Rövid útmutató: A helyszíni fájlokban tárolt bizalmas adatok megkeresése
Ebben a rövid útmutatóban engedélyezi a SharePoint számára a vizsgálat engedélyezését, valamint telepíti és konfigurálja az Azure Information Protection scannert, hogy megtalálja a helyszíni adattárban tárolt bizalmas adatokat.
Szükséges idő: Ezt a konfigurációt kevesebb mint 15 perc alatt befejezheti.
Előfeltételek
Ennek a rövid útmutatónak az elvégzéséhez a következőkre lesz szüksége:
Követelmény | Leírás |
---|---|
Egy támogató előfizetés | Olyan előfizetésre lesz szüksége, amely tartalmazza az Azure Information Protection. |
Ügyfél telepítve | Telepítenie kell a klasszikus ügyfelet a számítógépre. A klasszikus AIP-ügyfél üzembe helyezéséhez nyisson meg egy támogatási jegyet a letöltési hozzáférés beszerzéséhez. |
SQL Server Express | Telepítenie kell SQL Server Express a számítógépre. A telepítéshez lépjen a Microsoft letöltőközpontba , és válassza a Letöltés most lehetőséget az Expressz lehetőség alatt. A telepítőben válassza ki az Alapszintű telepítési típust. |
Azure AD | A tartományi fiókját szinkronizálni kell Azure AD. Ha nem biztos a fiókjában, forduljon az egyik rendszergazdához. |
SharePoint hozzáférés | A SharePoint vizsgálat engedélyezéséhez hozzáférésre és engedélyekre van szüksége a SharePoint szabályzathoz. |
Tesztmappa és -fájl előkészítése
A képolvasó működésének ellenőrzésére szolgáló kezdeti teszt:
Hozzon létre egy új mappát egy akadálymentes hálózati megosztáson. Nevezze el például ezt a mappát TestScanner néven.
Hozzon létre és mentsen egy Word-dokumentumot abban a mappában, amely a következő hitelkártyával rendelkezik : 4242-4242-4242-4242.
Engedélyek a felhasználóknak SharePoint adattárak vizsgálatára
A szkenner SharePoint adattárakban való használatához adja meg az Azure Information Protection webhely URL-címét, hogy az adott URL-cím alatt lévő összes webhelyet felderítse és megvizsgálja.
Az adattárak közötti vizsgálatok engedélyezéséhez adja hozzá a következő SharePoint engedélyeket a vizsgálathoz használni kívánt felhasználóhoz:
Nyissa meg SharePoint, válassza az Engedélyházirend lehetőséget, majd válassza az Engedélyházirend-szint hozzáadása lehetőséget.
A Webhelycsoport engedélyei területen válassza a Webhelygyűjtő auditora lehetőséget.
Az Engedélyek területen válassza az Alkalmazásoldalak megtekintése beállítás megadása lehetőséget, és mentse a módosításokat.
A módosítások megerősítése után kattintson az OK gombra a megnyíló Házirend webalkalmazáshoz üzenetben.
A Felhasználók hozzáadása lapon adja hozzá a vizsgálathoz használni kívánt felhasználót a Felhasználók kiválasztása mezőben. Az Engedélyek kiválasztása területen válassza ki a webhelycsoport beállítását, majd a Befejezés gombra kattintva alkalmazza a létrehozott engedélyeket a hozzáadott vagy kiválasztott felhasználóra.
Profil konfigurálása a képolvasóhoz
A képolvasó telepítése előtt hozzon létre egy profilt a Azure Portal. Ez a profil a vizsgálandó adattárak szkennerbeállításait és helyét tartalmazza.
Nyisson meg egy új böngészőablakot, és jelentkezzen be az Azure Portalra. Ezután lépjen az Azure Information Protection panelre.
A keresőmezőbe például erőforrásokat, szolgáltatásokat és dokumentumokat kereshet: Start menü adatok beírásával válassza az Azure Information Protection lehetőséget.
Keresse meg a képolvasó beállításait a bal oldali panelen, és válassza a Profilok lehetőséget.
Az Azure Information Protection – Profilok panelen válassza a Hozzáadás:
Az Új profil hozzáadása panelen adja meg a képolvasó nevét, amely azonosítja a beolvasandó konfigurációs beállításokat és adattárakat. Ebben a rövid útmutatóban például megadhatja a rövid útmutatót. A képolvasó későbbi telepítésekor ugyanazt a profilnevet kell megadnia.
Ha szeretné, adjon meg egy leírást rendszergazdai célokra, hogy segítsen azonosítani a képolvasó profilnevét.
Keresse meg a Bizalmassági szabályzat szakaszt, ahol ebben a rövid útmutatóban csak egy beállítást jelöljön ki: Kényszerítéshez válassza a Ki lehetőséget. Ezután válassza a Mentés lehetőséget , de ne zárja be a panelt.
A beállítások úgy konfigurálják a képolvasót, hogy a megadott adattárakban lévő összes fájlt egyszer felderítse. Ez a vizsgálat az összes ismert bizalmas adattípust keresi, és nem követeli meg, hogy először konfigurálja az Azure-Information Protection címkéket vagy szabályzatbeállításokat.
Most, hogy létrehozta és mentette a profilt, visszatérhet az Adattárak konfigurálása beállításhoz, és megadhatja a hálózati mappát a vizsgálandó adattárként.
Továbbra is az Új profil hozzáadása panelen válassza az Adattárak konfigurálása lehetőséget az Adattárak panel megnyitásához:
Az Adattárak panelen válassza a Hozzáadás:
Az Adattár panelen adja meg a korábban létrehozott mappát. Például:
\\server\TestScanner
Az ezen a panelen lévő többi beállításnál ne módosítsa őket, hanem tartsa meg őket alapértelmezett profilként, ami azt jelenti, hogy az adattár a képolvasó profiljából örökli a beállításokat.
Kattintson a Mentés gombra.
Visszatérve az Azure Information Protection – Profilok panelre, megjelenik a profilja a listában, valamint a SCHEDULE oszlopban a Kézi és a KÉNYSZERÍTÉS oszlop üres.
A NODES oszlop 0-t jelenít meg, mert még nem telepítette a képolvasót ehhez a profilhoz.
Most már készen áll a képolvasó telepítésére a létrehozott képolvasóprofillal.
A vizsgáló telepítése
Nyisson meg egy PowerShell-munkamenetet a Futtatás rendszergazdaként beállítással.
A következő paranccsal telepítse a képolvasót, és adja meg a hálózati megosztás nevét és a Azure Portal mentett profilnevet:
Install-AIPScanner -SqlServerInstance <your network share name>\SQLEXPRESS -Profile <profile name>
Amikor a rendszer kéri, adja meg a saját hitelesítő adatait a képolvasóhoz a <tartomány\felhasználónév> formátum, majd a jelszó használatával.
Start menü a vizsgálatot, és ellenőrizze, hogy befejeződött-e
Térjen vissza a Azure Portal, frissítse az Azure Information Protection – Profilok panelt, és a NODES oszlopnak most 1-nek kell megjelennie.
Válassza ki a profil nevét, majd a Vizsgálat most lehetőséget:
Ha ez a lehetőség a profil kiválasztása után nem érhető el, a képolvasó nem csatlakozik az Azure Information Protection. Tekintse át a konfigurációt és az internetkapcsolatot.
Csak egy kis fájlt kell megvizsgálni, ezért ez a kezdeti teszt gyors lesz:
Várjon, amíg megjelenik az UTOLSÓ VIZSGÁLAT EREDMÉNYE és a LAST SCAN (END TIME) oszlop értékei.
Tipp
Másik lehetőségként csak a klasszikus ügyfél képolvasója esetén:
Ellenőrizze a helyi Windows Alkalmazások és szolgáltatások eseménynaplóját, az Azure Information Protection. Erősítse meg az MSIP 911-as információs eseményazonosítóját . Képolvasó folyamat. Az eseménynapló-bejegyzésben a vizsgálat eredményeinek összegzése is szerepel.
Részletes eredmények megtekintése
A Fájlkezelő használatával keresse meg a képolvasó jelentéseit a localappdata%\Microsoft\MSIP\Scanner\Reports mappában%. Nyissa meg az .csv fájlformátumú részletes jelentésfájlt.
Az Excelben:
Az első két oszlop az adattárat és a fájlnevet jeleníti meg.
Az oszlopokon végignézve megjelenik egy névvel ellátott információtípus neve, amely az az oszlop, amely a leginkább érdekli.
A kezdeti tesztnél a hitelkártyaszámot jeleníti meg, amely a szkenner által talált számos bizalmas információtípus egyike.
Saját adatok vizsgálata
Szerkessze a képolvasó profilját, és adjon hozzá egy új adattárat, ezúttal megadva a saját helyszíni adattárát, amelyet bizalmas információk keresésére szeretne keresni.
Adjon meg egy hálózati megosztást (UNC elérési utat) vagy egy SharePoint-kiszolgáló URL-címét egy SharePoint helyhez vagy tárhoz.
Például:
- Hálózati megosztás esetén:
\\NAS\HR
- SharePoint mappa esetén:
http://sp2016/Shared Documents
- Hálózati megosztás esetén:
Indítsa újra a képolvasót.
Az Azure Information Protection – Profilok panelen győződjön meg arról, hogy a profil ki van jelölve, majd válassza a Vizsgálat most lehetőséget:
Az új eredmények megtekintése a vizsgálat befejezésekor.
A vizsgálat időtartama attól függ, hogy hány fájl található az adattárban, mekkoraak ezek a fájlok, és milyen típusúak.
Az erőforrások eltávolítása
Éles környezetben egy Windows-kiszolgálón futtatná a szkennert egy olyan szolgáltatásfiók használatával, amely csendesen hitelesíti magát az Azure Information Protection szolgáltatásban. A SQL Server nagyvállalati szintű verzióját is használná, és valószínűleg több adatadattárat is megadna.
Az erőforrások törléséhez és a rendszer éles üzembe helyezéséhez való felkészítéséhez futtassa a következő parancsot a PowerShell-munkamenetben a képolvasó eltávolításához:
Uninstall-AIPScanner
Ezután indítsa újra a számítógépet.
Ez a parancs nem távolítja el a következő elemeket, és manuálisan kell eltávolítania őket, ha nem szeretné őket a rövid útmutató után:
Az Azure Information Protection scanner telepítésekor a Install-AIPScanner parancsmag futtatásával létrehozott SQL Server adatbázis: AIPScanner_<profil>
A képolvasó jelentései a localappdata%\Microsoft\MSIP\Scanner\Reports mappában% találhatók.
A bejelentkezés szolgáltatásfelhasználói jogosultság-hozzárendelésként , amelyet a tartományi fiók kapott a helyi számítógéphez.
Következő lépések
Ez a rövid útmutató tartalmazza a minimális konfigurációt, így gyorsan láthatja, hogy a képolvasó hogyan talál bizalmas információkat a helyszíni adattárakban. Ha készen áll a képolvasó éles környezetben való telepítésére, tekintse meg az Azure Information Protection scanner üzembe helyezését a fájlok automatikus besorolásához és védelméhez.
Ha a bizalmas adatokat tartalmazó fájlokat szeretné besorolni és védeni, a címkéket az automatikus besoroláshoz és védelemhez kell konfigurálnia: