Развертывание шифрования файлов Office (обучающий пример)

Область применения: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

Отдел финансов Компании Contoso имеет ряд файловых серверов, которые хранят свои документы. Это может быть документация общего назначения или документация с высокой степенью важности для бизнеса (HBI). Например, любой документ, содержащий конфиденциальную информацию, считается компанией Contoso особо важным. Contoso необходимо убедиться, что все документы защищены хотя бы минимальными средствами, а особо важные документы доступны только соответствующим пользователям. Для этого компания Contoso изучает инфраструктуру классификации файлов (FCI) и AD RMS, доступные в Windows Server 2012. Используя FCI, компания Contoso хочет классифицировать все документы на файловом сервере в зависимости от контента, а затем с помощью службы AD RMS применить соответствующую политику прав.

В этом сценарии вы выполните следующие действия.

Задача	Description
Включение свойств ресурса	Включите свойства ресурсов Влияние и Личные сведения .
Создание правил классификации	Создайте следующие правила классификации: Правило классификации HBI и Правило классификации PII.
Использование задач управления файлами для автоматической защиты документов с помощью AD RMS	Создайте задачу управления файлами, которая автоматически применяет службу AD RMS для защиты документов с личными сведениями (PII). Только у членов группы FinanceAdmin будет доступ к документам с такими данными.
Просмотр результатов	Изучите классификацию документов и посмотрите, как она меняется при редактировании содержимого документа. Также проверьте, как документ защищает служба AD RMS.
Проверка защиты AD RMS	Убедитесь, что документ защищает служба AD RMS.

Шаг 1. Включение свойств ресурсов

Включение свойств ресурсов

1. В диспетчере Hyper-V подключитесь к серверу ID_AD_DC1. Войдите на сервер как Contoso\Administrator с паролем pass@word1.

2. Откройте центр администрирования Active Directory и щелкните Представление в виде дерева.

3. Разверните узел Динамический контроль доступаи выберите Свойства ресурса.

4. Прокрутите экран к свойству Влияние в столбце Отображаемое имя . Щелкните правой кнопкой Влияниеи выберите Включить.

5. Прокрутите экран к свойству Личные сведения в столбце Отображаемое имя . Щелкните правой кнопкой мыши Личные сведенияи выберите команду Включить.

6. Чтобы опубликовать свойства ресурсов в глобальном списке ресурсов, щелкните в левой области Списки свойств ресурсови дважды щелкните Глобальный список свойств ресурсов.

7. Нажмите кнопку Добавить, а затем прокрутите экран вниз и щелкните элемент Влияние , чтобы добавить его в список. То же самое сделайте для элемента Личные сведения. Для завершения два раза нажмите кнопку ОК .

Эквивалентные команды Windows PowerShell

Следующие командлеты Windows PowerShell выполняют ту же функцию, что и предыдущая процедура. Вводите каждый командлет в одной строке, несмотря на то, что здесь они могут отображаться разбитыми на несколько строк из-за ограничений форматирования.

Set-ADResourceProperty -Enabled:$true -Identity:"CN=Impact_MS,CN=Resource Properties,CN=Claims Configuration,CN=Services,CN=Configuration,DC=contoso,DC=com"
Set-ADResourceProperty -Enabled:$true -Identity:"CN=PII_MS,CN=Resource Properties,CN=Claims Configuration,CN=Services,CN=Configuration,DC=contoso,DC=com"

Шаг 2. Создание правил классификации

На этом этапе описывается создание правила классификации Высокая степень влияния . Это правило будет искать содержимое документов, и если найдена строка "Конфиденциальность Contoso", она классифицирует этот документ как имеющий высокий бизнес-эффект. Эта классификация переопределяет ранее назначенные классификации.

Кроме того, вы создадите правило Личные сведения . Это правило выполняет поиск в содержимом документов, и если найден номер социального страхования, документ классифицируется как содержащий личные сведения.

Создание правила классификации документов с высокой степенью влияния

1. В диспетчере Hyper-V подключитесь к серверу ID_AD_FILE1. Войдите на сервер как Contoso\Administrator с паролем pass@word1.

2. Вам необходимо обновить глобальные свойства ресурсов из Active Directory. Откройте Windows PowerShell, введите команду Update-FSRMClassificationPropertyDefinition, а затем нажмите клавишу ВВОД. Закройте Windows PowerShell.

3. Откройте диспетчер ресурсов файлового сервера. Чтобы открыть диспетчер ресурсов файлового сервера, нажмите кнопку Пуск, введите диспетчер ресурсов файлового сервераи щелкните Диспетчер ресурсов файлового сервера.

4. В левой области диспетчера ресурсов файлового сервера разверните узел Управление классификациейи выберите параметр Правила классификации.

5. На панели Действия щелкните Настроить расписание классификации. На вкладке Автоматическая классификация выберите элемент Включить фиксированное расписание, щелкните День неделии установите флажок Разрешить постоянную классификацию для новых файлов . Щелкните OK.

6. На панели Действия щелкните Создать правило классификации. Откроется диалоговое окно Создание правила классификации .

7. В поле Имя правила введите Высокая степень влияния на бизнес.

8. В поле "Описание" введите "Определить, имеет ли документ высокий бизнес-влияние на наличие строки Contoso Confidential"

9. На вкладке Область действия щелкните Задать свойства управления папками, выберите Использование папки, нажмите кнопку Добавитьи кнопку Обзор. Перейдите к папке D:\Finance Documents, нажмите кнопку ОК, а затем выберите значение свойства Файлы группы и нажмите кнопку Закрыть. После установки свойств управления на вкладке Область действия правила выберите Файлы группы.

10. Перейдите на вкладку "Классификация ". В разделе "Выбор метода для назначения свойства файлам" выберите классификатор содержимого из раскрывающегося списка.

11. В разделе Выберите назначаемое свойствовыберите элемент Влияние из раскрывающегося списка.

12. В разделе Укажите значениевыберите элемент Высокий из раскрывающегося списка.

13. Щелкните Настроить в разделе Параметры. В диалоговом окне Параметры классификации в списке Тип выражения выберите Строка. В поле Выражение введите Contoso Confidentialи нажмите кнопку ОК.

14. Щелкните вкладку "Тип оценки". Нажмите кнопку "Повторно оценить существующие значения свойств", щелкните "Перезаписатьсуществующее значение" и нажмите кнопку "ОК ", чтобы завершить работу.

Эквивалентные команды Windows PowerShell

Следующие командлеты Windows PowerShell выполняют ту же функцию, что и предыдущая процедура. Вводите каждый командлет в одной строке, несмотря на то, что здесь они могут отображаться разбитыми на несколько строк из-за ограничений форматирования.

Update-FSRMClassificationPropertyDefinition
$date = Get-Date
$AutomaticClassificationScheduledTask = New-FsrmScheduledTask -Time $date -Weekly @(3, 2, 4, 5,1,6,0) -RunDuration 0;
Set-FsrmClassification -Continuous -schedule $AutomaticClassificationScheduledTask
New-FSRMClassificationRule -Name "High Business Impact" -Property "Impact_MS" -Description "Determines if the document has a high business impact based on the presence of the string 'Contoso Confidential'" -PropertyValue "3000" -Namespace @("D:\Finance Documents") -ClassificationMechanism "Content Classifier" -Parameters @("StringEx=Min=1;Expr=Contoso Confidential") -ReevaluateProperty Overwrite

Создание правила классификации документов с личными сведениями

1. В диспетчере Hyper-V подключитесь к серверу ID_AD_FILE1. Войдите на сервер как Contoso\Administrator с паролем pass@word1.

2. На рабочем столе откройте папку Регулярные выражения, а затем откройте текстовый документ RegEx-SSN. Выделите и скопируйте следующую строку регулярного выражения: ^(?! 000)([0-7]\d{2}|7([0-7]\d|7[012])([ -]?) (?! 00)\d\d\3(?! 0000)\d{4}$. Эта строка будет использоваться в дальнейшем, поэтому сохраните ее в буфере обмена.

3. Откройте диспетчер ресурсов файлового сервера. Чтобы открыть диспетчер ресурсов файлового сервера, нажмите кнопку Пуск, введите диспетчер ресурсов файлового сервераи щелкните Диспетчер ресурсов файлового сервера.

4. В левой области диспетчера ресурсов файлового сервера разверните узел Управление классификациейи выберите параметр Правила классификации.

5. На панели Действия щелкните Настроить расписание классификации. На вкладке Автоматическая классификация выберите элемент Включить фиксированное расписание, щелкните День неделии установите флажок Разрешить постоянную классификацию для новых файлов . Щелкните OK.

6. В поле Имя правила введите Личные сведения. В поле Описание введите Определяет, содержит ли документ личные сведения, в зависимости от наличия номера социального страхования.

7. Перейдите на вкладку Область действия и установите флажок Файлы группы .

8. Перейдите на вкладку "Классификация ". В разделе "Выбор метода для назначения свойства файлам" выберите классификатор содержимого из раскрывающегося списка.

9. В разделе Выберите назначаемое свойствовыберите элемент Личные сведения из раскрывающегося списка.

10. В разделе Укажите значениевыберите элемент Высокий из раскрывающегося списка.

11. Щелкните Настроить в разделе Параметры. На панели Параметры классификациив списке Тип выражения выберите Регулярное выражение. В поле "Выражение" вставьте текст из буфера обмена: ^(?! 000)([0-7]\d{2}|7([0-7]\d|7[012])([ -]?) (?! 00)\d\d\3(?! 0000)\d{4}$, а затем нажмите кнопку "ОК".

    Примечание.

    Это выражение допускает недопустимые номера социального страхования. Так мы сможем использовать вымышленные номера для демонстрации.

12. Перейдите на вкладку "Тип оценки". Выберите повторно оценить существующие значения свойств, перезаписатьсуществующее значение и нажмите кнопку "ОК", чтобы завершить работу.

Эквивалентные команды Windows PowerShell

Следующие командлеты Windows PowerShell выполняют ту же функцию, что и предыдущая процедура. Вводите каждый командлет в одной строке, несмотря на то, что здесь они могут отображаться разбитыми на несколько строк из-за ограничений форматирования.

New-FSRMClassificationRule -Name "High PII" -Description "Determines if the document has a high PII based on the presence of a Social Security Number." -Property "PII_MS" -PropertyValue "5000" -Namespace @("D:\Finance Documents") -ClassificationMechanism "Content Classifier" -Parameters @("RegularExpressionEx=Min=1;Expr=^(?!000)([0-7]\d{2}|7([0-7]\d|7[012]))([ -]?)(?!00)\d\d\3(?!0000)\d{4}$") -ReevaluateProperty Overwrite

Теперь у нас два правила классификации:

• Высокий уровень влияния на бизнес

• Личные сведения

Шаг 3. Использование задач управления файлами для автоматической защиты документов с помощью службы AD RMS

Теперь, когда вы создали правила для автоматической классификации документов на основе содержимого, следующий шаг — создать задачу управления файлами, которая использует AD RMS для автоматической защиты определенных документов на основе их классификации. На этом шаге вы создадите задачу управления файлами, которая автоматически защищает все документы с личными сведениями. Только у членов группы FinanceAdmin будет доступ к документам с такими данными.

Защита документов с помощью службы AD RMS

1. В диспетчере Hyper-V подключитесь к серверу ID_AD_FILE1. Войдите на сервер как Contoso\Administrator с паролем pass@word1.

2. Откройте диспетчер ресурсов файлового сервера. Чтобы открыть диспетчер ресурсов файлового сервера, нажмите кнопку Пуск, введите диспетчер ресурсов файлового сервераи щелкните Диспетчер ресурсов файлового сервера.

3. В левой области выберите элемент Задачи управления файлами. В области Действия выберите Создать задачу управления файлами.

4. В поле Имя задачи: введите Личные сведения. В поле Описание введите Автоматическая защита RMS для документов с личными сведениями.

5. Перейдите на вкладку Область действия и установите флажок Файлы группы .

6. Перейдите на вкладку "Действие ". В разделе " Тип" выберите шифрование RMS. Нажмите кнопку Обзор , чтобы выбрать шаблон, а затем выберите шаблон Contoso Finance Admin Only .

7. На вкладке Условие нажмите кнопку Добавить. В разделе Свойствовыберите Личные сведения. В разделе Операторвыберите Равно. В разделе Значениевыберите элемент Высокий. Щелкните OK.

8. Перейдите на вкладку "Расписание ". В разделе "Расписание " щелкните "Еженедельно" и выберите воскресенье. Выполнение задачи раз в неделю позволит обнаруживать все документы, которые могли быть пропущены из-за простоя службы или другого сбоя.

9. В разделе Непрерывное выполнение выберите Выполнять задачу непрерывно для новых файлов, а затем нажмите кнопку ОК. Вы добавили задачу управления файлами "Личные сведения".

Эквивалентные команды Windows PowerShell

Следующие командлеты Windows PowerShell выполняют ту же функцию, что и предыдущая процедура. Вводите каждый командлет в одной строке, несмотря на то, что здесь они могут отображаться разбитыми на несколько строк из-за ограничений форматирования.

$fmjRmsEncryption = New-FSRMFmjAction -Type 'Rms' -RmsTemplate 'Contoso Finance Admin Only'
$fmjCondition1 = New-FSRMFmjCondition -Property 'PII_MS' -Condition 'Equal' -Value '5000'
$date = get-date
$schedule = New-FsrmScheduledTask -Time $date -Weekly @('Sunday')
$fmj1=New-FSRMFileManagementJob -Name "High PII" -Description "Automatic RMS protection for high PII documents" -Namespace @('D:\Finance Documents') -Action $fmjRmsEncryption -Schedule $schedule -Continuous -Condition @($fmjCondition1)

Шаг 4. Просмотр результатов

Пришло время взглянуть на новые правила автоматической классификации и ad RMS в действии. На этом шаге вы изучите классификацию документов и посмотрите, как она меняется при редактировании содержимого документа.

Просмотр результатов

1. В диспетчере Hyper-V подключитесь к серверу ID_AD_FILE1. Войдите на сервер как Contoso\Administrator с паролем pass@word1.

2. В проводнике Windows перейдите к папке D:\Finance Documents.

3. Щелкните правой кнопкой документ Finance Memo и выберите пункт Свойства. Откройте вкладку Классификация и обратите внимание на то, что у свойства "Влияние" нет значения. Щелкните Отмена.

4. Щелкните правой кнопкой документ Request for Approval to Hireи выберите пункт Свойства.

5. Откройте вкладку Классификация и обратите внимание на то, что у свойства Личные сведения нет значения. Щелкните Отмена.

6. Переключитесь на сервер CLIENT1. Завершите сеанс текущего пользователя, а затем войдите как Contoso\MReid, используя пароль pass@word1.

7. Откройте общую папку Finance Documents на рабочем столе.

8. Откройте документ Finance Memo . В нижней части документа вы увидите слово Confidential. Измените его на следующую строку: Contoso Confidential. Сохраните и закройте документ.

9. Откройте документ Request for Approval to Hire . В разделе Social Security#: введите: 777-77-7777. Сохраните и закройте документ.

   Примечание.

   Возможно, придется подождать 30 секунд до выполнения классификации.

10. Переключитесь на сервер ID_AD_FILE1. В проводнике Windows перейдите к папке D:\Finance Documents.

11. Правой кнопкой мыши щелкните документ Finance Memo и выберите пункт Свойства. Перейдите на вкладку "Классификация". Обратите внимание, что свойство Impact теперь имеет значение High. Щелкните Отмена.

12. Щелкните правой кнопкой документ Request for Approval to Hire и выберите пункт Свойства.

13. . Перейдите на вкладку "Классификация". Обратите внимание, что свойство "Личная информация" теперь имеет значение High. Щелкните Отмена.

Шаг 5. Проверка защиты службы AD RMS

Проверка защиты документы

1. Переключитесь на сервер ID_AD_CLIENT1.

2. Откройте документ Request for Approval to Hire .

3. Нажмите кнопку ОК , чтобы разрешить документу подключиться к серверу AD RMS.

4. Теперь можно увидеть, что документ защищен службой AD RMS, так как он содержит номер социального страхования.