V prejšnjem članku v seriji (File Classification Infrastructure in Windows Server 2012) smo govorili o mehanizmu za samodejno razvrščanje datotek glede na njihovo vsebino ali lokacijo. V tem članku bomo poskušali uresničiti bolj realističen scenarij za zaščito datotek, ki so na nek način razvrščene s storitvijo File infrastrukture Infrastructure (FCI). Recimo, da želimo uresničiti obvezno šifriranje vseh datotek finančnega oddelka, shranjeno na datotečnem strežniku (kot možnost za vse zaupne dokumente). S to storitvijo lahko opravite to nalogo. FCI in AD RMS.
Kako bo delovala ta skupina? Če na kratko s pomočjo mehanizma FCI najdemo vse datoteke, ki jih je treba zaščititi, in jim dodelimo določeno nalepko, potem za datoteke s temi oznakami ustvarimo posebno nalogo šifriranja RMS, v katero lahko priložite obstoječo predlogo politike RMS ali ročno nastavite politiko RMS. Omeniti velja, da se med prenosom podatkov med strežniki (seveda mora biti to Windows Server 2008 R2 / Server 2012) nalepke shranijo.
Ta mehanizem bi lahko uvedli tudi v Windows Server 2008 R2, vendar ima nova platforma prednosti:
- Vsa funkcionalnost je na voljo v vlogi strežnika FSRM, ni vam več treba namestiti orodja za zaščito pred množičnimi oglasi AD RMS in pisati lastnih skript.
- Datoteke je mogoče zaščititi med letenjem, tj. ko se nova datoteka ne pojavi na strežniku, se samodejno razvrsti, nanjo se dodelijo oznake in jo takoj zaščitijo.
Če želite dovoliti datotečnemu strežniku zahtevanje potrdil in šifriranje dokumentov, morate za datoteko, ki ni na strežniku RMS, nastaviti naslednja dovoljenja ServerCertification.asmx .
- Preberi + Izvedi za račun datotečnega strežnika
- Preberi + Izvedi za AD RMS Service Group
Nato v konzoli FSRM v razdelku Orodja za upravljanje datotek potrebujete novo nalogo.
Zavihek Splošno ime pravila je navedeno (bolje je, da je smiselno):
Na prispevek Področje uporabe Obseg pravila je naveden (določili smo predhodno ustvarjen niz finančnih podatkov in ločeno mapo E: \ share1):
Zavihek Ukrep Na voljo so tri možnosti:
- Po meri - lahko določite svoj ukaz, ki ga je treba zagnati v vseh datotekah. To lahko vključuje skript v vbs, powerhell itd..
- Istek - s to možnostjo lahko nastavite iztek (življenjsko dobo) datoteke, po katerem se premakne v poseben imenik (pravilnik o poteku datoteke).
- Šifriranje RMS - lahko določite obstoječo predlogo politike ali ustvarite svoje pravilo
Zanima nas možnost šifriranja datotek Šifriranje RMS, izbira, katere bomo morali navesti, ali želimo uporabiti že pripravljeno predlogo RMS ali ustvariti svoj nabor dovoljenj. Izbrali bomo slednje, ki bo vsem omogočil branje, in uporabnikom "Finančnega uporabnika" s polnim dostopom:
Zavihek Obvestilo Določite lahko seznam naslovov lastnikov mape, vodje oddelka ali skrbnika, katerim bodo poslana obvestila:
Zavihek Pogoji izbere se pravilo, ki določa dokumente, ki jih je treba šifrirati. Zanimajo nas vse datoteke z oznako Department z vrednostjo Finance. Navaja tudi časovne pogoje za aplikacijo (čas od nastanka / spremembe / zadnjega dostopa) in masko imena datoteke:
Zavihek Urnik nastavljen je razpored uporabe pravila, lahko določite, da se naloga izvaja neprekinjeno (neprekinjeno):
Ko shranite pravilo, ga lahko zaženete in se seznanite s poročilom o njegovi uporabi:
Kot je bilo pričakovano, so datoteke, ki izpolnjujejo parametre, šifrirane, dostop z njimi pa je zdaj omejen.
Tako smo se seznanili z načinom zaščite vseh datotek znotraj določenih imenikov z določeno vsebino z uporabo funkcij Windows Server 2012 (klasifikacija datotek FCI) in AD RMS. Vse te tehnologije so sestavni deli novega javnega nadzora dostopa do map in map sistema Windows Server 2012 - Dynamic Control Control.
