Защита корпоративных данных с помощью Windows Information Protection (WIP) Protect your enterprise data using Windows Information Protection (WIP)

Область применения: Applies to:

• Windows 10 версии 1607 и выше Windows 10, version 1607 and later
• Windows 10 Mobile (версия 1607 и выше) Windows 10 Mobile, version 1607 and later

Дополнительные сведения о том, какие компоненты и функции поддерживаются в каждом выпуске Windows, вы найдете в сравнении выпусков Windows 10. Learn more about what features and functionality are supported in each Windows edition at Compare Windows 10 Editions.

По мере того как сотрудники все чаще используют на работе собственные устройства, растет и риск случайной утечки данных через приложения и службы, не контролируемые организациями, например приложения для работы с электронной почтой и социальными сетями, а также общедоступные облака. With the increase of employee-owned devices in the enterprise, there’s also an increasing risk of accidental data leak through apps and services, like email, social media, and the public cloud, which are outside of the enterprise’s control. Сюда относятся случаи, когда сотрудник отправляет изображения с техническими данными со своей личной электронной почты, копирует и вставляет информацию о продукции в твит или сохраняет рабочий отчет по продажам в своем хранилище в общедоступном облаке. For example, when an employee sends the latest engineering pictures from their personal email account, copies and pastes product info into a tweet, or saves an in-progress sales report to their public cloud storage.

Windows Information Protection (WIP), ранее известная как защита корпоративных данных (EDP), позволяет предотвратить возможную потерю данных, не влияя на работу сотрудников. Windows Information Protection (WIP), previously known as enterprise data protection (EDP), helps to protect against this potential data leakage without otherwise interfering with the employee experience. WIP также помогает защитить корпоративные приложения и данные от случайной потери на принадлежащих компании и личных устройствах, которые сотрудники приносят с собой на работу, и при этом не требует вносить изменения в среду или другие приложения. WIP also helps to protect enterprise apps and data against accidental data leak on enterprise-owned devices and personal devices that employees bring to work without requiring changes to your environment or other apps. Наконец, другая технология защиты данных, управление правами Azure, также может использоваться совместно с WIP. Она позволяет улучшить безопасность данных, покидающих устройство, например при отправке почтовых вложений с помощью корпоративной версии почтового клиента, поддерживающего управление правами. Finally, another data protection technology, Azure Rights Management also works alongside WIP to extend data protection for data that leaves the device, such as when email attachments are sent from an enterprise aware version of a rights management mail client.

Хотя WIP может остановить случайные утечки данных от честных сотрудников, он не предназначен для того, чтобы помешать злоумышленникам удалять корпоративные данные. While WIP can stop accidental data leaks from honest employees, it is not intended to stop malicious insiders from removing enterprise data. Дополнительные сведения о преимуществах, которые предоставляет WIP, см. в разделе Почему используется WIP? далее в этом разделе. For more details about the benefits WIP provides, see Why use WIP? later in this topic.

Видео. Защита корпоративных данных от случайного копирования в неправильное место Video: Protect enterprise data from being accidentally copied to the wrong place

Необходимые условия Prerequisites

Для запуска WIP в вашей организации вам необходимо следующее программное обеспечение. You’ll need this software to run WIP in your enterprise:

Операционная система Operating system

Решение для управления Management solution

Windows10 версии1607 или более поздней Windows 10, version 1607 or later

Microsoft Intune Microsoft Intune Microsoft Endpoint Configuration Manager Microsoft Endpoint Configuration Manager Ваше текущее корпоративное решение для управления мобильными устройствами (MDM) от стороннего поставщика. Your current company-wide 3rd party mobile device management (MDM) solution. Подробные сведения о сторонних решениях MDM см. в документации, поставляемой вместе с продуктом. For info about 3rd party MDM solutions, see the documentation that came with your product. Если стороннее решение MDM не поддерживает пользовательский интерфейс для политик, см. статью Поставщик служб конфигурации EnterpriseDataProtection. If your 3rd party MDM does not have UI support for the policies, refer to the EnterpriseDataProtection CSP documentation.

Что такое контроль корпоративных данных? What is enterprise data control?

Для эффективной совместной работы необходимо обмениваться данными с другими сотрудниками предприятия. Effective collaboration means that you need to share data with others in your enterprise. Существует две крайних модели обмена. Первая предполагает всеобщий доступ ко всем данным без какой-либо защиты, а вторая— абсолютный запрет обмена данными между пользователями и максимальную степень защиты. This sharing can be from one extreme where everyone has access to everything without any security, all the way to the other extreme where people can’t share anything and it’s all highly secured. Большинство предприятий используют нечто среднее между этими двумя крайностями, при этом эффективность работы зависит от равновесия между предоставлением необходимого доступа и риском непреднамеренного раскрытия данных. Most enterprises fall somewhere in between the two extremes, where success is balanced between providing the necessary access with the potential for improper data disclosure.

Как администратор вы можете определять круг пользователей, получающих доступ к данным, с помощью элементов управления доступом, таких как учетные данные сотрудников. As an admin, you can address the question of who gets access to your data by using access controls, such as employee credentials. Однако предоставление права доступа к данным не гарантирует того, что они останутся в пределах системы безопасности предприятия. However, just because someone has the right to access your data doesn’t guarantee that the data will remain within the secured locations of the enterprise. Это значит, что элементы управления доступом, несмотря на их эффективность,— лишь начальный этап. This means that while access controls are a great start, they’re not enough.

В конечном счете, все эти меры безопасности схожи в одном: при малейшем неудобстве сотрудники начнут искать пути обхода ограничений системы безопасности. In the end, all of these security measures have one thing in common: employees will tolerate only so much inconvenience before looking for ways around the security restrictions. Например, если запретить сотрудникам обмениваться файлами через защищенную систему, они будут использовать внешнее приложение, которое наверняка лишено элементов управления безопасностью. For example, if you don’t allow employees to share files through a protected system, employees will turn to an outside app that more than likely lacks security controls.

Использование систем защиты от потери данных Using data loss prevention systems

Чтобы помочь в устранении этой неэффективности безопасности, компании разработали системы предотвращения потери данных (также известные как DLP). To help address this security insufficiency, companies developed data loss prevention (also known as DLP) systems. Требования систем защиты от потери данных: Data loss prevention systems require:

Набор правил определения и категоризации данных, требующих защиты. A set of rules about how the system can identify and categorize the data that needs to be protected. Например, набор правил может содержать правила, определяющие номера кредитных карт или карт социального страхования. For example, a rule set might contain a rule that identifies credit card numbers and another rule that identifies Social Security numbers.

Возможность проверки данных компании на предмет соответствия заданным правилам. A way to scan company data to see whether it matches any of your defined rules. На данный момент в Microsoft Exchange Server и Exchange Online эта служба доступна для передаваемой электронной почты, в то время как в Microsoft SharePoint и SharePoint Online эта служба доступна для содержимого библиотек документов. Currently, Microsoft Exchange Server and Exchange Online provide this service for email in transit, while Microsoft SharePoint and SharePoint Online provide this service for content stored in document libraries.

Возможность указывать действия над данными, соответствующими условиям правила, включая предоставление сотрудникам возможности обхода применения правила. The ability to specify what happens when data matches a rule, including whether employees can bypass enforcement. Например, в Microsoft SharePoint и SharePoint Online система защиты от потери данных Майкрософт позволяет предупреждать сотрудников о содержании конфиденциальных сведений в передаваемых данных и предоставлять им возможность поделиться этими данными вопреки предупреждению (с необязательной записью в журнале аудита). For example, in Microsoft SharePoint and SharePoint Online, the Microsoft data loss prevention system lets you warn your employees that shared data includes sensitive info, and to share it anyway (with an optional audit log entry).

К сожалению, системы защиты от потери данных не идеальны. Unfortunately, data loss prevention systems have their own problems. Например, чем меньше подробный набор правил, тем больше ложных срабатывалось, что приводит сотрудников к тому, что правила замедляют их работу и их необходимо обходить, чтобы оставаться продуктивными, что может привести к неправильному блокированию или неправильному опубликованию данных. For example, the less detailed the rule set, the more false positives are created, leading employees to believe that the rules slow down their work and need to be bypassed in order to remain productive, potentially leading to data being incorrectly blocked or improperly released. Еще одна серьезная проблема состоит в необходимости масштабного внедрения систем защиты от потери данных для их эффективной работы. Another major problem is that data loss prevention systems must be widely implemented to be effective. Например, если компания использует систему защиты от потери данных для электронной почты, но не для файловых ресурсов или хранилища документов, могут возникнуть утечки данных по незащищенным каналам. For example, if your company uses a data loss prevention system for email, but not for file shares or document storage, you might find that your data leaks through the unprotected channels. Но, возможно, самая большая проблема с системами предотвращения потери данных заключается в том, что он обеспечивает возможность прерывать естественный рабочий процесс сотрудников, останавливая некоторые операции (например, отправку сообщения с вложением, которое система тегов как чувствительная), а также позволяет другим, часто в соответствии с тонкими правилами, которые сотрудник не видит и не может понять. But perhaps the biggest problem with data loss prevention systems is that it provides a jarring experience that interrupts the employees’ natural workflow by stopping some operations (such as sending a message with an attachment that the system tags as sensitive) while allowing others, often according to subtle rules that the employee doesn’t see and can’t understand.

Использование систем управления правами на доступ к данным Using information rights management systems

Для решения возможных проблем с системами защиты от потери данных компании разработали системы управления правами на доступ к данным (IRM). To help address the potential data loss prevention system problems, companies developed information rights management (also known as IRM) systems. Системы управления правами на доступ к данным встраивают средства защиты в сами документы, то есть при создании документа сотрудник определяет тип применяемой защиты. Information rights management systems embed protection directly into documents, so that when an employee creates a document, he or she determines what kind of protection to apply. Например, сотрудник может запретить переадресацию и печать документа, предоставление к нему общего доступа за пределами организации и так далее. For example, an employee can choose to stop the document from being forwarded, printed, shared outside of the organization, and so on.

После выбора типа защиты создающее приложение зашифровывает документ, чтобы его могли открывать только авторизованные пользователи и только в совместимых приложениях. After the type of protection is set, the creating app encrypts the document so that only authorized people can open it, and even then, only in compatible apps. После того как сотрудник откроет документ, приложение отвечает за реализацию указанных средств защиты. After an employee opens the document, the app becomes responsible for enforcing the specified protections. Средства защиты перемещаются вместе с документом, поэтому если авторизованный пользователь отправит его неавторизованному, последний не сможет прочесть или изменить документ. Because protection travels with the document, if an authorized person sends it to an unauthorized person, the unauthorized person won’t be able to read or change it. Но для эффективной работы систем управления правами на доступ к данным требуется развернуть и настроить как серверную, так и клиентскую среду. However, for this to work effectively information rights management systems require you to deploy and set up both a server and client environment. А поскольку с защищенными документами могут работать только совместимые клиенты, ход работы сотрудника может неожиданно прерваться, если он попробует воспользоваться несовместимым приложением. And, because only compatible clients can work with protected documents, an employees’ work might be unexpectedly interrupted if he or she attempts to use a non-compatible app.

А что произойдет, если сотрудник покинет компанию или отменит регистрацию устройства? And what about when an employee leaves the company or unenrolls a device?

Наконец, существует риск утечки данных из компании, когда сотрудник оставляет устройство без присмотра или отменяет его регистрацию. Finally, there’s the risk of data leaking from your company when an employee leaves or unenrolls a device. Раньше можно было просто очистить все корпоративные данные с устройства, в том числе и любые находящиеся на нем персональные данные. Previously, you would simply erase all of the corporate data from the device, along with any other personal data on the device.

Преимущества WIP Benefits of WIP

WIP предоставляет следующие возможности. WIP provides:

Очевидное разделение между персональными и корпоративными данными без необходимости переключения сотрудниками сред или приложений. Obvious separation between personal and corporate data, without requiring employees to switch environments or apps.

Дополнительная защита данных в существующих бизнес-приложениях без необходимости обновления приложений. Additional data protection for existing line-of-business apps without a need to update the apps.

Возможность стирать корпоративные данные с устройств, зарегистрированные в Intune, сохраняя при этом личные данные. Ability to wipe corporate data from Intune MDM enrolled devices while leaving personal data alone.

Использование отчета об аудитах для отслеживания проблем и принятия корректирующих действий. Use of audit reports for tracking issues and remedial actions.

Интеграция с существующей системой управления (Microsoft Intune, Microsoft Endpoint Configuration Manager или текущая система управления мобильными устройствами(MDM) для настройки, развертывания и управления WIP для вашей компании. Integration with your existing management system (Microsoft Intune, Microsoft Endpoint Configuration Manager, or your current mobile device management (MDM) system) to configure, deploy, and manage WIP for your company.

Зачем использовать WIP? Why use WIP?

WIP — это механизм управления мобильными приложениями (MAM) в Windows 10. WIP is the mobile application management (MAM) mechanism on Windows 10. WIP предоставляет вам новый способ управления исполнением политики данных для приложений и документов на настольных операционных системах Windows 10, а также возможность удаления доступа к корпоративным данным как с корпоративных, так и с личных устройств (после регистрации в решении корпоративного управления, например Intune). WIP gives you a new way to manage data policy enforcement for apps and documents on Windows 10 desktop operating systems, along with the ability to remove access to enterprise data from both enterprise and personal devices (after enrollment in an enterprise management solution, like Intune).

Изменение представления о применении политики данных. Change the way you think about data policy enforcement. В качестве корпоративного администратора вам необходимо поддерживать соответствие вашей политики данных и доступа к данным нормативным требованиям. As an enterprise admin, you need to maintain compliance in your data policy and data access. WIP помогает защитить предприятие как на корпоративных, так и на корпоративных устройствах, даже если сотрудник не использует устройство. WIP helps protect enterprise on both corporate and employee-owned devices, even when the employee isn’t using the device. Когда сотрудник создает какие-либо материалы с помощью защищенного на корпоративном уровне устройства, он может сохранить эти материалы в виде рабочего документа. When employees create content on an enterprise-protected device, they can choose to save it as a work document. Если это рабочий документ, он становится локально защищенным и ему присваивается статус корпоративного. If it’s a work document, it becomes locally-maintained as enterprise data.

Управление корпоративными документами, приложениями и режимами шифрования. Manage your enterprise documents, apps, and encryption modes.

Копирование или загрузка корпоративных данных. Copying or downloading enterprise data. Когда сотрудник или приложение загружает материалы из такого расположения, как SharePoint, сетевая папка или корпоративное интернет-расположение, с помощью устройства, защищенного с использованием WIP, WIP шифрует данные на этом устройстве. When an employee or an app downloads content from a location like SharePoint, a network share, or an enterprise web location, while using a WIP-protected device, WIP encrypts the data on the device.

Использование защищенных приложений. Using protected apps. Управляемые приложения (приложения, которые вы **** включили в список защищенных приложений в политике WIP) имеют право на доступ к корпоративным данным и будут по-разному взаимодействовать при их неосвоеченном, непредприятном или личном доступе к приложениям. Managed apps (apps that you’ve included on the Protected apps list in your WIP policy) are allowed to access your enterprise data and will interact differently when used with unallowed, non-enterprise aware, or personal-only apps. Например, если уровень управления WIP определен как Блокировка, ваши сотрудники могут копировать и вставлять содержимое из одного защищенного приложения в другое защищенное приложение, но не в личные приложения. For example, if WIP management is set to Block, your employees can copy and paste from one protected app to another protected app, but not to personal apps. Представьте, что hr-лицо хочет скопировать описание задания из защищенного приложения на внутренний веб-сайт карьеры, защищенное предприятием, но ошибается и вместо этого пытается вклеить его в личное приложение. Imagine an HR person wants to copy a job description from a protected app to the internal career website, an enterprise-protected location, but makes a mistake and tries to paste into a personal app instead. Операция вставки завершится ошибкой, и будет выведено уведомление с описанием того, что приложению не удалось выполнить вставку из-за ограничений, наложенных политикой. The paste action fails and a notification pops up, saying that the app couldn’t paste because of a policy restriction. После этого сотрудник без каких-либо проблем корректно выполняет вставку информации на веб-сайт для поиска работы. The HR person then correctly pastes to the career website without a problem.

Управляемые приложения и ограничения. Managed apps and restrictions. WIP помогает контролировать, какие приложения могут получать доступ и использовать корпоративные данные. With WIP you can control which apps can access and use your enterprise data. После добавления приложения в список защищенных, оно может использоваться для работы с корпоративными данными. After adding an app to your protected apps list, the app is trusted with enterprise data. В зависимости от установленного режима управления WIP, всем приложениям, отсутствующим в этом списке, запрещается доступ к корпоративным данным. All apps not on this list are stopped from accessing your enterprise data, depending on your WIP management-mode.

Вам не нужно изменять бизнес-приложения, которые никогда не касаются персональных данных, чтобы перечислить их в качестве защищенных приложений; просто включите их в список защищенных приложений. You don’t have to modify line-of-business apps that never touch personal data to list them as protected apps; just include them in the protected apps list.

Определение уровня доступа к данным. Deciding your level of data access. WIP позволяет блокировать, разрешать переопределения или проводить аудит действий сотрудников по предоставлению доступа к данным. WIP lets you block, allow overrides, or audit employees’ data sharing actions. Если скрыть переопределения, действие немедленно останавливается. Hiding overrides stops the action immediately. Разрешение переопределений позволяет сотруднику узнать о наличии риска, однако дает ему возможность продолжить предоставления общего доступа к данным, при этом записывая и выполняя аудит действий. Allowing overrides lets the employee know there’s a risk, but lets him or her continue to share the data while recording and auditing the action. Silent просто регистрит действие, не останавливая все, что сотрудник мог переопределять при использовании этого параметра; сбор информации, которая поможет вам увидеть шаблоны ненадлежащего общего доступа, чтобы можно было принять дополнительные меры или найти приложения, которые должны быть добавлены в список защищенных приложений. Silent just logs the action without stopping anything that the employee could’ve overridden while using that setting; collecting info that can help you to see patterns of inappropriate sharing so you can take educative action or find apps that should be added to your protected apps list. Сведения о том, как собирать файлы журнала аудита, вы найдете в статье Как собирать журналы событий аудита Windows Information Protection (WIP). For info about how to collect your audit log files, see How to collect Windows Information Protection (WIP) audit event logs.

Шифрование данных. Data encryption at rest. WIP помогает защитить корпоративные данные в локальных файлах и на съемных носителях. WIP helps protect enterprise data on local files and on removable media.

Такие приложения, как Microsoft Word, поддерживают работу с WIP, чтобы обеспечить защиту данных в локальных файлах и на съемных носителях. Apps such as Microsoft Word work with WIP to help continue your data protection across local files and removable media. Такие приложения называются корпоративными. These apps are being referred to as, enterprise aware. Например, если пользователь открывает материалы Word, зашифрованные с помощью WIP, изменяет их содержимое, а затем пытается сохранить измененную версию под другим именем, Word автоматически обрабатывает новый документ посредством WIP, обеспечивая его шифрования. For example, if an employee opens WIP-encrypted content from Word, edits the content, and then tries to save the edited version with a different name, Word automatically applies WIP to the new document.

Предотвращение случайного раскрытия данных на общедоступных ресурсах. Helping prevent accidental data disclosure to public spaces. WIP позволяет защитить ваши корпоративные данные от случайного раскрытия на общедоступных ресурсах, таких как хранилище в общедоступном облаке. WIP helps protect your enterprise data from being accidentally shared to public spaces, such as public cloud storage. Например, если Dropbox™ отсутствует в списке защищенных приложений, сотрудники не смогут синхронизировать зашифрованные файлы со своим личным облачным хранилищем. For example, if Dropbox™ isn’t on your protected apps list, employees won’t be able to sync encrypted files to their personal cloud storage. Вместо этого, если сотрудник сохраняет содержимое приложения из списка защищенных приложений, например Microsoft OneDrive для бизнеса, зашифрованные файлы могут свободно синхронизироваться с корпоративным облаком. При этом выполняется их локальное шифрование. Instead, if the employee stores the content to an app on your protected apps list, like Microsoft OneDrive for Business, the encrypted files can sync freely to the business cloud, while maintaining the encryption locally.

Предотвращение случайного раскрытия данных на съемных носителях. Helping prevent accidental data disclosure to removable media. WIP помогает предотвратить утечку корпоративных данных при их копировании или переносе на съемный носитель. WIP helps prevent enterprise data from leaking when it’s copied or transferred to removable media. Например, если сотрудник помещает корпоративные данные на накопитель USB, где также хранятся личные данные, корпоративные данные остаются зашифрованные, тогда как личные данные – нет. For example, if an employee puts enterprise data on a Universal Serial Bus (USB) drive that also has personal data, the enterprise data remains encrypted while the personal data doesn’t.

Отзыв доступа к данным компании с устройств, защищенных на корпоративном уровне. Remove access to enterprise data from enterprise-protected devices. WIP предоставляет администраторам возможность отзывать корпоративные данные с одного или нескольких устройств, зарегистрированных в MDM, не трогая при этом личные данные. WIP gives admins the ability to revoke enterprise data from one or many MDM-enrolled devices, while leaving personal data alone. Это становится преимуществом, если сотрудник покидает компанию или если его устройство украден. This is a benefit when an employee leaves your company, or in the case of a stolen device. После определения необходимости удаления доступа к данным, можно использовать Microsoft Intune для отмены регистрации устройства, чтобы при его следующем подключении к сети ключ шифрования пользователя для этого устройства был отозван и корпоративные данные стали бы нечитаемыми. After determining that the data access needs to be removed, you can use Microsoft Intune to unenroll the device so when it connects to the network, the user’s encryption key for the device is revoked and the enterprise data becomes unreadable.

Для управления устройствами Surface рекомендуется использовать текущий филиал Microsoft Endpoint Configuration Manager. For management of Surface devices it is recommended that you use the Current Branch of Microsoft Endpoint Configuration Manager.
Microsoft Endpoint Manager также позволяет отоискить корпоративные данные. Microsoft Endpoint Manager also allows you to revoke enterprise data. Однако эта операция выполняется путем сброса устройства до заводских настроек. However, it does it by performing a factory reset of the device.

Как работает WIP How WIP works

WIP позволяет преодолевать ежедневные трудности, возникающие в организации. WIP helps address your everyday challenges in the enterprise. К ним относятся: Including:

предотвращение потери корпоративных данных даже на устройствах, принадлежащих сотрудникам, которые невозможно заблокировать; Helping to prevent enterprise data leaks, even on employee-owned devices that can’t be locked down.

снижение недовольства сотрудников, вызванного ограничениями политик управления данными на принадлежащих компании устройствах; Reducing employee frustrations because of restrictive data management policies on enterprise-owned devices.

сохранение прав собственности и контроль за корпоративными данными; Helping to maintain the ownership and control of your enterprise data.

помощь в управлении сетью и доступом к данным, а также обмен данными с приложениями, которые не являются корпоративными. Helping control the network and data access and data sharing for apps that aren’t enterprise aware

Корпоративные сценарии Enterprise scenarios

В настоящее время WIP позволяет использовать следующие корпоративные сценарии. WIP currently addresses these enterprise scenarios:

Вы можете шифровать корпоративные данные на собственных устройствах сотрудников и корпоративных устройствах. You can encrypt enterprise data on employee-owned and corporate-owned devices.

Вы можете удаленно стирать корпоративные данные с управляемых компьютеров, включая собственные компьютеры сотрудников, без воздействия на личные данные. You can remotely wipe enterprise data off managed computers, including employee-owned computers, without affecting the personal data.

Вы можете защитить определенные приложения, которые могут получать доступ к корпоративным данным, которые хорошо узнаваемы для сотрудников. You can protect specific apps that can access enterprise data that are clearly recognizable to employees. Вы также можете запрещать незащищенным приложениям доступ к корпоративным данным. You can also stop non-protected apps from accessing enterprise data.

Работа ваших сотрудников не будет прерываться при переключении между личными и корпоративными приложениями, если при этом действуют корпоративные политики. Your employees won’t have their work otherwise interrupted while switching between personal and enterprise apps while the enterprise policies are in place. Переключения сред или многократного входа не потребуется. Switching environments or signing in multiple times isn’t required.

Режимы защиты WIP WIP-protection modes

Корпоративные данные автоматически зашифровываются, после того как они загружены на устройство из корпоративного источника или помечены сотрудником как корпоративные. Enterprise data is automatically encrypted after it’s loaded on a device from an enterprise source or if an employee marks the data as corporate. Затем при записи корпоративных данных на диск WIP использует шифрованную файловую систему (EFS) Windows, чтобы защитить их и связать с вашим корпоративным удостоверением. Then, when the enterprise data is written to disk, WIP uses the Windows-provided Encrypting File System (EFS) to protect it and associate it with your enterprise identity.

Политика WIP включает список доверенных приложений, защищенных для доступа к корпоративным данным и обработки их. Your WIP policy includes a list of trusted apps that are protected to access and process corporate data. Этот список приложений реализуется через функцию AppLocker. Он позволяет определять, каким приложениям разрешено запускаться, и сообщает операционной системе Windows о возможности изменения корпоративных данных приложениями. This list of apps is implemented through the AppLocker functionality, controlling what apps are allowed to run and letting the Windows operating system know that the apps can edit corporate data. Приложения в этом списке не требуют изменений для доступа к корпоративным данным, так как Windows определяет возможность предоставления им доступа в зависимости от их наличия в списке. Apps included on this list don’t have to be modified to open corporate data because their presence on the list allows Windows to determine whether to grant them access. Однако в Windows 10 появилась новая функция: разработчики приложений могут использовать новый набор программных интерфейсов (API) для создания грамотных приложений, которые могут использовать и изменять как корпоративные, так и персональные данные. However, new for Windows 10, app developers can use a new set of application programming interfaces (APIs) to create enlightened apps that can use and edit both enterprise and personal data. Колоссальное преимущество грамотных приложений состоит в том, что при использовании приложений двойного назначения, например Microsoft Word, можно не опасаться ошибочного шифрования персональных данных, так как эти API позволяют приложению определять принадлежность данных компании или лично пользователю. A huge benefit to working with enlightened apps is that dual-use apps, like Microsoft Word, can be used with less concern about encrypting personal data by mistake because the APIs allow the app to determine whether data is owned by the enterprise or if it’s personally owned.

Сведения о том, как собирать файлы журнала аудита, вы найдете в статье Как собирать журналы событий аудита Windows Information Protection (WIP). For info about how to collect your audit log files, see How to collect Windows Information Protection (WIP) audit event logs.

Вы можете настроить политику WIP на использование от 1 до 4 режимов защиты и управления. You can set your WIP policy to use 1 of 4 protection and management modes:

Режим Mode	Описание Description
Блокирование Block	WIP обнаруживает случаи недопустимого предоставления доступа к данным и запрещает сотруднику выполнить действие. WIP looks for inappropriate data sharing practices and stops the employee from completing the action. Сюда может относиться предоставление общего доступа к корпоративным данным в приложениях, которые не защищены на корпоративном уровне, (в дополнение к совместному использованию таких данных в различных приложениях), а также попытки предоставить доступ к данным вне сети вашей организации. This can include sharing enterprise data to non-enterprise-protected apps in addition to sharing enterprise data between apps or attempting to share outside of your organization’s network.
Разрешить переопределения Allow overrides	WIP обнаруживает случаи недопустимого предоставления доступа к данным и предупреждает сотрудника о том, что он собирается выполнить потенциально небезопасное действие. WIP looks for inappropriate data sharing, warning employees if they do something deemed potentially unsafe. Тем не менее в этом режиме управления сотрудник может переопределить политику и предоставить доступ к данным. При этом сведения о его действии будут внесены в журнал аудита. However, this management mode lets the employee override the policy and share the data, logging the action to your audit log.
Автоматически Silent	WIP работает в автоматическом режиме, занося в журнал сведения о недопустимом предоставлении доступа к данным, но не останавливает никакие действия, предупреждения о которых пользователь увидел бы в режиме «Разрешить переопределения». WIP runs silently, logging inappropriate data sharing, without stopping anything that would’ve been prompted for employee interaction while in Allow overrides mode. Неразрешенные действия, например несанкционированные попытки приложений получить доступ к сетевым ресурсам или данным, защищенным с помощью WIP, останавливаются. Unallowed actions, like apps inappropriately trying to access a network resource or WIP-protected data, are still stopped.
Отключено Off	Средство WIP отключено. Оно не защищает данные и не производит их аудит. WIP is turned off and doesn’t help to protect or audit your data. После отключения WIP будет выполнена попытка расшифровать все файлы с тегами WIP на локально подключенных дисках. After you turn off WIP, an attempt is made to decrypt any WIP-tagged files on the locally attached drives. Имейте в виду, что введенные ранее сведения о расшифровке и политике не применяются повторно автоматически, если вы снова включите защиту WIP. Be aware that your previous decryption and policy info isn’t automatically reapplied if you turn WIP protection back on.

Отключение WIP Turn off WIP

Можно выключить все средства защиты Windows Information Protection и ограничения. В этом случае все устройства, управляемые WIP, будут расшифрованы, система вернется к состоянию до включения WIP без потери данных. You can turn off all Windows Information Protection and restrictions, decrypting all devices managed by WIP and reverting to where you were pre-WIP, with no data loss. Однако делать это не рекомендуется. However, this isn’t recommended. Если вы решили отключить WIP, эту функцию всегда можно включить обратно, однако сведения о расшифровке и политике не будут автоматически применяться повторно. If you choose to turn WIP off, you can always turn it back on, but your decryption and policy info won’t be automatically reapplied.

Следующие этапы Next steps

После принятия решения об использовании WIP на своем предприятии вам потребуется следующее: After deciding to use WIP in your enterprise, you need to:

Отправляйте нам правки, добавления и отзывы, чтобы помочь улучшить этот раздел. Help to make this topic better by providing us with edits, additions, and feedback. Сведения о том, как внести свой вклад в эту тему, см. в разделе Редактирование ИТ-документации Windows. For info about how to contribute to this topic, see Editing Windows IT professional documentation.