Enkripsi file secara dinamis menggunakan AD RMS berdasarkan Infrastruktur Klasifikasi File di Windows Server 2012

Dalam artikel sebelumnya dalam seri (Infrastruktur Klasifikasi File di Windows Server 2012), kami berbicara tentang mekanisme untuk mengklasifikasikan file secara otomatis berdasarkan konten atau lokasinya. Pada artikel ini, kami akan mencoba menerapkan skenario yang lebih realistis untuk perlindungan file yang diklasifikasikan dalam cara tertentu oleh layanan File klasifikasi Infrastruktur (FCI). Katakanlah kita ingin menerapkan enkripsi wajib semua file departemen keuangan, disimpan di server file (sebagai opsi untuk semua dokumen rahasia). Anda dapat menggunakan layanan ini untuk menyelesaikan tugas ini. FCI dan AD RMS.

Bagaimana cara kerja kelompok ini? Jika, singkatnya, menggunakan mekanisme FCI, kami menemukan semua file yang perlu dilindungi dan memberi mereka label tertentu, maka untuk file dengan tag ini kami membuat tugas Enkripsi RMS khusus di mana Anda dapat melampirkan templat kebijakan RMS yang ada atau menetapkan kebijakan RMS secara manual. Perlu dicatat bahwa ketika mentransfer data antara server (tentu saja itu harus Windows Server 2008 R2 / Server 2012), label disimpan.

Mekanisme ini juga dapat diterapkan di Windows Server 2008 R2, tetapi platform baru ini memiliki kelebihan:

  • Semua fungsionalitas tersedia dalam peran server FSRM, Anda tidak perlu lagi menginstal alat perlindungan Massal AD RMS dan menulis skrip Anda sendiri.
  • File dapat dilindungi dengan cepat, mis. ketika file baru muncul tidak di server, itu secara otomatis diklasifikasikan, label ditugaskan untuk itu dan segera dilindungi.

Untuk memungkinkan server file meminta sertifikat dan mengenkripsi dokumen, Anda harus mengatur izin berikut untuk file yang tidak ada di server RMS ServerCertification.asmx .

  • Baca + Jalankan untuk akun server file
  • Baca + Jalankan untuk Grup Layanan AD RMS

Kemudian, di konsol FSRM, di bagian Alat Manajemen File, Anda memerlukan tugas baru.

Tab Jenderal nama aturan ditunjukkan (lebih baik berarti):

Tentang kontribusi Lingkup ruang lingkup aturan ditunjukkan (kami menetapkan set Data Keuangan yang dibuat sebelumnya dan folder terpisah E: \ share1):

Tab Aksi Tiga opsi tersedia:

  • Kustom - Anda dapat menentukan perintah Anda sendiri, yang harus dijalankan pada semua file. Itu bisa termasuk skrip pada vbs, PowerShell, dll..
  • Kedaluwarsa - dengan opsi ini Anda dapat mengatur kedaluwarsa (seumur hidup) file, setelah itu dipindahkan ke direktori khusus (kebijakan kedaluwarsa file).
  • Enkripsi RMS - Anda dapat menentukan templat kebijakan yang ada, atau membuat aturan Anda sendiri

Kami tertarik pada opsi enkripsi file Enkripsi RMS, memilih yang akan diminta untuk menunjukkan apakah kami ingin menggunakan template RMS yang sudah jadi, atau membuat set izin kami sendiri. Kami akan memilih yang terakhir, memberikan semua orang akses baca, dan pengguna “Pengguna Keuangan” dengan akses penuh:

Tab Notifikasi Anda dapat menentukan daftar alamat pemilik folder, kepala departemen atau administrator yang kepadanya pemberitahuan akan dikirim:

Tab Ketentuan aturan dipilih yang mendefinisikan dokumen yang perlu dienkripsi. Kami tertarik pada semua file yang ditandai dengan Departemen dengan nilai Keuangan. Ini juga menunjukkan kondisi waktu untuk aplikasi (waktu sejak pembuatan / modifikasi / akses terakhir) dan mask nama file:

Tab Jadwalkan jadwal untuk menerapkan aturan diatur, Anda dapat menentukan bahwa tugas berjalan terus menerus (terus menerus):

Setelah menyimpan aturan, Anda dapat menjalankannya dan berkenalan dengan laporan penerapannya:

Seperti yang diharapkan, file yang memenuhi parameter dienkripsi, dan akses dengannya sekarang dibatasi.

Jadi, kami berkenalan dengan cara melindungi semua file di dalam direktori yang ditentukan dengan konten spesifik menggunakan fungsi Windows Server 2012 (klasifikasi file FCI) dan AD RMS. Semua teknologi ini adalah komponen kontrol akses publik baru Windows Server 2012 untuk folder dan folder - Kontrol Akses Dinamis.