U prethodnom članku u nizu (Infrastruktura klasifikacije datoteka u sustavu Windows Server 2012) govorili smo o mehanizmu za automatsko razvrstavanje datoteka na temelju njihovog sadržaja ili mjesta. U ovom ćemo članku pokušati implementirati realniji scenarij zaštite datoteka klasificiranih na određeni način pomoću usluge Fizička infrastruktura (FCI). Recimo da želimo implementirati obvezno šifriranje svih datoteka financijskih odjela, pohranjeni na datotečnom poslužitelju (kao opcija za sve povjerljive dokumente). Ovom uslugom možete koristiti ovu uslugu. FCI i AD RMS.
Kako će ovo funkcionirati? Ako, ukratko, pomoću FCI mehanizma pronađemo sve datoteke koje je potrebno zaštititi i dodijelimo im određenu naljepnicu, tada za datoteke s ovim oznakama stvaramo poseban zadatak šifriranja RMS-a u koji možete priložiti postojeći predložak RMS pravila ili ručno postaviti RMS politiku. Vrijedno je napomenuti da se prilikom prijenosa podataka između poslužitelja (prirodno bi trebao biti Windows Server 2008 R2 / Server 2012) naljepnice spremaju..
Taj bi se mehanizam mogao implementirati i u Windows Server 2008 R2, ali nova platforma ima prednosti:
- Sva je funkcija dostupna u ulozi FSRM poslužitelja, više ne trebate instalirati AD RMS alat za skupnu zaštitu i pisati vlastite skripte.
- Datoteke se mogu zaštititi u letu, tj. Kada se nova datoteka ne pojavi na poslužitelju, ona se automatski klasificira, naljepnice joj se dodjeljuju i odmah se štite.
Da biste dozvolili poslužitelju datoteka da zahtijeva potvrde i šifriranje dokumenata, morate postaviti sljedeća dopuštenja za datoteku koja nije na RMS poslužitelju ServerCertification.asmx .
- Pročitajte + izvrši za račun poslužitelja datoteka
- Pročitajte + izvrši za AD RMS Service Group
Zatim vam je u konzoli FSRM, u odjeljku Alati za upravljanje datotekama, potreban novi zadatak.
kartica opći naziv pravila je naveden (bolje da ima smisla):
Na doprinos djelokrug naveden je opseg pravila (specificirali smo prethodno stvoreni skup financijskih podataka i zasebnu mapu E: \ share1):
kartica akcija Dostupne su tri mogućnosti:
- Prilagođeno - možete odrediti vlastitu naredbu koja se mora izvoditi na svim datotekama. To može uključivati skriptu na vbs-u, powerhell-u itd..
- Istek - ovom opcijom možete postaviti istek (vijek) trajanja datoteke nakon čega se ona premješta u poseban direktorij (pravila o isteku datoteke).
- RMS šifriranje - možete odrediti postojeći predložak pravila ili stvoriti vlastito pravilo
Zanima nas opcija šifriranja datoteka RMS enkripcija, odabirom kojih ćemo od nas tražiti da želimo da koristimo gotov RMS predložak ili stvorimo vlastiti skup dozvola. Izabrati ćemo ovo drugo, dajući svima čitati pristup, a korisnici "Financijskog korisnika" s potpunim pristupom:
kartica obavijest Možete odrediti popis adresa vlasnika mape, šefa odjeljenja ili administratora kojem će se obavijesti slati:
kartica uvjeti odabire se pravilo koje definira dokumente koji se trebaju kriptirati. Zanimaju nas sve datoteke označene sa Department s vrijednošću Finance. Također navodi vremenske uvjete za aplikaciju (vrijeme od stvaranja / izmjene / posljednjeg pristupa) i masku naziva datoteke:
kartica raspored postavljen je raspored primjene pravila, možete odrediti da se zadatak izvodi kontinuirano (kontinuirano):
Nakon što spremite pravilo, možete ga pokrenuti i upoznati se s izvješćem o njegovoj primjeni:
Kao što se očekivalo, datoteke koje zadovoljavaju parametre šifriraju se, a pristup njima je sada ograničen.
Dakle, upoznali smo se sa načinom zaštite svih datoteka unutar određenih direktorija s određenim sadržajem koristeći funkcije sustava Windows Server 2012 (klasifikacija datoteka FCI) i AD RMS. Sve ove tehnologije sastavni su dio nove kontrole javnog pristupa za mape i mape Windows Server 2012 - dinamička kontrola pristupa.
