Scenario: Classification-Based Encryption for Office Documents

Статья
08/03/2016

Применимо к:Windows Server 2012

Защита конфиденциальной информации в основном заключается в смягчении риска для организации. Различные правила соответствия, например HIPAA или стандарт PCI-DSS, требуют шифровать информацию, и в бизнесе существует множество причин для шифрования конфиденциальных деловых данных. Однако шифрование информации стоит дорого и может снизить производительность бизнеса. Поэтому организации склонны применять разные подходы и приоритеты в отношении шифрования своей информации.

Описание сценария

Windows Server 2012 предоставляет возможность автоматически шифровать конфиденциальные файлы Microsoft Office на основе их классификации. Это осуществляется посредством задач управления файлами, использующих защиту служб управления правами Active Directory (AD RMS) для конфиденциальных документов через несколько секунд после определения файла как конфиденциального на файловом сервере. Этого можно добиться с помощью непрерывного выполнения задач управления файлами на сервере.

Шифрование AD RMS реализует дополнительный уровень защиты файлов. Даже если пользователь с доступом к конфиденциальному файлу случайно отправит его по электронной почте, файл будет зашифрован AD RMS. Пользователи, которые хотят получить доступ к файлу, сначала должны пройти проверку подлинности на сервере AD RMS, чтобы получить ключ расшифровки. Этот процесс показан на следующем рисунке.

Рис. 6. Защита RMS на основе классификации

Поддержка файлов форматов других поставщиков реализуется соответствующими поставщиками. После шифрования файла службами AD RMS функции управления данными, такие как классификация на основе поиска или содержимого, для него больше не доступны.

Содержание сценария

Далее представлены инструкции, доступные для этого сценария:

Роли и компоненты, используемые в данном сценарии

В следующей таблице перечислены роли и компоненты, являющиеся частью данного сценария, и описано, как они поддерживают его.

Роль/компонент	Способ поддержки сценария
Роль доменных служб Active Directory (AD DS)	Доменные службы Active Directory предоставляют распределенную базу данных, в которой хранятся сведения о сетевых ресурсах и данные приложений с поддержкой каталогов, а также осуществляется управление этой информацией. В этом сценарии службы AD DS в Windows Server 2012 предоставляют платформу авторизации на основе утверждений, которая позволяет создавать утверждения пользователей и устройств, составные утверждения (утверждение пользователя плюс утверждение устройства), использовать новую модель централизованных политик доступа и данные классификации файлов при принятии решений об авторизации.
Роль служб файлов и хранилищ Диспетчер ресурсов файлового сервера	Роль "Файловые службы и службы хранения" включает технологии, предназначенные для настройки одного или нескольких файловых серверов (и управления ими), занимающих центральное расположение в сети, где можно хранить файлы и использовать их совместно с другими пользователями. Если пользователям требуется доступ к одним и тем же файлам и приложениям или если организации необходимо централизованное управление файлами и архивированием, то один или несколько компьютеров следует настроить как файловый сервер, установив роль "Файловые службы и службы хранения" и соответствующие службы роли. В этом сценарии администраторы файлового сервера могут настроить задачи управления файлами, которые активируют защиту AD RMS для конфиденциальных документов через несколько секунд после того, как файл классифицирован как конфиденциальный на файловом сервере (непрерывное выполнение задач управления файлами на файловом сервере).
Роль служб управления правами Active Directory (AD RMS)	Службы AD RMS позволяют отдельным пользователям и администраторам с помощью политик IRM указать разрешения доступа к документам, рабочим книгам и презентациям. Это позволяет защитить конфиденциальную информацию от печати, пересылки или копирования пользователями, не имеющими на это прав. После того как разрешения для файла ограничены с помощью IRM, ограничения доступа и использования применяются независимо от местоположения информации, так как разрешение для файла хранится в самом файле документа. В этом сценарии шифрование AD RMS реализует дополнительный уровень защиты файлов. Даже если пользователь с доступом к конфиденциальному файлу случайно отправит его по электронной почте, файл будет зашифрован AD RMS. Пользователи, которые хотят получить доступ к файлу, сначала должны пройти проверку подлинности на сервере AD RMS, чтобы получить ключ расшифровки.

Роль доменных служб Active Directory (AD DS)

Доменные службы Active Directory предоставляют распределенную базу данных, в которой хранятся сведения о сетевых ресурсах и данные приложений с поддержкой каталогов, а также осуществляется управление этой информацией. В этом сценарии службы AD DS в Windows Server 2012 предоставляют платформу авторизации на основе утверждений, которая позволяет создавать утверждения пользователей и устройств, составные утверждения (утверждение пользователя плюс утверждение устройства), использовать новую модель централизованных политик доступа и данные классификации файлов при принятии решений об авторизации.

Роль служб файлов и хранилищ

Диспетчер ресурсов файлового сервера

Роль "Файловые службы и службы хранения" включает технологии, предназначенные для настройки одного или нескольких файловых серверов (и управления ими), занимающих центральное расположение в сети, где можно хранить файлы и использовать их совместно с другими пользователями. Если пользователям требуется доступ к одним и тем же файлам и приложениям или если организации необходимо централизованное управление файлами и архивированием, то один или несколько компьютеров следует настроить как файловый сервер, установив роль "Файловые службы и службы хранения" и соответствующие службы роли. В этом сценарии администраторы файлового сервера могут настроить задачи управления файлами, которые активируют защиту AD RMS для конфиденциальных документов через несколько секунд после того, как файл классифицирован как конфиденциальный на файловом сервере (непрерывное выполнение задач управления файлами на файловом сервере).

Роль служб управления правами Active Directory (AD RMS)

Службы AD RMS позволяют отдельным пользователям и администраторам с помощью политик IRM указать разрешения доступа к документам, рабочим книгам и презентациям. Это позволяет защитить конфиденциальную информацию от печати, пересылки или копирования пользователями, не имеющими на это прав. После того как разрешения для файла ограничены с помощью IRM, ограничения доступа и использования применяются независимо от местоположения информации, так как разрешение для файла хранится в самом файле документа. В этом сценарии шифрование AD RMS реализует дополнительный уровень защиты файлов. Даже если пользователь с доступом к конфиденциальному файлу случайно отправит его по электронной почте, файл будет зашифрован AD RMS. Пользователи, которые хотят получить доступ к файлу, сначала должны пройти проверку подлинности на сервере AD RMS, чтобы получить ключ расшифровки.

Scenario: Classification-Based Encryption for Office Documents

Описание сценария

Содержание сценария

Роли и компоненты, используемые в данном сценарии

Дополнительные ресурсы