Dynamicky šifrujte soubory pomocí služby AD RMS na základě infrastruktury klasifikace souborů v systému Windows Server 2012

V předchozím článku v řadě (Infrastruktura klasifikace souborů v systému Windows Server 2012) jsme hovořili o mechanismu pro automatickou klasifikaci souborů na základě jejich obsahu nebo umístění. V tomto článku se pokusíme implementovat realističtější scénář pro ochranu souborů klasifikovaných určitým způsobem službou klasifikace souborů (FCI). Řekněme, že chceme implementovat povinné šifrování všech souborů finančního oddělení, uložené na souborovém serveru (jako možnost pro všechny důvěrné dokumenty). Tuto službu můžete použít k provedení tohoto úkolu. FCI a AD RMS.

Jak to bude fungovat? Pokud zkrátka pomocí mechanismu FCI najdeme všechny soubory, které je třeba chránit, a přiřadíme jim konkrétní štítky, pak pro soubory s těmito značkami vytvoříme speciální úlohu šifrování RMS, ve které můžete připojit existující šablonu zásad RMS nebo ručně nastavit zásady RMS. Je třeba poznamenat, že při přenosu dat mezi servery (samozřejmě by to měl být Windows Server 2008 R2 / Server 2012) se štítky ukládají.

Tento mechanismus by mohl být implementován také v systému Windows Server 2008 R2, ale nová platforma má výhody:

  • Všechny funkce jsou k dispozici v roli serveru FSRM, již nemusíte instalovat nástroj AD RMS Bulk Protection a psát své vlastní skripty.
  • Soubory mohou být chráněny za běhu, tj. Když se nový soubor neobjeví na serveru, automaticky se klasifikuje, jsou mu přiřazeny štítky a je okamžitě chráněn.

Chcete-li umožnit souborovému serveru požadovat certifikáty a šifrovat dokumenty, musíte nastavit následující oprávnění pro soubor, který se nenachází na serveru RMS ServerCertification.asmx .

  • Číst + provést pro účet souborového serveru
  • Přečíst + provést pro servisní skupinu AD RMS

Poté v konzole FSRM v části Nástroje pro správu souborů potřebujete novou úlohu.

Tab Generále název pravidla je uveden (je lepší, aby měl smysl):

O příspěvku Oblast působnosti je uveden rozsah pravidla (specifikovali jsme dříve vytvořenou sadu finančních údajů a samostatnou složku E: \ share1):

Tab Akce K dispozici jsou tři možnosti:

  • Vlastní - můžete zadat vlastní příkaz, který musí být spuštěn na všech souborech. Může to zahrnovat skript na vbs, powerhell atd..
  • Expire - s touto volbou můžete nastavit expiraci (životnost) souboru, po kterém bude přesunut do speciálního adresáře (politika vypršení platnosti souboru).
  • RMS Encryption - můžete určit existující šablonu zásad nebo vytvořit vlastní pravidlo

Zajímá nás možnost šifrování souborů Šifrování RMS, výběrem, od kterého budeme požádáni, abychom uvedli, zda chceme použít připravenou šablonu RMS, nebo vytvoříme vlastní sadu oprávnění. Vybereme si druhou možnost, poskytneme všem přístup ke čtení a uživatelům „Finance User“ s plným přístupem:

Tab Oznámení Můžete určit seznam adres vlastníků složky, vedoucího oddělení nebo správce, kterému budou zasílána oznámení:

Tab Podmínky je vybráno pravidlo, které definuje dokumenty, které je třeba zašifrovat. Zajímají nás všechny soubory označené ministerstvem s hodnotou Finance. Označuje také časové podmínky aplikace (čas od vytvoření / změny / poslední přístup) a masku názvu souboru:

Tab Plán je nastaven plán pro použití pravidla, můžete určit, že úloha bude spuštěna nepřetržitě (nepřetržitě):

Po uložení pravidla jej můžete spustit a seznámit se zprávou o jeho aplikaci:

Podle očekávání jsou soubory, které splňují parametry, šifrovány a přístup k nim je nyní omezen.

Seznámili jsme se s tím, jak chránit všechny soubory uvnitř určených adresářů se specifickým obsahem pomocí funkcí systému Windows Server 2012 (klasifikace souborů FCI) a AD RMS. Všechny tyto technologie jsou součástí nového řízení přístupu k veřejným složkám a složkám systému Windows Server 2012 - Dynamic Access Control.