本文為機器翻譯文章。如需檢視英文版,請選取 [原文] 核取方塊。您也可以將滑鼠指標移到文字上,即可在快顯視窗顯示英文原文。
譯文
原文

開發 DLP 原則範本檔案

Exchange 2013
 

適用版本:Exchange Online, Exchange Server 2013

上次修改主題的時間:2015-03-09

此概觀說明資料遺失防護 (DLP) 原則範本檔案之 XML 架構定義的元件,並提供 XML 格式的範例原則檔案。此將有助於在開始之前,了解整個 DLP 架構以及規則發展程序。如需詳細資訊,請參閱資料遺失防護定義自己的 DLP 範本和資訊類型

為了使資料遺失防護解決方案更容易採用與管理,Microsoft Exchange Server 2013 會推出稱為 DLP 原則的概念模型與原則範本。DLP 原則範本為您預期的 DLP 員則提供一個初步設計。為了提高價值,DLP 原則範本必須概括所有必要的指示詞與資料物件,以符合特定的原則目標,如法規或商業需求。此範本不是一種特定環境。它只是一個定義或原則模型,可提供作為產品組態的一部分,或由獨立軟體廠商和協力廠商提供。DLP 原則對另一方面而言,是專用於部署環境之範本的執行時間實例化。現有的訊息原則架構可透過使用傳輸規則結合 DLP 原則。傳輸規則提供了相當大的彈性,適應並表現 DLP 解決方案的豐富性。

DLP 原則範本通常會受到多個來源的影響,例如以伺服器為基礎的處理指示詞、用戶端電腦原則,或其他如下圖所示的原則建構:

影響原則範本的因素

DLP 原則範本透過 Exchange 管理命令介面與以網際網路為基礎的介面 (例如 Exchange Administration Center) 提供簡單的管理作業,其包含匯入、匯出、委派,以及查詢功能。DLP 原則藉由參照作為建立程序一部分的 DLP 原則範本而建立。這些參照的 DLP 原則範本可能是安裝在系統中的參照,其儲存在 Active Directory 網域服務中,或是直接從外部提供的原則提供為輸入。

DLP 原則範本會以 XML 文件呈現。單一 XML 架構會用於 Exchange 中提供的原則,外部也是如此。XML 文件的概念架構會在下表呈現,其顯示主要元素。這套原則元件定義有助於達成特定的原則目標,如法規或商業需求。

 

結構化元素 意義與範例

發行者

Microsoft 或協力廠商

版本

15.0.1.0

原則名稱

PCI-DSS

描述

PCI-DSS DLP 原則可協助您偵測其目前狀態受限於 PCI 資料安全標準 (PCI DSS) 的資訊包括信用卡或轉帳卡數字的資訊。使用此原則無法確保與任何法規符合性。在測試完成後,變更必要設定 Exchange 中的資訊傳輸符合貴組織的原則與因此。範例包括使用已知的業務合作夥伴設定 TLS 或新增更嚴格的傳輸規則動作,例如新增權限保護到包含這種資料類型的郵件。

中繼資料

描述當地法規、國家或地區、關鍵字等等的標籤。

原則建構集合

  1. 傳輸規則定義,如條件與動作。

  2. 透過互動式通知控制用戶端體驗的電子郵件用戶端行為定義。

  3. 組態會選擇性地參照需要配合用戶端特定環境的設定。

資料分類集合

  1. 指定分類實體或相似性。

  2. 實體有計數與信賴等級;相似性只有信賴等級。

  3. 隨附其自己的一套屬性與分類架構。

原則範本是以遵循以下架構的 XML 文件呈現。請注意,XML 區分大小寫。例如,dlpPolicyTemplates 將會運作,但是 DlpPolicyTemplates 將不會運作。

<?xml version="1.0" encoding="UTF-8"?>
<dlpPolicyTemplates>
  <dlpPolicyTemplate id="F7C29AEC-A52D-4502-9670-141424A83FAB" mode="Audit" state="Enabled" version="15.0.2.0">
    <contentVersion>4</contentVersion>
    <publisherName>Microsoft</publisherName>
    <name>
      <localizedString lang="en">PCI-DSS</localizedString>
    </name>
    <description>
      <localizedString lang="en">Detects the presence of information subject to Payment Card Industry Data Security Standard (PCI-DSS) compliance requirements.</localizedString>
    </description>
    <keywords></keywords>
    <ruleParameters></ruleParameters>
    <ruleParameters/>
    <policyCommands>
      <!-- The contents below are applied/executed as rules directly in PS - -->
      <commandBlock>
        <![CDATA[ new-transportRule "PCI-DSS: Monitor Payment Card Information Sent To Outside" -DlpPolicy "%%DlpPolicyName%%" -SentToScope NotInOrganization -SetAuditSeverity High -MessageContainsDataClassifications @{Name="Credit Card Number"; MinCount="1" } -Comments "Monitors payment card information sent to outside the organization as part of the PCI-DSS DLP Policy."]]>
      </commandBlock>
      <commandBlock>
        <![CDATA[ new-transportRule "PCI-DSS: Monitor Payment Card Information Sent To Within" -DlpPolicy "%%DlpPolicyName%%" -Comments "Monitors payment card information sent inside the organization as part of the PCI-DSS DLP Policy." -SentToScope InOrganization -SetAuditSeverity Low -MessageContainsDataClassifications @{Name="Credit Card Number"; MinCount="1" } ]]>
      </commandBlock>
    </policyCommands>
    <policyCommandsResources></policyCommandsResources>
  </dlpPolicyTemplate>
</dlpPolicyTemplates>

如果您針對任何元素加入 XML 檔案中的參數含有空格,必須以雙引號包覆該參數,否則會無法正常運作。在以下範例中,-SentToScope 之後的參數是可接受的;因為它是不含空格的連續字元字串,因此沒有雙引號。然而,提供給 –Comments 的參數將不會出現在 Exchange 系統管理中心內,因為它含有空格但未以雙引號包覆。

<CommandBlock><![CDATA[ new-transportRule "PCI-DSS: Monitor Payment Card Information Sent To Within" -DlpPolicy "PCI-DSS" -Comments Monitors payment card information sent inside the organization -SentToScope InOrganization -SetAuditSeverity Low -MessageContainsDataClassifications @{Name="Credit Card Number"; MinCount="1" } ]]> </CommandBlock>

此範本格式提供當地語系化可能會呈現給使用者之範本中字串的功能,例如,選擇要安裝哪一個 DLP 原則範本。localizedString 元素可用於為「名稱」與「描述」欄位提供多個定義。

這是選用的參數集合,需要在建立 DLP 原則以對應至部署指定物件時的範本實例化階段期間提供。例如,部署中可用的實際通訊群組。

這是 DLP 原則範本的根元素,而且每一個範本皆需要該元素。下表提供可用屬性:

 

屬性名稱 是否必要? 描述

版本

DLP 原則範本文件中使用的版本號碼。

狀態

原則狀態的選用預設組態。

模式

原則模式的選用預設組態。

ID

GUID 可以下列格式唯一識別此 DLP 原則範本定義:"A29C69BF-4F98-47F1-9A99-5771DFD2C27F"。

子項目包含以下元素順序:

 

子元素 (最小,最大) 描述

PublisherName

(1, 1)

範本發行者的中繼資料

名稱

(1, 1)

此範本的可當地語系化名稱。

描述

(1, 1)

此範本的可當地語系化說明。

關鍵字

(1, 1)

適用於此範本的關鍵字清單。範本可能會有一個空的關鍵字清單。

RuleParameters

(0, 1)

原則定義中使用的範本參數清單。

原則命令

(0, 1)

適用於此原則的傳輸規則定義的清單。這是選用的元素。

此部分的原則範本包含用來實例化原則定義之 Exchange 管理命令介面命令的清單。匯入程序將執行每一個命令作為實例化程序的一部分。這裡提供原則命令範例。

<PolicyCommands>
    <!-- The contents below are applied/executed as rules directly in PS - -->
      <CommandBlock> <![CDATA[ new-transportRule "PCI-DSS: Monitor Payment Card Information Sent To Outside" -DlpPolicy "PCI-DSS" -SentToScope NotInOrganization -SetAuditSeverity High -MessageContainsDataClassifications @{Name="Credit Card Number"; MinCount="1" } -Comments "Monitors payment card information sent to outside the organization as part of the PCI-DSS DLP policy."]]></CommandBlock>
      <CommandBlock><![CDATA[ new-transportRule "PCI-DSS: Monitor Payment Card Information Sent To Within" -DlpPolicy "PCI-DSS" -Comments "Monitors payment card information sent inside the organization as part of the PCI-DSS DLP policy." -SentToScope InOrganization -SetAuditSeverity Low -MessageContainsDataClassifications @{Name="Credit Card Number"; MinCount="1" } ]]> </CommandBlock>
  </PolicyCommands> 

指令程式的格式是指令程式使用的標準 Exchange 管理命令介面指令程式語法。命令會依序執行。每一個命令節點可能包含結合多個命令的指令碼區塊。以下範例說明如何內嵌分類規則套件在 DLP 原則範本中,以及安裝規則套件作為原則建立程序的一部分。分類規則套件內嵌至原則範本中,然後以參數傳遞至範本中的指令程式:

<CommandBlock>
  <![CDATA[
$rulePack = [system.Text.Encoding]::Unicode.GetBytes('<?xml version="1.0" encoding="utf-16"?>
<rulePackage xmlns="http://schemas.microsoft.com/office/2011/mce">

  <RulePack id="c3f021a3-c265-4dc2-b3a7-41a1800bf518">
    <Version major="1" minor="0" build="0" revision="0"/>
    <Publisher id="e17451d3-9648-4117-a0b1-493a6d5c73ad"/>
    <Details defaultLangCode="en-us">
      <LocalizedDetails langcode="en-us">
        <PublisherName>Contoso</PublisherName>
        <Name>Contoso Sample Rule Pack</Name>
        <Description>This is a sample rule package</Description>
      </LocalizedDetails>
    </Details>
  </RulePack>

  <Rules>
    <Entity id="7cc35258-6b35-4415-baff-a76d1a018980" patternsProximity="300" recommendedConfidence="85" workload="Exchange">     

      <Pattern confidenceLevel="85">
        <IdMatch idRef="Regex_Contoso" />
        <Any minMatches="1">
          <Match idRef="Regex_conf" />
        </Any>
      </Pattern>
    </Entity>

    <Regex id="Regex_Contoso">(?i)(\bContoso\b)</Regex>
    <Regex id="Regex_conf">(?i)(\bConfidential\b)</Regex>

    <LocalizedStrings>
      <Resource idRef="7cc35258-6b35-4415-baff-a76d1a018980">
        <Name default="true" langcode="en-us">
          Confidential Information Rule
        </Name>
        <Description default="true" langcode="en-us">
          Sample rule pack - Detects Contoso confidential information
        </Description>
      </Resource>
    </LocalizedStrings>
  </Rules>

</RulePackage>

')


New-ClassificationRuleCollection -FileData $rulePack 
New-TransportRule -name "customEntity" -DlpPolicy "%%DlpPolicyName%%" -SentToScope NotInOrganization -MessageContainsDataClassifications @{Name="Confidential Information Rule"} -SetAuditSeverity High]]>
</CommandBlock> 


子元素包含以下依序排列的元素。

 

子元素 (最小,最大) 描述

CommandBlock

(1,n)

在 PowerShell 中執行的命令區塊。依序執行的命令區塊。

 
顯示: