {

            ULONG CertificateLength;       // in bytes
            ULONG Certificate;             // offset from start of structure

        } CertificateInfo;


        struct {

            ULONG ThumbprintLength;        // in bytes
            ULONG CertHashData;            // offset from start of structure

        } CertificateThumbprint;
    };



} EFS_PUBLIC_KEY_INFO, *PEFS_PUBLIC_KEY_INFO;

//
// Possible KeyTag values
//

typedef enum _PUBLIC_KEY_SOURCE_TAG {
    EfsCryptoAPIContainer = 1,
    EfsCertificate,
    EfsCertificateThumbprint
} PUBLIC_KEY_SOURCE_TAG, *PPUBLIC_KEY_SOURCE_TAG;

Для EFSCertificate KeyTag это должен быть двоичный сертификат DER ENCODED.

Поддерживаемые операции: Add, Get, Replace и Delete. Тип значения — сертификат в кодировке Base-64.

Settings/RevokeOnUnenroll

Эта политика определяет, следует ли отзывать ключи Windows Information Protection при отмене регистрации устройства в службе управления. Если задано значение 0 (не отменять ключи), ключи не будут отозваны, и пользователь будет по-прежнему иметь доступ к защищенным файлам после отмены регистрации. Если ключи не отозваны, очистка отозванных файлов не будет выполняться позже. Перед отправкой команды отмены регистрации, если требуется, чтобы устройство делало выборочную очистку при отмене регистрации, следует явно задать для этой политики значение 1.

В следующем списке показаны поддерживаемые значения:

  • 0 — не отзывать ключи.
  • 1 (по умолчанию) — отзыв ключей.

Поддерживаемые операции: Add, Get, Replace и Delete. Тип значения - целое число.

Settings/RevokeOnMDMHandoff

Добавлено в Windows 10 версии 1703. Эта политика определяет, следует ли отзывать ключи Windows Information Protection при обновлении устройства с управления мобильными приложениями (MAM) до MDM. Если задано значение 0 (не отменять ключи), ключи не будут отозваны и пользователь будет по-прежнему иметь доступ к защищенным файлам после обновления. Этот параметр рекомендуется использовать, если служба MDM настроена с тем же WIP EnterpriseID, что и служба MAM.

  • 0 — не отзывать ключи.
  • 1 (по умолчанию) — отзыв ключей.

Поддерживаемые операции: Add, Get, Replace и Delete. Тип значения - целое число.

Settings/RMSTemplateIDForEDP

Идентификатор GUID TemplateID, используемый для шифрования службы Управления правами (RMS). Шаблон RMS позволяет ИТ-администратору настроить сведения о том, кто имеет доступ к защищенному RMS файлу и как долго у них есть доступ.

Поддерживаемые операции: Add, Get, Replace и Delete. Тип значения — строка (GUID).

Settings/AllowAzureRMSForEDP

Указывает, следует ли разрешить шифрование Azure RMS для Windows Information Protection.

  • 0 (по умолчанию) — не используйте RMS.
  • 1 . Используйте RMS.

Поддерживаемые операции: Add, Get, Replace и Delete. Тип значения - целое число.

Settings/SMBAutoEncryptedFileExtensions

Добавлено в Windows 10 версии 1703. Задает список расширений файлов, чтобы файлы с этими расширениями шифрулись при копировании из общей папки SMB в пределах корпоративной границы, как определено в узлах CSP политики для NetworkIsolation/EnterpriseIPRange и NetworkIsolation/EnterpriseNetworkDomainNames. Используйте точку с запятой (;) разделитель в списке. Если эта политика не указана, применяется существующее поведение автоматического шифрования. Если эта политика настроена, шифруются только файлы с расширениями в списке. Поддерживаемые операции: Add, Get, Replace и Delete. Тип значения - строка.

Параметры/EDPShowIcons

Определяет, добавляются ли наложения на значки для защищенных WIP файлов в проводнике и плитки только корпоративных приложений в меню Пуск . Начиная с Windows 10 версии 1703 этот параметр также настраивает видимость значка Windows Information Protection в строке заголовка приложения, защищенного WIP. В следующем списке показаны поддерживаемые значения:

  • 0 (по умолчанию) — нет наложений WIP на значки или плитки.
  • 1. Отображение наложений WIP на защищенных файлах и приложениях, которые могут создавать только корпоративное содержимое.

Поддерживаемые операции: Add, Get, Replace и Delete. Тип значения - целое число.

Статус

Битовая маска только для чтения, указывающая текущее состояние Windows Information Protection на устройстве. Служба MDM может использовать это значение для определения текущего общего состояния WIP. WIP включен (бит 0 = 1), если настроены обязательные политики WIP и параметры WIP AppLocker.

Предлагаемые значения:

Зарезервировано для использования в будущем Обязательные параметры WIP
Set = 1
Не задано = 0		 Зарезервировано для использования в будущем Настройка AppLocker
Да = 1
Нет = 0		 WIP в = 1
WiP off = 0
4 3 2 1 0

Бит 0 указывает, включен или выключен WIP.

Бит 1 указывает, заданы ли политики WIP AppLocker.

Бит 3 указывает, настроены ли обязательные политики Windows Information Protection. Если одна или несколько обязательных политик WIP не настроены, бит 3 имеет значение 0 (ноль).

Ниже приведен список обязательных политик WIP:

  • EDPEnforcementLevel в CSP EnterpriseDataProtection
  • DataRecoveryCertificate в поставщике CSP EnterpriseDataProtection
  • EnterpriseProtectedDomainNames в поставщике CSP EnterpriseDataProtection
  • NetworkIsolation/EnterpriseIPRange в CSP политики
  • NetworkIsolation/EnterpriseNetworkDomainNames в CSP политики

Биты 2 и 4 зарезервированы для использования в будущем.

Поддерживаемая операция — Get. Тип значения - целое число.

Справочник по поставщикам служб конфигурации

Защита корпоративных данных с помощью Windows Information Protection (WIP)