Entwickeln von DLP-Richtlinienvorlagendateien in Exchange 2013
Gilt für: Exchange Server 2013
In dieser Übersicht werden die Komponenten einer XML-Schemadefinition für Richtlinienvorlagendateien zur Verhinderung von Datenverlust (Data Loss Prevention, DLP) erläutert, und es wird eine Beispielrichtliniendatei im XML-Format bereitgestellt. Es ist hilfreich, die allgemeine DLP-Architektur und den Regelentwicklungsprozess zu verstehen, bevor Sie beginnen. Weitere Informationen finden Sie unter Verhinderung von Datenverlust und Definition eigener DLP-Vorlagen und Informationstypen.
Zur einfachen Einführung und Verwaltung von DLP-Lösungen wurde in Microsoft Exchange Server 2013 ein konzeptionelles Modell aus DLP-Richtlinien und -Richtlinienvorlagen eingeführt. DLP-Richtlinienvorlagen bieten einen vorläufigen Entwurf für die beabsichtigte DLP-Richtlinie. Um von Nutzen zu sein, muss eine DLP-Richtlinienvorlage alle Direktiven und Datenobjekte kapseln, die zur Erfüllung eines spezifischen Richtlinienziels benötigt werden, beispielsweise eine Vorschrift oder eine Geschäftsanforderung. Die Vorlage ist nicht umgebungsspezifisch. Es handelt sich einfach um eine Definition oder ein Modell einer Richtlinie, die als Teil der Produktkonfiguration bereitgestellt oder von unabhängigen Softwareanbietern und Partnern bereitgestellt werden kann. DLP-Richtlinien hingegen sind Laufzeitinstanzen der Vorlagen, die speziell auf die Bereitstellungsumgebung abgestimmt sind. DLP-Richtlinien können über die Verwendung von Transportregeln in Ihr vorhandenes Framework für Messagingrichtlinien eingebunden werden. Transportregeln bieten große Flexibilität bei der Anpassung und Umsetzung aller Aspekte Ihrer DLP-Lösungen.
Quellen und Struktur für Richtlinienvorlagen
DLP-Richtlinienvorlagen werden üblicherweise über mehrere Quellen beeinflusst, beispielsweise durch serverbasierte Verarbeitungsdirektiven, Clientcomputerrichtlinien oder weitere Richtlinienkonstrukten, wie nachfolgend dargestellt wird:
Einfache Verwaltungsvorgänge sind für DLP-Richtlinienvorlagen sowohl über die Exchange-Verwaltungsshell als auch über internetbasierte Schnittstellen wie das Exchange Admin Center verfügbar, die Import-, Export-, Lösch- und Abfragefunktionen umfassen. Eine DLP-Richtlinie wird erstellt, indem während der Erstellung eine DLP-Richtlinienvorlage referenziert wird. Diese referenzierten DLP-Richtlinienvorlagen können im System installierte Vorlagen sein, die in Active Directory-Domänendiensten gespeichert sind, oder sie können als direkte Eingabe aus extern bereitgestellten Richtlinien zur Verfügung stehen.
DLP-Richtlinienvorlagen werden als XML-Dokumente dargestellt. Ein einzelnes XML-Schema wird für sowohl für innerhalb von Exchange bereitgestellte als auch für extern bereitgestellte Richtlinien verwendet. Die konzeptionelle Struktur des XML-Dokuments wird in der folgenden Tabelle dargestellt, in der die wichtigsten Elemente aufgeführt werden. Der Satz von Richtlinienkomponentendefinitionen hilft Ihnen dabei, ein bestimmtes Richtlinienziel zu erreichen, z. B. eine Verordnung oder eine geschäftliche Anforderung.
| Strukturelement | Bedeutung oder Beispiel |
|---|---|
| Publisher | Microsoft oder Partner |
| Version | 15.0.1.0 |
| Policy Name | PCI-DSS |
| Beschreibung | Die PCI-DSS-DLP-Richtlinie hilft dabei, das Vorhandensein von Informationen zu erkennen, die dem PCI Data Security Standard (PCI DSS) unterliegen, einschließlich Informationen wie Kredit- Karte oder Debit-Karte-Nummern. Die Verwendung dieser Richtlinie stellt keine Einhaltung von Vorschriften sicher. Nehmen Sie nach Abschluss der Testphase die erforderlichen Konfigurationsänderungen in Exchange vor, damit die Übertragung von Informationen mit den Richtlinien Ihrer Organisation übereinstimmt. Beispiele hierfür sind das Konfigurieren von TLS mit bekannten Geschäftspartnern oder das Hinzufügen restriktiverer Transportregelaktionen, z. B. das Hinzufügen von Rechteschutz für Nachrichten, die diese Art von Daten enthalten. |
| Metadata | Tags zum Beschreiben von lokalen Vorschriften, Land oder Region, Schlüsselwörtern usw. |
| Set of policy constructs | Definitionen für Transportregeln, z. B. Bedingungen und Aktionen. Definitionen für das E-Mail-Clientverhalten, die das Clientverhalten über interaktive Benachrichtigungen steuern. (Optional) Konfigurationsreferenzen, die auf die spezifischen Einstellungen der Clientumgebung abgestimmt werden müssen. |
| Set of data classifications | Gibt Klassifikationsentitäten oder Affinitäten an. Entitäten weisen Anzahl und Bewertung auf, Affinitäten ausschließlich eine Bewertung. Umfasst einen eigenen Satz an Eigenschaften und ein Klassifikationsschema. |
Definition des Formats für Richtlinienvorlagen
DLP-Richtlinienvorlagen werden als XML-Dokumente dargestellt, die dem folgenden Schema entsprechen. Bei XML wird zwischen Groß- und Kleinschreibung unterschieden. Für instance funktioniert, dlpPolicyTemplates aber DlpPolicyTemplates nicht.
<?xml version="1.0" encoding="UTF-8"?>
<dlpPolicyTemplates>
<dlpPolicyTemplate id="F7C29AEC-A52D-4502-9670-141424A83FAB" mode="Audit" state="Enabled" version="15.0.2.0">
<contentVersion>4</contentVersion>
<publisherName>Microsoft</publisherName>
<name>
<localizedString lang="en">PCI-DSS</localizedString>
</name>
<description>
<localizedString lang="en">Detects the presence of information subject to Payment Card Industry Data Security Standard (PCI-DSS) compliance requirements.</localizedString>
</description>
<keywords></keywords>
<ruleParameters></ruleParameters>
<ruleParameters/>
<policyCommands>
<!-- The contents below are applied/executed as rules directly in PS - -->
<commandBlock>
<![CDATA[ new-transportRule "PCI-DSS: Monitor Payment Card Information Sent To Outside" -DlpPolicy "%%DlpPolicyName%%" -SentToScope NotInOrganization -SetAuditSeverity High -MessageContainsDataClassifications @{Name="Credit Card Number"; MinCount="1" } -Comments "Monitors payment card information sent to outside the organization as part of the PCI-DSS DLP Policy."]]>
</commandBlock>
<commandBlock>
<![CDATA[ new-transportRule "PCI-DSS: Monitor Payment Card Information Sent To Within" -DlpPolicy "%%DlpPolicyName%%" -Comments "Monitors payment card information sent inside the organization as part of the PCI-DSS DLP Policy." -SentToScope InOrganization -SetAuditSeverity Low -MessageContainsDataClassifications @{Name="Credit Card Number"; MinCount="1" } ]]>
</commandBlock>
</policyCommands>
<policyCommandsResources></policyCommandsResources>
</dlpPolicyTemplate>
</dlpPolicyTemplates>
Wenn ein Parameter, den Sie in Ihre XML-Datei für ein Element aufnehmen, ein Leerzeichen enthält, muss der Parameter in doppelte Anführungszeichen eingeschlossen sein, um ordnungsgemäß zu funktionieren. Im folgenden Beispiel ist der folgende -SentToScope Parameter akzeptabel und enthält keine doppelten Anführungszeichen, da es sich um eine fortlaufende Zeichenfolge ohne Leerzeichen handelt. Der für Comments bereitgestellte Parameter wird jedoch nicht im Exchange Admin Center angezeigt, da keine doppelten Anführungszeichen vorhanden sind und Leerzeichen enthalten sind.
<CommandBlock><![CDATA[ new-transportRule "PCI-DSS: Monitor Payment Card Information Sent To Within" -DlpPolicy "PCI-DSS" -Comments Monitors payment card information sent inside the organization -SentToScope InOrganization -SetAuditSeverity Low -MessageContainsDataClassifications @{Name="Credit Card Number"; MinCount="1" } ]]> </CommandBlock>
localizedString Element
Das Vorlagenformat bietet die Möglichkeit, Zeichenfolgen in der Vorlage zu lokalisieren, die dem Endbenutzer angezeigt werden können, z. B. im Rahmen der Auswahl der installierten DLP-Richtlinienvorlagen. Das localizedString-Element kann zur Bereitstellung mehrerer Definitionen für die Namens- und Beschreibungsfelder verwendet werden.
ruleParameters Node
Dies ist ein optionaler Satz von Parametern, die während der Vorlageninstanziierungsphase beim Erstellen einer DLP-Richtlinie zur Zuordnung zu bereitstellungsspezifischen Objekten bereitgestellt werden müssen. Beispielsweise kann dies eine tatsächliche Verteilergruppe sein, die in der Bereitstellung verfügbar ist.
dlpPolicyTemplate Element
Dies ist das Stammelement für die DLP-Richtlinienvorlage, dieses ist für jede Vorlage erforderlich. In der folgenden Tabelle werden die verfügbaren Attribute aufgeführt:
| Attributname | Pflichtfeld? | Beschreibung |
|---|---|---|
| Version | Ja | Die Versionsnummer, die in diesem DLP-Richtlinienvorlagendokument verwendet wird. |
| State | Nein | (Optional) Standardkonfiguration für den Status der Richtlinie. |
| Mode | Nein | (Optional) Standardkonfiguration für den Modus der Richtlinie. |
| Id | Nein | Eine GUID zur eindeutigen Identifizierung dieser DLP-Richtlinienvorlagendefinition im folgenden Format: "A29C69BF-4F98-47F1-9A99-5771DFD2C27F". |
Untergeordnete Elemente enthalten die nachstehende Abfolge von Elementen.
| Untergeordnetes Element | (Mindestwert, Maximalwert) | Beschreibung |
|---|---|---|
| Publishername | (1, 1) | Metadaten für den Herausgeber der Vorlage |
| Name | (1, 1) | Lokalisierbarer Name für diese Vorlage. |
| Description | (1, 1) | Lokalisierbare Beschreibung für diese Vorlage. |
| Keywords | (1, 1) | Liste der Schlüsselwörter, die für diese Vorlage gelten. Eine Vorlage kann eine leere Schlüsselwortliste umfassen. |
| RuleParameters | (0, 1) | Liste der Vorlagenparameter, die in der Richtliniendefinition verwendet werden. |
| Richtlinienbefehle | (0, 1) | Liste der Transportregeldefinitionen für diese Richtlinie. Dies ist ein optionales Element. |
DLP-Richtlinienvorlage: PolicyCommands
Dieser Bestandteil der Richtlinienvorlage enthält die Liste der Befehle für die Exchange-Verwaltungsshell, die zum Instanziieren der Richtliniendefinition verwendet werden. Der Importprozess führt jeden der Befehle als Teil des Instanziierungsprozesses aus. Nachfolgend finden Sie einige Beispielbefehle für Richtlinien.
<PolicyCommands>
<!-- The contents below are applied/executed as rules directly in PS - -->
<CommandBlock> <![CDATA[ new-transportRule "PCI-DSS: Monitor Payment Card Information Sent To Outside" -DlpPolicy "PCI-DSS" -SentToScope NotInOrganization -SetAuditSeverity High -MessageContainsDataClassifications @{Name="Credit Card Number"; MinCount="1" } -Comments "Monitors payment card information sent to outside the organization as part of the PCI-DSS DLP policy."]]></CommandBlock>
<CommandBlock><![CDATA[ new-transportRule "PCI-DSS: Monitor Payment Card Information Sent To Within" -DlpPolicy "PCI-DSS" -Comments "Monitors payment card information sent inside the organization as part of the PCI-DSS DLP policy." -SentToScope InOrganization -SetAuditSeverity Low -MessageContainsDataClassifications @{Name="Credit Card Number"; MinCount="1" } ]]> </CommandBlock>
</PolicyCommands>
Das Format der Cmdlets entspricht der Standardsyntax für Cmdlets der Exchange-Verwaltungsshell. Die Befehle werden nacheinander ausgeführt. Es ist möglich, dass jeder Befehlsknoten einen Skriptblock enthält, der aus mehreren Befehlen besteht. Das nachstehende Beispiel zeigt, wie ein Klassifikationsregelpaket in eine DLP-Richtlinienvorlage eingebettet und das Regelpaket im Rahmen der Richtlinienerstellung installiert wird. Das Klassifikationsregelpaket wird in die Richtlinienvorlage eingebettet und anschließend als Parameter an das Cmdlet in der Vorlage übergeben:
<CommandBlock>
<![CDATA[
$rulePack = [system.Text.Encoding]::Unicode.GetBytes('<?xml version="1.0" encoding="utf-8"?>
<rulePackage xmlns="http://schemas.microsoft.com/office/2011/mce">
<RulePack id="c3f021a3-c265-4dc2-b3a7-41a1800bf518">
<Version major="1" minor="0" build="0" revision="0"/>
<Publisher id="e17451d3-9648-4117-a0b1-493a6d5c73ad"/>
<Details defaultLangCode="en-us">
<LocalizedDetails langcode="en-us">
<PublisherName>Contoso</PublisherName>
<Name>Contoso Sample Rule Pack</Name>
<Description>This is a sample rule package</Description>
</LocalizedDetails>
</Details>
</RulePack>
<Rules>
<Entity id="7cc35258-6b35-4415-baff-a76d1a018980" patternsProximity="300" recommendedConfidence="85" workload="Exchange">
<Pattern confidenceLevel="85">
<IdMatch idRef="Regex_Contoso" />
<Any minMatches="1">
<Match idRef="Regex_conf" />
</Any>
</Pattern>
</Entity>
<Regex id="Regex_Contoso">(?i)(\bContoso\b)</Regex>
<Regex id="Regex_conf">(?i)(\bConfidential\b)</Regex>
<LocalizedStrings>
<Resource idRef="7cc35258-6b35-4415-baff-a76d1a018980">
<Name default="true" langcode="en-us">
Confidential Information Rule
</Name>
<Description default="true" langcode="en-us">
Sample rule pack - Detects Contoso confidential information
</Description>
</Resource>
</LocalizedStrings>
</Rules>
</RulePackage>
')
New-ClassificationRuleCollection -FileData $rulePack
New-TransportRule -name "customEntity" -DlpPolicy "%%DlpPolicyName%%" -SentToScope NotInOrganization -MessageContainsDataClassifications @{Name="Confidential Information Rule"} -SetAuditSeverity High]]>
</CommandBlock>
Untergeordnete Elemente enthalten die folgenden Abfolge von Elementen.
| Untergeordnetes Element | (Mindestwert, Maximalwert) | Beschreibung |
|---|---|---|
| CommandBlock | (1, n) | Ein Befehlsblock, der in der PowerShell ausgeführt wird. Die Befehlsblöcke werden nach der Reihe ausgeführt. |
Weitere Informationen
Definition eigener DLP-Vorlagen und Informationstypen
Importieren einer benutzerdefinierten DLP-Richtlinienvorlage aus einer Datei