Windows Information Protection - část 1. - obecný popis

Co je Windows Information Protection

Princip fungování WIPu se dá v podstatě zjednodušeně označit jako MAM (Mobile Application Management) pro Windows 10 - tak jsou IT správci řadu let zvyklí spravovat iOS a Android zařízení a určovat, které nainstalované aplikace mají přístup k firemním datům (email, kalendář, dokumenty, apod.), tak podobnou funkcionalitu nám nabízí i Windows 10. Navíc s docela kvalitní integrací do operačního systému, který na základě nastavených pravidel rozpoznává, která data jsou firemní a která nikoliv, a následně k nim aplikacím povolí, nebo zakáže přístup. V případě stolních počítačů je použití technologie přece jen komplexnější než na mobilních zařízeních – spíše než o přístup ke cloudovým službám jde především o řízení přístupu k souborům na síťových úložištích a šifrování souborů překopírovaných na klientské počítače. Výsledkem použití WIPu je, že komunikace s datovými úložišti je omezena pouze na povolené aplikace, překopírovaná data jsou na klientských počítačích ihned zabezpečena a přístup k nim mají opět výhradně schválené aplikace. Windows se navíc starají o to, aby mezi chráněnými aplikacemi mohla probíhat lokální výměna dat (=klasické Ctrl+C a Ctrl+V) a aby data pocházející z firemních úložišť nebylo možno překopírovat jinam (například uložit na USB disk, nahrát do cloudu, apod.)

Je na místě zmínit, že zabezpečení přes WIP není neprůstřelné. Šikovný uživatel ho dokáže obejít, ale troufám si říci, že pro většinu uživatelů to je nepřekonatelná překážka. Microsoft si je zmíněných slabin vědom, Windows Information Protection proto chytře propaguje jako technologii, která zamezuje neúmyslným únikům firemních dat, nikoliv jako technologii, která by měla za cíl zamezit cílené krádeži dat.

Jak Windows Information Protection funguje

Základním pochopením celého principu fungování WIPu je porozumění faktu, že ochrana je aplikována na koncových zařízeních (= na Windows 10 počítačích). Data tedy nejsou šifrována na serverech nebo síťových úložištích. Celé řízení přístupu a šifrování řídí koncový klientský počítač - z logiky věci tedy vyplývá, že musí být správně nastaven a funkční. Jiná zařízení zapojená do sítě (ať už se staršími verzemi Windows nebo jinými operačními systémy) se tedy ochranou neřídí a data nešifrují. Z pohledu zabezpečení je tedy zřejmé, že nejslabší článkem Windows Information Protection je právě skutečnost, že se musíte spolehnout na funkčnost ochrany na koncovém počítači.

Správně nastavené zařízení s Windows 10 a Windows Information Protection se chová tak, že si vnitřně kontroluje veškerou síťovou komunikaci. Pokud zjistí, že komunikuje s firemní destinací (síťové úložiště, Exchange server, SharePoint, apod.) tak umožní komunikaci pouze aplikacím, které jsou schváleny. Pokud aplikace schválena není, tak je komunikace zcela zablokována (není-li nastaveno jinak). Stejným způsobem si potom zařízení kontroluje i přístup k lokálně uloženým souborům, které pochází z firemních zdrojů - přístup je opětovně umožněn pouze povoleným aplikacím.

Konkrétní aplikace se chovají odlišně podle toho, jestli s technologií WIP umí vnitřně pracovat, či nikoliv:

• Pokud aplikace vnitřně implementuje potřebná API, jde o tzv. Enlightened aplikaci (v podstatě pouze aplikace Microsoftu, v praxi jde tedy především o balík Office) - taková aplikace umí rozpoznat, jestli přistupuje k firemnímu prostředku, nebo osobnímu, a podle toho nastaví ochranu. Představme si například Word z balíčku Office, ve kterém může být uživatel přihlášen k firemnímu i osobnímu OneDrive účtu zároveň. Data z firemního účtu budou šifrována při uložení, data z osobního nikoliv. Kopírování textu z osobního souboru do pracovního bude možné, obráceně však kopírovat nepůjde. Osobní soubory jdou uložit na USB disk, pracovní však nikoliv. Zní to tedy dobře, bohužel seznam Enlightened aplikací, které se takto chovají, je docela krátký (najdete ho na https://docs.microsoft.com/en-us/windows/security/information-protection/windows-information-protection/enlightened-microsoft-apps-and-wip).
   

• Pokud aplikace potřebná API nepodporuje (=v podstatě vše co se běžně v kancelářích využívá kromě Microsoft Office) tak máme dvě možnosti, jak jim umožnit přístup k firemním datům:

  • Povolit přístup a šifrovat vše, co aplikace zapíše lokálně
    Pokud povolíme aplikaci přístup k firemním datům tímto způsobem, tak veškeré lokálně zapsané soubory budou automaticky šifrovány. Tedy například určíme Adobe Reader jako povolenou aplikaci, vytvoříme v ní PDF, uložíme si ho lokálně a bude automaticky zašifrováno. Aplikace neumí rozpoznat firemní či osobní úložiště, šifruje vše a data z ní vykopírovaná jsou vždy označena jako firemní.

  • Udělit výjimku a nešifrovat nic, co aplikace zapíše lokálně
    V opačném případě můžeme aplikaci udělit výjimku ze zabezpečení. Sice bude mít přístup k síťovým firemním prostředkům a firemním souborům, ale lokálně nic šifrovat nebude. Bude tedy moci ochranu obejít a veškerá data z ní vykopírovaná a zapsaná jsou označena jako nefiremní.

Proč bychom chtěli použít u nepodporovaných aplikací druhou možnost? Protože pokud aplikace automaticky šifruje vše, tak je myšleno skutečně vše, tedy i veškeré jí vytvořené soubory interní v Program Files a na jiných místech. To může způsobovat problémy, například pokud k aplikaci patří více exe souborů a nepovolíme přístup všem, tak těm vynechaným zakážeme přístup k důležitým vlastním souborům aplikace, která z tohoto důvodu potom nemusí fungovat korektně.

Kdy používat Windows Information Protection

Obecně je vhodné použít WIP všude tam, kde není možné explicitně šifrovat veškerá data přímo na síťových úložištích. Typicky jde o případy běžného kancelářského použití, kdy se některá data posílají emailem, musí k nim mít přístup externí uživatelé, externí systémy apod. Zašifrování veškerých souborů by proto bylo nežádoucí a znesnadňovalo by každodenní práci. Windows Information Protection nám umožní aplikovat alespoň nějakou ochranu dat tím, že data uložená lokálně na klientských počítačích budou šifrována. Zároveň s nimi budou moci volně nakládat pouze aplikace, kterým to umožníme. Tedy v praxi soubor stažený ze síťového úložiště nepůjde překopírovat na USB, ale půjde odeslat Outlookem obchodním partnerům a ti si ho budou moci bez problémů otevřít.

Užitečnou funkcionalitou je zároveň kontrola kopírování z firemních dokumentů přes Ctrl+C a Ctrl+V. Už jenom toto může být pro řadu firem důležitou funkcí, která sama o sobě stojí za nasazení Windows Information Protection.

Windows Information Protection nepotřebuje pro svoji funkčnost, aby bylo zařízení kompletně zapsáno do správy, stačí, aby bylo registrováno v Azure AD. Je to tedy vhodná technologie pro ochranu dat na BYOD zařízeních.

Další výhodou je, že technologie tak trochu supluje starý známý Applocker (WIP na něm do jisté míry stojí), WIP tedy můžeme celkem obstojně použít na správu použitého softwaru na počítačích, pokud zařízení spravujeme přes Intune.

Naopak není doporučeno používat Windows Information Protection u skutečně kriticky důležitých dat - tam má své místo jednoznačně Azure Information Protection (dříve Rights Management Services), kdy data šifrujeme přímo v místě, kde jsou uložena.

Závěr

Nyní již tedy víme, že Windows Information Protection je funkce, která zamezuje nežádoucímu přenosu firemní dat mimo firemní síťová úložiště a spravovaná zařízení. Zároveň šifruje firemní data, která jsou lokálně uložena na klientských počítačích a řídí, které aplikace k nim mají povolený přístup. Windows Information Protection není neprůstřelný, ale je vhodný jako doplňkové zabezpečení tam, kde nemůžeme zašifrovat veškerá data na síťových discích či serverech. V příštím článku se podíváme na to, jak Windows Information Protection nastavit a probereme si reálné zkušenosti z praxe, včetně problémů, které nás mohou potkat.