Finestre

  • Articolo

FCI: CLASSIFICATO

Greg Shields

È POSSIBILE ricordare il giorno ho accidentalmente ha ricevuto un statunitense Governo l'ingombro dell'apertura.

Persino crazier era un ingombro sopra top secret per un programma di governo classificato così è possibile anche stabilire è il nome. È stata aggiornata esaurito università e aveva semplicemente franchi mio primo processo reale con una società reale. Nel mio primo giorno, ho trovato uso personale compilazione di una quantità eccessiva di documentazione, ovvero gli stack di essa, ovvero e vi state chiedendo, “ mai sapevo che un processo reale sarebbe necessario tutte queste informazioni su me! ” Ogni punto che andavo durata, ogni persona che andavo soddisfatti, ogni processo avevo andavo, quantità incredibile di vita di Greg, documentato per posterity in ciò che ho scoperto in seguito non è un questionario di protezione personale Federal.

Circa sei mesi dopo, che richiamate mi annunciare sono andavo stato “ deselezionate. ” Sorpresa! Walking indietro “area di chiuso” speciale per la prima volta, ho trovato uso personale immediatamente preceduto e seguito da livelli di processo e weep piano del progetto di protezione, documentazione e segni speciali rendono le pagine dell'IT.

È esattamente tale documentazione e i modi classificato il suo contenuto sono stato gestito recuperati a mente come penso di Microsoft nuovi file classificazione Infrastructure (FCI), introdotto con Windows Server 2008 R2.

Amministrazione del contenuto: procedure hanno subito modifiche nostri processi

Pensa per un minuto informazioni su come i nostri processi come gli amministratori IT hanno si sono evoluti nel corso degli anni. All'inizio, abbiamo impiegato gran parte del nostro tempo semplicemente tenere i desktop in esecuzione. Con desktop più stabili e gli utenti più istruiti, alla fine l'attenzione la migrazione verso stanza del server. Non esiste, abbiamo riscontrato noi estendendo la nostra infrastruttura di server, rendendo applicazioni altamente disponibile ai client sulla rete locale e infine su Internet.

Siamo ora nel punto in cui molte delle nostre applicazioni line-of-business di sono disponibili ubiquitously. Gli utenti possono accedere ai dati da praticamente qualsiasi connessione, consentendo loro di lavorare da qualunque posizione necessarie. Ancora tale ubiquità anche comporta un rischio maggiore per l'esposizione di dati, una situazione potenzialmente molto costosa tutti vogliamo evitare. E si è verificato un ulteriore problema: la crescita elevata di dati nella sezione gestione grandi quantità di cui viene creato, mai a cui si accede nuovamente ed expensively archiviato per alcun uso buona.

Per risolvere questi problemi, ruolo nostro processo Sposta ancora una volta. Oggi, del settore e mandates di conformità alle normative che abbiamo gestire attivamente i dati viene salvati nei nostri sistemi, non solo i sistemi stessi. Ciò significa che abbiamo IT gli amministratori devono assumere un ruolo attivo nel garantire che nostre classi di dati diversi siano specificati livelli appropriati di scadenza diligenza. Maggiore attenzione deve essere specificata per i dati che sono proprietarie o riservate, ha un impatto maggiore sulla nostra attività o alle informazioni che consentono l'identificazione personale dell'utente. Dati non sono più rilevante o utile devono essere eliminati correttamente se siamo per mantenere i costi nella riga.

Il problema con questo nuovo ruolo del processo è che gli strumenti per la gestione di questi dati in modo appropriato, ovvero rispetto al relativo contenuto, ovvero sono stati storicamente inesistenti, o costoso e difficile da utilizzare. Nell'ambiente di oggi, come sapere se il foglio di calcolo di Stan accounting Conta il numero di Oreos egli ha eaten questa settimana o se è effettivamente il budget per un progetto nuovo e altamente riservato? Come si sapere se Stan creato tale foglio di calcolo anni fa e non ho preso in esame esso dal? Mancanza di strumenti di terze parti costosi, probabilmente non si.

Risoluzione di questi tipi di problemi è il motivo per cui Microsoft ha sviluppato un'infrastruttura relativa classificazione file nuovo, rilasciato come una funzionalità aggiunta-gratuito in Windows Server 2008 R2. FCI giunge sotto forma di un argomentazione per il File Server Resource Manager (FSRM), uno strumento che abbiamo visto prima e probabilmente ignorato in Windows Server 2003 R2. Capacità anticipata di Gestione risorse file server per gestire le quote, creare regole lo screening dei file e generare rapporti archiviazione tutte sono state interessante, ma comunque affrontati con i dati come file e non come contenuto.

Classificato è Easy. Sensibili sono rigido.

Pensando a mio tempo nel mondo classificato, mi stupefatto all'era del governo come maturo nella classificazione dei relativi dati rispetto al mondo aziendale. Facile sufficientemente, essi bloccare dietro ante chiusi. Con Stati Uniti. Governo, necessario mantenere i dati classificati funzioni bloccate le cui reti sono gapped aria dal resto del mondo. In nessun punto deve essere un documento di governo classificato mai lasciare relativo protetto Secure Compartmented Information Facility (SCIF) senza protezioni molto speciali. In poche parole, se intestazione casa con il documento sbagliato nella Sincronia file, è possibile ottenere una visita da persone con pistole.

Sebbene “ persone con pistole ” visitando casa sempre rende per un'interessante sera, non è realmente la parte interessante di questo brano. La cosa interessante è come tali documenti vengono contrassegnati. È presente, con il governo che ogni documento creato è contrassegnato con codici di formattazione speciali. I codici effettivamente significano è, naturalmente, classificata, ma Basti dire che ogni documento classificato conosce sempre il relativo livello di classificazione (top secret, secret e così via), il programma a cui si riferisce, nonché altre informazioni sulla modalità di gestione.

Ciò significa che può essere ricondotti nuovamente un documento perso al relativo proprietario adeguato. Significa inoltre che un singolo utente conosca sempre l'operazione da eseguire con qualsiasi documento.

Il mondo di business non dispone in genere questi segni necessari legge in ciascun documento nei propri file server. Ancora anche senza una tassonomia centrale tutti i documenti possono essere analizzati per caratteristiche conosciute identificare e contrassegnare la sua importanza per l'azienda. Che fa parte di cosa FCI.

Utilizzando le regole della FCI classificazione automatica, è possibile contrassegnare appositamente documenti in un'infrastruttura in alcun modo che informazioni appropriate. Quelli con informazioni che consentono l'identificazione personale dell'utente possono essere etichettati in uno dei metodi. Quelli con un impatto alto per l'azienda può essere chiamati in un'altra. Persino le immagini, ad esempio TIFFs possono essere analizzate mediante il riconoscimento ottico dei caratteri per le parole significative. Il risultato netto è documenti che richiedono una gestione speciale è possibile assegnare la cautela appropriata come funzione marking che è assegnare.

Il primo passaggio consiste nell'identificare quali segni è necessario.

Contrassegno di documenti con FCI

Microsoft di FCI memorizza segni di ogni documento in un NTFS alternativo dati Stream (ADS). Ciò significa che marking rimangano con documenti durante i viaggi fino a quando essi non lasciare mai archiviazione NTFS. Significa inoltre che qualsiasi tipo di file può essere classificato, estendendo FCI a nessuno dei file in un'infrastruttura. I file di Microsoft Office consente di ottenere una gestione speciale, con segni di FCI vengano archiviate all'interno del file stesso nonché all'interno di ADS. Questo contrassegno duale consente di documenti di Microsoft Office mantenere le classificazioni sia su una condivisione NTFS, nonché all'interno di SharePoint.

Categorie effettive nonché le proprietà assegnate vengono lasciate all'implementazione di singolo in modo che l'azienda è libero di creare qualsiasi tipo di mantello ha senso. Alcuni esempi potrebbero includere livelli secrecy quali:

  • Segretezza = top secret, classificato o non classificati
  • Informazioni personali = Sì o No
  • Business Impact = alta, Media o bassa

Applicazione effettivamente segni a un documento possono verificarsi tramite uno qualsiasi dei quattro possibili meccanismi:

  • Classificazione manuale. È possibile creare modelli di Microsoft Office che includono già il necessario livello di classificazione. Come con mia esperienza del mondo classificati i documenti vengono classificati top secret possono essere necessari per iniziare la loro Vite dal file “ top secret ” .DOTX dell'azienda.
  • Classificazione dell'applicazione. Incorporate in FCI sono un numero di punti di estendibilità per gli hook di terze parti. Ciò significa che altri produttori software possono scrivere i propri strumenti per l'analisi dei documenti e applicando le proprietà di classificazione come essi sta creati o modificati.
  • Classificazione personalizzati tramite script. Utilizza il modulo di classificatore componente aggiuntivo Windows PowerShell, è possibile scrivere è proprio script per eseguire la scansione e applicare contrassegni ai documenti.
  • Classificazione automatica. Infine e più facilmente, è possibile utilizzare il motore di classificazione automatica incorporato in Gestione risorse file server per eseguire il lavoro per l'utente.

Per gli amministratori di Jack-of-all-Trades noi, il più pratico è classificazione automatica motore della FCI. Utilizza una semplice console GUI, è possibile configurare Gestione risorse file server per analizzare i file server dell'infrastruttura e applicare marking basato sul percorso del documento o sul relativo contenuto automaticamente.

Si supponga ad esempio, let’s che disporre di due serie di documenti molto importanti. Il primo gruppo è contenute informazioni che consentono l'identificazione personale dell'utente e i documenti vengono sempre inizialmente creati in una particolare cartella in una condivisione di file speciali. Sebbene tali documenti potrebbero spostare in altre posizioni durante il loro ciclo di vita, si è certi che vengono sempre creati in questa unica posizione. Questi documenti devono essere gestiti appositamente a causa di conformità alle normative.

Il secondo set di documenti molto importanti è correlato a un venture speciali utilizzati dalla società chiamata “ Project X.”  Questi documenti potrebbero trovarsi in qualsiasi punto nei file server che li rende difficili da individuare. Tuttavia, è possibile supporre che tutti i documenti relativi al progetto includono alcuni permutazione di “ progetto X ” da qualche parte nel testo. Mentre Nessun regolamento esterno richiede questi documenti ai hanno una gestione speciale, sono riservati per operazioni ’ aziendali e pertanto necessario prestare particolare attenzione.

È necessario fornire alcune misure di sicurezza speciale per questi documenti. Il primo passaggio consiste nell'aggiungere il servizio di ruolo di Gestione risorse file server per il ruolo Servizi File sul server di file. Questa azione aggiunge la console di condivisione e gestione dell'archiviazione in servizi di file in Server Manager, come illustrato in di Figura 1. Come si può vedere, tre condivisioni attualmente configurate sulla \\server1: \Trasloco, per ’ gli utenti privati unità; \Shared per i documenti condivisi; e \Shared – con restrizioni sugli INVII, per i documenti regolate in conformità con le informazioni che consentono l'identificazione personale dell'utente.

Figura della 1 FSRM condivisione e Storage Management Console

È necessario creare due proprietà di classificazione per questi due tipi di documento, che può essere eseguita facendo clic con il pulsante destro del mouse su classificazione proprietà nel riquadro di sinistra e quindi scegliendo Crea proprietà. Il primo avrà un nome di proprietà “ PII ” di con il tipo di proprietà Sì/No. Questa configurazione, illustrata nella di Figura 2, consente di documenti ad essere identificata come contenente informazioni che consentono l'identificazione personale dell'utente.

 Il secondo insieme di documenti verrà visualizzato un nome di proprietà di “ Project speciale ” con un tipo di proprietà di stringa. Questa configurazione consentirà di qualsiasi documento riservato facoltativamente essere contrassegnata con il relativo nome di progetto speciale.

 

Nella figura 2 creazione un Sì/No proprietà classificazione

Creazione di queste proprietà classificazione stabilisce la tassonomia di segni che si desidera applicare ai documenti. Il passaggio successivo consiste nell'applicare effettivamente tali proprietà per i documenti a destra. Utilizzano i servizi della FCI classificazione automatica, è possibile applicare queste proprietà ai documenti in base alle loro presenza in una cartella specifica.  È inoltre possibile indicare FCI leggere ogni documento sui server di file la ricerca di stringhe di testo specifiche. In questo caso, per let’s evitare entrambe.

Fare clic con il pulsante destro del mouse su regole di classificazione e scegliere Crea nuova regola. La prima regola deve essere creato sarà una regola di percorso del file per la condivisione di informazioni personali. Assegnare alla regola un nome e una descrizione e applicare la regola per il percorso della cartella che contiene i documenti di informazioni personali. Nella scheda classificazione, configurare le impostazioni come illustrato in di Figura 3. Si noterà che questa regola utilizzerà il meccanismo di cartella Utilità di classificazione per assegnare il valore della proprietà informazioni personali di Sì per i documenti contenuti in questa cartella.

Nella figura 3 impostazione definizioni per una regola di classificazione

La seconda regola la configurazione prevede leggermente più complessa. In questo caso, l'ambito per la seconda regola sarà l'unità di \Shared e \Shared – unità con restrizioni sugli INVII (in realtà, questa regola dovrebbe includere qualsiasi posizione in cui gli utenti potrebbero memorizzano i documenti di progetto speciale). Inoltre, si utilizzerà il meccanismo di classificazione classificatore contenuto con il nome della proprietà Project speciale. Poiché per cercare documenti “ progetto X ” con questa regola, impostare “ progetto X ” come valore della proprietà.

Il passaggio finale consiste nell'indicare cosa cercare nei documenti che rileva la regola. Facendo clic sul pulsante Avanzate e utilizzare la scheda contrassegnati come parametri aggiuntivi di classificazione di viene visualizzata una finestra di dialogo in cui si immette la stringa di ricerca della regola. È possibile configurare le stringhe con distinzione tra maiuscole e minuscole e distinzione tra maiuscole e minuscole ed è possibile utilizzare espressioni regolari per esigenze più complesse. Nella figura 4 viene illustrato come cercare quattro diverse permutazioni senza distinzione tra maiuscole e minuscole delle parole “ Project X. ”

Figura 4 Searching per le permutazioni di text “Project X”

Il passaggio finale consiste nel configurare una pianificazione per il modulo di gestione di classificazione automatica. Questa operazione viene eseguita facendo clic con il pulsante destro del mouse su regole di classificazione e quindi scegliendo Configura classificazione Schedule. È possibile creare più pianificazioni per la scansione di tutte le cartelle con le regole rilevanti applicate ed è possibile creare report in più formati (DHTML, HTML, XML, CSV e text) e, facoltativamente, posta elettronica per gli amministratori o revisori.

Effettivamente esecuzione immediata

Questo sforzo intero contrassegna solo i documenti. Il passaggio successivo è effettivamente svolgere le attività con tali documenti contrassegnate. Che cos'è entusiasmante Ecco che le opzioni sono limitate solo dalle vostre capacità in script e l'immaginazione.

Ora FCI abilitate in Windows Server 2008 R2, modulo di gestione di operazioni di gestione file di Gestione risorse file server Elimina praticamente tutte le problematiche di questo processo applicando automaticamente l'azione selezionata a qualsiasi documento contrassegnato come in qualsiasi posizione:

  • Possano essere impostati per scadere dopo un determinato periodo di tempo, li relegating a una directory speciale scadenza per l'archiviazione finale prima dell'eliminazione.
  • Possono essere raccolti in rapporti per controllori, dimostra che si conosce la posizione dei documenti rilevanti per la conformità dell'infrastruttura.
  • È possibile eseguire il backup per ubicazioni speciali per garantire i nastri di backup regolari non sono “ danneggiati ” da informazioni riservate.

Essenzialmente qualsiasi azione eseguita tramite un file eseguibile o uno script può essere applicato a una sola volta contrassegnati documenti o in base a una pianificazione. Tutte le azioni vengono create all'interno della console di Gestione risorse file server, fare clic con il pulsante destro del mouse sul File Gestione attività e scegliere Crea attività di gestione di file. La finestra di multi-tab risultante offre una posizione per la definizione dell'attività e il comando o script da utilizzare, come pure notifica, le opzioni di programmazione e reporting.

È inoltre possibile impostare una condizione per la ricorrenza di un'attività, come illustrato nella figura 5. Come si può vedere, è stata creata un'attività per eseguire alcuni azione su tutti i documenti che sono contrassegnati come contenente informazioni che consentono l'identificazione personale dell'utente e che non sono stati modificati o a cui si accede l'anno scorso. [snt1]  Probabilmente questa attività è configurata per l'eliminazione automatica di tali documenti per impedire che i relativi dati non aggiornati che rientrano in mani sbagliate. Consente di forse rilocare questi documenti a un percorso di archiviazione per conservazione prima per l'eliminazione. La potenza qui è che una volta soddisfatta la condizione, le azioni che necessarie per eseguire avrà luogo automaticamente.

Nella figura 5 impostazione delle condizioni per un'attività di Gestione risorse file server file

FCI si fornisce controllo contenuto

Verrà ammettere, durante il recupero che l'ingombro dell'apertura è stato l'inizio di un wild primo anno nella mia carriera professionale. Non è adatta il profilo del singolo “ deselezionata ” tipico: è possibile indossare lungo i miei capelli, miei interessi lettura inclina verso sociologia pop e mountain bike riviste su cronologia militare e chiamo Colorado casa mia anziché tale locus Federal noto come Maryland. Tuttavia, tale processo mi insegnato la maggior parte delle cosa sapere oggi sui sistemi di protezione formali.

Esso inoltre portato mi una grande quantità di rivalutazione per il livello di sforzo richiesto per la gestione del contenuto in un ambiente a protezione elevata. Gli utenti con le tecnologie di oggi in Windows Server 2008 R2, potranno godere tale dello stesso livello di controllo in uso con automazione molto più incorporati.

 

Greg Shields, MVP, è un partner all'indirizzo concentrano Technology. Ottenere più di Greg Jack-of-all-Trades suggerimenti e trucchi con www.ConcentratedTech.com.