Windows

  • Artikel

FCI: KLASSIFIZIERT

Greg Shields

ICH den Tag erinnern ich versehentlich erhielt eine US Regierung Öffnungsbereich.

Sogar crazier, es wurde ein oben oben geheime Öffnungsbereich für ein Regierung Programm also klassifiziert ich kann nicht selbst erkennen Sie seinen Namen. Wurde außerhalb des College frische, und Meine erste reale Auftrag mit tatsächlichen Firmen hatte gerade Bezugskosten. Auf meinem ersten Tag gefunden ich mich selbst übermäßig viel Unterlagen ausfüllen – es Stapel – und wissen, “ ich nie wusste, dass eine echte Auftrag alle diese Informationen über mich muss! ” Jede Stelle ich vorhanden war, würde, jede Person, die ich erfüllt hätten jede Auftrag musste würden, unglaubliche Mengen von Greg des Life, für die Posterity in was habe ich später entdeckt ein Federal Personnel Security Fragebogen wurde dokumentiert.

Ungefähr sechs Monate später aufgerufen Sie mir, um anzukündigen, ich habe “ deaktiviert worden wäre. ” Überraschung! Walking sichern über spezielle “geschlossenen Bereich” zum ersten Mal, ich habe mich sofort umgeben von Ebenen des Prozesses und Sicherheit, Dokumentation und spezielle Markierungen, die die Seiten von Ihrer IT machen project-Plan Weep.

Es ist genau die Dokumentation und die Möglichkeiten der klassifizierte Inhalt verarbeitet wurden, die zu bedenken, stammen da ich über Microsofts neue Datei Klassifizierung Infrastruktur (FCI), mit Windows Server 2008 R2 eingeführt.

Inhalts-Verwaltung:wie unsere Projekte geändert haben

Stellen Sie sich für eine Minute dazu, wie unsere Aufträge als IT-Administratoren im Laufe der Jahre entwickelt haben. Am Anfang verbracht wir Großteil unserer Zeit, die einfach zu halten die Desktops ausgeführt. Mit der zunehmenden Desktops weitere stabil und Benutzern mehr geschult wurde migriert unsere Fokus schließlich in Richtung der Serverraum. Dort gefunden wir uns erweitern unserer Serverinfrastruktur Anwendungen an Clients im LAN und schließlich auf das Internet hoch verfügbar machen.

Wir jetzt an der Stelle, wo viele unserer Line-of-Business-Anwendungen ubiquitously verfügbar sind. Benutzer können auf Ihre Daten zugreifen aus nahezu jeder Verbindung aktivieren, damit Sie von überall benötigten funktionieren. Noch verfügt über die Allgegenwärtigkeit auch ein größeres Risiko dar, für Daten Belichtung, eine potenziell sehr teuer Situation wir alle vermeiden möchten. Und ein weiteren Problem vorliegt: das einfach Wachstum der Daten unter Verwaltung, große Mengen an die erstellt wird, nie zugegriffen erneut und expensively für die keine gute Verwendung gespeichert.

Um diese Probleme zu beheben, verschiebt unsere Auftrag Rolle wieder. Heute, Industrie und Einhaltung gesetzlicher Bestimmungen Mandates, dass wir aktiv verwalten die Daten, die sich ist, wodurch auf unseren Systemen nicht nur die Systeme selbst. Dies bedeutet, dass wir IT müssen Administratoren eine aktive Rolle beim sicherstellen, dass unsere verschiedenen Klassen von Daten entsprechende Ebenen von Fälligkeitsdatum angegeben sind ergreifen Sorgfalt. Größere Sorgfalt muss auf Daten gewährt werden, die vertrauliche oder sensible, eine höhere Auswirkungen auf unsere Business hat oder befasst sich mit persönlich identifizierbaren Informationen. Daten, die nicht mehr relevant oder hilfreich müssen ordnungsgemäß freigegeben werden wenn wir, sind um die Kosten in Zeile zu halten.

Das Problem mit dieser neuen Auftrag-Rolle ist, die Tools, die diese Daten entsprechend verwalten – in Bezug auf seinen Inhalt – in der Vergangenheit waren nicht vorhanden, oder teuer und schwierig zu verwenden. In Ihrer Umgebung noch heute, wie wissen Sie wenn Stan des Kontoführung Kalkulationstabelle Oreos zählt er diese Woche gegessen hat, oder wenn es tatsächlich das Budget für ein Projekt neue und streng vertrauliche ist? Wie wissen Sie, wenn Stan die Kalkulationstabelle vor Jahren erstellt und noch nicht wurde es seit betrachtet? Ohne teure Tools von Drittanbietern, nicht Sie wahrscheinlich.

Solche Probleme zu lösen ist der Grund, warum Microsoft die neue Datei Klassifizierung Infrastruktur als Feature hinzugefügt-kostenlos in Windows Server 2008 R2 veröffentlicht entwickelt. FCI eintrifft als eine Erweiterung, um die File Server Resource Manager (FSRM), ein Tool wir zuerst gesehen haben, und wahrscheinlich in Windows Server 2003 R2 ignoriert. Frühen Fähigkeiten zum Verwalten von Kontingenten, Datei Sichtung Regeln erstellen und Berichte speichern alle interessant, waren die FSRM behandelt jedoch weiterhin mit Daten als Dateien, nicht als Inhalt.

Klassifiziert ist schnell. Sensible ist hart.

Denken an meine Zeit, in der Welt klassifizierte, bin ich erstaunt wie ausgereift die Regierung wurde in seiner Daten im Vergleich zu der Geschäftswelt klassifizieren. Einfach genug, Sperren Sie es hinter geschlossene Türen. Mit den USA Regierung, müssen geheime Daten in gesperrten Einrichtungen aufbewahrt werden, deren Netzwerke Luft gapped vom Rest der Welt sind. Keine Zeitpunkt sollte ein Dokument Regierung klassifiziert jemals seine geschützten Secure Compartmented Information Facility (SCIF) ohne ganz speziellen Schutzmechanismen lassen. Einfach gesagt, wenn Sie mit dem falschen Dokument in Ihre Aktentasche Hause anschauen, erhalten Sie möglicherweise von den Personen mit Schusswaffen einen Besuch.

Obwohl “ Personen mit Schusswaffen ” Haus immer besuchen für eine interessante abends macht, ist es tatsächlich nicht der interessante Teil dieser Geschichte. Das interessante ist wie diese Dokumente gekennzeichnet sind. Sie sehen, mit der Regierung jedes erstelltes Dokument mit speziellen Codes markiert ist. Was tatsächlich die Codes bedeuten, natürlich klassifiziert, aber jedes Dokument klassifizierte weiß reicht es zu sagen, dass immer der Grad der Klassifizierung (Top-Kennwort, geheime usw.), das Programm auf den bezieht, sowie andere Informationen, wie Sie behandelt werden soll.

Dies bedeutet, dass ein verlorenes Dokument zu dem entsprechenden Besitzer zurückverfolgt werden kann. Dies bedeutet auch, dass eine Person immer was mit jedem Dokument geschehen soll weiß.

Die Geschäftswelt verfügen nicht in der Regel diese Markierungen erforderlich vom Gesetz für jedes Dokument auf Ihren Dateiservern. Noch kann auch ohne eine zentrale Taxonomy jedes Dokument gescannt werden für bekannten Merkmalen zu identifizieren und deren Wichtigkeit für das Unternehmen zu kennzeichnen. Das ist Teil der Funktionsweise von FCI.

Mithilfe des FCI automatische Klassifizierung Regeln können Sie speziell Dokumente in Ihrer Infrastruktur in keiner Weise markieren, die Sie es für richtig halten. Diejenigen mit persönlich identifizierbare Informationen können in einem Punkt gekennzeichnet. Diejenigen mit einem hoher Businessimpact können in einer anderen beschriftet werden. Für wichtige Wörter können sogar Bilder z. B. TIFF über OCR gescannt werden. Das Ergebnis ist, dass Dokumente, die spezielle Behandlung benötigen die entsprechenden Vorsicht als eine Funktion von der Markierungen erteilt werden können Sie zuweisen.

Erste Schritt besteht darin, welche Markierungen zu identifizieren, die Sie benötigen.

Markieren von Dokumenten mit FCI

Microsoft's FCI speichert jedes Dokument Markierungen in ein NTFS-alternative Data Stream (ADS). Dies bedeutet, dass Markierungen mit Dokumenten in der gesamten Ihre Reise, bleiben solange Sie NTFS-Speicher nie verlassen. Dies bedeutet auch, dass eine Datei beliebigen Typs klassifiziert werden kann, um eine der Dateien in Ihrer Infrastruktur FCI erweitern. Microsoft Office-Dateien erhalten spezielle Behandlung mit FCI Markierungen in der Datei selbst als auch in den ADS gespeichert wird. Diese duale Markierung ermöglicht Microsoft Office-Dokumente Klassifizierungen sowohl auf einer NTFS-Freigabe als auch in SharePoint beibehalten.

Der eigentlichen Kategorien sowie die zugeordneten Eigenschaften verbleiben die individuelle Implementierung, so dass Ihr Unternehmen erstellen, alle Markierungen sinnvoll ist. Einige Beispiele für könnte z. B. Secrecy Ebenen beinhalten:

  • Geheimhaltung = Top geheime, klassifizierte oder nicht klassifizierte
  • Persönliche Daten = Ja oder Nein
  • Geschäftliche Auswirkungen = hoch, Mittel oder Niedrig

Markierungen tatsächlich zu einem Dokument anwenden, kann durch eine der vier mögliche Mechanismen auftreten:

  • Manuelle Klassifizierung. Microsoft Office-Vorlagen können erstellt werden, die die erforderliche Ebene der Klassifizierung bereits enthalten. Wie mit meiner Erfahrung in der Welt klassifizierte Dokumente, die am häufigsten verwendeten geheim klassifiziert erforderlich, um Ihr Leben aus Ihrem Unternehmen “ oben geheime ” .DOTX Datei beginnen kann.
  • Klassifizierung der Anwendung. FCI integriert sind eine Reihe von Erweiterungspunkten für Fremdanbieter-Hooks. Das bedeutet, dass andere Softwareunternehmen Ihre eigenen Tools zum Analysieren von Dokumenten und Klassifizierung Eigenschaften anwenden, wie Sie erstellt oder bearbeitet haben, schreiben können.
  • Benutzerdefinierte Klassifizierung über Skripts. Mithilfe des Moduls "Add-on Windows PowerShell-Klassifizierung" können Sie Sie schreiben eigenen Skripts zum Scannen und Markierungen für Dokumente übernehmen.
  • Automatische Klassifizierung. Zuletzt und am einfachsten können Sie die automatische Klassifizierung Engine FSRM integriert, um die Arbeit für Sie auszuführen.

Für uns Jack-of-all-Trades Administratoren ist der praktikabelste dieser des FCI automatische Klassifizierung Modul. Eine einfache GUI-Konsole verwenden, können Sie automatisch die Dateiserver in Ihrer Infrastruktur zu scannen und Anwenden von Markierungen, die basierend auf den Speicherort eines Dokuments oder seinen Inhalt FSRM konfigurieren.

Nehmen wir beispielsweise let’s an Sie zwei Sätze von sehr wichtige Dokumente haben. Die erste Gruppe enthält persönlich identifizierbaren Informationen, und die Dokumente werden immer zunächst in einem bestimmten Ordner in einer speziellen Dateifreigabe erstellt. Während diese Dokumente während ihrer Lebensdauer an andere Positionen verschieben können, wissen Sie, dass Sie immer an diesem Ort erstellt haben. Diese Dokumente müssen aufgrund der Einhaltung von Vorschriften speziell behandelt werden.

Der zweite Satz von sehr wichtige Dokumente bezieht sich auf eine spezielle Venture, die bearbeitet von Ihrem Unternehmen namens “Project X.”Sich diese Dokumente möglicherweise an einer beliebigen Stelle auf Ihren Dateiservern, wodurch Sie schwierig zu finden, wodurch sein Allerdings können Sie davon sicher ausgehen, dass jedes Dokument im Hinblick auf das Projekt einige Permutation “ Project X ” irgendwo in seinem Text enthält. Keine externen Vorschriften diese Dokumente an haben besondere Behandlung erfordert, zwar Sie sind empfindlich auf Ihre Geschäftsabläufe und daher benötigen zusätzliche Sorgfalt.

Sie müssen einige speziellen Schutzmechanismen für diese Dokumente bieten. Ihre erste Schritt ist die Dateidienste-Rolle auf dem Dateiserver der Rollendienst FSRM hinzu. Diese Aktion fügt die Freigabe- und Storage Management-Konsole unter Dateidienste im Server-Manager wie in Abbildung 1 dargestellt. Wie Sie sehen können, drei Freigaben für konfigurierten \\server1: \Privater für Benutzer privat Laufwerke; \Shared für freigegebene Dokumente; und \Shared – eingeschränkte personenbezogene Informationen für die Kompatibilität geregelt Dokumente mit persönlich identifizierbaren Informationen.

Abbildung 1 FSRM des freigeben und Storage Management Console

Für diese beiden Dokumenttypen, was Sie tun können, indem Sie im linken Fensterbereich mit der rechten Maustaste auf Klassifizierung Eigenschaften klicken und dann auf Eigenschaft erstellen, müssen zwei Klassifizierung Eigenschaften erstellt werden. Der ersten haben Namen einen Eigenschaft von “ PII ” mit einem Eigenschaftentyp Ja/Nein Diese Konfiguration, die in Abbildung 2 dargestellten kann Dokumente als mit persönlich identifizierbaren Informationen identifiziert werden.

 Der zweite Satz von Dokumenten erhalten Namen einen Eigenschaft von “ Inhalte Project ” mit einem String-Eigenschaftentyp. Diese Konfiguration lässt alle vertrauliches Dokument optional mit seiner speziellen Projektnamen gekennzeichnet werden.

 

Abbildung 2 Erstellen einen Ja/Nein Klassifizierung-Eigenschaft

Erstellen diese Eigenschaften Klassifizierung richtet die Taxonomy von Markierungen, die Sie für Ihre Dokumente übernehmen möchten. Die nächste Schritt besteht darin, diese Eigenschaften auf die richtigen Dokumente tatsächlich anzuwenden. Verwenden des FCI automatische Klassifizierung Dienste, können Sie diese Eigenschaften auf Ihre Dokumente basierend auf Ihre Anwesenheit in einem bestimmten Ordner anwenden.  Sie können auch anweisen, FCI jedes Dokument auf Ihren Dateiservern Suchen nach bestimmten Textzeichenfolgen zu lesen. In diesem Fall let’s tun Sie beides.

Klicken Sie mit der rechten Maustaste auf Regeln für die Klassifizierung aus, und wählen Sie zum Erstellen einer neuen Regel. Die erste Regel erstellt werden, werden die Datei Pfadregel, die für Ihre PII-Freigabe. Geben Sie einen Namen und eine Beschreibung für der Regel und Anwenden der Regel auf den Pfad des Ordners, der die Dokumente personenbezogene Informationen enthält. Wählen Sie auf der Registerkarte Klassifizierung konfigurieren Sie dann die Einstellungen wie in Abbildung 3 dargestellt. Sie werden feststellen, dass diese Regel den Ordner Klassifizierung Mechanismus verwendet den Wert PII-Eigenschaft Ja die Dokumente in diesem Ordner zuweisen.

Abbildung 3 Die Definitionen für die Regel eine Klassifizierung festlegen

Konfigurieren die zweite Regel umfasst etwas mehr Aufwand. Hier der Bereich für die zweite Regel werden die \Shared-Laufwerk und die \Shared – eingeschränkte PII Laufwerk (in der Realität dieser Regel würde enthalten einen beliebigen Speicherort, in denen Benutzer spezielle Project-Dokumente speichern können). Darüber hinaus verwenden Sie den Inhalt Klassifizierung Klassifizierung Mechanismus mit dem Namen der Inhalte von Project-Eigenschaft. Da Sie für Dokumente mit dieser Regel “ Project X ” suchen, “ Project X ” als dessen Eigenschaftenwert festgelegt.

Die endgültige Schritt besteht darin, der Regel mitteilen, wie in den Dokumenten suchen, die gefunden. Auf die Schaltfläche Erweitert klicken, und navigieren Sie zunächst zur Registerkarte zusätzliche Klassifizierung Parameter markiert zeigt ein Dialogfeld, in dem Sie die Regel zu suchende Zeichenfolge eingeben. Sie können konfigurieren, ohne Unterscheidung nach und Unterscheidung nach Groß-/Kleinschreibung von Zeichenfolgen, und verwenden Sie reguläre Ausdrücke für komplexere Anforderungen. Abbildung 4 zeigt, wie Sie nach vier verschiedene, keine Unterscheidung nach Groß-/Kleinschreibung Permutationen der Wörter “ Project X. ” suchen können

Abbildung 4 Searching für Permutationen von Text “ Project X ”

Die endgültige Schritt besteht darin, einen Zeitplan für die automatische Klassifizierung-Engine zu konfigurieren. Dies geschieht, indem Sie mit der rechten Maustaste auf Regeln für die Klassifizierung und Klassifizierung Zeitplan konfigurieren. Sie können mehrere Zeitpläne für das Scannen aller Ordner mit relevanten angewendeten Regeln erstellen, und können Berichte in mehreren Formaten (DHTML, HTML, XML, CSV und Text) erstellen und diese optional an Administratoren oder Prüfer per e-mail.

Was tatsächlich durchführen

Diese gesamte Bemühungen nur für Ihre Dokumente markiert. Ihre nächste Schritt ist tatsächlich Ausführen von Aufgaben mit diesen Dokumenten markierten. Was ist aufregend hier ist, dass Ihre Optionen nur durch Ihren scripting-Kenntnissen zufrieden und Ihrer Vorstellungskraft begrenzt werden.

Jetzt FCI-Unterstützung in Windows Server 2008 R2, beseitigt FSRM des Datei-Verwaltungsaufgaben Modul praktisch alle die Schwierigkeiten bei diesem Vorgang, durch die Anwendung automatisch die ausgewählten Aktion auf jedes beliebige markierte Dokument in einem beliebigen Ort:

  • Sie können nach einem bestimmten Zeitraum, diese zu einem Verzeichnis spezielle Ablaufdatum für die letzte Archivierung vor der Löschung Verbannung abläuft festgelegt werden.
  • Sie können in Berichte für Prüfer, Nachweis, dass Sie wissen, wo sich Ihre Einhaltung relevanten Dokumente in Ihrer Infrastruktur gesammelt werden.
  • Sie können gesichert werden, um speziellen Speicherorte, um sicherzustellen, dass reguläre Sicherungsbänder “ beschädigt ” werden nicht von vertraulichen Informationen.

Im Wesentlichen alle Aktion, die über eine ausführbare Datei oder ein Skript ausgeführt wird, kann auf einmal markierte Dokumente oder nach einem Zeitplan angewendet werden. Alle Aktionen werden in der Konsole aus FSRM erstellt, indem Sie mit der rechten Maustaste auf Management Dateiaufgaben klicken und dann auf File Management-Aufgabe erstellen. Das resultierende multi-tab Fenster bietet einen Speicherort für die Aufgabe und der Befehl oder Skript verwenden, sowie eine Benachrichtigung, Berichterstellung und Planung Optionen definieren.

Sie können auch eine Bedingung für das Vorkommen einer Aufgabe festlegen, wie in Abbildung 5 dargestellt. Wie Sie sehen können, wurde eine Aufgabe erstellt, um einige Aktion auf alle Dokumente, die als mit persönlich identifizierbaren Informationen markiert sind und, die modifiziert oder im vergangenen Jahr zugegriffen wurde noch nicht, zu erreichen.[snt1]  Diese Aufgabe ist möglicherweise so konfigurieren, solche Dokumente, um zu verhindern, dass Ihre veralteten Daten in die falschen Hände fallen automatisch zu löschen. Vielleicht verschiebt ihn diese Dokumente an einen Speicherort für die Archivierung zur Wahrung vor zu löschen. Hier die Leistungsfähigkeit ist, wenn die Bedingung erfüllt ist, die Aktionen, die Sie erledigen müssen automatisch stattfindet.

Abbildung 5 Festlegen die Bedingungen für eine FSRM File Management-Aufgabe

FCI gibt Sie Inhaltssteuerelement

Ich werde, zugeben, dass Öffnungsbereich an den Anfang des ein Platzhalter ersten Jahr in Meine berufliche Karriere war abrufen. Ich passt möglicherweise nicht das Profil der typischen “ verrechnet ” Person: Ich mein Haar lange tragen, die meinen Interessen Lesen in Richtung pop Soziologie und Mountainbikes Fahrrad Zeitschriften wieder militärische Verlauf neigen, und ich nenne Colorado meines Hauses, anstatt die Federal Locus als Maryland bezeichnet. Aber dieser Auftrag unterrichtet mir, was ich heute über formale Systeme der Sicherheit wissen die meisten.

Er geschaltet auch mir sehr viel Zuschreibung für die Ebene der Aufwand, um den Inhalt in einer Umgebung mit hoher Sicherheit verwalten. Bei den heutigen Technologien in Windows Server 2008 R2 können Sie diese dieselbe Ebene des Steuerelements in Ihrem mit viel mehr integrierte Automatisierung genießen.

 

Greg Shields, MVP, ist ein Partner bei betrifft Technology. Mehrere der Greg des Jack-of-all-Trades Tipps und Tricks zur www.concentratedtech.com abrufen.