Erstellen eines digitalen Dokumentfingerabdrucks
Gilt für: Exchange Server 2013
Information-Worker in Ihrer Organisation verarbeiten im Lauf eines Arbeitstags viele Arten von vertraulichen Informationen. Dokumentfingerabdrücke erleichtern Ihnen den Schutz dieser Informationen, indem Standardformulare identifiziert werden, die in Ihrer gesamten Organisation verwendet werden. Dieses Thema beschreibt die Konzepte für Dokumentfingerabdrücke. Informationen zum Erstellen eines Dokumentfingerabdrucks finden Sie unter Schutz von Formulardaten durch Dokumentfingerabdrücke.
Grundlegendes Szenario für Dokumentfingerabdrücke
Dokumentfingerabdrücke sind ein Feature zur Verhinderung von Datenverlust (Data Loss Prevention, DLP), das ein Standardformular in einen vertraulichen Informationstyp konvertiert, mit dem Sie Transportregeln und DLP-Richtlinien definieren können. Sie können z. B. einen Dokumentfingerabdruck basierend auf einer leeren Patentvorlage erstellen und dann eine DLP-Richtlinie erstellen, die alle ausgehenden Patentvorlagen mit ausgefüllten vertraulichen Inhalten erkennt und blockiert. Optional können Sie Richtlinientipps einrichten, um Absender zu benachrichtigen, dass sie möglicherweise vertrauliche Informationen senden, und der Absender sollte überprüfen, ob die Empfänger für den Empfang der Patente qualifiziert sind. Dieser Prozess funktioniert mit allen textbasierten Formularen, die in Ihrer Organisation verwendet werden. Weitere Beispiele für Formulare, die Sie hochladen können, sind:
Regierungsformulare
HIPAA (Health Insurance Portability and Accountability Act)-kompatible Formulare
Formulare mit Mitarbeiterinformationen für die Personalabteilung
Speziell für Ihre Organisation erstellte benutzerdefinierte Formulare
Ideal wäre es, wenn es in Ihrer Organisation bereits eine etablierte Routine beim Umgang mit der Versendung vertraulicher Informationen gäbe. Wenn Sie ein leeres Formular hochgeladen haben, das in einen Dokumentfingerabdruck umgewandelt werden soll, und eine entsprechende Richtlinie einrichten, erkennt der DLP Agent alle Dokumente in ausgehenden Mails, die zu diesem Fingerabdruck passen.
Funktionsweise von Dokumentfingerabdrücken
Wahrscheinlich haben Sie schon erraten, dass sich auf den Dokumenten keine echten Fingerabdrücke befinden - aber der Name erklärt sehr gut die Funktion. Genauso, wie der Fingerabdruck eines Menschen einzigartige Muster hat, haben Dokumente eine einzigartige Wortstruktur. Wenn Sie eine Datei hochladen, identifiziert der DLP Agent die einzigartige Wortstruktur des Dokuments, erstellt aus dieser Struktur einen Dokumentfingerabdruck und verwendet diesen Fingerabdruck zur Erkennung ausgehender Dokumente mit derselben Struktur. Aus diesem Grund werden die effektivsten Dokumentfingerabdrücke durch Hochladen von Formularen oder Vorlagen erstellt. Jede Person, die ein Formular ausfüllt, verwendet denselben Originalsatz von Wörtern und fügt dann ihre eigenen Wörter in das Dokument ein. Solange das ausgehende Dokument nicht durch ein Kennwort geschützt ist und sämtlichen Text aus dem Originalformular enthält, kann der DLP Agent bestimmen, ob das Dokument zum Dokumentfingerabdruck passt.
Im folgenden Beispiel wird gezeigt, was passiert, wenn Sie einen Dokumentfingerabdruck auf Grundlage einer Patentvorlage erstellen. Sie können aber auch jedes andere Formular dafür verwenden.
Die Patentvorlage enthält die leeren Felder "Patenttitel", "Erfinder" und "Beschreibung" sowie Beschreibungen für jedes dieser Felder, d. h. das Wortmuster. Wenn Sie die ursprüngliche Patentvorlage hochladen, befindet sie sich in einem der unterstützten Dateitypen und im Nur-Text-Format. Der DLP-Agent verwendet einen Algorithmus, um dieses Wortmuster in einen Dokumentfingerabdruck zu konvertieren. Dabei handelt es sich um eine kleine Unicode-XML-Datei mit einem eindeutigen Hashwert, der den ursprünglichen Text darstellt, und der Fingerabdruck wird als Datenklassifizierung in Active Directory gespeichert. (Aus Sicherheitsgründen wird das ursprüngliche Dokument selbst nicht im Dienst gespeichert. Es wird nur der Hashwert gespeichert, und das ursprüngliche Dokument kann nicht aus dem Hashwert rekonstruiert werden.) Der Patentfingerabdruck wird dann zu einem vertraulichen Informationstyp, den Sie einer DLP-Richtlinie zuordnen können. Nachdem Sie den Fingerabdruck einer DLP-Richtlinie zugeordnet haben, erkennt der DLP-Agent alle ausgehenden E-Mails, die Dokumente enthalten, die dem Patentfingerabdruck entsprechen, und behandelt sie gemäß der Richtlinie Ihrer Organisation. Sie können beispielsweise eine DLP-Richtlinie einrichten, die verhindert, dass reguläre Mitarbeiter ausgehende Nachrichten mit Patenten senden. Der DLP-Agent verwendet den Patentfingerabdruck, um Patente zu erkennen und diese E-Mails zu blockieren. Alternativ können Sie Ihrer Rechtsabteilung erlauben, Patente an andere Organisationen zu senden, da dies aufgrund der geschäftlichen Notwendigkeit erforderlich ist. Sie können bestimmten Abteilungen erlauben, vertrauliche Informationen zu senden, indem Sie Ausnahmen für diese Abteilungen in Ihrer DLP-Richtlinie erstellen, oder Sie können zulassen, dass sie einen Richtlinientipp mit einer geschäftlichen Begründung überschreiben. Ausführlichere Informationen zum Erstellen von DLP-Richtlinienregeln und -Ausnahmen finden Sie unter DLP-Prozeduren und weitere Informationen zum Einrichten von Richtlinientipps, die Benutzer außer Kraft setzen können, finden Sie unter Richtlinientipps in Exchange 2013.
Unterstützte Dateitypen
Die Dokumentenfingerabdruck-Funktion unterstützt dieselben Dateitypen, die auch in Transportregeln unterstützt werden. Eine Liste der unterstützten Dateitypen finden Sie unter Unterstützte Dateitypen für die Inhaltsüberprüfung von Transportregeln. Eine kurze Bemerkung zu Dateitypen: Der Dateityp .dotx wird weder in den Transportregeln noch beim Dokumentfingerabdruck unterstützt, da er mit einer Vorlagendatei in Word verwechselt werden kann. Der Begriff "Vorlage" in diesem und anderen Themen zum Dokumentfingerabdruck bezieht sich auf ein Dokument, das Sie als Standardformular eingerichtet haben, nicht auf den Dateityp "Vorlage".
Einschränkungen der Funktion "Dokumentfingerabdruck"
Der DLP Agent für Dokumentfingerabdrücke erkennt in den folgenden Fällen keine vertraulichen Informationen:
Kennwortgeschützte Dateien
Dateien, die nur Bilder enthalten
Dokumente, die nicht den gesamten Text aus dem Originalformular enthalten, aus dem der Dokumentfingerabdruck erstellt wurde
Weitere Informationen
Schutz von Formulardaten durch Dokumentfingerabdrücke
Integrieren von Regeln für vertrauliche Informationen in Transportregeln