Scenario: Versleuteling van Office-documenten op basis van classificatie

Artikel
06/12/2016

Van toepassing op: Windows Server 2012

Bij beveiliging van gevoelige informatie draait het met name om het verlagen van het risico voor de organisatie. Diverse nalevingsvoorschriften, zoals HIPAA (Health Insurance Portability and Accountability Act) en PCI-DSS (Payment Card Industry Data Security Standard) stellen versleuteling van informatie verplicht. Er zijn tal van andere redenen te bedenken om gevoelige informatie te versleutelen. Het coderen van gegevens is echter kostbaar en kan de zakelijke productiviteit belemmeren. Organisaties hebben daarom vaak verschillende benaderingen en prioriteiten voor het coderen van hun gegevens.

Scenariobeschrijving

Windows Server 2012 biedt de mogelijkheid om gevoelige Microsoft Office-bestanden automatisch te versleutelen op basis van hun classificatie. Hiervoor worden bestandsbeheertaken gebruikt waarbij de bescherming van Active Directory Rights Management Services (AD RMS) wordt geactiveerd voor gevoelige documenten enkele seconden nadat het bestand als gevoelig is aangemerkt op de bestandsserver. Dit proces wordt vergemakkelijkt door doorlopende bestandsbeheertaken op de bestandsserver.

AD RMS-versleuteling biedt een andere beschermingslaag voor bestanden. Zelfs als iemand die toegang heeft tot een gevoelig bestand dat bestand per ongeluk via e-mail verzendt, wordt het beveiligd door de AD RMS-versleuteling. Een gebruiker die het bestand wil openen, moet eerst worden geauthenticeerd bij een AD RMS-server om de ontsleutelingssleutel te ontvangen. In de volgende afbeelding ziet u dit proces.

Afbeelding 6

Afbeelding 6 RMS-beveiliging op basis van classificatie

Ondersteuning voor bestandsindelingen die niet van Microsoft zijn is beschikbaar via andere leveranciers. Wanneer een bestand eenmaal wordt beveiligd met AD RMS-versleuteling, zijn gegevensbeheerfuncties zoals classificatie op basis van zoeken of inhoud niet langer beschikbaar voor het bestand.

In dit scenario

Hieronder ziet u de hulponderwerpen bij dit scenario:

Rollen en functies binnen dit scenario

De volgende tabel vermeldt de rollen en functies die deel van dit scenario uitmaken en beschrijft hoe ze die ondersteunen.

Rol/functie	Ondersteuning voor dit scenario
Rol Active Directory Domain Services (AD DS)	AD DS biedt een gedistribueerde database voor opslag en beheer van informatie over netwerkbronnen en toepassingsspecifieke gegevens uit toepassingen die gebruikmaken van Active Directory. In dit scenario wordt met AD DS in Windows Server 2012 een op claims gebaseerd autorisatieplatform geïntroduceerd waarmee gebruikersclaims en apparaatclaims, gecombineerde gebruikers- en apparaatclaims, een nieuw model voor centraal toegangsbeleid en het gebruik van bestandsclassificatie-informatie kunnen worden gemaakt voor het nemen van autorisatiebeslissingen.
Functie voor bestands- en opslagservices Bestandsserverbronbeheer	Bestands- en opslagservices biedt technologieën voor het instellen en beheren van een of meer bestandsservers die als een centrale locatie in het netwerk fungeren waar u bestanden kunt opslaan en delen met gebruikers. Als uw netwerkgebruikers toegang nodig hebben tot dezelfde bestanden en toepassingen, of als centrale back-up en bestandsbeheer belangrijk zijn voor uw organisatie, moet u een of meer computers instellen als bestandsserver door de functie Bestands- en opslagservices en de juiste functieservices toe te voegen aan de computers. In dit scenario kan een beheerder bestandsbeheertaken configureren waarmee AD RMS-bescherming voor gevoelige documenten enkele seconden nadat de bestanden als gevoelig zijn aangemerkt wordt geactiveerd op de bestandsserver (doorlopende bestandsbeheertaken op de bestandsserver).
Rol Active Directory Rights Management Services (AD RMS)	AD RMS stelt gebruikers en beheerders (via IRM-beleid (Information Rights Management)) in staat toegangsmachtigingen op te geven voor documenten, werkmappen en presentaties. Dit helpt voorkomen dat gevoelige informatie wordt afgedrukt, doorgestuurd of gekopieerd door onbevoegden. Nadat de machtiging voor een bestand is beperkt met IRM, worden de toegangs- en gebruiksbeperkingen afgedwongen. Het maakt hierbij niet uit waar de gegevens zich bevinden, omdat de machtiging voor een bestand in het documentbestand zelf wordt opgeslagen. In dit scenario biedt AD RMS-versleuteling een andere beschermingslaag voor bestanden. Zelfs als iemand die toegang heeft tot een gevoelig bestand dat bestand per ongeluk via e-mail verzendt, wordt het beveiligd door de AD RMS-versleuteling. Een gebruiker die het bestand wil openen, moet eerst worden geauthenticeerd bij een AD RMS-server om de ontsleutelingssleutel te ontvangen.

Rol Active Directory Domain Services (AD DS)

AD DS biedt een gedistribueerde database voor opslag en beheer van informatie over netwerkbronnen en toepassingsspecifieke gegevens uit toepassingen die gebruikmaken van Active Directory. In dit scenario wordt met AD DS in Windows Server 2012 een op claims gebaseerd autorisatieplatform geïntroduceerd waarmee gebruikersclaims en apparaatclaims, gecombineerde gebruikers- en apparaatclaims, een nieuw model voor centraal toegangsbeleid en het gebruik van bestandsclassificatie-informatie kunnen worden gemaakt voor het nemen van autorisatiebeslissingen.

Functie voor bestands- en opslagservices

Bestandsserverbronbeheer

Bestands- en opslagservices biedt technologieën voor het instellen en beheren van een of meer bestandsservers die als een centrale locatie in het netwerk fungeren waar u bestanden kunt opslaan en delen met gebruikers. Als uw netwerkgebruikers toegang nodig hebben tot dezelfde bestanden en toepassingen, of als centrale back-up en bestandsbeheer belangrijk zijn voor uw organisatie, moet u een of meer computers instellen als bestandsserver door de functie Bestands- en opslagservices en de juiste functieservices toe te voegen aan de computers. In dit scenario kan een beheerder bestandsbeheertaken configureren waarmee AD RMS-bescherming voor gevoelige documenten enkele seconden nadat de bestanden als gevoelig zijn aangemerkt wordt geactiveerd op de bestandsserver (doorlopende bestandsbeheertaken op de bestandsserver).

Rol Active Directory Rights Management Services (AD RMS)

AD RMS stelt gebruikers en beheerders (via IRM-beleid (Information Rights Management)) in staat toegangsmachtigingen op te geven voor documenten, werkmappen en presentaties. Dit helpt voorkomen dat gevoelige informatie wordt afgedrukt, doorgestuurd of gekopieerd door onbevoegden. Nadat de machtiging voor een bestand is beperkt met IRM, worden de toegangs- en gebruiksbeperkingen afgedwongen. Het maakt hierbij niet uit waar de gegevens zich bevinden, omdat de machtiging voor een bestand in het documentbestand zelf wordt opgeslagen. In dit scenario biedt AD RMS-versleuteling een andere beschermingslaag voor bestanden. Zelfs als iemand die toegang heeft tot een gevoelig bestand dat bestand per ongeluk via e-mail verzendt, wordt het beveiligd door de AD RMS-versleuteling. Een gebruiker die het bestand wil openen, moet eerst worden geauthenticeerd bij een AD RMS-server om de ontsleutelingssleutel te ontvangen.

Scenario: Versleuteling van Office-documenten op basis van classificatie

Scenariobeschrijving

In dit scenario

Rollen en functies binnen dit scenario

Aanvullende resources