V predchádzajúcom článku zo série (Infraštruktúra klasifikácie súborov v systéme Windows Server 2012) sme hovorili o mechanizme automatickej klasifikácie súborov na základe ich obsahu alebo umiestnenia. V tomto článku sa pokúsime implementovať realistickejší scenár na ochranu súborov klasifikovaných určitým spôsobom službou klasifikácie súborov (FCI). Povedzme, že chceme implementovať povinné šifrovanie všetkých súborov finančného oddelenia, uložené na súborovom serveri (ako možnosť pre všetky dôverné dokumenty). Túto službu môžete použiť na splnenie tejto úlohy. FCI a AD RMS.
Ako bude tento zväzok fungovať? Ak skrátka pomocou mechanizmu FCI nájdeme všetky súbory, ktoré je potrebné chrániť, a priradíme im konkrétne štítky, potom pre súbory s týmito značkami vytvoríme špeciálnu úlohu šifrovania RMS, v ktorej môžete pripojiť existujúcu šablónu politiky RMS alebo manuálne nastaviť politiku RMS. Je potrebné poznamenať, že pri prenose údajov medzi servermi (samozrejme by to mal byť Windows Server 2008 R2 / Server 2012) sa štítky uložia.
Tento mechanizmus by sa mohol implementovať aj v systéme Windows Server 2008 R2, ale nová platforma má výhody:
- Všetky funkcie sú dostupné v roli servera FSRM. Už nemusíte inštalovať nástroj na ochranu hromadnej ochrany služby AD RMS a písať vlastné skripty..
- Súbory môžu byť chránené za behu, t.j. Ak sa nový súbor neobjaví na serveri, automaticky sa klasifikuje, pridelia sa menovky a je okamžite chránený.
Ak chcete umožniť súborovému serveru požadovať certifikáty a šifrovať dokumenty, musíte pre súbor, ktorý sa nenachádza na serveri RMS, nastaviť nasledujúce povolenia. ServerCertification.asmx .
- Prečítajte si + Vykonajte pre účet súborového servera
- Čítanie + vykonanie pre skupinu služieb AD RMS
Potom v konzole FSRM v sekcii Nástroje na správu súborov potrebujete novú úlohu.
pútko všeobecný názov pravidla je uvedený (je lepšie, ak má význam):
O príspevku rozsah rozsah pravidla je uvedený (špecifikovali sme predtým vytvorenú množinu finančných údajov a samostatný priečinok E: \ share1):
pútko akčné K dispozícii sú tri možnosti:
- Vlastné - môžete zadať vlastný príkaz, ktorý sa musí spustiť vo všetkých súboroch. Môže to byť aj skript na vbs, powerhell, atď..
- Platnosť - s touto voľbou môžete nastaviť expiráciu (životnosť) súboru, po ktorom sa presunie do špeciálneho adresára (politika vypršania platnosti súboru).
- RMS Encryption - môžete zadať existujúcu šablónu politiky alebo vytvoriť vlastné pravidlo
Zaujíma nás možnosť šifrovania súborov Šifrovanie RMS, výber, od ktorého sa bude požadovať, aby sme naznačili, či chceme použiť predpripravenú šablónu RMS, alebo si vytvoríme vlastnú množinu povolení. Vyberieme druhú možnosť, poskytneme všetkým prístup na čítanie a používateľom „používateľov financií“ s úplným prístupom:
pútko oznámenia Môžete určiť zoznam adries vlastníkov priečinka, vedúceho oddelenia alebo správcu, ktorým budú zasielané oznámenia:
pútko podmienky vyberie sa pravidlo, ktoré definuje dokumenty, ktoré je potrebné šifrovať. Zaujímajú nás všetky súbory označené značkou Department s hodnotou Finance. Označuje tiež časové podmienky aplikácie (čas od vytvorenia / zmeny / posledného prístupu) a masku názvu súboru:
pútko plán je nastavený harmonogram uplatňovania pravidla, môžete určiť, že úloha sa bude spúšťať nepretržite (nepretržite):
Po uložení pravidla ho môžete spustiť a zoznámiť sa so správou o jeho aplikácii:
Podľa očakávania sú súbory, ktoré spĺňajú tieto parametre, šifrované a prístup k nim je teraz obmedzený.
Oboznámili sme sa teda so spôsobom ochrany všetkých súborov vo vnútri určených adresárov určitým obsahom pomocou funkcií systému Windows Server 2012 (klasifikácia súborov FCI) a služby AD RMS. Všetky tieto technológie sú súčasťou nového riadenia verejného prístupu pre priečinky a priečinky systému Windows Server 2012 - Dynamic Access Control.
