EnterpriseDataProtection CSP
注意
從 2022 年 7 月開始,Microsoft即將淘汰 Windows 資訊保護 (WIP) 。 Microsoft將繼續在支援的 Windows 版本上支援 WIP。 新版本的 Windows 不會包含 WIP 的新功能,未來版本的 Windows 將不支援它。 如需詳細資訊,請 參閱宣佈 Windows 信息保護即將淘汰。
針對您的數據保護需求,Microsoft建議您使用 Microsoft Purview 資訊保護和 Microsoft Purview 數據外洩防護。 Purview 可簡化組態設定,並提供一組進階功能。
下表顯示 Windows 的適用性:
| 版本 | Windows 10 | Windows 11 |
|---|---|---|
| Home | 是 | 是 |
| 專業版 | 是 | 是 |
| Windows SE | 否 | 是 |
| 商務 | 是 | 是 |
| 企業 | 是 | 是 |
| 教育版 | 是 | 是 |
EnterpriseDataProtection 設定服務提供者 (CSP) 可用來設定 Windows 資訊保護 (WIP) 的設定,先前稱為企業數據保護。 如需 WIP 的詳細資訊,請參閱 使用 Windows 資訊保護 (WIP) 保護您的企業數據 。
注意
若要讓 Windows 資訊保護能夠運作,也必須設定 AppLocker CSP 和網路隔離特定設定。 如需詳細資訊,請參閱 原則 CSP 中的 AppLocker CSP 和 NetworkIsolation 原則。
雖然 Windows 資訊保護對 VPN 沒有硬性相依性,但為了獲得最佳結果,您應該先設定 VPN 配置檔,再設定 WIP 原則。 如需 VPN 最佳做法建議,請參閱 VPNv2 CSP。
若要深入瞭解 Windows 資訊保護,請參閱下列文章:
下列範例顯示樹狀結構格式的 EnterpriseDataProtection CSP。
./Device/Vendor/MSFT
EnterpriseDataProtection
----Settings
--------EDPEnforcementLevel
--------EnterpriseProtectedDomainNames
--------AllowUserDecryption
--------DataRecoveryCertificate
--------RevokeOnUnenroll
--------RMSTemplateIDForEDP
--------AllowAzureRMSForEDP
--------EDPShowIcons
----Status
./Device/Vendor/MSFT/EnterpriseDataProtection
CSP 的根節點。
設置
Windows 資訊保護 (WIP) 組態設定的根節點。
Settings/EDPEnforcementLevel
設定 WIP 強制層級。
注意
設定此值並不足以在裝置上啟用 Windows 信息保護。 當 WIP 清除正在執行時,嘗試變更此值將會失敗。
下列清單顯示支援的值:
- 0 (預設) - 關閉/無保護 (解密先前受保護的數據) 。
- 1 - 無訊息模式 (僅加密和稽核) 。
- 2 - 允許覆寫模式 (加密、提示和允許覆寫,以及稽核) 。
- 3 - 隱藏覆寫 (加密、提示但隱藏覆寫,以及稽核) 。
支持的作業包括 [新增]、[取得]、[取代] 和 [刪除]。 值類型為整數。
Settings/EnterpriseProtectedDomainNames
企業用於其使用者身分識別的網域清單,以管道分隔 (|) 。 清單中的第一個網域必須是主要企業標識符,也就是代表 Windows 信息保護管理授權單位的網域。 來自這其中一個網域的使用者身分識別會被視為受企業管理的帳戶,而與其相關聯的資料應受到保護。 例如,企業擁有之所有電子郵件帳戶的網域應該會出現在此清單中。 當 WIP 清除正在執行時,嘗試變更此值將會失敗。
不支援變更主要企業標識碼,而且可能會在用戶端上造成非預期的行為。
注意
用戶端需要正式功能變數名稱,否則用戶端將會拒絕設定。
以下是建立標準功能變數名稱的步驟:
- 將僅限 A-Z (ASCII 字元) 轉換為小寫。 例如,Microsoft.COM -> microsoft.com。
- 以IDN_USE_STD3_ASCII_RULES作為旗標呼叫 IdnToAscii 。
- 呼叫未設定旗標的 IdnToUnicode (dwFlags = 0) 。
支持的作業包括 [新增]、[取得]、[取代] 和 [刪除]。 值類型為字串。
Settings/AllowUserDecryption
允許使用者解密檔案。 如果此設定為 0 (不允許) ,則使用者將無法透過作業系統或應用程式用戶體驗,從企業內容移除保護。
重要
從 Windows 10 版本 1703 開始,不再支援 AllowUserDecryption。
下列清單顯示支援的值:
- 0 - 不允許。
- 1 (預設值) - 已允許。
限制程度最高的值為 0。
支持的作業包括 [新增]、[取得]、[取代] 和 [刪除]。 值類型為整數。
Settings/DataRecoveryCertificate
指定可用於加密檔案數據復原的復原憑證。 此憑證與數據復原代理程式 (DRA) 憑證相同,以加密文件系統 (EFS) ,僅透過行動裝置管理 (MDM) 傳遞,而不是組策略。
注意
如果同時設定此原則和對應的組策略設定,則會強制執行組策略設定。
來自 MDM 原則的 DRA 信息必須是串行化的二進位 Blob,與我們對 GP 的預期相同。 二進位 Blob 是下列結構的串行化版本:
//
// Recovery Policy Data Structures
//
typedef struct _RECOVERY_POLICY_HEADER {
USHORT MajorRevision;
USHORT MinorRevision;
ULONG RecoveryKeyCount;
} RECOVERY_POLICY_HEADER, *PRECOVERY_POLICY_HEADER;
typedef struct _RECOVERY_POLICY_1_1 {
RECOVERY_POLICY_HEADER RecoveryPolicyHeader;
RECOVERY_KEY_1_1 RecoveryKeyList[1];
} RECOVERY_POLICY_1_1, *PRECOVERY_POLICY_1_1;
#define EFS_RECOVERY_POLICY_MAJOR_REVISION_1 (1)
#define EFS_RECOVERY_POLICY_MINOR_REVISION_0 (0)
#define EFS_RECOVERY_POLICY_MINOR_REVISION_1 (1)
///////////////////////////////////////////////////////////////////////////////
// /
// RECOVERY_KEY Data Structure /
// /
///////////////////////////////////////////////////////////////////////////////
//
// Current format of recovery data.
//
typedef struct _RECOVERY_KEY_1_1 {
ULONG TotalLength;
EFS_PUBLIC_KEY_INFO PublicKeyInfo;
} RECOVERY_KEY_1_1, *PRECOVERY_KEY_1_1;
typedef struct _EFS_PUBLIC_KEY_INFO {
//
// The length of this entire structure, including string data
// appended to the end. The length should be a multiple of 8 for
// 64 bit alignment
//
ULONG Length;
//
// Sid of owner of the public key (regardless of format).
// This field is to be treated as a hint only.
//
ULONG PossibleKeyOwner;
//
// Contains information describing how to interpret
// the public key information
//
ULONG KeySourceTag;
union {
struct {
//
// The following fields contain offsets based at the
// beginning of the structure. Each offset is to
// a NULL terminated WCHAR string.
//
ULONG ContainerName;
ULONG ProviderName;
//
// The exported public key used to encrypt the FEK.
// This field contains an offset from the beginning of the
// structure.
//
ULONG PublicKeyBlob;
//
// Length of the PublicKeyBlob in bytes
//
ULONG PublicKeyBlobLength;
} ContainerInfo;
struct {
ULONG CertificateLength; // in bytes
ULONG Certificate; // offset from start of structure
} CertificateInfo;
struct {
ULONG ThumbprintLength; // in bytes
ULONG CertHashData; // offset from start of structure
} CertificateThumbprint;
};
} EFS_PUBLIC_KEY_INFO, *PEFS_PUBLIC_KEY_INFO;
//
// Possible KeyTag values
//
typedef enum _PUBLIC_KEY_SOURCE_TAG {
EfsCryptoAPIContainer = 1,
EfsCertificate,
EfsCertificateThumbprint
} PUBLIC_KEY_SOURCE_TAG, *PPUBLIC_KEY_SOURCE_TAG;
針對EFSCertificate KeyTag,它應該是 DER ENCODED 二進位憑證。
支持的作業包括 [新增]、[取得]、[取代] 和 [刪除]。 實值類型是base-64編碼的憑證。
Settings/RevokeOnUnenroll
此原則可控制裝置從管理服務取消註冊時,是否要撤銷 Windows 資訊保護密鑰。 如果設為 0 (請勿撤銷金鑰) ,則不會撤銷密鑰,且使用者在取消註冊之後仍可繼續存取受保護的檔案。 如果未撤銷金鑰,稍後將不會有撤銷的檔案清除。 在傳送取消註冊命令之前,當您希望裝置在取消註冊時進行選擇性抹除時,您應該明確地將此原則設定為 1。
下列清單顯示支援的值:
- 0 - 不要撤銷金鑰。
- 1 (預設) - 撤銷金鑰。
支持的作業包括 [新增]、[取得]、[取代] 和 [刪除]。 值類型為整數。
Settings/RevokeOnMDMHandoff
Windows 10 (版本 1703) 中的新功能。 此原則可控制當裝置從行動應用程式管理 (MAM) 升級至 MDM 時,是否要撤銷 Windows 資訊保護密鑰。 如果設為 0 (請勿撤銷金鑰) ,則不會撤銷密鑰,且使用者在升級之後仍可繼續存取受保護的檔案。 如果使用與 MAM 服務相同的 WIP EnterpriseID 來設定 MDM 服務,則建議使用此設定。
- 0 - 不要撤銷金鑰。
- 1 (預設) - 撤銷金鑰。
支持的作業包括 [新增]、[取得]、[取代] 和 [刪除]。 值類型為整數。
Settings/RMSTemplateIDForEDP
用於 Rights Management Service (RMS) 加密的 TemplateID GUID。 RMS 範本可讓 IT 系統管理員設定誰可以存取受 RMS 保護的檔案,以及他們擁有存取權多久的詳細數據。
支持的作業包括 [新增]、[取得]、[取代] 和 [刪除]。 實值類型是 GUID) (字串。
設定/允許AzureRMSForEDP
指定是否允許 Windows 資訊保護的 Azure RMS 加密。
- 0 (預設) - 不要使用 RMS。
- 1 - 使用 RMS。
支持的作業包括 [新增]、[取得]、[取代] 和 [刪除]。 值類型為整數。
Settings/SMBAutoEncryptedFileExtensions
Windows 10 (版本 1703) 中的新功能。 指定擴展名清單,以便從伺服器消息塊複製時加密具有這些擴展名的檔案, (SMB) 在公司界限內共用,如 NetworkIsolation/EnterpriseIPRange 和 NetworkIsolation/EnterpriseNetworkDomainNames 原則 CSP 節點中所定義。 在清單中使用分號 (;) 分隔符。 未指定此原則時,會套用現有的自動加密行為。 設定此原則時,只會加密清單中具有擴展名的檔案。 支持的作業包括 [新增]、[取得]、[取代] 和 [刪除]。 值類型為字串。
Settings/EDPShowIcons
判斷重疊是否新增至總管中 WIP 保護檔案的圖示,以及 [ 開始 ] 選單上的僅限企業應用程式磚。 從 Windows 10 版本 1703 開始,此設定也會在受 WIP 保護的應用程式標題列中設定 Windows 資訊保護圖示的可見度。 下列清單顯示支援的值:
- 0 (預設) - 圖示或磚上沒有 WIP 重疊。
- 1 - 在只能建立企業內容的受保護檔案和應用程式上顯示 WIP 重疊。
支持的作業包括 [新增]、[取得]、[取代] 和 [刪除]。 值類型為整數。
地位
只讀位掩碼,表示裝置上 Windows 信息保護的目前狀態。 MDM 服務可以使用此值來判斷 WIP 的目前整體狀態。 如果已設定 WIP 強制原則和 WIP AppLocker 設定,WIP 只會在 (位 0 = 1) 。
建議的值:
| 保留供日後使用 | WIP 強制設定 Set = 1 未設定 = 0 |
保留供日後使用 | 已設定 AppLocker 是 = 1 否 = 0 |
WIP on = 1 WIP off = 0 |
|---|---|---|---|---|
| 4 | 3 | 2 | 1 | 0 |
位 0 表示 WIP 是開啟還是關閉。
位 1 指出是否已設定 AppLocker WIP 原則。
位 3 指出是否已設定必要的 Windows 資訊保護原則。 如果未設定一或多個強制 WIP 原則,位 3 會設定為 0 (零) 。
以下是強制 WIP 原則的清單:
- EnterpriseDataProtection CSP 中的 EDPEnforcementLevel
- EnterpriseDataProtection CSP 中的 DataRecoveryCertificate
- EnterpriseDataProtection CSP 中的 EnterpriseProtectedDomainNames
- 原則 CSP 中的 NetworkIsolation/EnterpriseIPRange
- 原則 CSP 中的 NetworkIsolation/EnterpriseNetworkDomainNames
位 2 和 4 會保留供日後使用。
支援的操作為 [取得]。 值類型為整數。