Table of contents
TOC
Inhaltsverzeichnis reduzieren
Inhaltsverzeichnis erweitern

Bereitstellen von Verschlüsselung von Office-Dateien (Demonstrationsschritte)

Bill Mathers|Zuletzt aktualisiert: 10.03.2017
|
1 Mitwirkender

Gilt für: Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

Contoso Finance Abteilung umfasst eine Reihe von Datei-Servern, die ihre Dokumente zu speichern. Diese Dokumente können allgemeinen Dokumentation oder eine hohe-geschäftlichen Auswirkung (HBI) aufweisen. Beispielsweise alle Dokumente, die vertrauliche Daten enthält, von Contoso, eine hohe-Unternehmen auswirken gilt. Contoso möchte, um sicherzustellen, dass alle ihre Dokumente ein Mindestmaß an Schutz ist und deren Dokumentation HBI auf die entsprechenden Benutzer beschränkt ist. Zu diesem Zweck wird Contoso Erkunden Sie mit der Datei Classification-Infrastruktur (FCI) und die AD RMS, die in Windows Server 2012 verfügbar ist. Mithilfe von FCI wird Contoso klassifizieren alle Dokumente auf dem Dateiserver, basierend auf den Inhalt und dann AD RMS verwenden, um die erforderlichen Zugriffsrechte Richtlinie anwenden.

In diesem Szenario führen Sie die folgenden Schritte aus:

AufgabeBeschreibung
Aktivieren Sie die Eigenschaften für die RessourceAktivieren der Auswirkungen und persönlich identifizierbare Informationen Ressourceneigenschaften.
Klassifizierungsregeln erstellenErstellen Sie die folgenden Klassifizierungsregeln: HBI Klassifizierungsregel und PII Klassifizierungsregel.
Verwenden Sie Verwaltungsaufgaben für die Datei automatisch Dokumente mit AD RMS schützenErstellen Sie eine Datei Management-Aufgabe, die AD RMS automatisch verwendet, um Dokumente mit hoher personenbezogene Informationen (PII) zu schützen. Nur Mitglieder der Gruppe FinanceAdmin können auf Dokumente zugreifen, die hohe personenbezogene Informationen enthalten.
Anzeigen der ErgebnisseUntersuchen der Klassifizierung von Dokumenten, und beobachten Sie, wie sie ändern, wie Sie den Inhalt des Dokuments ändern. Überprüfen Sie außerdem, wie das Dokument von AD RMS geschützt ist.
Überprüfen Sie die AD RMS-SchutzStellen Sie sicher, dass das Dokument mit AD RMS geschützt ist.

Schritt 1: Aktivieren der Ressourceneigenschaften

So aktivieren Sie die Eigenschaften für die Ressource

  1. Schließen Sie in Hyper-V-Manager an Server ID_AD_DC1. Melden Sie sich an den Server mit dem Kennwort Contoso\Administrator pass@word1.

  2. Öffnen Sie Active Directory-Verwaltungscenter, und klicken Sie auf Strukturansicht.

  3. Erweitern Sie DYNAMISCHE ZUGRIFFSSTEUERUNG, und wählen Sie Ressourceneigenschaften.

  4. Führen Sie einen Bildlauf nach unten, um die Auswirkungen Eigenschaft in der Anzeigename Spalte. Mit der rechten Maustaste Auswirkungen, und klicken Sie dann auf aktivieren.

  5. Führen Sie einen Bildlauf nach unten, um die persönlich identifizierbare Informationen Eigenschaft in der Anzeigename Spalte. Mit der rechten Maustaste persönlich identifizierbare Informationen, und klicken Sie dann auf aktivieren.

  6. An die Eigenschaften in der globale Ressourcenliste, klicken Sie im linken Bereich auf Ressource-Eigenschaft listet, und doppelklicken Sie anschließend auf globale Ressource Eigenschaftenliste.

  7. Klicken Sie auf hinzufügen, und führen Sie einen Bildlauf nach unten, und klicken Sie auf Auswirkungen sie zur Liste hinzufügen. Der Begrüßungsbildschirm persönlich identifizierbare Informationen. Klicken Sie auf OK zum Abschluss zweimal.

Handbücher für die LösungWindows PowerShell entspricht Befehle ***

Die folgenden Windows PowerShell-Cmdlet oder -Cmdlets erfüllen dieselbe Funktion wie das vorhergehende Verfahren. Geben Sie jedes Cmdlet in einer einzelnen Zeile, auch wenn sie über mehrere Zeilen umgebrochen angezeigt werden möglicherweise aufgrund von formatierungseinschränkungen Zeilenumbrüche vorhanden sind.

Set-ADResourceProperty -Enabled:$true -Identity:"CN=Impact_MS,CN=Resource Properties,CN=Claims Configuration,CN=Services,CN=Configuration,DC=contoso,DC=com"  
Set-ADResourceProperty -Enabled:$true -Identity:"CN=PII_MS,CN=Resource Properties,CN=Claims Configuration,CN=Services,CN=Configuration,DC=contoso,DC=com" 

Schritt 2: Erstellen von Regeln classification

Dieser Schritt wird erläutert, wie zum Erstellen der eindrucksvolle Klassifizierungsregel. Diese Regel wird den Inhalt von Dokumenten suchen, und wenn die Zeichenfolge "Contoso vertrauliche" gefunden wird, wird es dieses Dokument mit hoher-geschäftlichen Auswirkung klassifizieren. Dieser Klassifizierung überschreibt alle bisherigen Klassifizierung von Low-geschäftlichen Auswirkung.

Außerdem erstellen Sie eine hohe PII Regel. Diese Regel sucht den Inhalt von Dokumenten und Sozialversicherungsnummern gefunden, werden Sie das Dokument mit hoher PII klassifiziert.

Zum Erstellen der Regel aussagekräftige classification

  1. Schließen Sie in Hyper-V-Manager an Server ID_AD_FILE1. Melden Sie sich an den Server mit dem Kennwort Contoso\Administrator pass@word1.

  2. Sie müssen die globalen Eigenschaften von Active Directory aktualisieren. Öffnen Sie Windows PowerShell und Typ: Update-FSRMClassificationPropertyDefinition, und drücken Sie dann die EINGABETASTE. Schließen Sie Windows PowerShell.

  3. Ressourcen-Manager zu öffnen. Um die Ressourcen-Manager zu öffnen, klicken Sie auf starten, Typ Ressourcen-Manager, und klicken Sie dann auf Ressourcen-Manager.

  4. Erweitern Sie im linken Bereich von Datei Server-Systemressourcen-Manager Klassifizierung Management, und wählen Sie dann Klassifizierungsregeln.

  5. In der Aktionen Bereich, klicken Sie auf konfigurieren Klassifizierung Zeitplan. Auf der automatische Klassifizierung Registerkarte festen Zeitplan aktivieren, und wählen Sie eine Tag der Woche, und wählen Sie dann die kontinuierliche Klassifizierung für neue Dateien ermöglichen Kontrollkästchen. Klicken Sie auf OK.

  6. In der Aktionen Bereich, klicken Sie auf Klassifizierungsregel erstellen. Daraufhin wird die Klassifizierungsregel erstellen Dialogfeld.

  7. In der Regelnamen geben hohen geschäftlichen Auswirkung.

  8. In der Beschreibung geben bestimmt, ob das Dokument eine hohe basierend auf das Vorhandensein der Zeichenfolge "Contoso vertrauliche" auswirkt

  9. Auf der Bereich auf Ordner Management-Eigenschaften festlegen, und wählen Sie Verwendung Ordner, klicken Sie auf hinzufügen, klicken Sie dann auf Durchsuchen, D:\Finance Documents as the path, klicken Sie auf OK, und wählen Sie dann den Wert einer Eigenschaft mit dem Namen Gruppieren von Dateien, und klicken Sie auf schließen. Wenn Management-Eigenschaften festgelegt sind, auf die Regelbereich wählen Registerkarte Gruppieren von Dateien.

  10. Klicken Sie auf die Klassifizierung Registerkarte. Klicken Sie unter Auswählen einer Methode, Dateien die Eigenschaft zuweisen, und wählen Sie Inhalte Klassifizierung aus der Dropdown-Liste.

  11. Klicken Sie unter wählen Sie eine Eigenschaft, um auf Dateien, und wählen Sie Auswirkungen aus der Dropdown-Liste.

  12. Klicken Sie unter Geben Sie einen Wert, und wählen Sie hohe aus der Dropdown-Liste.

  13. Klicken Sie auf konfigurieren unter Parameter. In der Klassifizierungsparameter Dialogfeld, in der Typ des Ausdrucks Liste Zeichenfolge. In der Ausdruck geben: Contoso vertrauliche, und klicken Sie dann auf OK.

  14. Klicken Sie auf die Berechnungstyp Registerkarte. Klicken Sie auf neu auswerten, vorhandene Eigenschaftswerte, klicken Sie auf überschreibender vorhandene Wert, und klicken Sie dann auf OK beendet.

Handbücher für die LösungWindows PowerShell entspricht Befehle ***

Die folgenden Windows PowerShell-Cmdlet oder -Cmdlets erfüllen dieselbe Funktion wie das vorhergehende Verfahren. Geben Sie jedes Cmdlet in einer einzelnen Zeile, auch wenn sie über mehrere Zeilen umgebrochen angezeigt werden möglicherweise aufgrund von formatierungseinschränkungen Zeilenumbrüche vorhanden sind.

Update-FSRMClassificationPropertyDefinition  
$date = Get-Date  
$AutomaticClassificationScheduledTask = New-FsrmScheduledTask -Time $date -Weekly @(3, 2, 4, 5,1,6,0) -RunDuration 0;  
Set-FsrmClassification -Continuous -schedule $AutomaticClassificationScheduledTask  
New-FSRMClassificationRule -Name "High Business Impact" -Property "Impact_MS" -Description "Determines if the document has a high business impact based on the presence of the string 'Contoso Confidential'" -PropertyValue "3000" -Namespace @("D:\Finance Documents") -ClassificationMechanism "Content Classifier" -Parameters @("StringEx=Min=1;Expr=Contoso Confidential") -ReevaluateProperty Overwrite  

Zum Erstellen der High-PII Klassifizierung-Regel

  1. Schließen Sie in Hyper-V-Manager an Server ID_AD_FILE1. Melden Sie sich an den Server mit dem Kennwort Contoso\Administrator pass@word1.

  2. Öffnen Sie den Ordner mit dem Namen auf dem Desktop reguläre Ausdrücke, und öffnen Sie das Dokument mit dem Namen RegEx-SSN. Markieren und kopieren Sie die folgenden regulären Ausdruck: ^ (? 000)([0-7]\d{2}|7([0-7]\d|7[012])) ([-]?) (?! 00) \d\d\3 (hintereinander? 0000) \d {4} $. Diese Zeichenfolge verwendet werden weiter unten in diesem Schritt bleiben sie in der Zwischenablage.

  3. Ressourcen-Manager zu öffnen. Um die Ressourcen-Manager zu öffnen, klicken Sie auf starten, Typ Ressourcen-Manager, und klicken Sie dann auf Ressourcen-Manager.

  4. Erweitern Sie im linken Bereich von Datei Server-Systemressourcen-Manager Klassifizierung Management, und wählen Sie dann Klassifizierungsregeln.

  5. In der Aktionen Bereich, klicken Sie auf konfigurieren Klassifizierung Zeitplan. Auf der automatische Klassifizierung Registerkarte festen Zeitplan aktivieren, und wählen Sie eine Tag der Woche, und wählen Sie dann die kontinuierliche Klassifizierung für neue Dateien ermöglichen Kontrollkästchen. Klicken Sie auf OK.

  6. In der Regelnamen geben hohe PII. In der Beschreibung geben fest, ob das Dokument mit einen hohen ist PII basierend auf das Vorhandensein einer Sozialversicherungsnummer.

  7. Klicken Sie auf die Bereich Registerkarte der Gruppieren von Dateien Kontrollkästchen.

  8. Klicken Sie auf die Klassifizierung Registerkarte. Klicken Sie unter Auswählen einer Methode, Dateien die Eigenschaft zuweisen, und wählen Sie Inhalte Klassifizierung aus der Dropdown-Liste.

  9. Klicken Sie unter wählen Sie eine Eigenschaft, um auf Dateien, und wählen Sie persönlich identifizierbare Informationen aus der Dropdown-Liste.

  10. Klicken Sie unter Geben Sie einen Wert, und wählen Sie hohe aus der Dropdown-Liste.

  11. Klicken Sie auf konfigurieren unter Parameter.
    In der KlassifizierungsparameterFenster, in der Typ des Ausdrucks Liste regulären Ausdruck. In der Ausdruck Feld, fügen Sie den Text aus der Zwischenablage: ^ (? 000)([0-7]\d{2}|7([0-7]\d|7[012])) ([-]?) (?! 00) \d\d\3 (hintereinander? 0000) \d {4} $, und klicken Sie dann auf OK.

    Hinweis

    Dieser Ausdruck ermöglicht ungültige Sozialversicherungsnummern. So können wir fiktive Sozialversicherungsnummern in der Demo verwenden.

  12. Klicken Sie auf die Berechnungstyp Registerkarte. Wählen Sie neu auswerten, vorhandene Eigenschaftswerte, überschreibender vorhandene Wert, und klicken Sie dann auf OK beendet.

Handbücher für die LösungWindows PowerShell entspricht Befehle ***

Die folgenden Windows PowerShell-Cmdlet oder -Cmdlets erfüllen dieselbe Funktion wie das vorhergehende Verfahren. Geben Sie jedes Cmdlet in einer einzelnen Zeile, auch wenn sie über mehrere Zeilen umgebrochen angezeigt werden möglicherweise aufgrund von formatierungseinschränkungen Zeilenumbrüche vorhanden sind.

New-FSRMClassificationRule -Name "High PII" -Description "Determines if the document has a high PII based on the presence of a Social Security Number." -Property "PII_MS" -PropertyValue "5000" -Namespace @("D:\Finance Documents") -ClassificationMechanism "Content Classifier" -Parameters @("RegularExpressionEx=Min=1;Expr=^(?!000)([0-7]\d{2}|7([0-7]\d|7[012]))([ -]?)(?!00)\d\d\3(?!0000)\d{4}$") -ReevaluateProperty Overwrite  

Sie sollten jetzt zwei Klassifizierungsregeln haben:

  • Hohe

  • Hohe PII

Schritt 3: Verwenden Sie Verwaltungsaufgaben für die Datei automatisch Dokumente mit AD RMS schützen

Nun, dass Sie die Regeln, um Dokumente auf Grundlage des Inhalts automatisch zu klassifizieren erstellt haben, besteht der nächste Schritt eine Datei Management-Aufgabe zu erstellen, die AD RMS verwendet, um bestimmte basierend auf ihrer Klassifizierung Dokumente automatisch zu schützen. In diesem Schritt erstellen Sie eine Datei Management-Aufgabe, die automatisch alle Dokumente mit einer hohen personenbezogene Informationen schützt. Nur Mitglieder der Gruppe FinanceAdmin können auf Dokumente zugreifen, die hohe personenbezogene Informationen enthalten.

Zum Schutz von Dokumenten mit AD RMS

  1. Schließen Sie in Hyper-V-Manager an Server ID_AD_FILE1. Melden Sie sich an den Server mit dem Kennwort Contoso\Administrator pass@word1.

  2. Ressourcen-Manager zu öffnen. Um die Ressourcen-Manager zu öffnen, klicken Sie auf starten, Typ Ressourcen-Manager, und klicken Sie dann auf Ressourcen-Manager.

  3. Wählen Sie im linken Bereich Dateiverwaltungsaufgaben. In der Aktionen Bereich Dateiverwaltungsaufgabe erstellen.

  4. In den Namen der Aufgabe: geben hohe PII. In der Beschreibung geben automatische RMS-Schutz für hohe Ausgewählt Dokumente.

  5. Klicken Sie auf die Bereich Registerkarte der Gruppieren von Dateien Kontrollkästchen.

  6. Klicken Sie auf die Aktion Registerkarte. Klicken Sie unter Typ, und wählen Sie RMS-Verschlüsselung. Klicken Sie auf Durchsuchen eine Vorlage auswählen, und wählen Sie dann die Contoso Finance Administrator nur Vorlage.

  7. Klicken Sie auf die Bedingung aus, und klicken Sie dann auf hinzufügen. Klicken Sie unter Eigenschaft, und wählen Sie persönlich identifizierbare Informationen. Klicken Sie unter Operator, und wählen Sie gleich. Klicken Sie unter Wert, und wählen Sie hohe. Klicken Sie auf OK.

  8. Klicken Sie auf die Zeitplan Registerkarte. In der Zeitplan auf wöchentlich, und wählen Sie dann Sonntag. Ausführen der Aufgabe einmal pro Woche wird sichergestellt, dass Sie alle Dokumente ab, die aufgrund eines dienstausfalls oder andere störenden Ereignis verpasst wurden.

  9. In der Dauerbetrieb Bereich Aufgabe kontinuierlich auf neue Dateien ausführen, und klicken Sie dann auf OK. Sie sollten jetzt eine Datei Management-Aufgabe, die mit dem Namen hohe PII verfügen.

Handbücher für die LösungWindows PowerShell entspricht Befehle ***

Die folgenden Windows PowerShell-Cmdlet oder -Cmdlets erfüllen dieselbe Funktion wie das vorhergehende Verfahren. Geben Sie jedes Cmdlet in einer einzelnen Zeile, auch wenn sie über mehrere Zeilen umgebrochen angezeigt werden möglicherweise aufgrund von formatierungseinschränkungen Zeilenumbrüche vorhanden sind.

$fmjRmsEncryption = New-FSRMFmjAction -Type 'Rms' -RmsTemplate 'Contoso Finance Admin Only'  
$fmjCondition1 = New-FSRMFmjCondition -Property 'PII_MS' -Condition 'Equal' -Value '5000'  
$date = get-date  
$schedule = New-FsrmScheduledTask -Time $date -Weekly @('Sunday')    
$fmj1=New-FSRMFileManagementJob -Name "High PII" -Description "Automatic RMS protection for high PII documents" -Namespace @('D:\Finance Documents') -Action $fmjRmsEncryption -Schedule $schedule -Continuous -Condition @($fmjCondition1)  

Schritt 4: Anzeigen der Ergebnisse

Es ist Zeit für Ihre neue automatische Klassifizierung und Regeln für AD RMS-Schutz in Aktion sehen. In diesem Schritt werden Sie untersuchen die Klassifizierung von Dokumenten und beobachten, wie sie ändern, wie Sie den Inhalt des Dokuments ändern.

Zum Anzeigen der Ergebnisse

  1. Schließen Sie in Hyper-V-Manager an Server ID_AD_FILE1. Melden Sie sich an den Server mit dem Kennwort Contoso\Administrator pass@word1.

  2. Navigieren Sie im Windows-Explorer zu D:\Finance Documents.

  3. Mit der rechten Maustaste in des Dokuments Finanzen Memo, und klicken Sie auf Eigenschaften. Klicken Sie auf die Klassifizierung aus, und beachten Sie, dass die Eigenschaft Auswirkungen derzeit keinen Wert enthält. Klicken Sie auf Abbrechen.

  4. Mit der rechten Maustaste die Anforderung zur Genehmigung an Mitarbeiter Dokument, und wählen Sie dann Eigenschaften.

  5. Klicken Sie auf die Klassifizierung aus, und beachten Sie, dass die Eigenschaft persönlich identifizierbare Informationen derzeit hat keinen Wert. Klicken Sie auf Abbrechen.

  6. Wechseln Sie zur CLIENT1. Melden Sie sich alle Benutzer angemeldet ist ab, und melden Sie sich dann als Contoso\MReid mit dem Kennwort pass@word1.

  7. Öffnen Sie auf dem Desktop, die Finanzen Dokumente freigegebenen Ordner.

  8. Öffnen der Finanzen Memo Dokument. Im unteren Bereich des Dokuments, sehen Sie das Wort vertraulich. Ändern Sie ihn zu lesen: Contoso vertrauliche. Speichern Sie das Dokument, und schließen Sie sie.

  9. Öffnen der Anforderung für die Genehmigung der Einstellung Dokument. In der Social Security-: Abschnitt, und geben: 777-77-7777. Speichern Sie das Dokument, und schließen Sie sie.

    Hinweis

    Sie müssen möglicherweise 30 Sekunden der Klassifizierung erfolgt.

  10. Wechseln Sie zu ID_AD_FILE1. Navigieren Sie im Windows-Explorer zu D:\Finance Documents.

  11. Mit der rechten Maustaste in des Dokuments Finanzen Memo, und klicken Sie auf Eigenschaften. Klicken Sie auf die Klassifizierung Registerkarte. Beachten Sie, dass die Auswirkungen Eigenschaft beträgt jetzt hohe. Klicken Sie auf Abbrechen.

  12. Mit der rechten Maustaste der Anforderung zur Genehmigung an Mitarbeiter Dokument, und klicken Sie auf Eigenschaften.

  13. . Klicken Sie auf die Klassifizierung Registerkarte. Beachten Sie, dass die persönlich identifizierbare Informationen Eigenschaft beträgt jetzt hohe. Klicken Sie auf Abbrechen.

Schritt 5: Überprüfen der Schutz mit AD RMS

Um sicherzustellen, dass das Dokument geschützt ist

  1. Wechseln Sie zu ID_AD_CLIENT1.

  2. Öffnen der Anforderung für die Genehmigung der Einstellung Dokument.

  3. Klicken Sie auf OK zum Dokument, um zu Ihrem AD RMS-Server herstellen können.

  4. Sie sehen, dass das Dokument von AD RMS geschützt ist, da es sich um eine Sozialversicherungsnummer enthält.

© 2017 Microsoft