Exportar (0) Imprimir
Expandir Tudo

Planejando considerações para criptografia de documentos do Office

Publicado: setembro de 2012

Atualizado: setembro de 2012

Aplica-se a: Windows Server 2012



AD RMS (Active Director Rights Management Services) é uma tecnologia de proteção de informações que pode ser usada com controle de acesso dinâmico para proteger arquivos, conforme são trocados, de forma flexível, dentro de uma organização ou entre limites organizacionais. AD RMS funciona com o Microsoft Office para ajudar a proteger os documentos, habilitando recursos de IRM (Gerenciamento de Direitos de Informação) quando você cria documentos usando aplicativos habilitados, como o Microsoft Word e Microsoft Outlook.

Usando o AD RMS para dar suporte ao recurso de IRM no Microsoft Office, você pode criar documentos ou mensagens de email e protegê-los contra uso não autorizado, uma vez que são compartilhados, de forma flexível, em formato digital. Ao atribuir direitos, proprietários do conteúdo podem definir exatamente como um destinatário pode usar as informações, incluindo o direito de abrir, modificar, imprimir ou encaminhar informações.

noteObservação
O AD RMS pode ser implementado para fornecer uma plataforma abrangente de proteção a informações em ambientes complexos. Além disso, ele pode ser implementado efetivamente para proteger informações compartilhadas entre várias organizações. Para obter mais informações sobre cenários de implantação do AD RMS, consulte Design de arquitetura do AD RMS e cenários de colaboração segura(http://go.microsoft.com/fwlink/?LinkId=256399).

Este tópico fornece orientação sobre as seguintes considerações adicionais que devem ser pesquisadas quando você estiver usando o AD RMS para proteger e criptografar documentos do Office aos quais fornecerá acesso limitado, ao compartilhá-los usando o controle de acesso dinâmico. (Para obter mais informações sobre como funciona o controle de acesso dinâmico, consulte Controle de acesso dinâmico: Visão geral do cenário.)

  • Determinando arquivos para criptografar automaticamente

  • Determinando o modelo de política de direitos para usar ao criptografar arquivos

  • Considerações sobre vários computadores

Ao determinar arquivos ou pastas para criptografia automática usando a tecnologia AD RMS, há dois aspectos a serem considerados. Primeiro, você deve determinar quais tipos de arquivos precisam ser criptografados. Por exemplo, você tem arquivos contendo informações confidenciais ou informações pessoais?

Em seguida, você deve determinar quais propriedades de recursos são maneiras úteis de descrever esses tipos de arquivos. Para começar, tente usar propriedades de recurso predefinidas sempre que possível. Normalmente, isso significa selecionar a propriedade de recurso mais apropriada na lista de propriedades de recursos, que são internas ou definidas pelo usuário, usando o Centro Administrativo do Active Directory. Por exemplo, a tabela a seguir sugere algumas das propriedades exatas de recursos internos que você pode optar por usar ao identificar arquivos para serem marcados para criptografia e proteção de direitos.

 

Propriedade do recurso Descrição

PII

A propriedade do recurso Pll (Informações de Identificação Pessoal) pode ser usada para identificar arquivos que contêm PII para garantir que esses arquivos estejam protegidos no nível atribuído apropriado de confidencialidade. Por exemplo,

Conformidade

A propriedade Conformidade para fins de confidencialidade, de acordo com as diretrizes de HIPAA em uma organização que fornece serviços de saúde.

Projeto

Essa propriedade de recurso pode ser usada para definir uma lista de valores de nome para a qual o nome de um projeto especial na sua organização pode ser aplicado a todos os arquivos relacionados. Isso pode identificar arquivos de projeto para fins de proteção e criptografia aplicadas a eles, garantindo que somente membros da equipe do projeto tenham acesso para abrir e exibir esses arquivos.

Além das propriedades do recurso acima, é possível escolher outras propriedades de recurso personalizadas, definidas na implantação e que aplicam os seguintes critérios:

  • Com base no local do arquivo. Você pode criar uma nova definição de propriedade de recurso denominada "Local" e definir uma lista de valores compatíveis para ela, para os nomes de sites ou locais específicos na sua empresa ou organização. Você pode atribuir os valores a essa propriedade de recurso para cada um dos arquivos, por local. Isso pode ser uma boa estratégia a implementar, se você tiver um local seguro que requer que todos os documentos dentro dele sejam criptografados e protegidos.

  • Com base no conteúdo do arquivo. Outra maneira de criar uma propriedade de recurso para ajudar a proteger conteúdo com base na identificação do tipo de conteúdo. Por exemplo, se for necessário proteger apenas arquivos ou documentos com informações financeiras ou de pagamento confidenciais, você pode optar por usar "Financeiro" ou "Folha de Pagamento" como valores suportados para a propriedade do recurso "Conteúdo" e usar essa propriedade para identificar e marcar arquivos que precisam ser criptografados e protegidos.

  • Com base em classificação manual. Outra maneira possível de identificar arquivos para classificação é classificá-los manualmente. A classificação manual fornece aos usuários e proprietários do conteúdo a capacidade de classificar seus arquivos e pastas utilizando a folha de propriedades desse arquivo ou pasta. Por exemplo, você pode classificar pastas para que qualquer arquivo adicionado à pasta herde as classificações da pasta pai. Para obter mais informações, consulte Trabalhando com classificação de arquivo.

Modelos de política de direitos são usados no AD RMS para controlar os direitos que um usuário ou grupo tem sobre determinado conteúdo protegido por direitos. Ao decidir sobre qual modelo de política de direitos usar para criptografar arquivos em sua organização, é útil considerar a finalidade e a escopo de como você está planejando proteger o conteúdo.

Por exemplo, você pode considerar o uso de um modelo de política de direitos para fins de proteção de conteúdo PII, que será gerado pelo departamento de finanças ou folha de pagamento em sua organização. Nesse caso, você pode nomear o modelo como "Finanças" e selecionar as seguintes configurações de direito de usuário ao criar o modelo no console do AD RMS.

  • Configure um grupo do Active Directory a ser atribuído para uso do modelo, um que contenha apenas os funcionários da equipe regular que trabalha no departamento de finanças ou pagamento. Observe que esse grupo também deverá ser configurado para um nome de email do AD RMS a ser usado como identificação, como "finance@contoso.com" ou "payroll@contoso.com".

  • Selecione Exibir e Exibir Direitos para limitar a capacidade dos funcionários do departamento em modificar a folha de pagamento ou outros detalhes financeiros de documentos.

Configurações de modelo semelhantes também podem ser feitas para proteger conteúdo considerado como HBI (Grande Impacto nos Negócios), com um modelo de "Confidencial da Empresa" que impõe direitos de exibição somente leitura semelhantes e limitados a todos os funcionários de tempo integral.

Outra maneira de determinar um modelo de política de direitos para usar seria aplicar o escopo como fator determinante. Uma forma de fazer isso seria reservar o uso das unidades mapeadas de rede separadamente para cada departamento, para que possam ser usadas por funcionários do departamento para armazenar seus documentos. Neste cenário, você pode ter modelos específicos a cada departamento e garantir que estejam disponíveis somente para serem aplicados aos arquivos, na unidade ou volume mapeado daquele departamento.

Por exemplo, o departamento financeiro pode ter seus arquivos de trabalho gerenciados usando um modelo de volume (unidade) F e o departamento de engenharia pode usar o volume G para armazenar seus arquivos de trabalho protegidos. O gerenciamento de arquivos foi configurado para que os funcionários de cada departamento não tenham acesso ao volume de outro departamento. Isso será útil se você precisar criar mais de uma tarefa de gerenciamento de arquivos para gerenciar proteção para vários departamentos e modelos de política de direitos.

noteObservação
Deve haver apenas um relacionamento de um para um entre modelos e as tarefas de gerenciamento de arquivos. Em geral, você deve tentar usar apenas uma única tarefa de gerenciamento de arquivos e modelo de política de direitos em toda a organização para agendar e gerenciar o uso do modelo. Se você usar mais de um modelo e tarefa de gerenciamento de arquivos como sugerido aqui, certifique-se de adotar as precauções adequadas e gerenciar o escopo separadamente, para que tarefas e volumes em que os arquivos são gerenciados não possam ter proteção atribuída usando mais de um único modelo, a fim de evitar conflitos ou colisões de direitos.

Para obter mais informações sobre como trabalhar com modelos de política de direitos do AD RMS, consulte os recursos adicionais a seguir:

Ao trabalhar para planejar a criptografia dos arquivos que você usa na organização, há uma série de aspectos a serem considerados nos preparativos para implantação de vários computadores. Para começar, não há uma maneira fácil de enviar tarefas de gerenciamento de arquivos e regras de classificação para vários computadores. Portanto, é uma prática comum entre aqueles que trabalham com controle de acesso dinâmico fazer uma nova configuração, transferindo as configurações de um computador para outro manualmente, embora haja algumas ferramentas que podem ajudar nesse processo.

Para cada tarefa de gerenciamento de arquivos e regra de classificação, você pode usar uma propriedade de gerenciamento de uma maneira que permita a definição dinâmica do escopo, em contraste com um escopo especificado estaticamente. No Escopo estático, uma tarefa de gerenciamento de arquivos, uma regra de classificação ou um relatório é definido usando pastas específicas de compartilhamento, caminhos ou os volumes específicos a cada computador em que a regra foi criada. Como cada computador tem uma estrutura de volume/pasta/compartilhamento diferente, uma regra delimitada de maneira estática provavelmente não funcionará, se copiada em outros computadores.

O escopo dinâmico permite que uma tarefa, regra ou relatório sejam definidos de forma a serem calculados corretamente em qualquer computador onde a tarefa, regra ou relatório são colocados. Uma regra com escopo dinâmico pode usar uma propriedade de gerenciamento para ajudar a calcular e aplicar a regra a pastas, verificando como elas são marcadas para uso. Por exemplo, é possível ter dois servidores, como Servidor1 e Servidor2. No Servidor1, D:\share pode conter arquivos com dados de usuário e no Servidor2, E:\share é o compartilhamento usado para a mesma finalidade. Para aplicar escopo dinâmico, você pode especificar uma tarefa de gerenciamento de arquivos que se aplica a todas as pastas marcadas como contendo FolderUsage="User Data". Dessa forma, a regra funciona corretamente em ambos os servidores sem modificação.

noteObservação
Para escopo dinâmico, use sempre a definição de propriedade FolderUsage, uma das três definições especiais de propriedade de gerenciamento que são compiladas na infraestrutura de Serviços de Arquivo.

Enquanto "User Data" (como descrito na seção anterior) é um possível valor para a propriedade de gerenciamento de FolderUsage que pode ser aplicado, outros incluem "Collaboration Data" ou "Application Data" e essas classificações podem ser modificadas, estendidas ou excluídas conforme necessário. Para modificar uma propriedade de gerenciamento como FolderUsage, estas são as maneiras possíveis:

  1. Você pode definir a propriedade de gerenciamento no Assistente de Novo Compartilhamento.

  2. No console do FSRM (Gerenciador de Recursos de Serviços de Arquivo) no treeview à esquerda, selecione Propriedades de Classificaçãoe, em seguida, selecione Definir Propriedades de Gerenciamento no painel de tarefas à direita.

  3. Usando o Windows PowerShell, você pode usar os cmdlets Get-FSRMMgmtPropertySet-FSRMMgmtProperty para ver o status nas propriedades de gerenciamento ou configurá-los.

Depois de definir propriedades de gerenciamento atualizadas em um único computador, você poderá mover as alterações de configuração para outros computadores. A seguir, três opções possíveis de fazer isso:

  • Crie um script que configure a FCI (Infraestrutura de Classificação de Arquivos).

    Para alterar a configuração da FCI em vários computadores, você pode criar um script baseado em COM que usa a API da FCI para criar novas classificações de arquivos e armazenar novas propriedades. Em seguida, você pode criar aplicativos ou scripts que podem ser iniciados pelas tarefas de gerenciamento de arquivos no FSRM (Gerenciador de Recursos de Serviços de Arquivo) ou também pode usar a Política de Grupo para iniciar scripts concluídos. Para obter mais informações sobre a API da FCI, consulte a Interface IFsrmPipelineModuleImplementation

  • Use o Windows PowerShell remoto para usar os cmdlets do FSRM a fim de configurar os computadores.

    O Windows PowerShell fornece outra plataforma de scripts que você pode aproveitar para realizar atualizações de configuração. Para obter mais informações sobre o uso do Windows PowerShell para criar scripts de FCI, consulte Usando scripts do Windows PowerShell para classificação de arquivo.

  • Use o Kit de Ferramentas de Classificação de Dados para exportar e importar configurações.

    O Kit de Ferramentas de Classificação de Dados fornece outra opção para exportar e importar configurações de FCI. Ele foi criado para ajudar a habilitar uma organização a identificar, classificar e proteger dados em seus servidores de arquivos e fornece classificação e exemplos de regras de classificação prontos para uso que podem ajudar as organizações a compilar e implantar suas políticas para proteger informações críticas de uma maneira econômica. Para obter mais informações, consulte Kit de Ferramentas de Classificação de Dados.

Isso foi útil para você?
(1500 caracteres restantes)
Agradecemos os seus comentários

Contribuições da comunidade

ADICIONAR
Mostrar:
© 2014 Microsoft