Exportieren (0) Drucken
Alle erweitern

Planungshinweise für das Verschlüsseln von Office-Dokumenten

Veröffentlicht: September 2012

Letzte Aktualisierung: September 2012

Betrifft: Windows Server 2012



Active Directory-Rechteverwaltungsdienste (Active Directory Rights Management Services, AD RMS) ist eine Technologie zum Schutz von Informationen, die mit der dynamischen Zugriffssteuerung verwendet werden kann, um Dateien zu schützen, die innerhalb einer Organisation oder organisationsübergreifend flexibel ausgetauscht werden. AD RMS schützt Ihre Dokumente zusammen mit Microsoft Office mithilfe von Features für Information Rights Management (IRM) beim Erstellen von Dokumenten mit aktivierten Anwendungen wie Microsoft Word und Microsoft Outlook.

Wenn Sie die IRM-Funktionen mithilfe von AD RMS in Microsoft Office verwenden, können Sie Ihre erstellten Dokumente und E-Mail-Nachrichten vor nicht autorisierter Verwendung schützen, wenn Sie diese flexibel in digitaler Form weitergeben. Beim Zuweisen von Benutzerrechten können Inhaltsbesitzer genau definieren, wie ein Empfänger die Informationen verwenden kann. Dazu gehören die Berechtigungen zum Öffnen, Ändern, Drucken oder Weiterleiten der Informationen.

noteHinweis
AD RMS ermöglicht eine umfassende Informationsschutz-Plattform in komplexen Umgebungen. Außerdem kann das System effektiv implementiert werden, um Informationen zu schützen, die von mehreren Organisationen gemeinsam genutzt werden. Weitere Informationen zum Planen von Bereitstellungsszenarien für AD RMS finden Sie unter AD RMS-Architekturentwurf und sichere Zusammenarbeit: Szenarien(http://go.microsoft.com/fwlink/?LinkId=256399).

Dieses Thema unterstützt Sie bei den folgenden zusätzlichen Überlegungen, die Sie bei Verwendung von AD RMS für den Schutz und die Verschlüsselung von Office-Dokumente anstellen sollten, für die Sie eingeschränkten Zugriff mithilfe der dynamischen Zugriffssteuerung erteilen möchten. (Weitere Informationen zur Funktionsweise der dynamischen Zugriffssteuerung finden Sie unter Dynamische Zugriffssteuerung: Szenarioübersicht.)

  • Bestimmen der automatisch zu verschlüsselnden Dateien

  • Bestimmen der beim Verschlüsseln von Dateien zu verwendende Richtlinienvorlage

  • Überlegungen für Umgebungen mit mehreren Computern

Bei der Frage, welche Dateien oder Ordner mit der AD RMS-Technologie verschlüsselt werden sollen, sind zwei Aspekte zu berücksichtigen. Zuerst sollten Sie ermitteln, welche Arten von Dateien verschlüsselt werden müssen. Haben Sie z. B. Dateien, die vertrauliche oder persönliche Informationen enthalten?

Als Nächstes sollten Sie ermitteln, welche Ressourceneigenschaften sinnvolle Möglichkeiten zur Beschreibung dieser Typen von Dateien bieten. Versuchen Sie zunächst, die vordefinierten Ressourceneigenschaften zu verwenden. In der Regel bedeutet dies, die am besten geeignete Ressourceneigenschaft aus der Liste der Ressourceneigenschaften auszuwählen, die entweder integriert sind oder im Active Directory-Verwaltungscenter definiert wurden. Die folgende Tabelle enthält Vorschläge für einige der integrierten Ressourceneigenschaften, die Sie zum Identifizieren der Dateien für die Verschlüsselung und den Schutz von Inhalten auswählen können.

 

Ressourceneigenschaft Beschreibung

PII

Die Ressourceneigenschaft Personal Identifying Information (PII) kann zur Identifikation von Dateien mit persönlichen Informationen verwendet werden, um sicherzustellen, dass diese Dateien mit der entsprechenden Vertraulichkeitsstufe geschützt werden. Beispiel:

Konformität

Die Konformitätsrichtlinie für Vertraulichkeitszwecke gemäß HIPAA-Richtlinien in Organisationen, die Dienste im Gesundheitswesen anbieten.

Projekt

Diese Ressourceneigenschaft kann verwendet werden, um eine Liste der Namenswerte festzulegen, für die der Name eines speziellen Projekts in Ihrer Organisation auf alle zugehörigen Dateien angewendet werden kann. Auf diese Weise können Projektdateien identifiziert werden, um diese zu verschlüsseln und zu schützen und sicherzustellen, dass nur die Projektteammitglieder diese Dateien öffnen und betrachten können.

Zusätzlich zu den oben genannten Ressourcen können Sie auch andere benutzerdefinierte Ressourceneigenschaften mit den folgenden Kriterien in Ihrer Bereitstellung definieren:

  • Basierend auf dem Dateispeicherort. Sie können eine neue Ressource Eigenschaft namens "Location" erstellen und dann die Liste der unterstützten Werte für die Namen bestimmter Websites oder Speicherorte innerhalb Ihres Unternehmens oder Ihrer Organisation zuweisen. Anschließend können Sie die Werte dieser Ressourceneigenschaft für alle Dateien nach deren Speicherort zuweisen. Dies ist z. B. dann eine gute Strategie, wenn Sie einen sicheren Speicherort haben, an dem alle Dokumente verschlüsselt und geschützt sein müssen.

  • Basierend auf dem Dateiinhalt. Sie können Ressourceneigenschaften auch anhand des Inhaltstyps definieren, um Ihre Inhalte zu schützen. Wenn Sie z. B. nur Dateien und Dokumente mit vertraulichen finanziellen oder Gehaltsinformationen schützen möchten, können Sie "Financial" oder "Payroll" als unterstützte Werte für eine "Content"-Ressourceneigenschaft verwenden und Dateien identifizieren und markieren, die verschlüsselt und geschützt werden müssen.

  • Basierend auf manueller Klassifizierung. Sie können Dateien auch manuell klassifizieren, um diese zu identifizieren. Durch die manuelle Klassifizierung erhalten Benutzer und Inhaltsbesitzer die Möglichkeit, ihre Dateien und Ordner mithilfe des Eigenschaftenblatts dieser Datei oder dieses Ordners zu klassifizieren. Sie können z. B. Ordner klassifizieren, sodass alle hinzugefügten Dateien die Klassifizierung des übergeordneten Ordners erben. Weitere Informationen finden Sie unter Arbeiten mit Dateiklassifizierung.

Mit den Vorlagen für Benutzerrechterichtlinien werden in AD RMS die Rechte gesteuert, die ein Benutzer oder eine Gruppe für einen bestimmten durch Rechte geschützten Inhalt hat. Bei Auswahl der Vorlage für Benutzerrechterichtlinien für die Verschlüsselung von Dateien in Ihrer Organisation ist es hilfreich, Zweck und Umfang der Planung Ihrer Projektinhalte zu berücksichtigen.

Sie können z. B. eine Vorlage für Benutzerrechterichtlinien verwenden, um PII-Inhalte zu schützen, die von der Finanzabteilung oder im Rahmen von Gehaltsabrechnungen in Ihrer Organisation generiert werden. In diesem Fall können Sie die Vorlage z. B. "Finance" nennen und die folgende Konfiguration für Benutzer- und Berechtigungseinstellungen wählen, wenn Sie die Vorlage in der AD RMS-Konsole erstellen.

  • Weisen Sie eine Active Directory-Gruppe zur entsprechenden Vorlage zu, die nur die Mitarbeiter enthält, die in der Finanzabteilung oder mit den Gehaltsabrechnungen arbeiten. Diese Gruppe muss darüber hinaus für einen E-Mail-Namen für AD RMS konfiguriert werden, der bei der Identifikation verwendet wird, wie z. B. "finance@contoso.com" oder "payroll@contoso.com".

  • Wählen Sie Ansicht und Rechte anzeigen aus, um die Berechtigungen der Mitarbeiter zum Ändern von Gehaltsdetails oder anderen Finanzdetails in Dokumenten einzuschränken.

Sie können ähnliche Vorlagenkonfigurationen verwenden, um Inhalte mit kritischen Auswirkungen auf das Unternehmen (High Business Impact HBI) zu schützen. Erstellen Sie dazu eine "Company Confidential"-Vorlage, die ähnliche Rechte mit Schreibschutz für alle Vollzeitmitarbeiter durchsetzt.

Alternativ können Sie den Bereich als entscheidenden Faktor verwenden, um eine Vorlagenkonfiguration zu erstellen. Hierzu können Sie z. B. separate zugeordnete Laufwerke im Netzwerk pro Abteilung erstellen, die anschließend von den Mitarbeitern der jeweiligen Abteilung zur Speicherung von Dokumenten verwendet wird. In diesem Szenario können Sie spezifische Vorlagen für einzelnen Abteilungen verwenden, um sicherzustellen, dass diese nur für Dateien in den jeweiligen zugeordneten Laufwerken der jeweiligen Abteilung übernommen werden.

Die Dateien der Finanzabteilung könnten z. B. mithilfe einer Vorlage für das Laufwerk F verwaltet werden, während die Technikabteilung das Laufwerk G zur Speicherung geschützter Arbeitsdateien verwendet. Die Dateiverwaltung wurde so konfiguriert, dass Mitarbeiter in den einzelnen Abteilungen keinen Zugriff auf die Laufwerke anderer Abteilungen haben. Dies ist hilfreich, wenn Sie mehr als eine Dateiverwaltungsaufgabe erstellen müssen, um den Schutz für mehrere Abteilungen und Vorlagen für Berechtigungsrichtlinien zu konfigurieren.

noteHinweis
Zwischen Vorlagendateien und Dateiverwaltungsaufgaben sollte eine 1:1-Beziehung existieren. Im Allgemeinen sollten Sie versuchen, in Ihrer gesamten Organisation nur eine einzige Dateiverwaltungsaufgabe und eine Vorlage für Berechtigungsrichtlinien zu verwenden, um die Vorlagennutzung zu planen und zu verwalten. Wenn Sie mehr als eine Dateiverwaltungsaufgabe bzw. Vorlage für Berechtigungsrichtlinien verwenden, sollten Sie unbedingt die empfohlenen Vorsichtsmaßnahmen beachten und separate Bereiche einrichten. So vermeiden Sie, dass Aufgaben und Laufwerken mit verwalteten Dateien Schutzmaßnahmen mit mehr als einer Vorlage zugewiesen werden und vermeiden außerdem Berechtigungskonflikte und Kollisionen.

Weitere Informationen zum Arbeiten mit Vorlagen für Benutzerrechterichtlinien in AD RMS finden Sie in den folgenden Ressourcen:

Bei der Planung von Verschlüsselung für Dateien in Ihrer Organisation müssen Sie verschiedene Aspekte betrachten, wenn Sie dieses System auf mehreren Computern bereitstellen. Zunächst existiert keine einfache Methode, um Dateiverwaltungsaufgaben und Klassifizierungsregeln im Pushverfahren auf mehrere Computer zu übertragen. Daher werden neue Konfigurationen beim Arbeiten mit dynamischer Zugriffssteuerung manuell von einem Computer zum anderen übertragen, obwohl einige Tools existieren, die diesen Prozess erleichtern können.

Für jede Dateiverwaltungsaufgabe und Klassifizierungsregel können Sie eine Verwaltungseigenschaft definieren, die dynamische Bereiche anstelle eines statisch definierten Bereichs verwendet. Dateiverwaltungsaufgaben, Klassifizierungsregeln oder Berichte mit statischem Bereich werden mit statischen Ordnerfreigaben, Pfaden oder Laufwerken definiert, die sich auf den Computer beziehen, auf dem die Regel erstellt wurde. Da jeder Computer eine unterschiedliche Freigabe-, Ordner- und Laufwerksstruktur enthält, funktionieren Regeln mit statischem Bereich höchstwahrscheinlich nicht auf anderen Computern.

Aufgaben, Regeln oder Berichte mit dynamischem Bereich können so definiert werden, dass die Berechnung auf allen Computern korrekt funktioniert, auf denen die Aufgaben, Regeln oder Berichte installiert werden. Regeln mit dynamischen Bereichen können eine Verwaltungseigenschaft verwenden, um die Regel zu berechnen und auf Ordner anzuwenden, die für deren Nutzung entsprechend markiert sind. Nehmen wir an, Sie haben zwei Server, Server1 und Server2. Auf Server1 enthält D:\share Dateien mit Benutzerdaten und auf Server2 dient der Ordner E:\share dem gleichen Zweck. Zur Definition eines dynamischen Bereichs könnten Sie eine Dateiverwaltungsaufgabe angeben, die für alle Ordner gilt, die mit FolderUsage="User Data" markiert sind. Auf diese Weise funktioniert die Regel korrekt auf beiden Servern ohne weitere Änderungen.

noteHinweis
Verwenden Sie für dynamische Bereich immer die Eigenschaftsdefinition FolderUsage. Dies ist eine der speziellen Eigenschaftsdefinition für die Verwaltung, die in die Dateidienste-Infrastruktur eingebaut sind.

"User Data" (wie im vorherigen Abschnitt beschrieben) ist einer der möglichen Werte für die FolderUsage-Verwaltungseigenschaft. Weitere Möglichkeiten sind "Collaboration Data" oder "Application Data". Diese Klassifizierungen können nach Bedarf geändert, erweitert oder gelöscht werden. Wenn Sie eine Verwaltungseigenschaft wie z. B. FolderUsage ändern möchten, können Sie dies auf die folgenden Arten erreichen:

  1. Sie können die Verwaltungseigenschaft im Assistenten für neue Freigaben festlegen.

  2. Wählen Sie in der Konsole des Ressourcen-Managers für Dateiserver (File Services Resource Manager, FSRM) in der Strukturansicht auf der linken Seite den Eintrag Klassifizierungseigenschaften aus klicken Sie im Aufgabenbereich auf der rechten Seite auf Verwaltungseigenschaften festlegen.

  3. Mithilfe von Windows PowerShell können Sie mit den Cmdlets Get-FSRMMgmtProperty und Set FSRMMgmtProperty den Status von Verwaltungseigenschaften anzeigen oder diese konfigurieren.

Nachdem Sie die Verwaltungseigenschaften auf einem Computer festgelegt oder geändert haben, können Sie Ihre Konfigurationsänderungen auf weitere Computer übertragen. Dafür haben Sie die folgenden drei Optionen zur Auswahl:

  • Schreiben Sie ein Skript, das die Dateiklassifizierungsinfrastruktur (File Classification Infrastructure, FCI) konfiguriert.

    Sie können ein COM-basiertes Skript schreiben, das die FCI-Konfiguration auf mehreren Computern ändert, neue Dateiklassifizierungen erstellt und neue Eigenschaften speichert. Anschließend können Sie Anwendungen oder Skripts erstellen, die von den Dateiverwaltungsaufgaben im Ressourcen-Manager für Dateiserver gestartet werden, oder Sie können fertige Skripts mit Gruppenrichtlinien starten. Weitere Informationen zur FCI-API finden Sie unter "IFsrmPipelineModuleImplementation "-Schnittstelle

  • Konfigurieren von Computern mithilfe des Ressourcen-Managers für Dateiserver über Windows PowerShell.

    Windows PowerShell bietet eine weitere Skriptplattform, die Sie für Konfigurationsänderungen nutzen können. Weitere Informationen zur Verwendung von Windows PowerShell zur Erstellung von FCI-Skripts finden Sie unter Verwenden von Windows PowerShell-Skript für die Dateiklassifizierung.

  • Verwenden des Toolkits zur Datenklassifizierung zum Exportieren und Importieren von Konfigurationen.

    Das Toolkit zur Datenklassifizierung bietet eine weitere Option zum Exportieren und Importieren von FCI-Konfigurationen. Mit diesem Toolkit können Organisationen Dateien auf deren Dateiservern identifizieren, klassifizieren und schützen. Außerdem bietet es mitgelieferte Klassifizierungs- und Regelbeispiele, mit denen Organisationen ihre Richtlinien zum kostengünstigen Schutz kritischer Informationen erstellen und bereitstellen können. Weitere Informationen finden Sie unter Toolkit zur Datenklassifizierung.

Fanden Sie dies hilfreich?
(1500 verbleibende Zeichen)
Vielen Dank für Ihr Feedback.

Community-Beiträge

HINZUFÜGEN
Anzeigen:
© 2015 Microsoft