Implantar criptografia de arquivos do Office (etapas de demonstração)

O departamento financeiro da Contoso possui diversos servidores de arquivos que armazenam seus documentos. Esses documentos podem ser documentação em geral ou HBI (com alto impacto nos negócios). Por exemplo, qualquer documento contendo informações confidenciais é considerado, pela Contoso, como HBI. A Contoso deseja garantir que todos os seus documentos tenham o mínimo de proteção e que os documentos HBI sejam restritos às pessoas apropriadas. Para isso, a Contoso vem pensando em usar a FCI (Infraestrutura de Classificação de Arquivos) e o AD RMS disponível no Windows Server 2012. Usando a FCI, a Contoso poderá classificar todos os documentos do servidor de arquivos com base no conteúdo e depois usar o AD RMS para aplicar as políticas de direitos adequadas.

Neste cenário, você realizará as seguintes etapas:

Etapa 1: Habilitar as propriedades do recurso

Para habilitar as propriedades do recurso

1. No Gerenciador do Hyper-V, conecte-se ao servidor ID_AD_DC1. Entre no servidor usando Contoso\Administrator com a senha pass@word1.

2. Abra o Centro Administrativo do Active Directory e clique em Modo de Exibição de Árvore.

3. Expanda CONTROLE DE ACESSO DINÂMICO e selecione Propriedades do recurso.

4. Role para baixo até a propriedade Impacto na coluna Nome de exibição . Clique com o botão direito do mouse em Impact e depois clique em Habilitar.

5. Arraste para a propriedade Informações de identificação pessoal na coluna Nome de exibição. Clique com o botão direito do mouse em Informações de Identificação Pessoal e em Habilitar.

6. Para publicar as propriedades do recurso na Lista global de recurso, clique em Listas de propriedades do recurso no painel à esquerda e clique duas vezes em Lista global de propriedades do recurso.

7. Clique em Adicionar e role para baixo e clique em Impacto para adicioná-lo à lista. Faça o mesmo para Informações de identificação pessoal. Clique em OK duas vezes para concluir.

comandos equivalentes do Windows PowerShell

O seguinte cmdlet ou cmdlets do Windows PowerShell executam a mesma função que o procedimento anterior. Insira cada cmdlet em uma única linha, mesmo que possa aparecer quebra em várias linhas aqui devido a restrições de formatação.

Set-ADResourceProperty -Enabled:$true -Identity:"CN=Impact_MS,CN=Resource Properties,CN=Claims Configuration,CN=Services,CN=Configuration,DC=contoso,DC=com"
Set-ADResourceProperty -Enabled:$true -Identity:"CN=PII_MS,CN=Resource Properties,CN=Claims Configuration,CN=Services,CN=Configuration,DC=contoso,DC=com"

Etapa 2: Criar regras de classificação

Esta etapa explica como criar a regra de classificação de alto impacto . Esta regra pesquisará o conteúdo dos documentos e se a cadeia de caracteres "Contoso Confidential" for encontrada, o documento será classificado como de alto impacto para os negócios. Essa classificação substituirá qualquer classificação previamente atribuída de baixo impacto nos negócios.

Você também criará uma regra PII Alta. Esta regra pesquisará o conteúdo dos documentos e, caso encontre um número de seguro social, classificará o documento como PII alto.

Para criar a regra de classificação de alto impacto

1. No Gerenciador do Hyper-V, conecte-se ao servidor ID_AD_FILE1. Entre no servidor usando Contoso\Administrator com a senha pass@word1.

2. Será necessário atualizar as Propriedades globais do recurso do Active Directory. Abra o Windows PowerShell e digite: Update-FSRMClassificationPropertyDefinitione pressione ENTER. Feche o Windows PowerShell.

3. Abra o Gerenciador de Recursos de Servidor de Arquivos. Para abrir o Gerenciador de Recursos do Servidor de Arquivos, clique em Iniciar, digite o gerenciador de recursos do servidor de arquivos e clique em Gerenciador de Recursos do Servidor de Arquivos.

4. No painel esquerdo do Gerenciador de Recursos do Servidor de Arquivos, expanda o Gerenciamento de Classificação e selecione Regras de Classificação.

5. No painel Ações , clique em Configurar Agendamento de Classificação. Na guia Classificação Automática , selecione Habilitar agendamento fixo, selecione um Dia da semana e, em seguida, marque a caixa de seleção Permitir classificação contínua para novos arquivos . Clique em OK.

6. No painel Ações , clique em Criar Regra de Classificação. Isso abre a caixa de diálogo Criar Regra de Classificação.

7. Na caixa nome da regra , digite Alto Impacto nos Negócios.

8. Na caixa Descrição , digite Determine se o documento tem um alto impacto nos negócios com base na presença da cadeia de caracteres "Contoso Confidential"

9. Na guia Escopo , clique em Definir Propriedades de Gerenciamento de Pastas, selecione Uso da Pasta, clique em Adicionar, em seguida, clique em Procurar, navegue até D:\Documentos financeiros como o caminho, clique em OK e escolha um valor de propriedade chamado Arquivos de Grupo e clique em Fechar. Depois que as propriedades de gerenciamento forem definidas, na guia Escopo da Regra , selecione Arquivos de Grupo.

10. Clique na guia Classificação . Em Escolher um método para atribuir a propriedade a arquivos, selecione Classificador de Conteúdo na lista suspensa.

11. Em Escolha uma propriedade para atribuir aos arquivos, selecione Impacto na lista suspensa.

12. Em Especificar um valor, selecione Alto na lista suspensa.

13. Clique em Configurar em Parâmetros. Na caixa de diálogo Parâmetros de Classificação , na lista Tipo de Expressão , selecione Cadeia de Caracteres. Na caixa Expressão , digite: Contoso Confidential e clique em OK.

14. Clique na guia Tipo de Avaliação . Clique em Reavaliar valores de propriedade existentes, clique em Substituiro valor existente e clique em OK para concluir.

comandos equivalentes do Windows PowerShell

O seguinte cmdlet ou cmdlets do Windows PowerShell executam a mesma função que o procedimento anterior. Insira cada cmdlet em uma única linha, mesmo que possa aparecer quebra em várias linhas aqui devido a restrições de formatação.

Update-FSRMClassificationPropertyDefinition
$date = Get-Date
$AutomaticClassificationScheduledTask = New-FsrmScheduledTask -Time $date -Weekly @(3, 2, 4, 5,1,6,0) -RunDuration 0;
Set-FsrmClassification -Continuous -schedule $AutomaticClassificationScheduledTask
New-FSRMClassificationRule -Name "High Business Impact" -Property "Impact_MS" -Description "Determines if the document has a high business impact based on the presence of the string 'Contoso Confidential'" -PropertyValue "3000" -Namespace @("D:\Finance Documents") -ClassificationMechanism "Content Classifier" -Parameters @("StringEx=Min=1;Expr=Contoso Confidential") -ReevaluateProperty Overwrite

Para criar a regra de classificação de PII alto

1. No Gerenciador do Hyper-V, conecte-se ao servidor ID_AD_FILE1. Entre no servidor usando Contoso\Administrator com a senha pass@word1.

2. Na área de trabalho, abra a pasta denominada Expressões Regulares e abra o documento de texto chamado RegEx-SSN. Realce e copie a cadeia de caracteres de expressão regular a seguir: ^(?!000)([0-7]\d{2}|7([0-7]\d|7[012]))([ -]?)(?!00)\d\d\3(?!0000)\d{4}$. Esta cadeia de caracteres será usada posteriormente, por isso mantenha-a na área de transferência.

3. Abra o Gerenciador de Recursos de Servidor de Arquivos. Para abrir o Gerenciador de Recursos do Servidor de Arquivos, clique em Iniciar, digite o gerenciador de recursos do servidor de arquivos e clique em Gerenciador de Recursos do Servidor de Arquivos.

4. No painel esquerdo do Gerenciador de Recursos do Servidor de Arquivos, expanda o Gerenciamento de Classificação e selecione Regras de Classificação.

5. No painel Ações , clique em Configurar Agendamento de Classificação. Na guia Classificação Automática , selecione Habilitar agendamento fixo, selecione um Dia da semana e, em seguida, marque a caixa de seleção Permitir classificação contínua para novos arquivos . Clique em OK.

6. Na caixa nome da regra, digite High PII. Na caixa Descrição, digite Determina se o documento possui um alto índice de PII com base na presença de um Número de Segurança Social.

7. Clique na guia Escopo, marque a caixa de seleção Agrupar Arquivos.

8. Clique na guia Classificação . Em Escolher um método para atribuir a propriedade a arquivos, selecione Classificador de Conteúdo na lista suspensa.

9. Em Escolha uma propriedade para atribuir aos arquivos, selecione Informações de identificação pessoal na lista suspensa.

10. Em Especificar um valor, selecione Alto na lista suspensa.

11. Clique em Configurar em Parâmetros. Na janela Parâmetros de Classificação, na lista Tipo de Expressão , selecione Expressão Regular. Na caixa Expressão, cole o texto da área de transferência: ^(?!000)([0-7]\d{2}|7([0-7]\d|7[012]))([ -]?)(?!00)\d\d\3(?!0000)\d{4}$ e clique em OK.

    Note

    Esta expressão permitirá números de seguro social inválidos. Isso permite usar os números de seguro social fictícios nesta demonstração.

12. Clique na guia Tipo de Avaliação . Selecione Reavaliar valores de propriedade existentes, substituiro valor existente e, em seguida, clicar em OK para concluir.

comandos equivalentes do Windows PowerShell

O seguinte cmdlet ou cmdlets do Windows PowerShell executam a mesma função que o procedimento anterior. Insira cada cmdlet em uma única linha, mesmo que possa aparecer quebra em várias linhas aqui devido a restrições de formatação.

New-FSRMClassificationRule -Name "High PII" -Description "Determines if the document has a high PII based on the presence of a Social Security Number." -Property "PII_MS" -PropertyValue "5000" -Namespace @("D:\Finance Documents") -ClassificationMechanism "Content Classifier" -Parameters @("RegularExpressionEx=Min=1;Expr=^(?!000)([0-7]\d{2}|7([0-7]\d|7[012]))([ -]?)(?!00)\d\d\3(?!0000)\d{4}$") -ReevaluateProperty Overwrite

Você deverá possuir duas regras de classificação:

• Alto impacto nos negócios

• PII alto

Etapa 3: Usar as tarefas de gerenciamento de arquivo para proteger documentos automaticamente com o AD RMS

Agora que você criou as regras de classificação automática dos documentos com base no conteúdo, a próxima etapa será criar uma tarefa de gerenciamento de arquivos que use o AD RMS para proteger automaticamente certos documentos com base na classificação deles. Nesta etapa, você criará uma tarefa do gerenciador de arquivos para proteger automaticamente quaisquer documentos com um PII alto. Somente membros do grupo FinanceAdmin terão acesso aos documentos que contêm PII Alto.

Para proteger documentos com AD RMS

1. No Gerenciador do Hyper-V, conecte-se ao servidor ID_AD_FILE1. Entre no servidor usando Contoso\Administrator com a senha pass@word1.

2. Abra o Gerenciador de Recursos de Servidor de Arquivos. Para abrir o Gerenciador de Recursos do Servidor de Arquivos, clique em Iniciar, digite o gerenciador de recursos do servidor de arquivos e clique em Gerenciador de Recursos do Servidor de Arquivos.

3. No painel à esquerda, selecione Tarefas de gerenciamento de arquivos. No painel Ações , selecione Criar Tarefa de Gerenciamento de Arquivos.

4. No nome da tarefa: campo, digite PII Alto. No campo Descrição , digite a proteção RMS automática para documentos PII altos.

5. Clique na guia Escopo, marque a caixa de seleção Agrupar Arquivos.

6. Clique na guia Ação . Em Tipo, selecione Criptografia RMS. Clique em Procurar para selecionar um modelo e selecione o modelo Somente Administrador financeiro da Contoso .

7. Clique na guia Condição e clique em Adicionar. Em Propriedade, selecione Informações de Identificação Pessoal. Em Operador, selecione Igual. Em Valor, selecione Alto. Clique em OK.

8. Clique na guia Agendar . Na seção Agendar , clique em Semanalmente e selecione Domingo. Executar a tarefa uma vez por semana garantirá a identificação de qualquer documento que possa ter sido ignorado devido a uma falha de serviço ou outro evento de interrupção.

9. Na seção Operação contínua , selecione Executar tarefa continuamente em novos arquivos e clique em OK. Agora, você terá uma tarefa de gerenciamento chamada PII alto.

comandos equivalentes do Windows PowerShell

O seguinte cmdlet ou cmdlets do Windows PowerShell executam a mesma função que o procedimento anterior. Insira cada cmdlet em uma única linha, mesmo que possa aparecer quebra em várias linhas aqui devido a restrições de formatação.

$fmjRmsEncryption = New-FSRMFmjAction -Type 'Rms' -RmsTemplate 'Contoso Finance Admin Only'
$fmjCondition1 = New-FSRMFmjCondition -Property 'PII_MS' -Condition 'Equal' -Value '5000'
$date = get-date
$schedule = New-FsrmScheduledTask -Time $date -Weekly @('Sunday')
$fmj1=New-FSRMFileManagementJob -Name "High PII" -Description "Automatic RMS protection for high PII documents" -Namespace @('D:\Finance Documents') -Action $fmjRmsEncryption -Schedule $schedule -Continuous -Condition @($fmjCondition1)

Etapa 4: Ver os resultados

Chegou a hora de ver a nova classificação automática e as regras de proteção do AD RMS em ação. Nesta etapa, você examinará a classificação dos documentos e observará como eles mudam ao alterar o conteúdo do documento.

Para exibir os resultados

1. No Gerenciador do Hyper-V, conecte-se ao servidor ID_AD_FILE1. Entre no servidor usando Contoso\Administrator com a senha pass@word1.

2. No Windows Explorer, navegue para D:\Finance Documents.

3. Clique com o botão direito do mouse no documento Memorando de Finanças e clique em Propriedades. Clique na guia Classificação e observe que a propriedade Impact atualmente não tem valor. Clique em Cancelar.

4. Clique com o botão direito do mouse no documento Solicitação de aprovação para documento de contratação e selecione Propriedades.

5. Clique na guia Classificação e observe que a propriedade Informações de Identificação Pessoal atualmente não tem nenhum valor. Clique em Cancelar.

6. Alterne para o CLIENT1. Desconecte qualquer usuário que esteja conectado e entre como Contoso\MReid com a senha pass@word1.

7. Na Área de Trabalho, abra a pasta compartilhada Documentos financeiros .

8. Abra o documento memorando de finanças . Próximo à parte inferior do documento, você verá a palavra Confidencial. Modifique-o para ler: Contoso Confidential. Salve o documento e feche-o.

9. Abra o documento Solicitação de aprovação para contratação. Na seção Previdência Social#: digite: 777-77-7777. Salve o documento e feche-o.

   Note

   Pode ser necessário aguardar 30 segundos para que a classificação entre em vigor.

10. Alterne novamente para o ID_AD_FILE1. No Windows Explorer, navegue para D:\Finance Documents.

11. Clique com o botão direito do mouse no documento Memorando de Finanças e clique em Propriedades. Clique na guia Classificação . Observe que a propriedade Impact agora está definida como Alta. Clique em Cancelar.

12. Clique com o botão direito do mouse no documento "Solicitação de Aprovação para Contratação" e clique em Propriedades.

13. . Clique na guia Classificação . Observe que a propriedade Informações de Identificação Pessoal agora está definida como Alta. Clique em Cancelar.

Etapa 5: Verifique a proteção com o AD RMS

Para verificar se o documento está protegido

1. Alterne novamente para o ID_AD_CLIENT1.

2. Abra o documento Solicitação de aprovação para contratação.

3. Clique em OK para permitir que o documento se conecte ao servidor do AD RMS.

4. Agora, você pode ver que o documento foi protegido pelo AD RMS, pois contém um número de seguro social.