Udostępnij przez

Wdrażanie szyfrowania plików pakietu Office (demonstracyjne kroki)

Dział finansowy firmy Contoso ma wiele serwerów plików, na których są przechowywane dokumenty. Dokumenty te mogą być dokumentacją ogólną lub mogą mieć duży wpływ na działalność biznesową (HBI). Na przykład każdy dokument zawierający informacje poufne jest uznawany przez firmę Contoso za mający duży wpływ na działalność biznesową. Firma Contoso chce mieć pewność, że cała dokumentacja ma minimalny stopień ochrony i że dokumentacja HBI jest ograniczona do odpowiednich osób. Aby to osiągnąć, firma Contoso bada możliwości korzystania z infrastruktury klasyfikacji plików (FCI) i usług AD RMS, które są dostępne w systemie Windows Server 2012. Korzystając z wystąpienia FCI, firma Contoso sklasyfikuje wszystkie dokumenty na swoim serwerze plików na podstawie zawartości, a następnie użyje usług AD RMS w celu zastosowania odpowiednich zasad praw.

W tym scenariuszu wykonasz następujące kroki:

Task Description
Włączanie właściwości zasobu Włącz właściwości zasobu Wpływ i Dane osobowe .
Tworzenie reguł klasyfikacji Utwórz następujące reguły klasyfikacji: Reguła klasyfikacji HBI i Reguła klasyfikacji danych osobowych.
Używanie zadań zarządzania plikami do automatycznej ochrony dokumentów za pomocą usług AD RMS Utwórz zadanie zarządzania plikami, które automatycznie używało usług AD RMS do ochrony dokumentów zawierających wiele informacji umożliwiających identyfikację osoby. Tylko członkowie grupy FinanceAdmin będą mieli dostęp do dokumentów, które zawierają wysokie dane osobowe.
Zobacz wyniki Zapoznaj się z klasyfikacją dokumentów i obserwuj, jak zmieniają się one wraz ze zmianą zawartości dokumentu. Sprawdź również, w jaki sposób dokument jest chroniony przez usługi AD RMS.
Weryfikowanie ochrony usług AD RMS Sprawdź, czy dokument jest chroniony za pomocą usług AD RMS.

Krok 1: Włącz właściwości zasobu

Aby włączyć właściwości zasobu

  1. W programie Hyper-V Manager połącz się z serwerem ID_AD_DC1. Zaloguj się na serwerze przy użyciu konta Contoso\Administrator z hasłem pass@word1.

  2. Otwórz Centrum administracyjne usługi Active Directory i kliknij pozycję Widok drzewa.

  3. Rozwiń węzeł DYNAMICZNA KONTROLA DOSTĘPU i wybierz pozycję Właściwości zasobu.

  4. Przewiń w dół do właściwości Impact w kolumnie Nazwa wyświetlana . Kliknij prawym przyciskiem myszy pozycję Wpływ, a następnie kliknij przycisk Włącz.

  5. Przewiń w dół do właściwości Dane osobowe w kolumnie Nazwa wyświetlana . Kliknij prawym przyciskiem myszy pozycję Dane osobowe, a następnie kliknij przycisk Włącz.

  6. Aby opublikować właściwości zasobów na globalnej liście zasobów, w lewym okienku kliknij pozycję Listy właściwości zasobów, a następnie kliknij dwukrotnie pozycję Globalna lista właściwości zasobów.

  7. Kliknij przycisk Dodaj, a następnie przewiń w dół do i kliknij przycisk Wpływ , aby dodać go do listy. Zrób to samo z danymi osobowymi. Kliknij przycisk OK dwa razy, aby zakończyć.

przewodniki po równoważnych poleceniach programu Windows PowerShell

Następujące polecenie cmdlet lub polecenia cmdlet w programie Windows PowerShell wykonują tę samą funkcję co poprzednia procedura. Wprowadź każde polecenie typu cmdlet w jednym wierszu, nawet jeśli mogą się one wyświetlać w kilku liniach z powodu ograniczeń formatowania.

Set-ADResourceProperty -Enabled:$true -Identity:"CN=Impact_MS,CN=Resource Properties,CN=Claims Configuration,CN=Services,CN=Configuration,DC=contoso,DC=com"
Set-ADResourceProperty -Enabled:$true -Identity:"CN=PII_MS,CN=Resource Properties,CN=Claims Configuration,CN=Services,CN=Configuration,DC=contoso,DC=com"

Krok 2: Utwórz reguły klasyfikacji

W tym kroku wyjaśniono, jak utworzyć regułę klasyfikacji wysokiego wpływu . Ta reguła przeszuka zawartość dokumentów, a jeśli zostanie znaleziony ciąg "Contoso Confidential", sklasyfikuje ten dokument jako mający duży wpływ na biznes. Ta klasyfikacja zastąpi wszelkie wcześniej przypisane klasyfikacje o niskim wpływie na działalność.

Utworzysz również regułę wysokiego wskaźnika pii . Ta reguła przeszukuje zawartość dokumentów, a jeśli zostanie znaleziony numer ubezpieczenia społecznego, klasyfikuje dokument jako mający wysoki poziom PII.

Aby utworzyć regułę klasyfikacji o dużym wpływie

  1. W programie Hyper-V Manager połącz się z serwerem ID_AD_FILE1. Zaloguj się na serwerze przy użyciu konta Contoso\Administrator z hasłem pass@word1.

  2. Konieczne jest odświeżenie właściwości zasobów globalnych z usługi Active Directory. Otwórz program Windows PowerShell i wpisz: Update-FSRMClassificationPropertyDefinition, a następnie naciśnij ENTER. Zamknij program Windows PowerShell.

  3. Otwórz Menedżera zasobów serwera plików. Aby otworzyć Menedżera zasobów serwera plików, kliknij przycisk Start, wpisz menedżer zasobów serwera plików, a następnie kliknij pozycję Menedżer zasobów serwera plików.

  4. W lewym okienku Menedżera zasobów serwera plików rozwiń węzeł Zarządzanie klasyfikacją, a następnie wybierz pozycję Reguły klasyfikacji.

  5. W okienku Akcje kliknij pozycję Konfiguruj harmonogram klasyfikacji. Na karcie Klasyfikacja automatyczna wybierz pozycję Włącz stały harmonogram, wybierz dzień tygodnia, a następnie zaznacz pole wyboru Zezwalaj na ciągłą klasyfikację nowych plików . Kliknij przycisk OK.

  6. W okienku Akcje kliknij pozycję Utwórz regułę klasyfikacji. Spowoduje to otwarcie okna dialogowego Tworzenie reguły klasyfikacji .

  7. W polu Nazwa reguły wpisz Duży wpływ na działalność biznesową.

  8. W polu Opis wpisz Określ, czy dokument ma duży wpływ na działalność biznesową na podstawie obecności ciągu "Contoso Confidential"

  9. Na karcie Zakres kliknij pozycję Ustaw właściwości zarządzania folderami, wybierz pozycję Użycie folderu, kliknij przycisk Dodaj, a następnie kliknij przycisk Przeglądaj, przejdź do folderu D:\Finance Documents jako ścieżkę, kliknij przycisk OK, a następnie wybierz wartość właściwości o nazwie Pliki grupy i kliknij przycisk Zamknij. Po ustawieniu właściwości zarządzania na karcie Zakres reguły wybierz pozycję Pliki grupy.

  10. Kliknij kartę Klasyfikacja . W obszarze Wybierz metodę, aby przypisać właściwość do plików, wybierz pozycję Klasyfikator zawartości z listy rozwijanej.

  11. W obszarze Wybierz właściwość, która ma zostać przypisana do plików, wybierz pozycję Wpływ z listy rozwijanej.

  12. W obszarze Określ wartość wybierz pozycję Wysoka z listy rozwijanej.

  13. Kliknij pozycję Konfiguruj w obszarze Parametry. W oknie dialogowym Parametry klasyfikacji na liście Typ wyrażenia wybierz pozycję Ciąg. W polu Wyrażenie wpisz: Contoso Poufne, a następnie kliknij przycisk OK.

  14. Kliknij kartę Typ oceny . Kliknij przycisk Ponownie oceń istniejące wartości właściwości, kliknij pozycję Zastąpistniejącą wartość, a następnie kliknij przycisk OK , aby zakończyć.

przewodniki po równoważnych poleceniach programu Windows PowerShell

Następujące polecenie cmdlet lub polecenia cmdlet w programie Windows PowerShell wykonują tę samą funkcję co poprzednia procedura. Wprowadź każde polecenie typu cmdlet w jednym wierszu, nawet jeśli mogą się one wyświetlać w kilku liniach z powodu ograniczeń formatowania.

Update-FSRMClassificationPropertyDefinition
$date = Get-Date
$AutomaticClassificationScheduledTask = New-FsrmScheduledTask -Time $date -Weekly @(3, 2, 4, 5,1,6,0) -RunDuration 0;
Set-FsrmClassification -Continuous -schedule $AutomaticClassificationScheduledTask
New-FSRMClassificationRule -Name "High Business Impact" -Property "Impact_MS" -Description "Determines if the document has a high business impact based on the presence of the string 'Contoso Confidential'" -PropertyValue "3000" -Namespace @("D:\Finance Documents") -ClassificationMechanism "Content Classifier" -Parameters @("StringEx=Min=1;Expr=Contoso Confidential") -ReevaluateProperty Overwrite

Aby utworzyć regułę klasyfikacji z wysokimi danymi osobowymi

  1. W programie Hyper-V Manager połącz się z serwerem ID_AD_FILE1. Zaloguj się na serwerze przy użyciu konta Contoso\Administrator z hasłem pass@word1.

  2. Na pulpicie otwórz folder o nazwie Regular Expressions, a następnie otwórz dokument tekstowy o nazwie RegEx-SSN. Zaznacz i skopiuj następujący ciąg wyrażenia regularnego: ^(?! 000)([0-7]\d{2}|7([0-7]\d|7[012]))([ -]?)(?! 00)\d\d\3(?! 0000)\d{4}$. Ten ciąg zostanie użyty w dalszej części tego kroku, więc zachowaj go w schowku.

  3. Otwórz Menedżera zasobów serwera plików. Aby otworzyć Menedżera zasobów serwera plików, kliknij przycisk Start, wpisz menedżer zasobów serwera plików, a następnie kliknij pozycję Menedżer zasobów serwera plików.

  4. W lewym okienku Menedżera zasobów serwera plików rozwiń węzeł Zarządzanie klasyfikacją, a następnie wybierz pozycję Reguły klasyfikacji.

  5. W okienku Akcje kliknij pozycję Konfiguruj harmonogram klasyfikacji. Na karcie Klasyfikacja automatyczna wybierz pozycję Włącz stały harmonogram, wybierz dzień tygodnia, a następnie zaznacz pole wyboru Zezwalaj na ciągłą klasyfikację nowych plików . Kliknij przycisk OK.

  6. W polu Nazwa reguły wpisz Wysokie dane osobowe. W polu Opis wpisz Określa, czy dokument ma wysokie dane osobowe na podstawie obecności numeru ubezpieczenia społecznego.

  7. Kliknij kartę Zakres , zaznacz pole wyboru Grupuj pliki .

  8. Kliknij kartę Klasyfikacja . W obszarze Wybierz metodę, aby przypisać właściwość do plików, wybierz pozycję Klasyfikator zawartości z listy rozwijanej.

  9. W obszarze Wybierz właściwość, która ma zostać przypisana do plików, wybierz z listy rozwijanej pozycję Dane osobowe .

  10. W obszarze Określ wartość wybierz pozycję Wysoka z listy rozwijanej.

  11. Kliknij pozycję Konfiguruj w obszarze Parametry. W oknie Parametry klasyfikacjina liście Typ wyrażenia wybierz pozycję Wyrażenie regularne. W polu Wyrażenie wklej tekst ze schowka: ^(?! 000)([0–7]\d{2}|7([0–7]\d|7[012]))([ -]?)(?! 00)\d\d\3(?! 0000)\d{4}$, a następnie kliknij przycisk OK.

    Note

    To wyrażenie zezwala na podanie nieprawidłowych numerów ubezpieczenia społecznego. To pozwala nam na użycie fikcyjnych numerów ubezpieczenia społecznego w demonstracji.

  12. Kliknij kartę Typ oceny . Wybierz pozycję Ponownie oceń istniejące wartości właściwości, zastąpistniejącą wartość, a następnie kliknij przycisk OK , aby zakończyć.

przewodniki po równoważnych poleceniach programu Windows PowerShell

Następujące polecenie cmdlet lub polecenia cmdlet w programie Windows PowerShell wykonują tę samą funkcję co poprzednia procedura. Wprowadź każde polecenie typu cmdlet w jednym wierszu, nawet jeśli mogą się one wyświetlać w kilku liniach z powodu ograniczeń formatowania.

New-FSRMClassificationRule -Name "High PII" -Description "Determines if the document has a high PII based on the presence of a Social Security Number." -Property "PII_MS" -PropertyValue "5000" -Namespace @("D:\Finance Documents") -ClassificationMechanism "Content Classifier" -Parameters @("RegularExpressionEx=Min=1;Expr=^(?!000)([0-7]\d{2}|7([0-7]\d|7[012]))([ -]?)(?!00)\d\d\3(?!0000)\d{4}$") -ReevaluateProperty Overwrite

Teraz powinny być dostępne dwie reguły klasyfikacji:

  • Duży wpływ na biznes

  • Wysokie dane osobowe

Krok 3: Użyj zadań zarządzania plikami, aby automatycznie chronić dokumenty za pomocą usług AD RMS

Teraz, po utworzeniu reguł automatycznego klasyfikowania dokumentów na podstawie zawartości, następnym krokiem jest utworzenie zadania zarządzania plikami, które używa usług AD RMS do automatycznej ochrony niektórych dokumentów na podstawie ich klasyfikacji. W tym kroku utworzysz zadanie zarządzania plikami, które automatycznie chroni wszystkie dokumenty o wysokim poziomie PII. Tylko członkowie grupy FinanceAdmin będą mieli dostęp do dokumentów, które zawierają wysokie dane osobowe.

Aby chronić dokumenty za pomocą usług AD RMS

  1. W programie Hyper-V Manager połącz się z serwerem ID_AD_FILE1. Zaloguj się na serwerze przy użyciu konta Contoso\Administrator z hasłem pass@word1.

  2. Otwórz Menedżera zasobów serwera plików. Aby otworzyć Menedżera zasobów serwera plików, kliknij przycisk Start, wpisz menedżer zasobów serwera plików, a następnie kliknij pozycję Menedżer zasobów serwera plików.

  3. W okienku po lewej stronie wybierz pozycję Zadania zarządzania plikami. W okienku Akcje wybierz pozycję Utwórz zadanie zarządzania plikami.

  4. W polu Nazwa zadania: wpisz Wysokie dane osobowe. W polu Opis wpisz Automatyczna ochrona za pomocą usługi RMS dla dokumentów o wysokiej dokumentacji piI.

  5. Kliknij kartę Zakres , zaznacz pole wyboru Grupuj pliki .

  6. Kliknij kartę Akcja . W obszarze Typ wybierz pozycję Szyfrowanie usługi RMS. Kliknij przycisk Przeglądaj , aby wybrać szablon, a następnie wybierz szablon Tylko administrator finansowy firmy Contoso .

  7. Kliknij kartę Warunek , a następnie kliknij przycisk Dodaj. W obszarze Właściwość wybierz pozycję Dane osobowe. W obszarze Operator wybierz pozycję Równe. W obszarze Wartość wybierz pozycję Wysoki. Kliknij przycisk OK.

  8. Kliknij kartę Harmonogram . W sekcji Harmonogram kliknij pozycję Co tydzień, a następnie wybierz pozycję Niedziela. Uruchamianie zadania raz w tygodniu zapewni wychwycenie wszelkich dokumentów, które mogły zostać pominięte z powodu przerwy w działaniu usługi lub innego zdarzenia zakłócającego spokój.

  9. W sekcji Ciągła operacja wybierz pozycję Uruchom zadanie stale w nowych plikach, a następnie kliknij przycisk OK. Teraz powinno być dostępne zadanie zarządzania plikami o nazwie Wysokie dane osobowe.

przewodniki po równoważnych poleceniach programu Windows PowerShell

Następujące polecenie cmdlet lub polecenia cmdlet w programie Windows PowerShell wykonują tę samą funkcję co poprzednia procedura. Wprowadź każde polecenie typu cmdlet w jednym wierszu, nawet jeśli mogą się one wyświetlać w kilku liniach z powodu ograniczeń formatowania.

$fmjRmsEncryption = New-FSRMFmjAction -Type 'Rms' -RmsTemplate 'Contoso Finance Admin Only'
$fmjCondition1 = New-FSRMFmjCondition -Property 'PII_MS' -Condition 'Equal' -Value '5000'
$date = get-date
$schedule = New-FsrmScheduledTask -Time $date -Weekly @('Sunday')
$fmj1=New-FSRMFileManagementJob -Name "High PII" -Description "Automatic RMS protection for high PII documents" -Namespace @('D:\Finance Documents') -Action $fmjRmsEncryption -Schedule $schedule -Continuous -Condition @($fmjCondition1)

Krok 4: Wyświetl wyniki

Nadszedł czas, aby przyjrzeć się nowej automatycznej klasyfikacji i regułom ochrony usług AD RMS w działaniu. W tym kroku przeanalizujesz klasyfikację dokumentów i zaobserwujesz, jak zmieniają się one wraz ze zmianą zawartości dokumentu.

Aby wyświetlić wyniki

  1. W programie Hyper-V Manager połącz się z serwerem ID_AD_FILE1. Zaloguj się na serwerze przy użyciu konta Contoso\Administrator z hasłem pass@word1.

  2. W Eksploratorze Windows przejdź do folderu D:\Dokumenty finansowe.

  3. Kliknij prawym przyciskiem myszy dokument Finance Memo (Notatka finansowa) i kliknij polecenie Properties (Właściwości). Kliknij kartę Klasyfikacja i zwróć uwagę, że właściwość Impact nie ma obecnie żadnej wartości. Kliknij przycisk Anuluj.

  4. Kliknij prawym przyciskiem myszy dokument Request for Approval to Hire (Wniosek o zatwierdzenie zatrudnienia), a następnie wybierz polecenie Properties (Właściwości).

  5. Kliknij kartę Klasyfikacja i zwróć uwagę, że właściwość Informacje osobowe nie ma obecnie żadnej wartości. Kliknij przycisk Anuluj.

  6. Przełącz się na CLIENT1. Wyloguj każdego użytkownika, który jest zalogowany, a następnie zaloguj się jako Contoso\MReid przy użyciu hasła pass@word1.

  7. Na pulpicie otwórz folder udostępniony Dokumenty finansowe .

  8. Otwórz dokument Finance Memo (Nota finansowa ). W dolnej części dokumentu zobaczysz słowo Poufne. Zmodyfikuj go, aby odczytać: Poufne contoso. Zapisz dokument i zamknij go.

  9. Otwórz dokument Prośba o zgodę na zatrudnienie . W sekcji Social Security#: wpisz: 777-77-7777. Zapisz dokument i zamknij go.

    Note

    Może być konieczne odczekanie 30 sekund na przeprowadzenie klasyfikacji.

  10. Przełącz się z powrotem na ID_AD_FILE1. W Eksploratorze Windows przejdź do folderu D:\Dokumenty finansowe.

  11. Kliknij prawym przyciskiem myszy dokument Finanse Nota, a następnie kliknij polecenie Właściwości. Kliknij kartę Klasyfikacja . Zwróć uwagę, że właściwość Impact jest teraz ustawiona na Wartość Wysoka. Kliknij przycisk Anuluj.

  12. Kliknij prawym przyciskiem myszy dokument Żądanie zatwierdzenia do wynajęcia, a następnie kliknij polecenie Właściwości.

  13. . Kliknij kartę Klasyfikacja . Zwróć uwagę, że właściwość Informacje osobowe jest teraz ustawiona na Wysoki. Kliknij przycisk Anuluj.

Krok 5: Weryfikowanie ochrony za pomocą usług AD RMS

Aby sprawdzić, czy dokument jest chroniony

  1. Przełącz się z powrotem na ID_AD_CLIENT1.

  2. Otwórz dokument Prośba o zatwierdzenie zatrudnienia .

  3. Kliknij przycisk OK , aby zezwolić dokumentowi na nawiązywanie połączenia z serwerem usług AD RMS.

  4. Teraz można zobaczyć, że dokument jest chroniony przez usługi AD RMS, ponieważ zawiera numer ubezpieczenia społecznego.

  • Last updated on