Implementera kryptering av Office-filer (Steg för demonstration)

Contosos ekonomiavdelning har ett antal filservrar som lagrar deras dokument. Dessa dokument kan vara allmän dokumentation eller ha hög affärspåverkan (HBI). Till exempel anses alla dokument som innehåller konfidentiell information av Contoso ha stor inverkan på verksamheten. Contoso vill se till att all dokumentation har en minsta mängd skydd och att deras HBI-dokumentation är begränsad till rätt personer. För att åstadkomma detta utforskar Contoso med hjälp av filklassificeringsinfrastrukturen (FCI) och AD RMS som är tillgänglig i Windows Server 2012 . Med hjälp av FCI klassificerar Contoso alla dokument på filservern baserat på innehållet och använder sedan AD RMS för att tillämpa rätt rättighetsprincip.

I det här scenariot utför du följande steg:

Steg 1: Aktivera resursegenskaper

Så här aktiverar du resursegenskaper

1. I Hyper-V Manager ansluter du till server ID_AD_DC1. Logga in på servern med hjälp av Contoso\Administrator med lösenordet pass@word1.

2. Öppna Active Directory Administrationscenter och klicka på Trädvy.

3. Expandera DYNAMISK ÅTKOMSTKONTROLL och välj Resursegenskaper.

4. Rulla ned till egenskapen Effekt i kolumnen Visningsnamn . Högerklicka på Effekt och klicka sedan på Aktivera.

5. Rulla ned till egenskapen Personligt identifierbar information i kolumnen Visningsnamn . Högerklicka på Personligt identifierbar information och klicka sedan på Aktivera.

6. Om du vill publicera resursegenskaperna i den globala resurslistan klickar du på Resursegenskapslistor i den vänstra rutan och dubbelklickar sedan på Global resursegenskapslista.

7. Klicka på Lägg till och rulla sedan ned till och klicka på Effekt för att lägga till det i listan. Gör samma sak för personligt identifierbar information. Slutför genom att klicka på OK två gånger.

Windows PowerShell motsvarande kommandon

Följande Windows PowerShell-cmdlet eller cmdletar utför samma funktion som föregående procedur. Ange varje cmdlet på en enda rad, även om de kan råka delas upp på flera rader här på grund av formateringsbegränsningar.

Set-ADResourceProperty -Enabled:$true -Identity:"CN=Impact_MS,CN=Resource Properties,CN=Claims Configuration,CN=Services,CN=Configuration,DC=contoso,DC=com"
Set-ADResourceProperty -Enabled:$true -Identity:"CN=PII_MS,CN=Resource Properties,CN=Claims Configuration,CN=Services,CN=Configuration,DC=contoso,DC=com"

Steg 2: Skapa klassificeringsregler

Det här steget förklarar hur du skapar klassificeringsregeln för hög påverkan . Den här regeln söker igenom dokumentens innehåll, och om strängen "Contoso Confidential" hittas, kommer dokumentet att klassificeras som med stor affärspåverkan. Den här klassificeringen åsidosätter alla tidigare tilldelade klassificeringar av låg affärspåverkan.

Du kommer också att skapa en hög PII-regel . Den här regeln söker igenom innehållet i dokument, och om ett personnummer hittas klassificeras dokumentet som hög PII.

Att skapa den högst effektiva klassificeringsregeln

1. I Hyper-V Manager ansluter du till server ID_AD_FILE1. Logga in på servern med hjälp av Contoso\Administrator med lösenordet pass@word1.

2. Du måste uppdatera globala resursegenskaper från Active Directory. Öppna Windows PowerShell och skriv: Update-FSRMClassificationPropertyDefinitionoch tryck sedan på RETUR. Stäng Windows PowerShell.

3. Öppna Hanteraren för filserverresurser. Om du vill öppna Hanteraren för filserverresurser klickar du på Start, skriver resurshanteraren för filservern och klickar sedan på Hanteraren för filserverresurser.

4. I den vänstra rutan i Hanteraren för filserverresurser expanderar du Klassificeringshantering och väljer sedan Klassificeringsregler.

5. I fönstret Åtgärder klickar du på Konfigurera klassificeringsschema. På fliken Automatisk klassificering väljer du Aktivera fast schema, väljer en veckodag och markerar sedan kryssrutan Tillåt kontinuerlig klassificering för nya filer . Klicka på OK.

6. I fönstret Åtgärder klickar du på Skapa klassificeringsregel. Då öppnas dialogrutan Skapa klassificeringsregel .

7. I rutan Regelnamn skriver du Hög affärspåverkan.

8. I rutan Beskrivning skriver du Avgör om dokumentet har stor affärspåverkan baserat på förekomsten av strängen "Contoso Confidential"

9. På fliken Omfång klickar du på Ange egenskaper för mapphantering, väljer Mappanvändning, klickar på Lägg till och sedan på Bläddra, bläddrar till D:\Ekonomidokument som sökväg, klickar på OK och väljer sedan ett egenskapsvärde med namnet Gruppfiler och klickar på Stäng. När du har angett hanteringsegenskaper väljer du Gruppera filer på fliken Regelomfång.

10. Klicka på fliken Klassificering . Under Välj en metod för att tilldela egenskapen till filer väljer du Innehållsklassificerare i listrutan.

11. Under Välj en egenskap som ska tilldelas till filer väljer du Effekt i listrutan.

12. Under Ange ett värde väljer du Hög i listrutan.

13. Klicka på Konfigurera under Parametrar. I dialogrutan Klassificeringsparametrar går du till listan Uttryckstyp och väljer Sträng. I rutan Uttryck skriver du: Contoso Confidential och klickar sedan på OK.

14. Klicka på fliken Utvärderingstyp . Klicka på Utvärdera befintliga egenskapsvärden igen, klicka på Skriv överdet befintliga värdet och klicka sedan på OK för att slutföra.

Windows PowerShell motsvarande kommandon

Följande Windows PowerShell-cmdlet eller cmdletar utför samma funktion som föregående procedur. Ange varje cmdlet på en enda rad, även om de kan råka delas upp på flera rader här på grund av formateringsbegränsningar.

Update-FSRMClassificationPropertyDefinition
$date = Get-Date
$AutomaticClassificationScheduledTask = New-FsrmScheduledTask -Time $date -Weekly @(3, 2, 4, 5,1,6,0) -RunDuration 0;
Set-FsrmClassification -Continuous -schedule $AutomaticClassificationScheduledTask
New-FSRMClassificationRule -Name "High Business Impact" -Property "Impact_MS" -Description "Determines if the document has a high business impact based on the presence of the string 'Contoso Confidential'" -PropertyValue "3000" -Namespace @("D:\Finance Documents") -ClassificationMechanism "Content Classifier" -Parameters @("StringEx=Min=1;Expr=Contoso Confidential") -ReevaluateProperty Overwrite

Så här skapar du klassificeringsregeln för hög PII

1. I Hyper-V Manager ansluter du till server ID_AD_FILE1. Logga in på servern med hjälp av Contoso\Administrator med lösenordet pass@word1.

2. Öppna mappen Reguljära uttryck på skrivbordet och öppna sedan textdokumentet RegEx-SSN. Markera och kopiera följande reguljära uttryckssträng: ^(?!000)([0-7]\d{2}|7([0-7]\d|7[012]))([ -]?)(?!00)\d\d\3(?!0000)\d{4}$. Behåll den här strängen på urklipp eftersom den kommer att användas senare i det här steget.

3. Öppna Hanteraren för filserverresurser. Om du vill öppna Hanteraren för filserverresurser klickar du på Start, skriver resurshanteraren för filservern och klickar sedan på Hanteraren för filserverresurser.

4. I den vänstra rutan i Hanteraren för filserverresurser expanderar du Klassificeringshantering och väljer sedan Klassificeringsregler.

5. I fönstret Åtgärder klickar du på Konfigurera klassificeringsschema. På fliken Automatisk klassificering väljer du Aktivera fast schema, väljer en veckodag och markerar sedan kryssrutan Tillåt kontinuerlig klassificering för nya filer . Klicka på OK.

6. I rutan Regelnamn skriver du Hög PII. I rutan Beskrivning skriver du Avgör om dokumentet har en hög PII baserat på förekomsten av ett personnummer.

7. Klicka på fliken Omfång , markera kryssrutan Gruppfiler .

8. Klicka på fliken Klassificering . Under Välj en metod för att tilldela egenskapen till filer väljer du Innehållsklassificerare i listrutan.

9. Under Välj en egenskap som ska tilldelas filer väljer du Personligt identifierbar information i listrutan.

10. Under Ange ett värde väljer du Hög i listrutan.

11. Klicka på Konfigurera under Parametrar. I fönstret Klassificeringsparametrargår du till listan Uttryckstyp och väljer Reguljärt uttryck. I rutan Uttryck klistrar du in texten från Urklipp: ^(?! 000)([0-7]\d{2}|7([0-7]\d|7[012])))([ -]?)(?! 00)\d\d\3(?! 0000)\d{4}$, och klicka sedan på OK.

    Note

    Det här uttrycket kommer att tillåta ogiltiga Social Security-nummer. Detta gör att vi kan använda fiktiva personnummer i demonstrationen.

12. Klicka på fliken Utvärderingstyp . Välj Utvärdera befintliga egenskapsvärden igen, Skriv överdet befintliga värdet och klicka sedan på OK för att slutföra.

Windows PowerShell motsvarande kommandon

Följande Windows PowerShell-cmdlet eller cmdletar utför samma funktion som föregående procedur. Ange varje cmdlet på en enda rad, även om de kan råka delas upp på flera rader här på grund av formateringsbegränsningar.

New-FSRMClassificationRule -Name "High PII" -Description "Determines if the document has a high PII based on the presence of a Social Security Number." -Property "PII_MS" -PropertyValue "5000" -Namespace @("D:\Finance Documents") -ClassificationMechanism "Content Classifier" -Parameters @("RegularExpressionEx=Min=1;Expr=^(?!000)([0-7]\d{2}|7([0-7]\d|7[012]))([ -]?)(?!00)\d\d\3(?!0000)\d{4}$") -ReevaluateProperty Overwrite

Du bör nu ha två klassificeringsregler:

• Hög affärspåverkan

• Hög PII

Steg 3: Använd filhanteringsuppgifter för att automatiskt skydda dokument med AD RMS

Nu när du har skapat regler för att automatiskt klassificera dokument baserat på innehåll är nästa steg att skapa en filhanteringsuppgift som använder AD RMS för att automatiskt skydda vissa dokument baserat på deras klassificering. I det här steget skapar du en filhanteringsuppgift som automatiskt skyddar alla dokument med hög PII. Endast medlemmar i gruppen FinanceAdmin har åtkomst till dokument som innehåller hög PII.

Skydda dokument med AD RMS

1. I Hyper-V Manager ansluter du till server ID_AD_FILE1. Logga in på servern med hjälp av Contoso\Administrator med lösenordet pass@word1.

2. Öppna Hanteraren för filserverresurser. Om du vill öppna Hanteraren för filserverresurser klickar du på Start, skriver resurshanteraren för filservern och klickar sedan på Hanteraren för filserverresurser.

3. I den vänstra rutan väljer du Filhanteringsuppgifter. I fönstret Åtgärder väljer du Skapa filhanteringsaktivitet.

4. I fältet Aktivitetsnamn: skriver du Hög PII. I fältet Beskrivning skriver du Automatiskt RMS-skydd för höga PII-dokument.

5. Klicka på fliken Omfång , markera kryssrutan Gruppfiler .

6. Klicka på fliken Åtgärd . Under Typ väljer du RMS-kryptering. Klicka på Bläddra för att välja en mall och välj sedan mallen Endast Contoso Finance Admin .

7. Klicka på fliken Villkor och klicka sedan på Lägg till. Under Egenskap väljer du Personligt identifierbar information. Under Operator väljer du Lika med. Under Värde väljer du Hög. Klicka på OK.

8. Klicka på fliken Schema. I avsnittet Schema klickar du på Varje vecka och väljer sedan Söndag. Att köra uppgiften en gång i veckan säkerställer att inga dokument missas på grund av ett tjänstavbrott eller annan störande händelse.

9. I avsnittet Kontinuerlig åtgärd väljer du Kör uppgift kontinuerligt på nya filer och klickar sedan på OK. Nu bör du ha en filhanteringsuppgift med namnet hög PII.

Windows PowerShell motsvarande kommandon

Följande Windows PowerShell-cmdlet eller cmdletar utför samma funktion som föregående procedur. Ange varje cmdlet på en enda rad, även om de kan råka delas upp på flera rader här på grund av formateringsbegränsningar.

$fmjRmsEncryption = New-FSRMFmjAction -Type 'Rms' -RmsTemplate 'Contoso Finance Admin Only'
$fmjCondition1 = New-FSRMFmjCondition -Property 'PII_MS' -Condition 'Equal' -Value '5000'
$date = get-date
$schedule = New-FsrmScheduledTask -Time $date -Weekly @('Sunday')
$fmj1=New-FSRMFileManagementJob -Name "High PII" -Description "Automatic RMS protection for high PII documents" -Namespace @('D:\Finance Documents') -Action $fmjRmsEncryption -Schedule $schedule -Continuous -Condition @($fmjCondition1)

Steg 4: Visa resultatet

Det är dags att ta en titt på dina nya automatiska klassificerings- och AD RMS-skyddsregler i praktiken. I det här steget ska du undersöka klassificeringen av dokument och se hur de ändras när du ändrar innehållet i dokumentet.

Så här visar du resultatet

1. I Hyper-V Manager ansluter du till server ID_AD_FILE1. Logga in på servern med hjälp av Contoso\Administrator med lösenordet pass@word1.

2. I Utforskaren navigerar du till D:\Finance-dokument.

3. Högerklicka på dokumentet Ekonominota och klicka på Egenskaper. Klicka på fliken Klassificering och observera att egenskapen Impact för närvarande inte har något värde. Klicka på Avbryt.

4. Högerklicka på dokumentet Request for Approval to Hire (Begäran om godkännande för att hyra) och välj sedan Egenskaper.

5. Klicka på fliken Klassificering och observera att egenskapen Personligt identifierbar information för närvarande inte har något värde. Klicka på Avbryt.

6. Växla till CLIENT1. Logga ut alla användare som är inloggade och logga sedan in som Contoso\MReid med lösenordet pass@word1.

7. Öppna den delade mappen Ekonomidokument från skrivbordet.

8. Öppna dokumentet Ekonominota . Längst ned i dokumentet visas ordet Konfidentiellt. Ändra den till att läsa: Contoso Confidential. Spara dokumentet och stäng det.

9. Öppna dokumentet Request for Approval to Hire (Begäran om godkännande för att hyra). I avsnittet Social Security#: skriver du: 777-77-7777. Spara dokumentet och stäng det.

   Note

   Du kan behöva vänta i 30 sekunder för att klassificeringen ska ske.

10. Växla tillbaka till ID_AD_FILE1. I Utforskaren navigerar du till D:\Finance-dokument.

11. Högerklicka på dokumentet Ekonominota och klicka på Egenskaper. Klicka på fliken Klassificering . Observera att egenskapen Impact nu är inställd på Hög. Klicka på Avbryt.

12. Högerklicka på dokumentet Begäran om godkännande för att hyra och klicka på Egenskaper.

13. . Klicka på fliken Klassificering . Observera att egenskapen Personligt identifierbar information nu är inställd på Hög. Klicka på Avbryt.

Steg 5: Verifiera skyddet med AD RMS

Kontrollera att dokumentet är skyddat

1. Växla tillbaka till ID_AD_CLIENT1.

2. Öppna dokumentet Request for approval to Hire (Begäran om godkännande).

3. Klicka på OK för att tillåta att dokumentet ansluter till AD RMS-servern.

4. Nu kan du se att dokumentet har skyddats av AD RMS eftersom det innehåller ett personnummer.