Exportieren (0) Drucken
Alle erweitern

Bereitstellen der Verschlüsselung von Office-Dateien (Demonstrationsschritte)

Veröffentlicht: Februar 2012

Letzte Aktualisierung: Juni 2012

Betrifft: Windows Server 2012



Die Finanzabteilung von Contoso verfügt über mehrere Dateiserver, auf denen ihre Dokumente gespeichert werden. Diese Dokumente können von allgemeiner Natur oder aber unternehmenskritisch sein, d. h. großen geschäftsrelevanten Einfluss (High Business Impact, HBI) haben. So werden beispielsweise alle Dokumente mit vertraulichen Informationen von Contoso als HBI-Dokumente erachtet. Contoso möchte sicherstellen, dass die gesamte Firmendokumentation ein Mindestmaß an Schutz erhält und der Zugriff auf die HBI-Dokumente auf die richtigen (entsprechend berechtigten) Personen beschränkt ist. Zur Erreichung dieser Ziele prüft Contoso die Verwendung der Dateiklassifizierungsinfrastruktur (File Classification Infrastructure, FCI) und der Active Directory-Rechteverwaltungsdienste (Active Directory Rights Management Services, AD RMS), die in Windows Server 2012 verfügbar sind. Mithilfe der FCI klassifiziert Contoso alle auf dem Dateiserver vorhandenen Dokumente basierend auf dem Inhalt und verwendet dann AD RMS, um die richtigen Benutzerrechterichtlinien anzuwenden.

In diesem Szenario führen Sie die folgenden Schritte aus:

 

Aufgabe Beschreibung

Schritt 1: Aktivieren von Ressourceneigenschaften

Aktivieren Sie die Ressourceneigenschaften Auswirkung und Personenbezogene Informationen (Personally Identifiable Information, PII).

Schritt 2: Erstellen von Klassifizierungsregeln

Erstellen Sie die folgenden Klassifizierungsregeln: HBI-Klassifizierungsregel und PII-Klassifizierungsregel.

Schritt 3: Verwenden von Dateiverwaltungsaufgaben zum automatischen Schützen von Dokumenten mit AD RMS

Erstellen Sie eine Dateiverwaltungsaufgabe, die AD RMS automatisch verwendet, um Dokumente mit personenbezogenen Informationen (Personally Identifiable Information, PII) zu schützen. Nur Mitglieder der Gruppe "FinanzAdmin" haben Zugriff auf Dokumente mit High PII.

Schritt 4: Anzeigen der Ergebnisse

Prüfen Sie die Klassifizierungen der Dokumente, und beobachten Sie, wie sich diese ändern, wenn Sie den Inhalt des Dokuments ändern. Überprüfen Sie zudem, wie das Dokument von AD RMS geschützt wird.

Schritt 5: Überprüfen des AD RMS-Schutzes

Überprüfen Sie, ob das Dokument mit AD RMS geschützt ist.

   

  1. Stellen Sie in Hyper-V-Manager eine Verbindung mit dem Server "ID_AD_DC1" her. Melden Sie sich am Server als "Contoso\Administrator" mit dem Kennwort pass@word1 an.

  2. Öffnen Sie das Active Directory-Verwaltungscenter, und klicken Sie auf Strukturansicht.

  3. Erweitern Sie DYNAMISCHE ZUGRIFFSTEUERUNG, und wählen Sie Ressourceneigenschaften aus.

  4. Führen Sie in der Spalte Anzeigename einen Bildlauf zur Eigenschaft Auswirkung durch. Klicken Sie mit der rechten Maustaste auf Auswirkung, und klicken Sie dann auf Aktivieren.

  5. Führen Sie in der Spalte Anzeigename einen Bildlauf zur Eigenschaft Personenbezogene Informationen durch. Klicken Sie mit der rechten Maustaste auf Personenbezogene Informationen, und klicken Sie dann auf Aktivieren.

  6. Wenn Sie die Ressourceneigenschaften in der Globalen Ressourcenliste veröffentlichen möchten, klicken Sie im linken Bereich auf Ressourceneigenschaftenlisten, und doppelklicken Sie dann auf Globale Ressourceneigenschaftenliste.

  7. Klicken Sie auf Hinzufügen, führen Sie einen Bildlauf zu Auswirkung durch, und klicken Sie dann darauf, um die Eigenschaft zur Liste hinzuzufügen. Führen Sie dieselben Aktionen für Personenbezogene Informationen aus. Klicken Sie abschließend zweimal auf OK.

PowerShell-Logo Gleichwertige Windows PowerShell-Befehle

Die folgenden Windows PowerShell-Cmdlets erfüllen dieselbe Funktion wie das vorhergehende Verfahren. Geben Sie die einzelnen Cmdlets in einer einzelnen Zeile ein, auch wenn es den Anschein hat, dass aufgrund von Formatierungseinschränkungen Zeilenumbrüche vorhanden sind.

Set-ADResourceProperty –Enabled:$true –Identity:"CN=Impact_MS,CN=Resource Properties,CN=Claims Configuration,CN=Services,CN=Configuration,DC=contoso,DC=com"
Set-ADResourceProperty –Enabled:$true –Identity:"CN=PII_MS,CN=Resource Properties,CN=Claims Configuration,CN=Services,CN=Configuration,DC=contoso,DC=com"

Hier erfahren Sie, wie die Klassifizierungsregel High Impact erstellt wird. Mit dieser Regel wird der Inhalt von Dokumenten durchsucht, und wenn die Zeichenfolge "Contoso Vertraulich" gefunden wird, erfolgt die Klassifizierung des Dokuments als HBI-Dokument (High Business Impact). Diese Klassifizierung setzt alle zuvor zugewiesenen Klassifizierungen vom Typ LBI (Low Business Impact) außer Kraft.

Außerdem erstellen Sie die Regel High PII. Mit dieser Regel wird der Inhalt von Dokumenten durchsucht, und wenn eine Sozialversicherungsnummer gefunden wird, erfolgt die Klassifizierung des Dokuments als High PII-Dokument.

  1. Stellen Sie in Hyper-V-Manager eine Verbindung mit dem Server "ID_AD_FILE1" her. Melden Sie sich am Server als "Contoso\Administrator" mit dem Kennwort pass@word1 an.

  2. Sie müssen die globalen Ressourceneigenschaften aus Active Directory aktualisieren. Öffnen Sie Windows PowerShell, und geben Sie Folgendes ein: Update-FSRMClassificationPropertyDefinition. Drücken Sie dann die EINGABETASTE. Schließen Sie die Windows PowerShell.

  3. Öffnen Sie den Ressourcen-Manager für Dateiserver. Klicken Sie zum Öffnen des Ressourcen-Managers für Dateiserver auf Start, geben Sie Ressourcen-Manager für Dateiserver ein, und klicken Sie dann auf Ressourcen-Manager für Dateiserver.

  4. Erweitern Sie im linken Bereich des Ressourcen-Managers für Dateiserver die Struktur von Klassifizierungsverwaltung, und wählen Sie dann Klassifizierungsregeln aus.

  5. Klicken Sie im Bereich Aktionen auf Klassifizierungsplan konfigurieren. Wählen Sie auf der Registerkarte Automatische Klassifizierung die Option Festen Zeitplan aktivieren aus, wählen Sie einen Wochentag aus, und aktivieren Sie dann das Kontrollkästchen Fortlaufende Klassifizierung für neue Dateien zulassen. Klicken Sie auf OK.

  6. Klicken Sie im Bereich Aktionen auf Klassifizierungsregel erstellen. Das Dialogfeld Klassifizierungsregel erstellen wird geöffnet.

  7. Geben Sie im Feld Regelname die Zeichenfolge High Business Impact ein.

  8. Geben Sie im Feld Beschreibung Folgendes ein: Ermittelt basierend auf dem Vorhandensein der Zeichenfolge "Contoso Vertraulich", ob das Dokument großen geschäftsrelevanten Einfluss hat

  9. Klicken Sie auf der Registerkarte Bereich auf Ordnerverwaltungseigenschaften festlegen. Wählen Sie Ordnerverwendung aus, klicken Sie auf Hinzufügen, und klicken Sie dann auf Durchsuchen. Navigieren Sie zum Pfad "D:\Finance Documents", klicken Sie auf OK, und wählen Sie dann einen Eigenschaftswert namens Gruppendateien aus, und klicken Sie auf Schließen. Nachdem Sie die Verwaltungseigenschaften festgelegt haben, können Sie auf der Registerkarte Regelbereich die Option Gruppendateien auswählen.

  10. Klicken Sie auf die Registerkarte Klassifizierung. Wählen Sie unter Methode zum Zuweisen einer Eigenschaft für Dateien auswählen in der Dropdownliste den Eintrag Inhaltsklassifizierung aus.

  11. Wählen Sie unter Daten zuzuweisende Eigenschaft auswählen in der Dropdownliste den Eintrag Auswirkung aus.

  12. Wählen Sie unter Wert angeben in der Dropdownliste den Eintrag Hoch aus.

  13. Klicken Sie unter Parameter auf Konfigurieren. Wählen Sie im Dialogfeld Klassifizierungsparameter in der Liste Ausdruckstyp die Option Zeichenfolge aus. Geben Sie im Feld Ausdruck Folgendes ein: Contoso Vertraulich. Klicken Sie dann auf OK.

  14. Klicken Sie auf die Registerkarte Evaluierungstyp. Klicken Sie auf Vorhandene Eigenschaftenwerte erneut auswerten und auf Vorhandenen Wert überschreiben, und klicken Sie dann auf OK, um den Vorgang abzuschließen.

PowerShell-Logo Gleichwertige Windows PowerShell-Befehle

Die folgenden Windows PowerShell-Cmdlets erfüllen dieselbe Funktion wie das vorhergehende Verfahren. Geben Sie die einzelnen Cmdlets in einer einzelnen Zeile ein, auch wenn es den Anschein hat, dass aufgrund von Formatierungseinschränkungen Zeilenumbrüche vorhanden sind.

Update-FSRMClassificationPropertyDefinition
$date = Get-Date
$AutomaticClassificationScheduledTask = New-FsrmScheduledTask -Time $date -Weekly @(3, 2, 4, 5,1,6,0) -RunDuration 0;
Set-FsrmClassification -Continuous -schedule $AutomaticClassificationScheduledTask
New-FSRMClassificationRule -Name "High Business Impact" -Property "Impact_MS" -Description "Determines if the document has a high business impact based on the presence of the string 'Contoso Confidential'" -PropertyValue "3000" -Namespace @(“D:\Finance Documents”) -ClassificationMechanism "Content Classifier" -Parameters @("StringEx=Min=1;Expr=Contoso Confidential") -ReevaluateProperty Overwrite

  1. Stellen Sie in Hyper-V-Manager eine Verbindung mit dem Server "ID_AD_FILE1" her. Melden Sie sich am Server als "Contoso\Administrator" mit dem Kennwort pass@word1 an.

  2. Öffnen Sie auf dem Desktop den Ordner Reguläre Ausdrücke, und öffnen Sie dann das Textdokument RegEx-SSN. Markieren und kopieren Sie die folgende reguläre Ausdruckszeichenfolge: ^(?!000)([0-7]\d{2}|7([0-7]\d|7[012]))([ -]?)(?!00)\d\d\3(?!0000)\d{4}$. Diese Zeichenfolge wird im späteren Verlauf in diesem Schritt verwendet. Belassen Sie sie daher in der Zwischenablage.

  3. Öffnen Sie den Ressourcen-Manager für Dateiserver. Klicken Sie zum Öffnen des Ressourcen-Managers für Dateiserver auf Start, geben Sie Ressourcen-Manager für Dateiserver ein, und klicken Sie dann auf Ressourcen-Manager für Dateiserver.

  4. Erweitern Sie im linken Bereich des Ressourcen-Managers für Dateiserver die Struktur von Klassifizierungsverwaltung, und wählen Sie dann Klassifizierungsregeln aus.

  5. Klicken Sie im Bereich Aktionen auf Klassifizierungsplan konfigurieren. Wählen Sie auf der Registerkarte Automatische Klassifizierung die Option Festen Zeitplan aktivieren aus, wählen Sie einen Wochentag aus, und aktivieren Sie dann das Kontrollkästchen Fortlaufende Klassifizierung für neue Dateien zulassen. Klicken Sie auf "OK".

  6. Geben Sie im Feld Regelname die Zeichenfolge High PII ein. Geben Sie im Feld Beschreibung Folgendes ein: Ermittelt basierend auf dem Vorhandensein einer Sozialversicherungsnummer, ob das Dokument ein High PII-Dokument ist

  7. Klicken Sie auf die Registerkarte Bereich, und aktivieren Sie das Kontrollkästchen Gruppendateien.

  8. Klicken Sie auf die Registerkarte Klassifizierung. Wählen Sie unter Methode zum Zuweisen einer Eigenschaft für Dateien auswählen in der Dropdownliste den Eintrag Inhaltsklassifizierung aus.

  9. Wählen Sie unter Daten zuzuweisende Eigenschaft auswählen in der Dropdownliste den Eintrag Personenbezogene Informationen aus.

  10. Wählen Sie unter Wert angeben in der Dropdownliste den Eintrag Hoch aus.

  11. Klicken Sie unter Parameter auf Konfigurieren.
    Wählen Sie im Fenster Klassifizierungsparameter in der Liste Ausdruckstyp die Option Regulärer Ausdruck aus. Fügen Sie im Feld Ausdruck den Text aus der Zwischenablage ein: ^(?!000)([0-7]\d{2}|7([0-7]\d|7[012]))([ -]?)(?!00)\d\d\3(?!0000)\d{4}$. Klicken Sie dann auf OK.

    noteHinweis
    Dieser Ausdruck lässt ungültige Sozialversicherungsnummern zu. Dadurch können wir in der Demonstration frei erfundene Sozialversicherungsnummern verwenden.

  12. Klicken Sie auf die Registerkarte Evaluierungstyp. Klicken Sie auf Vorhandene Eigenschaftenwerte erneut auswerten und auf Vorhandenen Wert überschreiben, und klicken Sie dann auf OK, um den Vorgang abzuschließen.

PowerShell-Logo Gleichwertige Windows PowerShell-Befehle

Die folgenden Windows PowerShell-Cmdlets erfüllen dieselbe Funktion wie das vorhergehende Verfahren. Geben Sie die einzelnen Cmdlets in einer einzelnen Zeile ein, auch wenn es den Anschein hat, dass aufgrund von Formatierungseinschränkungen Zeilenumbrüche vorhanden sind.

New-FSRMClassificationRule -Name "High PII" -Description "Determines if the document has a high PII based on the presence of a Social Security Number." -Property "PII_MS" -PropertyValue "5000" -Namespace @("D:\Finance Documents") -ClassificationMechanism "Content Classifier" -Parameters @("RegularExpressionEx=Min=1;Expr=^(?!000)([0-7]\d{2}|7([0-7]\d|7[012]))([ -]?)(?!00)\d\d\3(?!0000)\d{4}$") -ReevaluateProperty Overwrite

Sie verfügen jetzt über zwei Klassifizierungsregeln:

  • High Business Impact

  • High PII

Nachdem Sie nun Regeln erstellt haben, mit denen Dokumente basierend auf dem Inhalt automatisch klassifiziert werden, besteht der nächste Schritt darin, eine Dateiverwaltungsaufgabe zu erstellen, die AD RMS verwendet, um bestimmte Dokumente basierend auf deren Klassifizierung automatisch zu schützen. In diesem Schritt erstellen Sie eine Dateiverwaltungsaufgabe, die Dokumente mit personenbezogenen Informationen vom Typ "High PII" automatisch schützt. Nur Mitglieder der Gruppe "FinanzAdmin" haben Zugriff auf Dokumente mit High PII.

  1. Stellen Sie in Hyper-V-Manager eine Verbindung mit dem Server "ID_AD_FILE1" her. Melden Sie sich am Server als "Contoso\Administrator" mit dem Kennwort pass@word1 an.

  2. Öffnen Sie den Ressourcen-Manager für Dateiserver. Klicken Sie zum Öffnen des Ressourcen-Managers für Dateiserver auf Start, geben Sie Ressourcen-Manager für Dateiserver ein, und klicken Sie dann auf Ressourcen-Manager für Dateiserver.

  3. Wählen Sie im linken Bereich die Option Dateiverwaltungsaufgaben aus. Wählen Sie im Bereich Aktionen die Option Dateiverwaltungsaufgabe erstellen aus.

  4. Geben Sie im Feld Aufgabenname die Zeichenfolge High PII ein. Geben Sie im Feld Beschreibung Folgendes ein: Automatischer RMS-Schutz für High PII-Dokumente.

  5. Klicken Sie auf die Registerkarte Bereich, und aktivieren Sie das Kontrollkästchen Gruppendateien.

  6. Klicken Sie auf die Registerkarte Aktion. Wählen Sie unter Typ die Option RMS-Verschlüsselung aus. Klicken Sie auf Durchsuchen, um eine Vorlage auszuwählen, und wählen Sie dann die Vorlage Nur Contoso-FinanzAdmins aus.

  7. Klicken Sie auf die Registerkarte Bedingung, und klicken Sie dann auf Hinzufügen. Wählen Sie unter Eigenschaft die Option Personenbezogene Informationen aus. Wählen Sie unter Operator die Option Gleich aus. Wählen Sie unter Wert die Option Hoch aus. Klicken Sie auf OK.

  8. Klicken Sie auf die Registerkarte Zeitplan. Klicken Sie im Abschnitt Zeitplan auf Wöchentlich, und wählen Sie dann Sonntag aus. Wenn Sie die Aufgabe einmal pro Woche ausführen, können Sie sicherstellen, dass alle Dokumente erfasst werden, die möglicherweise aufgrund eines Dienstausfalls oder einer anderen Unterbrechung nicht berücksichtigt wurden.

  9. Wählen Sie im Abschnitt Fortlaufende Ausführung die Option Für neue Dateien fortlaufend ausführen aus, und klicken Sie dann auf OK. Sie verfügen jetzt über eine Dateiverwaltungsaufgabe mit dem Namen "High PII".

PowerShell-Logo Gleichwertige Windows PowerShell-Befehle

Die folgenden Windows PowerShell-Cmdlets erfüllen dieselbe Funktion wie das vorhergehende Verfahren. Geben Sie die einzelnen Cmdlets in einer einzelnen Zeile ein, auch wenn es den Anschein hat, dass aufgrund von Formatierungseinschränkungen Zeilenumbrüche vorhanden sind.

$fmjRmsEncryption = New-FSRMFmjAction -Type 'Rms' -RmsTemplate 'Contoso Finance Admin Only'
$fmjCondition1 = New-FSRMFmjCondition -Property 'PII_MS' -Condition 'Equal' –Value '5000'
$date = get-date
$schedule = New-FsrmScheduledTask -Time $date -Weekly @('Sunday')  
$fmj1=New-FSRMFileManagementJob -Name "High PII" -Description "Automatic RMS protection for high PII documents" -Namespace @('D:\Finance Documents') -Action $fmjRmsEncryption -Schedule $schedule -Continuous -Condition @($fmjCondition1)

Sehen wir uns nun Ihre neuen Regeln für die automatische Klassifizierung und den automatischen AD RMS-Schutz in Aktion an. In diesem Schritt prüfen Sie die Klassifizierungen der Dokumente und beobachten, wie sich diese ändern, wenn Sie den Inhalt des Dokuments ändern.

  1. Stellen Sie in Hyper-V-Manager eine Verbindung mit dem Server "ID_AD_FILE1" her. Melden Sie sich am Server als "Contoso\Administrator" mit dem Kennwort pass@word1 an.

  2. Navigieren Sie in Windows-Explorer zum Ordner "D:\Finance Documents".

  3. Klicken Sie mit der rechten Maustaste auf das Dokument "Finance Memo", und klicken Sie auf Eigenschaften. Klicken Sie auf die Registerkarte Klassifizierung. Beachten Sie, dass der Eigenschaft "Auswirkung" aktuell kein Wert zugewiesen ist. Klicken Sie auf Abbrechen.

  4. Klicken Sie mit der rechten Maustaste auf das Dokument Request for Approval to Hire, und klicken Sie dann auf Eigenschaften.

  5. Klicken Sie auf die Registerkarte Klassifizierung. Beachten Sie, dass der Eigenschaft Personenbezogene Informationen aktuell kein Wert zugewiesen ist. Klicken Sie auf Abbrechen.

  6. Wechseln Sie zu "CLIENT1". Melden Sie ggf. angemeldete Benutzer ab, und melden Sie sich dann als "Contoso\MReid" mit dem Kennwort pass@word1 an.

  7. Öffnen Sie auf dem Desktop den freigegebenen Ordner Finance Documents.

  8. Öffnen Sie das Dokument Finance Memo. Fast am Ende des Dokuments steht das Wort Vertraulich. Ändern Sie die Zeichenfolge wie folgt: Contoso Vertraulich. Speichern und schließen Sie das Dokument.

  9. Öffnen Sie das Dokument Request for Approval to Hire. Geben Sie im Abschnitt Social Security#: die folgende Sozialversicherungsnummer ein: 777-77-7777. Speichern und schließen Sie das Dokument.

    noteHinweis
    Sie müssen möglicherweise 30 Sekunden warten, bis die Klassifizierung angezeigt wird.

  10. Wechseln Sie wieder zurück zu "ID_AD_FILE1". Navigieren Sie in Windows-Explorer zum Ordner "D:\Finance Documents".

  11. Klicken Sie mit der rechten Maustaste auf das Dokument "Finance Memo", und klicken Sie auf Eigenschaften. Klicken Sie auf die Registerkarte Klassifizierung. Beachten Sie, dass die Eigenschaft Auswirkung jetzt auf Hoch festgelegt ist. Klicken Sie auf Abbrechen.

  12. Klicken Sie mit der rechten Maustaste auf das Dokument "Request for Approval to Hire", und klicken Sie dann auf Eigenschaften.

  13. . Klicken Sie auf die Registerkarte Klassifizierung. Beachten Sie, dass die Eigenschaft Personenbezogene Informationen jetzt auf Hoch festgelegt ist. Klicken Sie auf Abbrechen.

  1. Wechseln Sie wieder zurück zu "ID_AD_CLIENT1".

  2. Öffnen Sie das Dokument Request for Approval to Hire.

  3. Klicken Sie auf OK, damit das Dokument eine Verbindung mit dem AD RMS-Server herstellen kann.

  4. Sie können jetzt sehen, dass das Dokument durch AD RMS geschützt ist, weil es eine Sozialversicherungsnummer enthält.

Fanden Sie dies hilfreich?
(1500 verbleibende Zeichen)
Vielen Dank für Ihr Feedback.

Community-Beiträge

HINZUFÜGEN
Anzeigen:
© 2015 Microsoft