Implantar criptografia de arquivos do Office (etapas de demonstração)

O Departamento Financeiro da Contoso tem vários servidores de arquivos que armazenam seus documentos. Esses documentos podem ser uma documentação geral ou ter um alto impacto nos negócios (HBI). Por exemplo, qualquer documento que contenha informações confidenciais é considerado, pela Contoso, como tendo um alto impacto nos negócios. A Contoso quer garantir que toda a sua documentação tenha uma quantidade mínima de proteção e que sua documentação do HBI seja restrita às pessoas apropriadas. Para fazer isso, a Contoso está explorando usando a FCI (Infraestrutura de Classificação de Arquivos) e o AD RMS disponíveis no Windows Server 2012. Usando a FCI, a Contoso classificará todos os documentos em seu servidor de arquivos, com base no conteúdo, e usará o AD RMS para aplicar a política de direitos apropriada.

Nesse cenário, você executará as seguintes etapas:

Etapa 1: Habilitar propriedades do recurso

Para habilitar as propriedades do recurso

1. No Hyper-V Manager, conecte-se ao servidor ID_AD_DC1. Entre no servidor usando Contoso\Administrator com a senha pass@word1.

2. Abra a Central Administrativa do Ative Directory e clique em Modo de Exibição em Árvore.

3. Expanda CONTROLE DE ACESSO DINÂMICO e selecione Propriedades do recurso.

4. Role para baixo até a propriedade Impact na coluna Nome de exibição. Clique com o botão direito do rato em Impacto e, em seguida, clique em Ativar.

5. Role para baixo até a propriedade Informações de identificação pessoal na coluna Nome para exibição . Clique com o botão direito do rato em Informações de Identificação Pessoal e, em seguida, clique em Ativar.

6. Para publicar as propriedades do recurso na Lista de Recursos Globais, no painel esquerdo, clique em Listas de Propriedades de Recursos e clique duas vezes em Lista de Propriedades de Recursos Globais.

7. Clique em Adicionar e, em seguida, role para baixo e clique em Impacto para adicioná-lo à lista. Faça o mesmo para Informações Pessoalmente Identificáveis. Clique em OK duas vezes para concluir.

Comandos equivalentes do Windows PowerShell

O cmdlet ou cmdlets do Windows PowerShell a seguir executam a mesma função que o procedimento anterior. Insira cada cmdlet em uma única linha, mesmo que os cmdlets possam aparecer divididos em várias linhas aqui por restrições de formatação.

Set-ADResourceProperty -Enabled:$true -Identity:"CN=Impact_MS,CN=Resource Properties,CN=Claims Configuration,CN=Services,CN=Configuration,DC=contoso,DC=com"
Set-ADResourceProperty -Enabled:$true -Identity:"CN=PII_MS,CN=Resource Properties,CN=Claims Configuration,CN=Services,CN=Configuration,DC=contoso,DC=com"

Etapa 2: Criar regras de classificação

Esta etapa explica como criar a regra de classificação de Alto Impacto . Esta regra pesquisará o conteúdo dos documentos e, se a cadeia de caracteres "Contoso Confidential" for encontrada, classificará este documento como tendo alto impacto nos negócios. Essa classificação substituirá qualquer classificação atribuída anteriormente de baixo impacto nos negócios.

Você também criará uma regra de PII alta . Esta regra pesquisa o conteúdo dos documentos e, se for encontrado um número de Segurança Social, classifica o documento como tendo PII elevada.

Para criar a regra de classificação de alto impacto

1. No Hyper-V Manager, conecte-se ao servidor ID_AD_FILE1. Entre no servidor usando Contoso\Administrator com a senha pass@word1.

2. Você precisa atualizar as Propriedades de Recursos Globais do Ative Directory. Abra o Windows PowerShell, digite: Update-FSRMClassificationPropertyDefinitione pressione ENTER. Feche o Windows PowerShell.

3. Abra o Gerenciador de Recursos do Servidor de Arquivos. Para abrir o Gestor de Recursos de Servidor de Arquivos, clique em Iniciar, digite Gestor de Recursos de Servidor de Arquivos e clique em Gestor de Recursos de Servidor de Arquivos.

4. No painel esquerdo do Gerenciador de Recursos de Servidor de Arquivos, expanda Gerenciamento de Classificação e selecione Regras de Classificação.

5. No painel Ações , clique em Configurar Agenda de Classificação. No separador Classificação Automática , selecione Ativar agendamento fixo, selecione um Dia da semana e, em seguida, selecione a caixa de verificação Permitir classificação contínua para novos ficheiros . Clique em OK.

6. No painel Ações , clique em Criar Regra de Classificação. Isso abre a caixa de diálogo Criar Regra de Classificação .

7. Na caixa Nome da regra , digite Alto Impacto nos Negócios.

8. Na caixa Descrição, digite Determina se o documento tem um alto impacto nos negócios com base na presença da sequência de caracteres "Contoso Confidential"

9. Na guia Escopo , clique em Definir Propriedades de Gerenciamento de Pasta, selecione Uso de Pasta, clique em Adicionar e, em seguida, clique em Procurar, navegue até D:\Finance Documents como caminho, clique em OK e, em seguida, escolha um valor de propriedade chamado Arquivos de Grupo e clique em Fechar. Depois que as propriedades de gerenciamento estiverem definidas, na guia Escopo da Regra , selecione Arquivos de Grupo.

10. Clique na guia Classificação . Em Escolha um método para atribuir a propriedade aos arquivos, selecione Classificador de conteúdo na lista suspensa.

11. Em Escolha uma propriedade para atribuir aos ficheiros, selecione Impacto na lista suspensa.

12. Em Especificar um valor, selecione Alto na lista suspensa.

13. Clique em Configurar em Parâmetros. Na caixa de diálogo Parâmetros de Classificação , na lista Tipo de Expressão , selecione String. Na caixa Expressão, escreva: Contoso Confidencial e clique em OK.

14. Clique na guia Tipo de avaliação . Clique em Reavaliar valores de propriedade existentes, clique em Substituiro valor existente e, em seguida, clique em OK para concluir.

Comandos equivalentes do Windows PowerShell

O cmdlet ou cmdlets do Windows PowerShell a seguir executam a mesma função que o procedimento anterior. Insira cada cmdlet em uma única linha, mesmo que os cmdlets possam aparecer divididos em várias linhas aqui por restrições de formatação.

Update-FSRMClassificationPropertyDefinition
$date = Get-Date
$AutomaticClassificationScheduledTask = New-FsrmScheduledTask -Time $date -Weekly @(3, 2, 4, 5,1,6,0) -RunDuration 0;
Set-FsrmClassification -Continuous -schedule $AutomaticClassificationScheduledTask
New-FSRMClassificationRule -Name "High Business Impact" -Property "Impact_MS" -Description "Determines if the document has a high business impact based on the presence of the string 'Contoso Confidential'" -PropertyValue "3000" -Namespace @("D:\Finance Documents") -ClassificationMechanism "Content Classifier" -Parameters @("StringEx=Min=1;Expr=Contoso Confidential") -ReevaluateProperty Overwrite

Para criar a regra de classificação de alta Informação de Identificação Pessoal (PII)

1. No Hyper-V Manager, conecte-se ao servidor ID_AD_FILE1. Entre no servidor usando Contoso\Administrator com a senha pass@word1.

2. Na área de trabalho, abra a pasta chamada Expressões Regulares e, em seguida, abra o documento de texto chamado RegEx-SSN. Realce e copie a seguinte cadeia de caracteres de expressão regular: ^(?!000)([0-7]\d{2}|7([0-7]\d|7[012]))([ -]?)(?!00)\d\d\3(?!0000)\d{4}$. Essa cadeia de caracteres será usada mais tarde nesta etapa, portanto, mantenha-a na área de transferência.

3. Abra o Gerenciador de Recursos do Servidor de Arquivos. Para abrir o Gestor de Recursos de Servidor de Ficheiros, clique em Iniciar, digite gestor de recursos de servidor de ficheiros, e clique em Gestor de Recursos de Servidor de Ficheiros.

4. No painel esquerdo do Gerenciador de Recursos de Servidor de Arquivos, expanda Gerenciamento de Classificação e selecione Regras de Classificação.

5. No painel Ações , clique em Configurar Agenda de Classificação. No separador Classificação Automática , selecione Ativar agendamento fixo, selecione um Dia da semana e, em seguida, selecione a caixa de verificação Permitir classificação contínua para novos ficheiros . Clique em OK.

6. Na caixa Nome da regra , digite PII alto. Na caixa Descrição , digite Determina se o documento tem uma PII alta com base na presença de um Número de Segurança Social.

7. Clique no separador Escopo, marque a caixa de seleção Ficheiros de Grupo.

8. Clique na guia Classificação . Em Escolha um método para atribuir a propriedade aos arquivos, selecione Classificador de conteúdo na lista suspensa.

9. Em Escolha uma propriedade para atribuir aos arquivos, selecione Informações de identificação pessoal na lista suspensa.

10. Em Especificar um valor, selecione Alto na lista suspensa.

11. Clique em Configurar em Parâmetros. Na janela Parâmetros de Classificação, na lista Tipo de Expressão , selecione Expressão Regular. Na caixa Expressão, cole o texto da área de transferência: ^(?! 000)([0-7]\d{2}|7([0-7]\d|7[012]))([ -]?)(?! 00)\d\d\3(?! 0000)\d{4}$ e, em seguida, clique em OK.

    Note

    Esta expressão permitirá o uso de números de identificação de Segurança Social inválidos. Isto permite-nos usar números fictícios da Segurança Social na demonstração.

12. Clique na guia Tipo de avaliação . Selecione Reavaliar valores de propriedade existentes, Substituiro valor existente e clique em OK para concluir.

Comandos equivalentes do Windows PowerShell

O cmdlet ou cmdlets do Windows PowerShell a seguir executam a mesma função que o procedimento anterior. Insira cada cmdlet em uma única linha, mesmo que os cmdlets possam aparecer divididos em várias linhas aqui por restrições de formatação.

New-FSRMClassificationRule -Name "High PII" -Description "Determines if the document has a high PII based on the presence of a Social Security Number." -Property "PII_MS" -PropertyValue "5000" -Namespace @("D:\Finance Documents") -ClassificationMechanism "Content Classifier" -Parameters @("RegularExpressionEx=Min=1;Expr=^(?!000)([0-7]\d{2}|7([0-7]\d|7[012]))([ -]?)(?!00)\d\d\3(?!0000)\d{4}$") -ReevaluateProperty Overwrite

Agora você deve ter duas regras de classificação:

• Alto impacto nos negócios

• PII elevada

Etapa 3: Usar tarefas de gerenciamento de arquivos para proteger automaticamente documentos com o AD RMS

Agora que você criou regras para classificar automaticamente documentos com base no conteúdo, a próxima etapa é criar uma tarefa de gerenciamento de arquivos que use o AD RMS para proteger automaticamente determinados documentos com base em sua classificação. Nesta etapa, você criará uma tarefa de gerenciamento de arquivos que protege automaticamente todos os documentos com uma PII alta. Apenas os membros do grupo FinanceAdmin terão acesso a documentos que contenham PII elevadas.

Para proteger documentos com o AD RMS

1. No Hyper-V Manager, conecte-se ao servidor ID_AD_FILE1. Entre no servidor usando Contoso\Administrator com a senha pass@word1.

2. Abra o Gerenciador de Recursos do Servidor de Arquivos. Para abrir o Gestor de Recursos do Servidor de Ficheiros, clique em Iniciar, digite Gestor de Recursos do Servidor de Ficheiros e clique em Gestor de Recursos do Servidor de Ficheiros.

3. No painel esquerdo, selecione Tarefas de Gerenciamento de Arquivos. No painel Ações , selecione Criar tarefa de gerenciamento de arquivos.

4. No campo Nome da tarefa: , digite PII alta. No campo Descrição , digite Proteção automática RMS para documentos com PII alta.

5. Clique no separador Escopo e selecione a caixa de seleção Agrupar Arquivos.

6. Clique na guia Ação . Em Tipo, selecione Encriptação RMS. Clique em Procurar para selecionar um modelo e, em seguida, selecione o modelo Somente administrador de finanças da Contoso .

7. Clique no separador Condição e, em seguida, clique em Adicionar. Em Propriedade, selecione Informações de identificação pessoal. Em Operador, selecione Igual. Em Valor, selecione Alto. Clique em OK.

8. Clique na guia Agendar . Na secção Agenda , clique em Semanalmente e, em seguida, selecione Domingo. Executar a tarefa uma vez por semana garantirá que você detete todos os documentos que possam ter sido perdidos devido a uma interrupção de serviço ou outro evento perturbador.

9. Na seção Operação contínua, selecione Executar tarefa continuamente em novos arquivos e clique em OK. Agora você deve ter uma tarefa de gerenciamento de arquivos chamada High PII.

Comandos equivalentes do Windows PowerShell

O cmdlet ou cmdlets do Windows PowerShell a seguir executam a mesma função que o procedimento anterior. Insira cada cmdlet em uma única linha, mesmo que os cmdlets possam aparecer divididos em várias linhas aqui por restrições de formatação.

$fmjRmsEncryption = New-FSRMFmjAction -Type 'Rms' -RmsTemplate 'Contoso Finance Admin Only'
$fmjCondition1 = New-FSRMFmjCondition -Property 'PII_MS' -Condition 'Equal' -Value '5000'
$date = get-date
$schedule = New-FsrmScheduledTask -Time $date -Weekly @('Sunday')
$fmj1=New-FSRMFileManagementJob -Name "High PII" -Description "Automatic RMS protection for high PII documents" -Namespace @('D:\Finance Documents') -Action $fmjRmsEncryption -Schedule $schedule -Continuous -Condition @($fmjCondition1)

Passo 4: Ver os resultados

Está na hora de dar uma olhada na sua nova classificação automática e nas regras de proteção do AD RMS em ação. Nesta etapa, você examinará a classificação dos documentos e observará como eles mudam à medida que você altera o conteúdo do documento.

Para ver os resultados

1. No Hyper-V Manager, conecte-se ao servidor ID_AD_FILE1. Entre no servidor usando Contoso\Administrator com a senha pass@word1.

2. No Windows Explorer, navegue até D:\Finance Documents.

3. Clique com o botão direito do rato no documento Nota Financeira e clique em Propriedades. Clique na guia Classificação e observe que a propriedade Impact atualmente não tem valor. Clique em Cancelar.

4. Clique com o botão direito do rato no documento Pedido de Aprovação para Contratação e, em seguida, selecione Propriedades.

5. Clique na guia Classificação e observe que a propriedade Informações pessoalmente identificáveis atualmente não tem valor. Clique em Cancelar.

6. Mude para CLIENT1. Termine a sessão de qualquer utilizador que esteja conectado, e depois inicie sessão como Contoso\MReid com a senha pass@word1.

7. Na Área de Trabalho, abra a pasta compartilhada Documentos Financeiros .

8. Abra o documento Memorando de Finanças . Perto da parte inferior do documento, você verá a palavra Confidencial. Modifique-o para ler: Contoso Confidential. Salve o documento e feche-o.

9. Abra o documento Solicitação de aprovação para contratação . Na seção Previdência Social#: , digite: 777-77-7777. Salve o documento e feche-o.

   Note

   Pode ser necessário aguardar 30 segundos para que a classificação ocorra.

10. Volte para ID_AD_FILE1. No Windows Explorer, navegue até D:\Finance Documents.

11. Clique com o botão direito do rato no documento Nota Financeira e clique em Propriedades. Clique na guia Classificação . Observe que a propriedade Impact agora está definida como High. Clique em Cancelar.

12. Clique com o botão direito do mouse no documento Solicitação de aprovação para contratar e clique em Propriedades.

13. . Clique na guia Classificação . Observe que a propriedade Informações pessoalmente identificáveis agora está definida como Alta. Clique em Cancelar.

Etapa 5: Verificar a proteção com o AD RMS

Para verificar se o documento está protegido

1. Volte para ID_AD_CLIENT1.

2. Abra o documento Solicitação de aprovação para contratação .

3. Clique em OK para permitir que o documento se conecte ao servidor AD RMS.

4. Agora você pode ver que o documento foi protegido pelo AD RMS porque contém um número de Segurança Social.