Windows

  • Artículo

FCI: CLASIFICA

Greg Shields

I recuerda el día me accidentalmente obtuvo un EE.UU. Gálibo de gobierno.

Incluso crazier era un gálibo superior Top Secret para un programa de gobierno clasificado por lo tanto, no incluso sé su nombre. Era nueva fuera de la Universidad y sólo tenía descargados mi primer trabajo real con una empresa real. En mi primer día, encontré yo mismo rellenar una cantidad excesiva de papeleo, pilas de ella, y no preguntando, “ nunca sabía que un trabajo real tendría toda esta información acerca de mí! ” Cada lugar que hubiera vivido, cada persona que hubiera cumplen, cada trabajo que hubiera tuve, la increíble cantidad de Life Juan, documentado para posterity en lo que más adelante descubrí era un cuestionario de seguridad personal federal.

Unos seis meses más tarde, que les llama me anunciar hubiera sido “ Desactivé. ” Sorpresa! hacer Walking seguridad a través del “ cerrado área especial ” por primera vez, encontré yo mismo inmediatamente rodeado por niveles de proceso y seguridad, documentación y marcas especiales que hacen que las páginas de la TI weep plan del proyecto.

Es exactamente esa documentación y su contenido clasificada se controlaban las formas que se me ocurren como creo acerca de Microsoft nuevo archivo clasificación infraestructura (FCI), introducidos con Windows Server 2008 R2.

Administración de contenido:cómo han cambiado nuestros trabajos

Piense en un minuto acerca de cómo nuestros trabajos como administradores de TI han evolucionado durante los años. Al principio, pasamos mucho de nuestro tiempo simplemente mantener los escritorios en ejecución. Como escritorios ha crecido más estable y usuarios educar más, nuestro enfoque migra finalmente hacia la sala de servidores. Allí, encontramos nosotros mismos ampliar nuestra infraestructura de servidor, que las aplicaciones altamente disponibles para los clientes en la LAN y, finalmente, en Internet.

Ahora estamos en el punto donde muchas de nuestras aplicaciones de línea de negocio están disponibles ubiquitously. Los usuarios pueden tener acceso a sus datos desde prácticamente cualquier conexión prepararles para trabajar desde cualquier lugar que necesitan. Aún con ese ubicuidad también incluye un mayor riesgo para la exposición de datos, una situación potencialmente muy cara todos queremos evitar. Y hay un problema adicional: el enorme crecimiento de datos bajo la administración, grandes cantidades de los cuales se crea, nunca acceso a él de nuevo y costo almacena para ningún buen uso.

Para tratar estos problemas, nuestra función de trabajo se desplaza otra vez. Hoy, del sector y mandatos de cumplimiento de disposiciones legales que nos administrar activamente los datos que se almacenó en nuestros sistemas, no sólo los sistemas por sí mismos. Esto significa que nos TI los administradores deben tomar una función activa en garantizar que nuestras clases diferentes de datos se indican los niveles adecuados de vencimiento diligencia. Mayor cuidado se debe tener datos que es propietaria o confidencial, tiene un impacto mayor en nuestro negocio o trata con información personal identificable. Datos que ya no es relevante o útil deben eliminarse de correctamente si somos mantener los costos en línea.

El problema con esta nueva función de trabajo es que las herramientas para administrar adecuadamente todos estos datos, con respecto a su contenido: históricamente han sido inexistente, o caro y difícil de utilizar. En su entorno hoy en día, ¿cómo sabe si la hoja de cálculo de Stan Contabilidad cuenta el número de Oreos él ha comen esta semana, o si es realmente el presupuesto para un proyecto nuevo y muy confidencial? ¿Cómo sabe si Stan crea esa hoja de cálculo hace años y no ha mirado lo desde? Que carecen de costosas herramientas de terceros, probablemente no.

Para resolver estos tipos de problemas es la razón por la que Microsoft desarrolló su infraestructura de clasificación de archivo nuevo, publicado como una característica agregado-gratuita en Windows Server 2008 R2. FCI llega como una cancelación del aumento para el archivo Server Resource Manager (FSRM), una herramienta se vio primero y probablemente se omite en Windows Server 2003 R2. Tiempo de compilación capacidades del FSRM para administrar cuotas, crear reglas de filtrado de archivo y generar informes de almacenamiento fueron todos interesante, pero todavía tratar datos como archivos, no como contenido.

Clasifica es fácil. Sensible es duro.

Pensando en volver a mi tiempo en el mundo clasificado, estoy sorprendente en cómo madura el gobierno estaba en clasifique sus datos en comparación con el mundo empresarial. Bastante fácil bloquear detrás puertas cerradas. Con los EE.UU. Gobierno, clasificados datos deben mantenerse dentro de instalaciones bloqueadas cuyas redes son gapped aire del resto del mundo. En ningún momento debe un documento de gobierno clasificada nunca dejar su protegido Secure Compartmented Information Facility (SCIF) sin protecciones muy especiales. En pocas palabras, si vaya casa con el documento incorrecto en su Maletín, es posible que obtenga una visita de las personas con pistolas.

Aunque “ personas con pistolas ” visita su casa siempre hace que para una interesante por la noche, realmente no es la parte interesante de este artículo. Lo interesante es cómo se marcan dichos documentos. Verá, con el gobierno, que cada documento creado está marcado con códigos especiales. Por supuesto, se, clasifica los códigos realmente significan, pero es suficiente decir que todos los documentos clasificados siempre sabe su nivel de clasificación (secreto Top, secreto etc.), el programa con el que se relaciona, así como otra información acerca de cómo debe controlarse.

Esto significa que un documento perdido puede atribuirse a su propietario correcto. También significa que un individuo siempre sabe qué hacer con cualquier documento.

El mundo empresarial normalmente no tiene estas marcas requerido por ley en cada documento en sus servidores de archivos. Todavía incluso sin una taxonomía central, se pueden examinar todos los documentos para que características conocidas identificar y marcar su importancia para la empresa. Que forma parte de lo que hace FCI.

Utilizando reglas de clasificación automática del FCI, especialmente puede marcar los documentos en su infraestructura de ninguna manera que le convenga. Pueden etiquetarse aquellos con información personal identificable de una forma. Aquellos con una repercusión alta en la empresa pueden etiquetarse en otro. Pueden digitalizar imágenes incluso como TIFF a través de OCR para palabras notables. El resultado neto es que documentos que necesitan un tratamiento especial se les pueden dar el cuidado apropiado como una función de las marcas que asignar.

El primer paso es identificar qué marcas necesita.

Marcar documentos con FCI

Microsoft del FCI almacena marcas provisionales de cada documento en una secuencia de datos alternativa (ADS) de NTFS. Esto significa que las marcas permanecen con documentos de sus viajes mientras nunca abandonan el almacenamiento NTFS. También significa que cualquier tipo de archivo puede clasificarse, extender FCI a cualquiera de los archivos en su infraestructura. Archivos de Microsoft Office obtener un tratamiento especial, con marcas de FCI que se almacena dentro del propio archivo, así como dentro de las ADS. Este marcado dual permite que los documentos de Microsoft Office mantener las clasificaciones tanto en un recurso compartido NTFS, así como dentro de SharePoint.

Permanecen reales categorías así como las propiedades asignadas a la implementación individual, por lo que su negocio es libre para crear cualquier marcas sentido. Algunos ejemplos podrían incluir niveles de confidencialidad como:

  • Confidencialidad directa perfecta = Top Secret, clasificada o sin clasificar
  • Datos personales = Sí o no
  • Repercusión empresarial = alta, Media o baja

Realmente aplicar marcas a un documento puede producirse a través de cualquiera de cuatro mecanismos posibles:

  • Clasificación manual. Las plantillas de Microsoft Office se pueden crear que ya incluyen el nivel necesario de clasificación. Como con mi experiencia en el mundo clasificado, documentos que están clasifican secreto superior puede ser necesaria para comenzar sus vidas desde archivo de su empresa “ Top Secret ” .DOTX.
  • Clasificación de la aplicación. Integrado en FCI son un número de puntos de extensibilidad para enlaces de terceros. Esto significa que otras compañías de software pueden escribir sus propias herramientas para analizar documentos y aplicando las propiedades de clasificación tal como está creados o manipular.
  • Clasificación personalizado mediante secuencias de comandos. Mediante el módulo de clasificador complementario Windows PowerShell, puede escribir propias secuencias de comandos para digitalizar y aplicar marcas a documentos.
  • Clasificación automática. Por último y más fácilmente, puede utilizar el motor de clasificación automática integrado en FSRM para hacer el trabajo por usted.

Para nosotros Jack-of-all-Trades administradores, la más práctico es motor de clasificación automática del FCI. Utilizar una consola de GUI simple, puede configurar FSRM para examinar los servidores de archivos de su infraestructura y aplicar marcas basadas en la ubicación del documento o en su contenido automáticamente.

Por ejemplo, suponga let’s que tiene dos conjuntos de documentos muy importantes. El primer grupo contiene información personal identificable y los documentos se crean siempre inicialmente en una carpeta particular en un recurso compartido de archivos especiales. Mientras estos documentos pueden moverse a otras ubicaciones durante su ciclo de vida, sabrá que se siempre crean en esta sola ubicación. Estos documentos deben controlarse especialmente debido de cumplimiento de normativas.

El segundo conjunto de documentos muy importantes se relaciona con una operación especial que se está trabajando por su compañía denominada “Project X.”  Estos documentos pueden alojarse en cualquier lugar en los servidores de archivo, que hace difícil encontrar. Sin embargo, puede suponerse que todos los documentos relacionados con el proyecto incluye algunos permutación de “ proyecto X ” en algún lugar en su texto. Mientras no regulación exterior requiere estos documentos a tener un tratamiento especial, son sensibles a las operaciones de ’ su negocio y, por lo tanto, es necesario mayor cuidado.

Debe proporcionar algunos protecciones especiales para estos documentos. El primer paso es agregar el servicio de rol FSRM a la función de servicios de archivo en el servidor de archivos. Esta acción agrega la consola de administración de almacenamiento y compartir bajo Servicios de archivo en el Administrador de servidores, como se muestra en de figura 1. Como puede ver, recursos tres compartidos están configurados actualmente en \\server1: \Mudanza, para ’ usuarios domésticos unidades; \Shared para documentos compartidos; y \Shared – PII restringidos, para los documentos con información personal identificable regulados cumplimiento.

Figura compartir y la consola de administración de almacenamiento del FSRM de 1

Se deben crear dos propiedades de clasificación para estos dos tipos de documento, que se pueden realizar, haga clic con el botón secundario del mouse en Propiedades de clasificación en el panel izquierdo y elija Crear propiedad. La primera tendrá un nombre de propiedad de “ PII ” con una propiedad de tipo sí/no. Esta configuración, que se muestra en de figura 2, permite que los documentos para identificarse como que contiene información personal identificable.

 El segundo conjunto de documentos obtendrá un nombre de propiedad de “ Project especial ” con una propiedad de tipo String. Esta configuración permitirá que cualquier documento confidencial opcionalmente marcarse con su nombre de proyecto especial.

 

Figura 2 crear un sí/no propiedad clasificación

Creación de estas propiedades de clasificación establece la taxonomía de marcas que desea aplicar a los documentos. El siguiente paso es realmente aplicar esas propiedades a los documentos de la derecho. Mediante servicios de clasificación automática del FCI, puede aplicar estas propiedades a los documentos basados en su presencia en una carpeta específica.  También puede indicar a FCI leer a través de cada documento en los servidores de archivo buscar cadenas de texto específico. En este caso, let’s ambos procedimientos.

Haga clic con el botón secundario del mouse en reglas de clasificación y elija Crear una regla de nuevo. La primera regla que se va a crear será una regla de ruta de acceso de archivo para su recurso compartido de PII. Asignar a la regla un nombre y una descripción y aplicar la regla a la ruta de acceso a la carpeta que contiene los documentos PII. A continuación, en la pestaña clasificación, la configuración como se muestra en de figura 3. Verá que esta regla a utilizar el mecanismo de clasificador de carpeta para asignar el valor de la propiedad PII de sí a los documentos en esta carpeta.

Figura 3 establecer las definiciones para una regla de clasificación

Configuración de la segunda regla implica ligeramente más esfuerzo. Aquí, el ámbito de la segunda regla será la unidad de \Shared y el \Shared – unidad PII restringidos (en realidad, esta regla incluiría cualquier ubicación donde los usuarios podrían almacenar documentos de proyecto especial). Asimismo, utilizará el mecanismo de clasificación de contenido clasificador con el nombre de propiedad de proyecto especial. Dado que está buscando “ proyecto X ” documentos con esta regla, establecer “ proyecto X ” como su valor de propiedad.

El paso final es saberlo que se va a buscar en los documentos que se encuentra la regla. Haciendo clic en el botón Avanzadas y vaya a la ficha marcada parámetros adicionales de clasificación presentan un cuadro de diálogo donde especificar cadena de búsqueda de la regla. Puede configurar las cadenas distingue entre mayúsculas y minúsculas y no entre mayúsculas y minúsculas, y puede utilizar expresiones regulares para necesidades más complejas. Figura 4 muestra cómo se puede buscar en para cuatro permutaciones sin distinción entre mayúsculas y minúsculas diferentes de las palabras “ Project X. ”

Figura 4 buscando permutaciones del texto “Project X”

El último paso es configurar una programación para el motor de clasificación automática. Para ello, haga clic con el botón secundario del mouse en reglas de clasificación y elija Configurar programación de clasificación. Puede crear varias programaciones para la detección de todas las carpetas con las reglas relevantes que se aplican, y puede crear informes en varios formatos (DHTML, HTML, XML, CSV y texto) y, opcionalmente, correo electrónico a los administradores o los auditores.

Doing realmente Things

Este esfuerzo toda marca sólo los documentos. El siguiente paso es realmente llevar a cabo tareas con esos documentos marcados. ¿Qué es interesante aquí es que las opciones están limitadas únicamente por su imaginación y su habilidad de secuencias de comandos.

Ahora FCI preparadas en Windows Server 2008 R2, motor de tareas de administración de archivo del FSRM elimina prácticamente todos los el dolor en este proceso aplicando la acción seleccionada automáticamente a cualquier documento en cualquier ubicación marcada:

  • Se pueden establecer para que caduque transcurrido un determinado período de tiempo, ellos relegating a un directorio especial de caducidad para el archivado final antes de la eliminación.
  • Pueden ser recopilados en los informes para los auditores, demostrando que sabe dónde están todos los documentos relevantes de cumplimiento en su infraestructura.
  • Pueden ser una copia de seguridad para ubicaciones especiales para asegurarse de cintas de copia de seguridad normales no están “ dañadas ” por información confidencial.

Básicamente, cualquier acción que se consigue mediante un archivo ejecutable o secuencia de comandos se puede aplicar a la vez los documentos marcados o de forma programada. Todas las acciones se crean dentro de la consola FSRM haciendo clic con el botón secundario en tareas de administración de archivo y eligiendo para crear tarea de administración de archivos. La ventana multi-tab resultante proporciona una ubicación para definir la tarea y el comando o secuencia de comandos para utilizar, así como notificación, las opciones de informes y programación.

También puede establecer una condición para la aparición de una tarea, como se muestra en la figura 5. Como puede ver, se ha creado una tarea para realizar alguna acción en todos los documentos que están marcados como que contiene información personal identificable y que no ha sido modificado o tiene acceso en el año pasado. [snt1]  Quizás esta tarea está configurada para eliminar automáticamente dichos documentos para evitar que sus datos obsoletos caiga en manos equivocadas. Quizá reubica esos documentos a una ubicación de archivado para conservación antes para eliminación. La potencia aquí es que una vez se cumple la condición, las acciones que debe conseguir realizará automáticamente.

Figura 5 establecer las condiciones para una tarea de administración FSRM archivos

FCI You ofrece control de contenido

Pondré admitirlo, obteniendo que gálibo era el inicio de un estado salvaje primer año en mi carrera profesional. No dispositivo puede ajustar el perfil de individuales “ liquidado ” típica: desgaste mi pelo largo, Mis intereses lectura Inclinar hacia sociología pop y revistas de bicicleta de montaña sobre historial militar y Colorado Llamo a mi casa en lugar de ese realiza federal conocido como Maryland. Pero ese trabajo me impartidos la mayor parte de lo que sé hoy sobre sistemas formales de seguridad.

Se también pone me una gran cantidad de apreciación para el nivel de esfuerzo necesario para administrar contenido en un entorno de alta seguridad. Con las tecnologías de hoy en Windows Server 2008 R2, puede disfrutar de ese mismo nivel de control en el suyo con automatización mucho más integrado.

 

Greg Shields, MVP, es un socio en concentra Technology. Obtenga más Jack-of-all-Trades sugerencias y trucos de Juan en www.ConcentratedTech.com.