Schützen von Formulardaten mit Dokumentfingerabdrücken in Exchange 2013
Gilt für: Exchange Server 2013
Wenn Ihre Organisation Formulare verwendet, um vertrauliche Informationen zu sammeln, versuchen Benutzer möglicherweise, diese Formulare per E-Mail an externe Kontakte zu senden, was ein Sicherheitsrisiko darstellt. Die Verhinderung von Datenverlust (Data Loss Prevention, DLP) in Exchange hilft Ihnen, diese Informationen zu schützen, indem Sie sie mit Dokumentfingerabdrücken erkennen. Um den Dokumentfingerabdruck zu verwenden, laden Sie einfach ein leeres Formular hoch, z. B. ein Dokument für geistiges Eigentum, ein Formular für Behörden oder ein anderes Standardformular, das in Ihrer Organisation verwendet wird. Fügen Sie dann den resultierenden Dokumentfingerabdruck einer DLP-Richtlinie oder Transportregel hinzu. Die gehen so:
Erstellen eines Dokumentfingerabdrucks mithilfe der Exchange-Verwaltungskonsole
Navigieren Sie im Exchange Admin Center EAC zu Verhinderungvon Datenverlusten zur Complianceverwaltung>.
Klicken Sie auf Verwalten von Dokumentfingerabdrücken.
Klicken Sie auf der Seite "Dokumentfingerabdrücke" auf Neues , um einen neuen Dokumentfingerabdruck zu erstellen.
Geben Sie dem Dokumentfingerabdruck einen Namen, und fügen Sie eine Beschreibung hinzu. (Der von Ihnen gewählte Name erscheint dann in der Liste der Arten von vertraulichen Informationen.)
Klicken Sie zum Hochladen eines Formulars auf Symbol hinzufügen
Wählen Sie ein Formular, und klicken Sie auf Öffnen. (Stellen Sie sicher, dass die datei, die Sie hochladen, Text enthält, nicht kennwort geschützt ist und sich in einem der Dateitypen befindet, die in Transportregeln unterstützt werden. Eine Liste der unterstützten Dateitypen finden Sie unter Verwenden von Transportregeln zum Überprüfen von Nachrichtenanlagen. Andernfalls erhalten Sie eine Fehlermeldung, wenn Sie versuchen, den Fingerabdruck zu erstellen.) Wiederholen Sie den Vorgang für alle weiteren Dateien, die Sie der Dokumentliste für diesen Dokumentfingerabdruck hinzufügen möchten. Sie können auch später Dateien von diesem Dokumentfingerabdruck entfernen oder zu ihm hinzufügen.
Klicken Sie auf Speichern.
Der Dokumentfingerabdruck ist jetzt Teil Ihrer Typen vertraulicher Informationen, und Sie können ihn einer DLP-Richtlinie oder einer Transportregel über die Bedingung Die Nachricht enthält vertrauliche Informationen... hinzufügen.
Weitere Informationen zum Hinzufügen von Regeln zu einer DLP-Richtlinie finden Sie unter Verwalten von DLP-Richtlinien im Abschnitt "Ändern einer DLP-Richtlinie", und weitere Informationen über das Ändern von Transportregeln finden Sie unter Integrieren von Regeln für vertrauliche Informationen in Transportregeln. Informationen zum Erstellen einer neuen Richtlinie finden Sie unter Erstellen einer DLP-Richtlinie aus einer Vorlage.
Verwenden Sie die Shell zur Erstellung eines Klassifizierungsregelpakets auf Grundlage des Dokumentfingerabdrucks
Tipp
Auch wenn Sie in der Shell Regelpakete erstellen und ändern können, könnte Ihnen das Erstellen von Dokumentfingerabdrücken in der EAC etwas einfacher erscheinen. Wir empfehlen, dies zu versuchen, bevor Sie dieses Verfahren in der Shell ausführen.
DLP verwendet Klassifizierungsregelpakete zur Erkennung vertraulicher Inhalte in Nachrichten. Verwenden Sie zur Erstellung eines Klassifizierungsregelpakets auf Grundlage eines Dokumentfingerabdrucks die Cmdlets New-Fingerprint und New-DataClassification. Da die Ergebnisse von New-Fingerprint nicht außerhalb der Datenklassifizierungsregel gespeichert werden, führen Sie New-Fingerprint und New-DataClassification oder Set-DataClassification immer in derselben PowerShell-Sitzung aus. Im folgenden Beispiel wird ein neuer Dokumentfingerabdruck basierend auf der Datei "C:\Eigene Dateien\Contoso Employee Template.docx" erstellt. Sie speichern den neuen Fingerabdruck als Variable, damit Sie ihn mit dem Cmdlet New-DataClassification in derselben PowerShell-Sitzung verwenden können.
$Employee_Template = [System.IO.File]::ReadAllBytes('C:\My Documents\Contoso Employee Template.docx')
$Employee_Fingerprint = New-Fingerprint -FileData $Employee_Template -Description "Contoso Employee Template"
Lassen Sie uns nun eine neue Datenklassifizierungsregel namens "Contoso Employee Confidential" erstellen, die den Dokumentfingerabdruck auf der Datei "C:\Eigene Dateien\Contoso Customer Information Form.docx" verwendet.
$Customer_Form = [System.IO.File]::ReadAllBytes('C:\My Documents\Contoso Customer Information Form.docx')
$Customer_Fingerprint = New-Fingerprint -FileData $Customer_Form -Description "Contoso Customer Information Form"
New-DataClassification -Name "Contoso Customer Confidential" -Fingerprints $Customer_Fingerprint -Description "Message contains Contoso customer information."
Nun können Sie das Cmdlet Get-DataClassification verwenden, um nach allen DLP-Datenklassifizierungsregelpaketen zu suchen. In diesem Beispiel befindet sich "Contoso Customer Confidential" auf der Liste der Datenklassifizierungsregelpakete.
Fügen Sie abschließend das Datenklassifizierungsregelpaket "Contoso Customer Confidential" zu einer DLP-Richtlinie hinzu.
New-TransportRule -Name "Notify :External Recipient Contoso confidential" -NotifySender NotifyOnly -Mode Enforce -SentToScope NotInOrganization -MessageContainsDataClassification @{Name=" Contoso Customer Confidential"}
Der DLP Agent erkennt nun Dokumente, die zum Dokumentfingerabdruck von "Contoso Customer Form.docx" passen.
Informationen zu Syntax und Parametern finden Sie unter New-Fingerprint, New-DataClassification, Set-DataClassification und Get-DataClassification.
Weitere Informationen
Integrieren von Regeln für vertrauliche Informationen in Transportregeln