Office 파일 암호화 배포(데모 단계)

Contoso 재무 부서는 여러 문서를 저장 하는 파일 서버에 있습니다. 이러한 문서는 일반 문서일 수도 있고 HBI(높은 비즈니스 영향) 문서일 수도 있습니다. 예를 들어 기밀 정보가 포함된 문서는 Contoso에서 HBI 문서로 간주됩니다. Contoso에서는 모든 문서에 최소한의 보호가 적용되는지, HBI 문서가 적합한 사람으로 제한되어 있는지 확인하고 싶어 합니다. 이를 위해 Contoso는 FCI 파일 분류 인프라 () 및 Windows Server 2012에서 사용할 수 있는 AD RMS를 사용 하 여 탐색 합니다. Contoso는 FCI를 사용하여 파일 서버에 있는 모든 문서를 콘텐츠에 따라 분류한 다음 AD RMS를 사용하여 적절한 권한 정책을 적용할 예정입니다.

이 시나리오에서는 다음 단계를 수행 합니다.

1단계: 리소스 속성 사용

리소스 속성을 사용하려면

1. Hyper-V 관리자에서 ID_AD_DC1 서버에 연결합니다. 암호 pass@word1 Contoso\Administrator를 사용하여 서버에 로그인합니다.

2. Active Directory 관리 센터를 열고 트리 보기를 클릭합니다.

3. DYNAMIC ACCESS CONTROL을 확장하고 리소스 속성을 선택합니다.

4. 표시 이름 열에서 Impact 속성까지 아래로 스크롤합니다. [영향]을 마우스 오른쪽 단추로 클릭한 다음 [사용]을 클릭합니다.

5. 표시 이름 열에서 개인 식별 정보 속성까지 아래로 스크롤합니다. 개인 식별 정보를 마우스 오른쪽 단추로 클릭한 다음 [사용]을 클릭합니다.

6. 전역 리소스 목록에 리소스 속성을 게시하려면 왼쪽 창에서 리소스 속성 목록을 클릭한 다음 전역 리소스 속성 목록을 두 번 클릭합니다.

7. 추가를 클릭한 다음 아래로 스크롤하여 [영향]을 클릭하여 목록에 추가합니다. 개인 식별 정보에 대해 동일한 작업을 수행합니다. 확인을 두 번 클릭하여 완료합니다.

Windows PowerShell에 해당하는 명령을 안내합니다.

다음 Windows PowerShell cmdlet은 이전 절차와 같은 기능을 수행합니다. 서식 제약 조건으로 인해 각 cmdlet이 여러 줄에 자동 줄 바꿈되어 표시될 수 있지만 각 cmdlet을 한 줄에 입력하세요.

Set-ADResourceProperty -Enabled:$true -Identity:"CN=Impact_MS,CN=Resource Properties,CN=Claims Configuration,CN=Services,CN=Configuration,DC=contoso,DC=com"
Set-ADResourceProperty -Enabled:$true -Identity:"CN=PII_MS,CN=Resource Properties,CN=Claims Configuration,CN=Services,CN=Configuration,DC=contoso,DC=com"

2단계: 분류 규칙 만들기

이 단계에서는 높은 영향 분류 규칙을 만드는 방법을 설명합니다. 이 규칙은 문서의 콘텐츠를 검색 하 고 "Contoso Confidential" 문자열이 발견 되는 경우이 문서를 높은 비즈니스 영향이 있는 것으로 분류 합니다. 이전에 할당된 낮은 비즈니스 영향 분류는 이 규칙으로 재정의됩니다.

높은 PII 규칙도 만듭니다. 이 규칙은 문서의 콘텐츠를 검색하여 주민 등록 번호가 발견되면 이 문서를 높은 PII가 있는 것으로 분류합니다.

높은 영향 분류 규칙을 만들려면

1. Hyper-V 관리자에서 ID_AD_FILE1에 연결합니다. 암호 pass@word1 Contoso\Administrator를 사용하여 서버에 로그인합니다.

2. Active Directory에서 전역 리소스 속성을 새로 고쳐야 합니다. Windows PowerShell을 엽니다. Update-FSRMClassificationPropertyDefinition을 입력한 다음 Enter 키를 누릅니다. Windows PowerShell을 닫습니다.

3. 파일 서버 리소스 관리자를 엽니다. 파일 서버 리소스 관리자를 열려면 시작을 클릭하고 파일 서버 리소스 관리자를 입력한 다음 파일 서버 리소스 관리자를 클릭합니다.

4. 파일 서버 리소스 관리자의 왼쪽 창에서 분류 관리를 확장한 다음 분류 규칙을 선택합니다.

5. 작업 창에서 분류 일정 구성을 클릭합니다. 자동 분류 탭에서 고정 일정 사용, 요일 선택, 새 파일에 대한 연속 분류 허용 확인란을 선택합니다. OK를 클릭합니다.

6. 작업 창에서 분류 규칙 만들기를 클릭합니다. 그러면 분류 규칙 만들기 대화 상자가 열립니다.

7. 규칙 이름 상자에 높은 비즈니스 영향 값을 입력합니다.

8. 설명 상자에 "Contoso Confidential" 문자열의 존재에 따라 문서에 비즈니스 영향이 큰지 여부를 확인합니다.

9. 범위 탭에서 폴더 관리 속성 설정을 클릭하고 폴더 사용량을 선택한 다음 추가를 클릭한 다음 찾아보기를 클릭하고 D:\Finance 문서를 경로로 찾은 다음 확인을 클릭한 다음 그룹 파일이라는 속성 값을 선택하고 닫기를 클릭합니다. 관리 속성이 설정되면 규칙 범위 탭에서 그룹 파일을 선택합니다.

10. 분류 탭을 클릭합니다. 파일에 속성을 할당하는 방법 선택 아래의 드롭다운 목록에서 콘텐츠 분류자를 선택합니다.

11. 파일에 할당할 속성 선택 아래의 드롭다운 목록에서 영향을 선택합니다.

12. 값 지정 아래의 드롭다운 목록에서 [높음]을 선택합니다.

13. 매개 변수 아래에서 구성을 클릭합니다. 분류 매개 변수 대화 상자의 식 형식 목록에서 문자열을 선택합니다. 식 상자에 다음을 입력합니다. Contoso Confidential을 입력한 다음 확인을 클릭합니다.

14. 평가 유형 탭을 클릭합니다. 기존 속성 값 다시 계산을 클릭하고 기존 값 덮어쓰기를클릭한 다음 확인을 클릭하여 마칩니다.

Windows PowerShell에 해당하는 명령을 안내합니다.

다음 Windows PowerShell cmdlet은 이전 절차와 같은 기능을 수행합니다. 서식 제약 조건으로 인해 각 cmdlet이 여러 줄에 자동 줄 바꿈되어 표시될 수 있지만 각 cmdlet을 한 줄에 입력하세요.

Update-FSRMClassificationPropertyDefinition
$date = Get-Date
$AutomaticClassificationScheduledTask = New-FsrmScheduledTask -Time $date -Weekly @(3, 2, 4, 5,1,6,0) -RunDuration 0;
Set-FsrmClassification -Continuous -schedule $AutomaticClassificationScheduledTask
New-FSRMClassificationRule -Name "High Business Impact" -Property "Impact_MS" -Description "Determines if the document has a high business impact based on the presence of the string 'Contoso Confidential'" -PropertyValue "3000" -Namespace @("D:\Finance Documents") -ClassificationMechanism "Content Classifier" -Parameters @("StringEx=Min=1;Expr=Contoso Confidential") -ReevaluateProperty Overwrite

높은 PII 분류 규칙을 만들려면

1. Hyper-V 관리자에서 ID_AD_FILE1에 연결합니다. 암호 pass@word1 Contoso\Administrator를 사용하여 서버에 로그인합니다.

2. 바탕 화면에서 정규식이라는 폴더를 연 다음 RegEx-SSN이라는 텍스트 문서를 엽니다. 다음 정규식 문자열을 선택하여 복사하세요 ^(?!000)([0-7]\d{2}|7([0-7]\d|7[012]))([ -]?)(?!00)\d\d\3(?!0000)\d{4}$. 이 문자열은 이 단계의 뒷부분에서 사용되므로 클립보드에 그대로 두어야 합니다.

3. 파일 서버 리소스 관리자를 엽니다. 파일 서버 리소스 관리자를 열려면 시작을 클릭하고 파일 서버 리소스 관리자를 입력한 다음 파일 서버 리소스 관리자를 클릭합니다.

4. 파일 서버 리소스 관리자의 왼쪽 창에서 분류 관리를 확장한 다음 분류 규칙을 선택합니다.

5. 작업 창에서 분류 일정 구성을 클릭합니다. 자동 분류 탭에서 고정 일정 사용, 요일 선택, 새 파일에 대한 연속 분류 허용 확인란을 선택합니다. 확인을 클릭합니다.

6. 규칙 이름 상자에 High PII를 입력합니다. 설명 상자에 주민등록번호의 존재 여부를 기준으로 문서에 높은 PII가 있는지 여부를 확인합니다.

7. 범위 탭을 클릭하고 그룹 파일 확인란을 선택합니다.

8. 분류 탭을 클릭합니다. 파일에 속성을 할당하는 방법 선택 아래의 드롭다운 목록에서 콘텐츠 분류자를 선택합니다.

9. 파일에 할당할 속성 선택 아래의 드롭다운 목록에서 개인 식별 정보를 선택합니다.

10. 값 지정 아래의 드롭다운 목록에서 [높음]을 선택합니다.

11. 매개 변수 아래에서 구성을 클릭합니다. 분류 매개 변수창의 식 형식 목록에서 정규식을 선택합니다. 식 상자에 클립보드의 텍스트를 붙여넣습니다. ^(?! 000)([0-7]\d{2}|7([0-7]\d|7[012]))([ -]?)(?! 00)\d\d\3(?! 0000)\d{4}$를 클릭한 다음 확인을 클릭합니다.

    Note

    이 식은 유효하지 않은 주민 등록 번호를 허용합니다. 따라서 데모에서 가상의 주민 등록 번호를 사용할 수 있습니다.

12. 평가 유형 탭을 클릭합니다. 기존 속성 값 다시 계산을 선택하고 기존 값을 덮어쓰고 확인을 클릭하여 마칩니다.

Windows PowerShell에 해당하는 명령을 안내합니다.

다음 Windows PowerShell cmdlet은 이전 절차와 같은 기능을 수행합니다. 서식 제약 조건으로 인해 각 cmdlet이 여러 줄에 자동 줄 바꿈되어 표시될 수 있지만 각 cmdlet을 한 줄에 입력하세요.

New-FSRMClassificationRule -Name "High PII" -Description "Determines if the document has a high PII based on the presence of a Social Security Number." -Property "PII_MS" -PropertyValue "5000" -Namespace @("D:\Finance Documents") -ClassificationMechanism "Content Classifier" -Parameters @("RegularExpressionEx=Min=1;Expr=^(?!000)([0-7]\d{2}|7([0-7]\d|7[012]))([ -]?)(?!00)\d\d\3(?!0000)\d{4}$") -ReevaluateProperty Overwrite

다음 두 개의 분류 규칙을 만들었습니다.

• 높은 비즈니스 영향

• 높은 PII

3단계: 파일 관리 작업을 사용하여 AD RMS로 자동으로 문서 보호

내용을 기반으로 하는 문서를 자동으로 분류 하는 규칙을 만들었으므로 이제 다음 단계는 AD RMS를 사용 하 여 자동으로 분류에 따라 특정 문서를 보호 하는 파일 관리 작업을 만드는 것입니다. 이 단계에서는 높은 PII가 포함된 문서를 자동으로 보호하는 파일 관리 작업을 만듭니다. FinanceAdmin 그룹의 구성원만 높은 PII가 포함된 문서에 액세스할 수 있습니다.

AD RMS로 문서를 보호하려면

1. Hyper-V 관리자에서 ID_AD_FILE1에 연결합니다. 암호 pass@word1 Contoso\Administrator를 사용하여 서버에 로그인합니다.

2. 파일 서버 리소스 관리자를 엽니다. 파일 서버 리소스 관리자를 열려면 시작을 클릭하고 파일 서버 리소스 관리자를 입력한 다음 파일 서버 리소스 관리자를 클릭합니다.

3. 왼쪽 창에서 파일 관리 작업을 선택합니다. 작업 창에서 파일 관리 태스크 만들기를 선택합니다.

4. 작업 이름: 필드에 High PII를 입력합니다. 설명 필드에 높은 PII 문서에 대한 자동 RMS 보호를 입력합니다.

5. 범위 탭을 클릭하고 그룹 파일 확인란을 선택합니다.

6. 작업 탭을 클릭합니다. 형식에서 RMS 암호화를 선택합니다. 찾아보기를 클릭하여 템플릿을 선택한 다음 Contoso Finance Admin Only 템플릿을 선택합니다.

7. 조건 탭을 클릭한 다음 추가를 클릭합니다. 속성 아래에서 개인 식별 정보를 선택합니다. 연산자 아래에서 [등]을 선택합니다. 값 아래에서 [높음]을 선택합니다. OK를 클릭합니다.

8. 일정 탭을 클릭합니다. 일정 섹션에서 매주를 클릭한 다음 일요일을 선택합니다. 매주 한 번 작업을 실행하면 서비스 중단 또는 기타 중단 이벤트로 인해 누락되었을 수 있는 문서를 발견할 수 있습니다.

9. 연속 작업 섹션에서 새 파일에서 연속 작업 실행을 선택한 다음 확인을 클릭합니다. 이제 High PII라는 파일 관리 작업이 만들어졌습니다.

Windows PowerShell에 해당하는 명령을 안내합니다.

다음 Windows PowerShell cmdlet은 이전 절차와 같은 기능을 수행합니다. 서식 제약 조건으로 인해 각 cmdlet이 여러 줄에 자동 줄 바꿈되어 표시될 수 있지만 각 cmdlet을 한 줄에 입력하세요.

$fmjRmsEncryption = New-FSRMFmjAction -Type 'Rms' -RmsTemplate 'Contoso Finance Admin Only'
$fmjCondition1 = New-FSRMFmjCondition -Property 'PII_MS' -Condition 'Equal' -Value '5000'
$date = get-date
$schedule = New-FsrmScheduledTask -Time $date -Weekly @('Sunday')
$fmj1=New-FSRMFileManagementJob -Name "High PII" -Description "Automatic RMS protection for high PII documents" -Namespace @('D:\Finance Documents') -Action $fmjRmsEncryption -Schedule $schedule -Continuous -Condition @($fmjCondition1)

4단계: 결과 보기

작업에서 새 자동 분류 및 AD RMS 보호 규칙을 확인 하는 차례입니다. 이 단계에서는 문서 분류를 검토하고 문서의 콘텐츠를 변경할 때 문서 분류가 어떻게 변경되는지 확인합니다.

결과를 보려면

1. Hyper-V 관리자에서 ID_AD_FILE1에 연결합니다. 암호 pass@word1 Contoso\Administrator를 사용하여 서버에 로그인합니다.

2. Windows 탐색기에서 D:\Finance Documents로 이동합니다.

3. 재무 메모 문서를 마우스 오른쪽 단추로 클릭하고 속성을 클릭합니다. 분류 탭을 클릭하면 Impact 속성에 현재 값이 없는 것을 알 수 있습니다. 취소를 클릭합니다.

4. 고용 승인 요청 문서를 마우스 오른쪽 버튼으로 클릭한 다음 속성을 선택합니다.

5. 분류 탭을 클릭하면 개인 식별 정보 속성에 현재 값이 없습니다. 취소를 클릭합니다.

6. CLIENT1로 전환합니다. 로그인한 사용자를 로그오프한 다음 암호 pass@word1 Contoso\MReid로 로그인합니다.

7. 바탕 화면에서 Finance Documents 공유 폴더를 엽니다.

8. 재무 메모 문서를 엽니다. 문서 아래쪽에 기밀이라는 단어가 표시됩니다. 읽도록 수정합니다. Contoso Confidential. 문서를 저장하고 닫습니다.

9. 고용 승인 요청 문서를 엽니다. 사회 보장#: 섹션에서 다음을 입력합니다. 777-77-7777. 문서를 저장하고 닫습니다.

   Note

   분류가 완료될 때까지 30초 정도 기다려야 할 수 있습니다.

10. ID_AD_FILE1로 다시 전환합니다. Windows 탐색기에서 D:\Finance Documents로 이동합니다.

11. 재무 메모 문서를 마우스 오른쪽 단추로 클릭하고 속성을 클릭합니다. 분류 탭을 클릭합니다. 이제 Impact 속성이 High로 설정됩니다. 취소를 클릭합니다.

12. 문서 고용 승인 요청을 마우스 오른쪽 단추로 클릭하고 속성을 클릭합니다.

13. . 분류 탭을 클릭합니다. 이제 개인 식별 정보 속성이 높음으로 설정됩니다. 취소를 클릭합니다.

5단계: AD RMS로 보호 확인

문서가 보호되는지 확인하려면

1. ID_AD_CLIENT1로 다시 전환합니다.

2. 고용 승인 요청 문서를 엽니다.

3. 문서를 AD RMS 서버에 연결할 수 있도록 하려면 [확인 ]을 클릭합니다.

4. 문서에 주민 등록 번호가 포함되어 있으므로 이제 문서가 AD RMS로 보호된 것을 알 수 있습니다.