Bereitstellen der Verschlüsselung von Office-Dateien (Demonstrationsschritte)

Die Finanzabteilung von Contoso verfügt über mehrere Dateiserver, auf denen ihre Dokumente gespeichert werden. Diese Dokumente können von allgemeiner Natur oder aber unternehmenskritisch sein, d. h. großen geschäftsrelevanten Einfluss (High Business Impact, HBI) haben. So werden beispielsweise alle Dokumente mit vertraulichen Informationen von Contoso als HBI-Dokumente erachtet. Contoso möchte sicherstellen, dass die gesamte Firmendokumentation ein Mindestmaß an Schutz erhält und der Zugriff auf die HBI-Dokumente auf die richtigen (entsprechend berechtigten) Personen beschränkt ist. Zur Erreichung dieser Ziele prüft Contoso die Verwendung der Dateiklassifizierungsinfrastruktur (File Classification Infrastructure, FCI) und Active Directory-Rechteverwaltungsdienste (Active Directory Rights Management Services, AD RMS), die in Windows Server 2012 verfügbar sind. Mithilfe der FCI klassifiziert Contoso alle auf dem Dateiserver vorhandenen Dokumente basierend auf dem Inhalt und verwendet dann AD RMS, um die richtigen Benutzerrechterichtlinien anzuwenden.

In diesem Szenario führen Sie die folgenden Schritte aus:

Schritt 1: Aktivieren von Ressourceneigenschaften

So aktivieren Sie Ressourceneigenschaften

1. Stellen Sie in Hyper-V-Manager eine Verbindung mit dem Server "ID_AD_DC1" her. Melden Sie sich mit contoso\Administrator mit dem Kennwort pass@word1 beim Server an.

2. Öffnen Sie das Active Directory-Verwaltungscenter, und klicken Sie auf "Strukturansicht".

3. Erweitern Sie DYNAMISCHE ZUGRIFFSTEUERUNG, und wählen Sie Ressourceneigenschaften aus.

4. Scrollen Sie nach unten zur Impact-Eigenschaft in der Spalte "Anzeigename ". Klicken Sie mit der rechten Maustaste auf "Auswirkung", und klicken Sie dann auf "Aktivieren".

5. Führen Sie in der Spalte Anzeigename einen Bildlauf zur Eigenschaft Personenbezogene Informationen durch. Klicken Sie mit der rechten Maustaste auf Personenbezogene Informationen, und klicken Sie dann auf Aktivieren.

6. Wenn Sie die Ressourceneigenschaften in der Globalen Ressourcenliste veröffentlichen möchten, klicken Sie im linken Bereich auf Ressourceneigenschaftenlisten, und doppelklicken Sie dann auf Globale Ressourceneigenschaftenliste.

7. Klicken Sie auf "Hinzufügen", und scrollen Sie dann nach unten, und klicken Sie auf "Auswirkung ", um sie der Liste hinzuzufügen. Führen Sie dieselben Aktionen für Personenbezogene Informationen aus. Klicken Sie zweimal auf "OK ", um den Vorgang abzuschließen.

Windows PowerShell-äquivalente Befehle

Die folgenden Windows PowerShell-Cmdlets erfüllen dieselbe Funktion wie das vorhergehende Verfahren. Geben Sie die einzelnen Cmdlets in einer einzelnen Zeile ein, auch wenn es den Anschein hat, dass aufgrund von Formatierungseinschränkungen Zeilenumbrüche vorhanden sind.

Set-ADResourceProperty -Enabled:$true -Identity:"CN=Impact_MS,CN=Resource Properties,CN=Claims Configuration,CN=Services,CN=Configuration,DC=contoso,DC=com"
Set-ADResourceProperty -Enabled:$true -Identity:"CN=PII_MS,CN=Resource Properties,CN=Claims Configuration,CN=Services,CN=Configuration,DC=contoso,DC=com"

Schritt 2: Erstellen von Klassifizierungsregeln

In diesem Schritt wird erläutert, wie Sie die Klassifizierungsregel für hohe Auswirkungen erstellen. Mit dieser Regel wird der Inhalt von Dokumenten durchsucht. Wenn die Zeichenfolge „Contoso – Vertraulich“ gefunden wird, erfolgt die Klassifizierung des Dokuments als HBI-Dokument (High Business Impact). Diese Klassifizierung setzt alle zuvor zugewiesenen Klassifizierungen vom Typ LBI (Low Business Impact) außer Kraft.

Außerdem erstellen Sie eine Regel mit hoher PII-Priorität . Mit dieser Regel wird der Inhalt von Dokumenten durchsucht, und wenn eine Sozialversicherungsnummer gefunden wird, erfolgt die Klassifizierung des Dokuments als High PII-Dokument.

So erstellen Sie die Klassifizierungsregel "High Impact"

1. Stellen Sie in Hyper-V-Manager eine Verbindung mit dem Server "ID_AD_FILE1" her. Melden Sie sich mit contoso\Administrator mit dem Kennwort pass@word1 beim Server an.

2. Sie müssen die globalen Ressourceneigenschaften aus Active Directory aktualisieren. Öffnen Sie Windows PowerShell, geben Sie Update-FSRMClassificationPropertyDefinitionein, und drücken Sie dann die EINGABETASTE. Schließen Sie Windows PowerShell.

3. Öffnen Sie den Ressourcen-Manager für Dateiserver. Um den Ressourcen-Manager für Dateiserver zu öffnen, klicken Sie auf "Start", geben Sie den Ressourcen-Manager des Dateiservers ein, und klicken Sie dann auf "Ressourcen-Manager für Dateiserver".

4. Erweitern Sie im linken Bereich des Ressourcen-Managers für Dateiserver die Klassifizierungsverwaltung, und wählen Sie dann Klassifizierungsregeln aus.

5. Klicken Sie im Bereich "Aktionen " auf "Klassifizierungszeitplan konfigurieren". Aktivieren Sie auf der Registerkarte " Automatische Klassifizierung " die Option " Festen Zeitplan aktivieren", wählen Sie " Wochentag" und dann das Kontrollkästchen " Fortlaufende Klassifizierung für neue Dateien zulassen " aus. Klicke auf OK.

6. Klicken Sie im Bereich "Aktionen " auf "Klassifizierungsregel erstellen". Das Dialogfeld Klassifizierungsregel erstellen wird geöffnet.

7. Geben Sie im Feld "Regelname " " Hohe Geschäftswirkung" ein.

8. Geben Sie im Feld "Beschreibung " den Wert "Bestimmt" ein, ob das Dokument basierend auf dem Vorhandensein der Zeichenfolge "Contoso Vertraulich" einen hohen geschäftlichen Einfluss hat.

9. Klicken Sie auf der Registerkarte "Bereich " auf " Ordnerverwaltungseigenschaften festlegen", wählen Sie "Ordnernutzung" aus, klicken Sie auf "Hinzufügen", dann auf " Durchsuchen", navigieren Sie zu "D:\Finance-Dokumente" als Pfad, klicken Sie auf "OK", und wählen Sie dann einen Eigenschaftswert namens "Gruppendateien " aus, und klicken Sie dann auf "Schließen". Nachdem Verwaltungseigenschaften festgelegt wurden, wählen Sie auf der Registerkarte " Regelbereich " die Option "Gruppendateien" aus.

10. Klicken Sie auf die Registerkarte "Klassifizierung ". Wählen Sie unter "Methode auswählen", um die Eigenschaft Dateien zuzuweisen, den Inhaltsklassifizierer aus der Dropdownliste aus.

11. Wählen Sie unter Daten zuzuweisende Eigenschaft auswählen in der Dropdownliste den Eintrag Auswirkung aus.

12. Wählen Sie unter Wert angeben in der Dropdownliste den Eintrag Hoch aus.

13. Klicken Sie unter "Parameter" auf "Konfigurieren". Wählen Sie im Dialogfeld "Klassifizierungsparameter " in der Liste "Ausdruckstyp " die Option "Zeichenfolge" aus. Geben Sie im Feld "Ausdruck " Folgendes ein: Contoso Vertraulich, und klicken Sie dann auf "OK".

14. Klicken Sie auf die Registerkarte "Auswertungstyp ". Klicken Sie auf " Vorhandene Eigenschaftswerte erneut auswerten", klicken Sie auf " Vorhandenen Wert überschreiben", und klicken Sie dann auf "OK ", um den Vorgang abzuschließen.

Windows PowerShell-äquivalente Befehle

Die folgenden Windows PowerShell-Cmdlets erfüllen dieselbe Funktion wie das vorhergehende Verfahren. Geben Sie die einzelnen Cmdlets in einer einzelnen Zeile ein, auch wenn es den Anschein hat, dass aufgrund von Formatierungseinschränkungen Zeilenumbrüche vorhanden sind.

Update-FSRMClassificationPropertyDefinition
$date = Get-Date
$AutomaticClassificationScheduledTask = New-FsrmScheduledTask -Time $date -Weekly @(3, 2, 4, 5,1,6,0) -RunDuration 0;
Set-FsrmClassification -Continuous -schedule $AutomaticClassificationScheduledTask
New-FSRMClassificationRule -Name "High Business Impact" -Property "Impact_MS" -Description "Determines if the document has a high business impact based on the presence of the string 'Contoso Confidential'" -PropertyValue "3000" -Namespace @("D:\Finance Documents") -ClassificationMechanism "Content Classifier" -Parameters @("StringEx=Min=1;Expr=Contoso Confidential") -ReevaluateProperty Overwrite

So erstellen Sie die Klassifizierungsregel "High PII"

1. Stellen Sie in Hyper-V-Manager eine Verbindung mit dem Server "ID_AD_FILE1" her. Melden Sie sich mit contoso\Administrator mit dem Kennwort pass@word1 beim Server an.

2. Öffnen Sie auf dem Desktop den Ordner " Reguläre Ausdrücke", und öffnen Sie dann das Textdokument mit dem Namen RegEx-SSN. Markieren und kopieren Sie die folgende reguläre Ausdruckszeichenfolge: ^(?!000)([0-7]\d{2}|7([0-7]\d|7[012]))([ -]?)(?!00)\d\d\3(?!0000)\d{4}$. Diese Zeichenfolge wird im späteren Verlauf in diesem Schritt verwendet. Belassen Sie sie daher in der Zwischenablage.

3. Öffnen Sie den Ressourcen-Manager für Dateiserver. Um den Ressourcen-Manager für Dateiserver zu öffnen, klicken Sie auf "Start", geben Sie den Ressourcen-Manager des Dateiservers ein, und klicken Sie dann auf "Ressourcen-Manager für Dateiserver".

4. Erweitern Sie im linken Bereich des Ressourcen-Managers für Dateiserver die Klassifizierungsverwaltung, und wählen Sie dann Klassifizierungsregeln aus.

5. Klicken Sie im Bereich "Aktionen " auf "Klassifizierungszeitplan konfigurieren". Aktivieren Sie auf der Registerkarte " Automatische Klassifizierung " die Option " Festen Zeitplan aktivieren", wählen Sie " Wochentag" und dann das Kontrollkästchen " Fortlaufende Klassifizierung für neue Dateien zulassen " aus. Klicken Sie auf "OK".

6. Geben Sie im Feld "Regelname " "Hohe PII" ein. Geben Sie im Feld "Beschreibung " den Wert "Bestimmt" ein, ob das Dokument basierend auf dem Vorhandensein einer Sozialversicherungsnummer eine hohe PII aufweist.

7. Klicken Sie auf die Registerkarte " Bereich ", und aktivieren Sie das Kontrollkästchen "Gruppendateien ".

8. Klicken Sie auf die Registerkarte "Klassifizierung ". Wählen Sie unter "Methode auswählen", um die Eigenschaft Dateien zuzuweisen, den Inhaltsklassifizierer aus der Dropdownliste aus.

9. Wählen Sie unter Daten zuzuweisende Eigenschaft auswählen in der Dropdownliste den Eintrag Personenbezogene Informationen aus.

10. Wählen Sie unter Wert angeben in der Dropdownliste den Eintrag Hoch aus.

11. Klicken Sie unter "Parameter" auf "Konfigurieren". Wählen Sie im Fenster "Klassifizierungsparameter" in der Liste " Ausdruckstyp " die Option "Regulärer Ausdruck" aus. Fügen Sie im Feld "Ausdruck " den Text aus der Zwischenablage ein: ^(?! 000)([0-7]\d{2}|7([0-7]\d|7[012]))([ -]?)(?! 00)\d\d\3(?! 0000)\d{4}$, und klicken Sie dann auf OK.

    Note

    Dieser Ausdruck lässt ungültige Sozialversicherungsnummern zu. Dadurch können wir in der Demonstration frei erfundene Sozialversicherungsnummern verwenden.

12. Klicken Sie auf die Registerkarte "Auswertungstyp ". Wählen Sie vorhandene Eigenschaftswerte erneut aus, überschreibenSie den vorhandenen Wert, und klicken Sie dann auf "OK ", um den Vorgang abzuschließen.

Windows PowerShell-äquivalente Befehle

Die folgenden Windows PowerShell-Cmdlets erfüllen dieselbe Funktion wie das vorhergehende Verfahren. Geben Sie die einzelnen Cmdlets in einer einzelnen Zeile ein, auch wenn es den Anschein hat, dass aufgrund von Formatierungseinschränkungen Zeilenumbrüche vorhanden sind.

New-FSRMClassificationRule -Name "High PII" -Description "Determines if the document has a high PII based on the presence of a Social Security Number." -Property "PII_MS" -PropertyValue "5000" -Namespace @("D:\Finance Documents") -ClassificationMechanism "Content Classifier" -Parameters @("RegularExpressionEx=Min=1;Expr=^(?!000)([0-7]\d{2}|7([0-7]\d|7[012]))([ -]?)(?!00)\d\d\3(?!0000)\d{4}$") -ReevaluateProperty Overwrite

Sie verfügen jetzt über zwei Klassifizierungsregeln:

• Erhebliche Geschäftsauswirkungen

• Hohe PII

„Schritt 3: Verwenden von Dateiverwaltungsaufgaben zum automatischen Schützen von Dokumenten mit AD RMS

Nachdem Sie Regeln erstellt haben, mit denen Dokumente basierend auf dem Inhalt automatisch klassifiziert werden, besteht der nächste Schritt darin, eine Dateiverwaltungsaufgabe zu erstellen, die AD RMS verwendet, um bestimmte Dokumente basierend auf deren Klassifizierung automatisch zu schützen. In diesem Schritt erstellen Sie eine Dateiverwaltungsaufgabe, die Dokumente mit personenbezogenen Informationen vom Typ "High PII" automatisch schützt. Nur Mitglieder der Gruppe "FinanzAdmin" haben Zugriff auf Dokumente mit High PII.

So schützen Sie Dokumente mit AD RMS

1. Stellen Sie in Hyper-V-Manager eine Verbindung mit dem Server "ID_AD_FILE1" her. Melden Sie sich mit contoso\Administrator mit dem Kennwort pass@word1 beim Server an.

2. Öffnen Sie den Ressourcen-Manager für Dateiserver. Um den Ressourcen-Manager für Dateiserver zu öffnen, klicken Sie auf "Start", geben Sie den Ressourcen-Manager des Dateiservers ein, und klicken Sie dann auf "Ressourcen-Manager für Dateiserver".

3. Wählen Sie im linken Bereich die Option Dateiverwaltungsaufgaben aus. Wählen Sie im Bereich "Aktionen " die Option "Dateiverwaltungsaufgabe erstellen" aus.

4. Geben Sie im Feld "Vorgangsname:" Hohe PII" ein. Geben Sie im Feld "Beschreibung " den automatischen RMS-Schutz für hohe PII-Dokumente ein.

5. Klicken Sie auf die Registerkarte " Bereich ", und aktivieren Sie das Kontrollkästchen "Gruppendateien ".

6. Klicken Sie auf die Registerkarte "Aktion ". Wählen Sie unter "Typ" die Option RMS-Verschlüsselung aus. Klicken Sie auf "Durchsuchen ", um eine Vorlage auszuwählen, und wählen Sie dann die Vorlage "Nur Contoso Finance-Administrator " aus.

7. Klicken Sie auf die Registerkarte "Bedingung " und dann auf "Hinzufügen". Wählen Sie unter "Eigenschaft" die Option "Persönlich identifizierbare Informationen" aus. Wählen Sie unter "Operator" die Option "Gleich" aus. Wählen Sie unter "Wert" die Option "Hoch" aus. Klicke auf OK.

8. Klicken Sie auf die Registerkarte "Zeitplan ". Klicken Sie im Abschnitt "Zeitplan " auf "Wöchentlich", und wählen Sie dann "Sonntag" aus. Wenn Sie die Aufgabe einmal pro Woche ausführen, können Sie sicherstellen, dass alle Dokumente erfasst werden, die möglicherweise aufgrund eines Dienstausfalls oder einer anderen Unterbrechung nicht berücksichtigt wurden.

9. Wählen Sie im Abschnitt "Fortlaufender Vorgang"die Option "Vorgang kontinuierlich ausführen" für neue Dateien aus, und klicken Sie dann auf "OK". Sie verfügen jetzt über eine Dateiverwaltungsaufgabe mit dem Namen "High PII".

Windows PowerShell-äquivalente Befehle

Die folgenden Windows PowerShell-Cmdlets erfüllen dieselbe Funktion wie das vorhergehende Verfahren. Geben Sie die einzelnen Cmdlets in einer einzelnen Zeile ein, auch wenn es den Anschein hat, dass aufgrund von Formatierungseinschränkungen Zeilenumbrüche vorhanden sind.

$fmjRmsEncryption = New-FSRMFmjAction -Type 'Rms' -RmsTemplate 'Contoso Finance Admin Only'
$fmjCondition1 = New-FSRMFmjCondition -Property 'PII_MS' -Condition 'Equal' -Value '5000'
$date = get-date
$schedule = New-FsrmScheduledTask -Time $date -Weekly @('Sunday')
$fmj1=New-FSRMFileManagementJob -Name "High PII" -Description "Automatic RMS protection for high PII documents" -Namespace @('D:\Finance Documents') -Action $fmjRmsEncryption -Schedule $schedule -Continuous -Condition @($fmjCondition1)

Schritt 4: Anzeigen der Ergebnisse

Sehen wir uns nun Ihre neuen Regeln für die automatische Klassifizierung und den automatischen AD RMS-Schutz in Aktion an. In diesem Schritt prüfen Sie die Klassifizierungen der Dokumente und beobachten, wie sich diese ändern, wenn Sie den Inhalt des Dokuments ändern.

So zeigen Sie die Ergebnisse an

1. Stellen Sie in Hyper-V-Manager eine Verbindung mit dem Server "ID_AD_FILE1" her. Melden Sie sich mit contoso\Administrator mit dem Kennwort pass@word1 beim Server an.

2. Navigieren Sie in Windows-Explorer zum Ordner "D:\Finance Documents".

3. Klicken Sie mit der rechten Maustaste auf das Dokument "Finanznotizen", und klicken Sie dann auf "Eigenschaften". Klicken Sie auf die Registerkarte "Klassifizierung ", und beachten Sie, dass die Impact-Eigenschaft derzeit keinen Wert aufweist. Klicken Sie auf 'Abbrechen'.

4. Klicken Sie mit der rechten Maustaste auf das Dokument Request for Approval to Hire, und klicken Sie dann auf Eigenschaften.

5. Klicken Sie auf die Registerkarte "Klassifizierung ", und beachten Sie, dass die Eigenschaft "Personenbezogene Informationen " derzeit keinen Wert aufweist. Klicken Sie auf 'Abbrechen'.

6. Wechseln Sie zu "CLIENT1". Melden Sie sich von jedem Benutzer ab, der angemeldet ist, und melden Sie sich dann mit dem Kennwort pass@word1 als Contoso\MReid an.

7. Öffnen Sie auf dem Desktop den freigegebenen Ordner "Finanzdokumente ".

8. Öffnen Sie das Finanznotizdokument . Am unteren Rand des Dokuments wird das Wort Vertraulich angezeigt. Ändern Sie sie so, dass sie gelesen wird: Contoso Vertraulich. Speichern Sie das Dokument, und schließen Sie es.

9. Öffnen Sie das Dokument Request for Approval to Hire. Geben Sie im Abschnitt "Sozialversicherung#: "777-77-7777" ein. Speichern Sie das Dokument, und schließen Sie es.

   Note

   Sie müssen möglicherweise 30 Sekunden warten, bis die Klassifizierung angezeigt wird.

10. Wechseln Sie wieder zurück zu "ID_AD_FILE1". Navigieren Sie in Windows-Explorer zum Ordner "D:\Finance Documents".

11. Klicken Sie mit der rechten Maustaste auf das Dokument "Finanznotizen", und klicken Sie dann auf "Eigenschaften". Klicken Sie auf die Registerkarte "Klassifizierung ". Beachten Sie, dass die Impact-Eigenschaft jetzt auf "Hoch" festgelegt ist. Klicken Sie auf 'Abbrechen'.

12. Klicken Sie mit der rechten Maustaste auf das Dokument "Genehmigung anfordern", und klicken Sie auf "Eigenschaften".

13. . Klicken Sie auf die Registerkarte "Klassifizierung ". Beachten Sie, dass die Eigenschaft " Personenbezogene Informationen " jetzt auf "Hoch" festgelegt ist. Klicken Sie auf 'Abbrechen'.

Schritt 5: Überprüfen des AD RMS-Schutzes

So überprüfen Sie, ob das Dokument geschützt ist

1. Wechseln Sie wieder zurück zu "ID_AD_CLIENT1".

2. Öffnen Sie das Dokument Request for Approval to Hire.

3. Klicken Sie auf "OK ", damit das Dokument eine Verbindung mit Ihrem AD RMS-Server herstellen kann.

4. Sie können jetzt sehen, dass das Dokument durch AD RMS geschützt ist, weil es eine Sozialversicherungsnummer enthält.