Динамическое шифрование файлов с помощью AD RMS на базе File Classification Infrastructure в Windows Server 2012 | Windows для системных администраторов

Динамическое шифрование файлов с помощью AD RMS на базе File Classification Infrastructure в Windows Server 2012

В предыдущей статье серии (File Classification Infrastructure в Windows Server 2012) мы поговорили о механизме автоматической классификации файлов на основе их содержимого или местоположения. В данной статье мы постараемся реализовать более близкий  к реальному сценарий защиты файлов, классифицированных определенным образом службой File classification Infrastructure (FCI). Допустим, мы хотим реализовать требование обязательного шифрования всех файлов финансового отдела, хранящихся на файловом сервере (как вариант всех конфиденциальных документов). Реализовать эту задачу можно с помощью служб FCI и AD RMS.

Как эта связка будет работать? Если вкратце, с помощью механизма FCI мы находим все файлы, которые необходимо защитить и присваиваем им определенные метку (метки), затем для файлов с данными метками создаем специальное задание  RMS Encryption, в котором можно прикрепить существующий шаблон политики RMS или задать политику RMS вручную. Стоит отметить, что при переносе данных между серверами (естественно это должны быть Windows Server 2008 R2/ Server 2012) метки сохраняются.

Данный механизм можно было реализовать и Windows Server 2008 R2, но у новой платформы есть преимущества:

  • Весь функционал доступен в серверной роли FSRM, более не нужно устанавливать AD RMS Bulk protection tool и писать собственные скрипты.
  • Файлы можно защищать “на лету”, т.е. при появлении нового файла не сервере, он автоматически классифицируется, ему присваиваются метки и он тут же защищается.

Чтобы разрешить файловому серверу запрашивать сертификаты и шифровать документы, необходимо не сервере  RMS задать следующие разрешения для файла ServerCertification.asmx .

  • Read+Execute для учетной записи файлового сервера
  • Read+Execute для группы AD RMS Service Group

Затем нужно в консоли FSRM в разделе File Management Tools новое задание.

На вкладке General указывается имя правило (лучше, чтобы оно было значащим):

description: image

На вкладе Scope указывается область действия правила (мы указали заранее созданный набор Financial Data  и отдельную папку E:\share1):

description: image

На вкладке Action доступны три опции:

  • Custom – можно указать собственную команду, которую необходимо выполнить ко всем файлам. Это может быть в том числе скрипт на vbs, powershell  и т.д.
  • Expire – с помощью данной опции можно задать срок действия (срок жизни) файла, по истечении которого он перемещается в специальный каталог (политика срока действия файлов).
  • RMS Encryption – можно указать существующий шаблон политики, либо создать собственное правило

Нас интересует опция шифрования файлов RMS encryption, выбрав которого нам будет предложено указать, хотим ли мы использовать готовый шаблон RMS, или же создать собственный набор разрешений. Мы выберем последнее, предоставив всем доступ на чтение, а пользователям “Finance User” полный доступ:

description: image

На вкладке Notification можно задать список адресов владельцев папки, руководителя подразделения или администратора, которому будут рассылаться уведомления:

На вкладке Conditions выбирается правило, определяющее документы, которые необходимо шифровать. Нас интересуют все файлы, помеченные тегом Department со значением Finance. Также тут указываются временные условия применения задания (время с момента создания/модификации/последнего доступа) и маску имен файлов:

description: image

На вкладке Schedule задается расписание применения правила, можно указать, что задание выполняется постоянно (continuously):

description: image

После сохранения правила его можно запустить и познакомится с отчетом его применения:

description: image

Как и ожидалось, файлы, которые удовлетворяют действиям параметров, зашифрованы, и доступ с ним теперь ограничен.

Итак, мы познакомились со способом защиты всех файлов внутри указанных каталогов с определенным содержимым при помощи функций ОС Windows Server 2012 (классификации файлов FCI) и AD RMS. Все эти технологии являются компонентами новой архитектура управления доступа к общим шарам и папкам в Windows Server 2012 — Dynamic Access Control.

Еще записи по теме: Windows Server 2012
Понравилась статья? Скажи спасибо и расскажи друзьям!
Назад:
Вперед:
Полные правила комментирования на сайте winitpro.ru. Вопросы, не связанные с содержимым статьи или ее обсуждением удаляются.

Сказать Спасибо! можно на этой странице или (еще лучше) поделиться с друзями ссылкой на понравившуюся статью в любимой социальной сети(специально для этого на сайте присуствуют кнопки популярных соц. сетей).

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Я не робот( Обязательно отметьте)



MAXCACHE: 0.24MB/0.00168 sec