Windows

  • Article

FCI : CLASSIFIÉ

Greg Shields

J'AI souvenez du jour où je accidentellement a obtenu un américain Débattement de gouvernement.

Même crazier, il s'agissait d'un écart par-dessus Top Secret pour un programme de gouvernement classé par conséquent, je ne peut pas même vous indiquer son nom. A été actualisée de l'université et de l'a retrouvé simplement mon premier travail réel avec une société réelle. Mon premier jour, j'ai trouvé moi-même remplissez énormément de documents administratifs — piles de celui-ci — et posez la question, “ je ne savais qu'un travail réel faudrait toutes ces informations à propos de moi! respectez Chaque endroit que vous aimeriez vécu, chaque personne que vous aimeriez remplies, chaque travail que j'ai auriez dû, montants incroyables de durée de vie de Grégoire documentés pour posterity dans ce que j'ai découvert par la suite était un questionnaire de sécurité personnel fédéral.

Environ six mois plus tard, ils appelée me pour annoncer vous auriez été “ effacé. respectez Surprise! Walking sauvegarder via spéciale “fermée zone respectez pour la première fois, j'ai trouvé moi-même entouré immédiatement les niveaux de processus et weep de plan de projet de sécurité, la documentation et marques spéciales qui rendent les pages de votre informatique.

Il s'agit exactement cette documentation et les façons de son contenu classifiées ont été gérés qui viennent à l'esprit que je pense à propos de Microsoft nouveau fichier classification infrastructure (FCI), introduit avec Windows Server 2008 R2.

Administration de contenu:Comment nos travaux ont changé

Pensez pendant une minute sur comment notre tâches que les administrateurs informatiques ont évolué au fil des années. Au début, nous avons passé beaucoup de notre temps simplement en conservant les postes de travail en cours d'exécution. Comme les postes de travail a augmenté plus stable et les utilisateurs informés de plus, notre focus est finalement migrés vers la salle des serveurs. Là, nous avons trouvé nous-mêmes étendant notre infrastructure de serveur, rendre les applications hautement disponibles aux clients sur le réseau local et éventuellement sur Internet.

Nous sommes maintenant au point où la plupart de nos applications line of business sont ubiquitously disponibles. Les utilisateurs peuvent accéder à leurs données à partir de pratiquement n'importe quelle connexion qui les autorise à travailler à partir de là où ils ont besoin. Encore avec ce omniprésence présente également un plus grand risque d'exposition de données, une situation potentiellement très coûteuse, nous avons tous à éviter. Et qu'il y a un problème supplémentaire : la croissance élevée de données sous la gestion, de grandes quantités de ce qui est créé, jamais accessibles à nouveau et expensively stockées pour aucun bon usage.

Pour traiter ces problèmes, notre rôle travail déplace à nouveau. Aujourd'hui, secteur et mandats de conformité aux réglementations que nous gérer activement les données qui sont hébergées sur nos systèmes, pas seulement les systèmes eux-mêmes. Cela signifie que nous informatique les administrateurs doivent prendre un rôle actif car il vous permet de vous assurer que nos autres classes de données sont corrects niveaux appropriés d'échéance enthousiasme. Doit disposer de plus grand soin à données propriétaires ou sensibles, ont un impact supérieur sur notre activité ou traite les informations d'identification personnelle. Les données qui n'est plus pertinentes ou utiles doivent être supprimées correctement si nous sommes pour maintenir les coûts dans la ligne.

Le problème avec ce nouveau rôle de travail est que les outils pour gérer toutes ces données de manière appropriée, par rapport à son contenu — ont été historiquement inexistant, ou coûteux et difficile à utiliser. Dans votre environnement dès aujourd'hui, comment pouvez-vous savoir si la feuille de calcul de Stan comptabilité compte le nombre de Oreos il a eaten cette semaine, ou s'il s'agit en fait le budget pour un projet nouveau et hautement sensible ? Comment savez-vous si Stan A créé cette feuille de calcul il y a quelques années et il depuis n'a pas étudié ? Qui ne disposent pas des outils tiers coûteuses, vous ne le faites probablement pas.

Ces types de problèmes de résolution est la raison pour laquelle Microsoft a développé son infrastructure de classification de fichier publiés sous la forme d'une fonctionnalité ajoutée-gratuit dans Windows Server 2008 R2. FCI arrive sous la forme d'une augmentation pour la File Server Resource Manager (FSRM), un outil que nous avons vu tout d'abord et probablement ignorés dans Windows Server 2003 R2. Capacités au plus tôt de FSRM pour gérer les quotas, créer des règles de filtrage des fichiers et générer des rapports de stockage ont toutes été intéressant, traité toujours mais avec des données en tant que fichiers et non en tant que contenu.

Classé est facile. Sensibles est dur.

Je pense à revenir à mon temps dans le monde classifiée, je suis stupéfié à était le gouvernement comment mature dans classer ses données comparées pour le monde des affaires. Facile suffisamment, ils verrouillez-la derrière portes fermées. Avec les États-Unis Gouvernement, données classifiées doivent rester à l'intérieur des locaux verrouillés dont les réseaux sont gapped air du reste du monde. À aucun moment un document de gouvernement classifiée jamais laissez son protégé Secure Compartmented informations système (SCIF) sans protections très spéciales. Pour résumer, si vous passez la maison avec le document incorrect dans votre porte-documents, vous pouvez obtenir une visite des personnes avec anti-aériens.

Bien que “ personnes avec anti-aériens respectez visitant votre maison toujours fait pour une soirée intéressante, il n'est pas vraiment la partie intéressante de cette histoire. Ce qui est intéressant est la façon dont ces documents sont marqués. Vous pouvez voir, avec le gouvernement, que chaque document créé est marqué avec codes spéciaux. Qu'est-ce que signifient en fait les codes est, bien sûr, classé, mais suffisant de dire que tous les documents classifiées sait toujours son niveau de classification (Top Secret, secret, etc.), le programme auquel il est associé, ainsi que d'autres informations sur la façon dont il doit être géré.

Cela signifie qu'un document perdu permet de remonter à son propriétaire approprié. Cela signifie également qu'une personne connaît toujours quoi faire avec n'importe quel document.

Le monde des affaires n'a pas généralement ces marques requis-par-law sur chaque document sur leurs serveurs de fichiers. Encore même sans une taxonomie centrale, tous les documents peuvent être analysés pour caractéristiques connues identifier et marquer son importance pour l'entreprise. Qui fait partie de ce que fait FCI.

À l'aide des règles de classification automatique de FCI, vous pouvez marquer spécialement des documents dans votre infrastructure en aucune manière que vos besoins. Ceux avec les informations d'identification personnelle peuvent être étiquetées dans unidirectionnelle. Ceux avec un impact sur l'activité élevée peuvent être étiquetées dans une autre. Même images comme TIFF peuvent être analysées par l'intermédiaire d'une reconnaissance optique de caractères des mots notables. Le résultat net est que les documents nécessitant un traitement spécial peuvent être donnés le soin approprié sous la forme d'une fonction les marquages que vous affecter.

La première étape consiste à identifier les marquages que vous avez besoin.

Marquage des documents avec FCI

Microsoft de FCI stocke les marquages de chaque document dans un flux de données secondaire (ADS) NTFS. Cela signifie que les marquages restent avec des documents dans l'ensemble de leurs voyages tant qu'ils ne laissez jamais de stockage NTFS. Cela signifie également que n'importe quel type de fichier peut être classé, extension FCI vers n'importe quel fichier dans votre infrastructure. Fichiers Microsoft Office Obtient un traitement spécial, avec les marquages de FCI qui sont stockées dans le fichier lui-même, ainsi que dans l'ADS. Ce marquage double permet aux documents de Microsoft Office conserver des classifications à la fois sur un partage NTFS ainsi que dans SharePoint.

Les catégories réels, ainsi que les propriétés affectées sont laissées à l'implémentation individuelle, afin que votre entreprise est libre de créer les marquages de sens. Quelques exemples pourraient inclure des niveaux de confidentialité de transmission tels que :

  • PFS = Top Secret, confidentielles ou non classés
  • Informations personnelles = Oui ou non
  • Impact de l'entreprise = élevé, moyen ou faible

Appliquer réellement les marquages à un document peut se produire par un des quatre mécanismes possibles :

  • Classification manuelle. Il est possible de créer des modèles Microsoft Office qui comprennent déjà le niveau de classification nécessaire. Comme avec mon expérience dans le monde classifiée, les documents sont classées Top Secret peut être nécessaire de commencer leur vie à partir “ Top Secret respectez .DOTX fichier de votre entreprise.
  • Classification de l'application. Intégré à FCI sont un certain nombre de points d'extensibilité pour raccordements de tiers. Cela signifie que les autres éditeurs de logiciels peuvent écrire leurs propres outils pour analyser les documents et appliquant des propriétés de classification comme ils sont créés ou manipulés.
  • Classification personnalisée via des scripts. À l'aide du module de classifieur de module complémentaire Windows PowerShell, vous pouvez écrire vous propres scripts pour analyser et appliquer des marquages aux documents.
  • Classification automatique. Enfin et plus facilement, vous pouvez utiliser le moteur de classification automatique intégré FSRM pour faire le travail pour vous.

Pour nous Jack-of-all-Trades administrateurs, la plus pratique est moteur de classification automatique de FCI. L'utilisation d'une console graphique simple, vous pouvez configurer FSRM automatiquement analyser les serveurs de fichiers de votre infrastructure et d'appliquer des marquages basés sur l'emplacement d'un document ou sur son contenu.

Par exemple, let’s vous possédez deux ensembles de documents très importants. Le premier groupe contient des informations d'identification personnelle et les documents sont toujours initialement créés dans un dossier particulier sur un partage de fichier spécial. Bien que ces documents peuvent déplacer vers d'autres emplacements au cours de leur cycle de vie, vous savez qu'elles sont toujours créées dans cet emplacement unique. Ces documents doivent être gérées spécialement en raison des réglementations de conformité.

Votre deuxième ensemble de documents très importants est lié à un venture spécial agissent sur votre société appelée “ projet X respectez.  Ces documents peuvent être conservés n'importe où sur vos serveurs de fichiers, ce qui les rend difficiles à trouver. Toutefois, vous pouvez risqué de supposer que tous les documents relatifs au projet inclut certains permutation de “ projet X respectez quelque part dans son texte. Bien qu'aucune régulation extérieur ne requiert ces documents d'avoir un traitement spécial, ils sont sensibles aux opérations ’ votre entreprise et doivent précaution supplémentaire.

Vous devez fournir des protections spéciales pour ces documents. Votre première étape consiste à ajouter le service de rôle FSRM le rôle de services de fichiers sur votre serveur de fichiers. Cette action ajoute la console de partage et de gestion du stockage sous Services de fichiers dans le Gestionnaire de serveur, comme dans de la figure 1. Comme vous le voyez, trois actions actuellement configurées sur \\server1:\Home de pour les utilisateurs ’ domicile lecteurs ; \Shared pour les documents partagés ; et \Shared – informations d'identification personnelles sensibles, pour les documents ajustée à la conformité avec les informations d'identification personnelle.

Figure partage et la console de gestion de stockage de 1 FSRM

Deux propriétés de classification doivent être créées pour ces deux types de documents, ce que vous pouvez faire en cliquant avec le bouton droit sur Propriétés de classification dans le volet de gauche et en choisissant de créer une propriété. La première aura un nom de propriété de “ PII respectez avec le type de propriété Oui/non. Cette configuration, illustrée à la de figure 2, permet aux documents être identifié comme contenant des informations d'identification personnelle.

 Le deuxième ensemble de documents obtiendra un nom de propriété de “ Project spécial respectez avec un type de propriété de type String. Cette configuration permettra à n'importe quel document sensible éventuellement être marqué avec son nom de projet spécifique.

 

La figure 2 Création un Oui/non propriété classification

Création de ces propriétés classification établit la taxonomie de marquages que vous souhaitez appliquer à vos documents. L'étape suivante consiste à appliquer réellement ces propriétés pour les documents de droite. À l'aide des services de classification automatique de FCI, vous pouvez appliquer ces propriétés à vos documents en fonction de leur présence dans un dossier spécifique.  Vous pouvez également demander à FCI pour lire chaque document sur vos serveurs de fichiers Rechercher des chaînes de texte spécifique. Dans ce cas, let’s faire les deux.

Cliquez avec le bouton droit sur règles de classification et choisir de créer une nouvelle règle. La première règle doit être créé sera une règle de chemin d'accès de fichier pour votre partage d'informations d'identification personnelle. Attribuer à la règle un nom et une description et appliquer la règle pour le chemin d'accès au dossier qui contient les informations personnelles documents. Puis, sous l'onglet Méthode Classification, configurez les paramètres comme dans de la figure 3. Vous verrez que cette règle va utiliser le mécanisme de classifieur de dossier pour assigner la valeur de propriété informations personnelles d'Oui aux documents dans ce dossier.

La figure 3 définition de l'écran de définition pour une règle de classification

Configuration de la deuxième règle implique légèrement plus d'efforts. Ici, l'étendue pour la deuxième règle sera le lecteur \Shared et le \Shared – lecteur informations d'identification personnelle sensibles (en réalité, cette règle peut inclure n'importe quel emplacement où les utilisateurs peuvent stocker des documents de projet spécial). En outre, vous allez utiliser le mécanisme de classification de contenu classifieur portant le nom de la propriété Project spécial. Étant donné que vous recherchez des documents “ projet X respectez avec cette règle, définissez “ projet X respectez comme sa valeur de propriété.

L'étape finale consiste à indiquer les éléments à rechercher dans les documents qu'il trouve la règle. En cliquant sur le bouton Avancé et en accédant à l'onglet marqué les paramètres de classification supplémentaires présente une boîte de dialogue où vous entrez la chaîne de recherche de la règle. Vous pouvez configurer les chaînes indépendantes de l'et qui respecte la casse, et vous pouvez utiliser des expressions régulières pour des besoins plus complexes. La figure 4 montre comment vous pouvez rechercher des quatre différentes permutations ne respectant pas la casse des mots “ projet X respectez.

Figure 4 recherche de permutations du texte “projet X respectez

L'étape finale consiste à configurer une planification pour le moteur de classification automatique. Pour cela, cliquez avec le bouton droit sur règles de classification en choisissant l'option de configurer la planification de classification. Vous pouvez créer plusieurs planifications pour l'analyse de tous les dossiers avec les règles pertinentes appliqués, et vous pouvez créer des rapports dans plusieurs formats (DHTML, HTML, XML, CSV et texte) et éventuellement les par courrier électronique pour les administrateurs ou des auditeurs.

Exécution en fait les choses

Cet effort tout marque uniquement vos documents. Votre prochaine étape consiste à réellement réaliser des tâches avec les documents sélectionnés. Nouveautés intéressante ici est que vos options sont limitées uniquement par vos prouesses script et votre imagination.

Maintenant FCI compatibles dans Windows Server 2008 R2, moteur de tâches de gestion de fichiers de FSRM élimine pratiquement toutes les difficultés rencontrées au cours de ce processus en appliquant automatiquement votre action sélectionnée à n'importe quel document marqué dans n'importe quel emplacement :

  • Elles peuvent être définies pour qu'ils expirent après un certain temps, les relegating vers un répertoire spécial d'expiration pour l'archivage finale avant la suppression.
  • Ils peuvent être collectées dans des rapports pour les auditeurs, prouver que vous savez où se trouvent tous vos documents pertinents pour la conformité dans votre infrastructure.
  • Ils peuvent être sauvegardés pour emplacements spéciaux pour garantir des bandes de sauvegarde régulières ne sont pas “ endommagés respectez par des informations sensibles.

Essentiellement n'importe quelle action accomplie par le biais d'un fichier exécutable ou d'un script peut être appliquée à la fois les documents sélectionnés ou selon une planification. Toutes les actions sont créées à l'intérieur de la console FSRM en cliquant avec le bouton droit sur les tâches de gestion de fichier et en choisissant pour créer une tâche de gestion de fichier. La fenêtre multi-tab résultante fournit un emplacement pour la définition de la tâche et la commande ou script à utiliser, ainsi que notification, les options de création de rapports et de la planification.

Vous pouvez également définir une condition pour l'occurrence d'une tâche, comme illustré figure 5. Comme vous pouvez le voir, une tâche a été créée pour accomplir une action sur tous les documents qui sont marqués comme contenant des informations d'identification personnelle et qui n'ont pas été modifié ou accessible au cours de l'année précédente.[snt1]  Cette tâche est peut-être configurée pour supprimer automatiquement ces documents afin d'empêcher leurs données périmées de tomber dans de mauvaises mains. Peut-être il déplace ces documents vers un emplacement d'archivage pour préservation avant pour suppression. La puissance ici est qu'une fois que la condition est remplie, les actions que vous avez besoin pour réaliser aura lieu automatiquement.

La figure 5 définition les conditions pour une tâche de gestion de fichiers FSRM

FCI vous donne un contrôle de contenu

Je vais admettre à obtenir que le débattement était le début d'un caractère de première année de ma carrière professionnelle. Je ne pas convenir au profil de votre personne “ désactivée respectez typique: je portez mes cheveux long, Mes centres d'intérêt de lecture se pencher vers sociologie pop et magazines de vélo de montagnes sur historique militaire et j'appelle Colorado mon domicile plutôt que ce locus Federal appelé Maryland. Mais ce travail m'enseignées la plupart de ce que je sais aujourd'hui formels de systèmes de sécurité.

Il me remis également une grande quantité d'appréciation pour le niveau d'effort requis pour gérer le contenu dans un environnement haute sécurité. Avec les technologies d'aujourd'hui dans Windows Server 2008 R2, vous pouvez profiter de ce même niveau de contrôle dans vôtre avec automation beaucoup plus intégrée.

 

Greg Shields, MVP, est un partenaire à concentrées Technology. Obtenir plus de Jack-of-all-Trades conseils et astuces de Grégoire à www.ConcentratedTech.com.