File Classification Infrastructure в Windows Server 2012 | Windows для системных администраторов

File Classification Infrastructure в Windows Server 2012

Одним из краеугольных элементов технологии обеспечения идентификации и безопасности — Dynamic Access Control (динамического контроля доступа) в Windows Server 2012, является функционал File Classification Infrastructure (FCI — Инфраструктуры классификации файлов). FCI используется на файловых серверах организации и предоставляет возможность создавать новые свойства и атрибуты(File-classification properties)  для классификации по ним файлов. FCI позволяет в автоматически режиме классифицировать файлы в соответствии с содержимым файла или каталогом, в котором они находится; осуществлять управление файлами (например, срок в течении которого возможен доступ к файлу); генерировать отчеты, показывающих распределение классификационных свойств на файловых сервере. Файлы на основании ключевых слов или паттернов могут в автоматическом режиме классифицироваться, например, как конфиденциальные или содержащее персональные данные. Однако пользователь (владелец) без использования  FCI может и вручную классифицировать файлы.

FCI – это элемент Dynamic Access Control, который классифицирует файлы, присваивая им теги, от которых зависит  применение политик DAC.

Впервые технология File Classification Infrastructure появилась в Windows Server 2008 R2. Какие же возможности она предоставляла? С помощью FCI возможно реализовать различные сценарии обработки документов в файловых хранилищах (в т.ч. содержащих конфиденциальную информацию):  сбор, шифрование, перенос, архивирование, отправку по маршруту и удаление файлов. С помощью FCI можно, например, реализовать сценарий, позволяющий основываясь на классификации файлов, автоматического перемещения файлы из дорогих хранилищ в более дешевые и медленные, или  например, автоматически делать файлы недоступными по истечению определенного времени.

На скриншоте ниже показан пример файла, который классифицирован как относящийся к стране Египет и отделу «Finance» . Атрибуты классификации могут быть абсолютно любым: например, приоритет, конфиденциальность, местоположение, организация и т.д.

description: image

Как классифицировать файл  или каталог вручную


Файлы и каталоги можно классифицировать вручную, открыв окно свойств объекта и выбрав вкладку «Classification». В нашем примере из выпадающего списка предопределенных значений  можно выбрать другие значения для атрибутов country и Department.

description: image

Автоматическая классификация


Для настройки автоматической классификации объектов в Windows Server 2012 необходимо с помочью консоли Server Manager установить роль File Server (файлового сервера).

Установив компонент File Server Resource Manager (FSRM), откройте соответствующую MMC консоль и среди знакомых групп Quota, File Screening, File Management вы увидите новый подраздел  Classification Management (управление классификацией), состоящий в свою очередь из двух подразделов:

  • Classification Properties – служит для создания атрибутов классификации (в нашем примере это атрибуты country и Department, имеющих статус глобальных, т.к. они опубликованы в AD)
  • Classification Rules – правила автоматической классификации

description: image82

Чтобы настроить автоматическую классификацию документов, нужно создать правило классификации.

Одним из способов организации автоматической классификации файлов на основании местоположения – свойство классификации – FolderUsage. Это предопределённое свойство, хранящееся в разделе Classification Properties. По-умолчанию, в нем определены 4 типа данных:

  • Данные приложений — Application data
  • Резервные копии — Backup Data
  • Групповые данные — Group Data
  • Файлы пользователей — User Files

Здесь же можно создать собственные типы данных.

description: image

Создадим здесь собственные типы папок для финансового (Financial) и инженерного отдела (Engineering).Затем необходимо определить какие файлы к какому отделу (типу данных) отнести. Для этого щелкните по пустому месту консоли FSRM в разделе ClassificationProperties и выберите пункт SetFolderManagementProperties

Выберите свойство FolderUsage и укажите папки, которые будут использоваться каждым департаментом, или содержащие определенный тип данных.  Однако следует понимать, что в данном случае настраивается не классификация файлов (мы будем настраивать ее позже), мы определим принадлежность папок, которую задействуем в классифицирующем правиле

description: image

Мы настроили так:

description: image

Создадим правило классификации данных

Пришло время в разделе ClassificationRules создать новое правило (контекстное меню Create Classification Rule):

description: image

Укажите имя правило (мы создаем правило классификации файлов как принадлежащих финансовому департаменту).

На вкладке Scope указываем каталоги, которые необходимо учитывать при проведении классификации, выберем созданное ранее правило FinancialData (автоматически добавляет все выбранные ранее папки), можно также добавить каталоги вручную (в примере это E:\share1).

description: image

На вкладке Classification можно выбрать один из двух методов классификации:

  • Folder Classification – классификация на основании каталогов (атрибуты применяются ко всем файлам каталога)
  • Content classification – классификация по содержимому файлов. В этом случается по всем файлам в каталоге осуществляется поиск по ключевым словам, паттернам или регулярным выражениям (номера проектов, кредитных карт, идентификаторы отделов и т.д.).

На скриншоте указано правило классификации  на основании каталогов, правило классификации по содержимому будет рассмотрено ниже.

description: image

На вкладке Evaluation Type указывается порядок применения и повторного применения правил классификации к файлам. В примере  ниже мы указали, что система может перезаписывать текущую классификацию, тем самым мы гарантируем, что пользовательская классификация будет переопределена корпоративным правилом.

description: image

В следующем правили классификации мы создадим правило классификации на основе содержимого файла:

description: image

В данном правиле осуществляется классификация данных по стране, поэтому мы добавим в него каталоги и инженерного и финансового департамента.

description: image

В данном правиле классификации на основе содержимого файла, мы попробуем классифицировать данные, относящиеся к стране Egypt.

description: image

В разделе Parameters выберите Configure. В появившемся окне можно реализовать поиск на основании регулярных выражений, строки или регистрозависимой строки.

С помощью регулярных выражений можно осуществлять поиск в текстовых документах (в том числе файла tiff) по различным критериям, например:

  • Наличие корней в слове, не обращая внимания на падежи и суффиксы
  • Наличие слов или словосочетаний в произвольном порядке
  • Наличие данных в определенном формате, например номеров кредиток, телефонов, данных паспортов или адресов электронной почты
  • Условия встречи определенного количества встречи искомых данных в файле (например, не менее 3 номеров кредитных карт, или телефонов)

description: image

В нашем примере, мы осуществим поиск документов по ключевому слову  Egypt, и в случае его обнаружения файл должен классифицироваться этим правилом (можно указать минимально и максимально необходимое количество вхождений ключевого слова в документ).

description: image

Итак, мы создали два правила классификации:

description: image

Попробуем теперь запустить автоматическую классификацию файлов. Пусть у нас имеется 2 файла, один из которых содержит слово Egypt, а второй – нет. Эти файлы помещены в Каталоги “Financial Files” и “R&D files”, как вы видите на данный момент они никак не классифицированы.

description: image

description: image

Запустим наши классифицирующие правила (Run Classification With All Rules):

description: image

С результатом работы правил можно познакомится в отчетах в отчетах.

description: image

Как вы видите, все отработало правильно, файлам с ключевым словом присвоена правильная страна, а всему содержимому каталога финансового отдела атрибут Finance.

На данном этапе никаких операций с классифицируемыми файлами выполнено не было, они были просто отмечены нужными нам атрибутами. В дальнейшем на основании классификации файлов с ними можно выполнить различные операции, в частности зашифровать файлы с помощью AD RMS (пример использования описан в статье Шифрование файлов с помощью AD RMS на базе инфраструктуры классификация файлов  Windows Server 2012), или управлять доступом к ним посредством Windows Server 2012 Dynamic Access Control. Эти аспекты мы рассмотрим в следующих статьях серии.

Еще записи по теме: Windows Server 2012
Понравилась статья? Скажи спасибо и расскажи друзьям!
Назад:
Вперед:

Комментариев: 2

Оставить комментарий
  1. Александр | 07.11.2014

    Можно ли с помощью File Classification Infrastructure вести контроль по изменению файлового ресурса (уменьшение / увеличение) и генерировать соответствующие отчеты по критериям, например по отдельным папкам, по пользователям, по типам файлов и т.п.?
     

    Ответить
    • itpro | 07.11.2014

      Вам скорее нужен функционал File System Resource Manager — (FSRM).
      Настройте мягкие квоты и стройте на их основе нужные отчеты.

      Ответить
Полные правила комментирования на сайте winitpro.ru. Вопросы, не связанные с содержимым статьи или ее обсуждением удаляются.

Сказать Спасибо! можно на этой странице или (еще лучше) поделиться с друзями ссылкой на понравившуюся статью в любимой социальной сети(специально для этого на сайте присуствуют кнопки популярных соц. сетей).

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Я не робот( Обязательно отметьте)



MAXCACHE: 0.25MB/0.03397 sec