Menyebarkan Enkripsi File Office (Langkah Demonstrasi)

Berlaku untuk: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

Departemen Keuangan Contoso memiliki sejumlah server file yang menyimpan dokumen mereka. Dokumen-dokumen ini dapat berupa dokumentasi umum atau dapat memiliki dampak bisnis tinggi (HBI). Misalnya, dokumen apa pun yang berisi informasi rahasia dianggap, oleh Contoso, memiliki dampak bisnis yang tinggi. Contoso ingin memastikan bahwa semua dokumentasi mereka memiliki jumlah perlindungan minimum dan bahwa dokumentasi HBI mereka dibatasi untuk orang yang sesuai. Untuk mencapai hal ini, Contoso sedang mengeksplorasi menggunakan Infrastruktur Klasifikasi File (FCI) dan AD RMS yang tersedia di Windows Server 2012 . Dengan menggunakan FCI, Contoso akan mengklasifikasikan semua dokumen di server file mereka, berdasarkan konten, lalu menggunakan AD RMS untuk menerapkan kebijakan hak yang sesuai.

Dalam skenario ini, Anda akan melakukan langkah-langkah berikut:

Tugas	Deskripsi
Mengaktifkan properti sumber daya	Aktifkan properti sumber daya Impact dan Personally Identifiable Information .
Membuat aturan klasifikasi	Buat aturan klasifikasi berikut: Aturan Klasifikasi HBI dan Aturan Klasifikasi PII.
Menggunakan tugas manajemen file untuk melindungi dokumen secara otomatis dengan AD RMS	Buat tugas manajemen file yang secara otomatis menggunakan AD RMS untuk melindungi dokumen dengan informasi pengidentifikasi pribadi (PII) yang tinggi. Hanya anggota grup FinanceAdmin yang akan memiliki akses ke dokumen yang berisi PII tinggi.
Menampilkan hasilnya	Periksa klasifikasi dokumen dan amati bagaimana perubahannya saat Anda mengubah konten dalam dokumen. Verifikasi juga bagaimana dokumen dilindungi oleh AD RMS.
Memverifikasi perlindungan AD RMS	Verifikasi bahwa dokumen dilindungi dengan AD RMS.

Langkah 1: Aktifkan properti sumber daya

Untuk mengaktifkan properti sumber daya

1. Di Hyper-V Manager, sambungkan ke ID_AD_DC1 server. Masuk ke server dengan menggunakan Contoso\Administrator dengan kata sandi pass@word1.

2. Buka Pusat Administratif Direktori Aktif, dan klik Tampilan Pohon.

3. Perluas KONTROL AKSES DINAMIS, dan pilih Properti Sumber Daya.

4. Gulir ke bawah ke properti Dampak di kolom Nama tampilan. Klik kanan Dampak, lalu klik Aktifkan.

5. Gulir ke bawah ke properti Informasi Pengidentifikasi Pribadi di kolom Nama tampilan. Klik kanan Informasi Identifikasi Pribadi, lalu klik Aktifkan.

6. Untuk menerbitkan properti sumber daya di Daftar Sumber Daya Global, di panel kiri, klik Daftar Properti Sumber Daya, lalu klik ganda Daftar Properti Sumber Daya Global.

7. Klik Tambahkan, lalu gulir ke bawah ke dan klik Dampak untuk menambahkannya ke daftar. Lakukan hal yang sama untuk Informasi Identifikasi Pribadi. Klik OK dua kali untuk menyelesaikan.

Perintah setara Windows PowerShell

Cmdlet atau cmdlet Windows PowerShell berikut melakukan fungsi yang sama dengan prosedur sebelumnya. Masukkan setiap cmdlet pada satu baris, meskipun mungkin muncul dibungkus kata di beberapa baris di sini karena batasan pemformatan.

Set-ADResourceProperty -Enabled:$true -Identity:"CN=Impact_MS,CN=Resource Properties,CN=Claims Configuration,CN=Services,CN=Configuration,DC=contoso,DC=com"
Set-ADResourceProperty -Enabled:$true -Identity:"CN=PII_MS,CN=Resource Properties,CN=Claims Configuration,CN=Services,CN=Configuration,DC=contoso,DC=com"

Langkah 2: Membuat aturan klasifikasi

Langkah ini menjelaskan cara membuat aturan klasifikasi Dampak Tinggi. Aturan ini akan mencari konten dokumen dan jika string "Contoso Confidential" ditemukan, itu akan mengklasifikasikan dokumen ini sebagai memiliki dampak bisnis tinggi. Klasifikasi ini akan mengambil alih klasifikasi dampak bisnis rendah yang ditetapkan sebelumnya.

Anda juga akan membuat aturan PII Tinggi. Aturan ini mencari konten dokumen, dan jika nomor Jaminan Sosial ditemukan, aturan ini mengklasifikasikan dokumen sebagai memiliki PII tinggi.

Untuk membuat aturan klasifikasi berdampak tinggi

1. Di Hyper-V Manager, sambungkan ke ID_AD_FILE1 server. Masuk ke server dengan menggunakan Contoso\Administrator dengan kata sandi pass@word1.

2. Anda perlu me-refresh Properti Sumber Daya Global dari Direktori Aktif. Buka Windows PowerShell dan ketik: Update-FSRMClassificationPropertyDefinition, lalu tekan ENTER. Tutup Windows PowerShell.

3. Buka File Server Resource Manager. Untuk membuka File Server Resource Manager, klik Mulai, ketik manajer sumber daya server file, lalu klik File Server Resource Manager.

4. Di panel kiri File Server Resource Manager, perluas Manajemen Klasifikasi, lalu pilih Aturan Klasifikasi.

5. Di panel Tindakan , klik Konfigurasikan Jadwal Klasifikasi. Pada tab Klasifikasi Otomatis, pilih Aktifkan jadwal tetap, pilih Hari dalam seminggu, lalu pilih kotak centang Izinkan klasifikasi berkelanjutan untuk file baru. Klik OK.

6. Di panel Tindakan , klik Buat Aturan Klasifikasi. Ini membuka kotak dialog Buat Aturan Klasifikasi.

7. Dalam kotak Nama aturan , ketik Dampak Bisnis Tinggi.

8. Dalam kotak Deskripsi , ketik Menentukan apakah dokumen memiliki dampak bisnis yang tinggi berdasarkan keberadaan string "Contoso Confidential"

9. Pada tab Cakupan , klik Atur Properti Manajemen Folder, pilih Penggunaan Folder, klik Tambahkan, lalu klik Telusuri, telusuri ke Dokumen D:\Finance sebagai jalur, klik OK, lalu pilih nilai properti bernama File Grup dan klik Tutup. Setelah properti manajemen diatur, pada tab Cakupan Aturan pilih File Grup.

10. Klik tab Klasifikasi . Di bawah Pilih metode untuk menetapkan properti ke file, pilih Pengklasifikasi Konten dari daftar drop-down.

11. Di bawah Pilih properti untuk ditetapkan ke file, pilih Dampak dari daftar drop-down.

12. Di bawah Tentukan nilai, pilih Tinggi dari daftar drop-down.

13. Klik Konfigurasikan di bawah Parameter. Dalam kotak dialog Parameter Klasifikasi , di daftar Jenis Ekspresi, pilih String. Dalam kotak Ekspresi , ketik: Contoso Confidential, lalu klik OK.

14. Klik tab Jenis Evaluasi. Klik Evaluasi ulang nilai properti yang ada, klik Timpanilai yang ada, lalu klik OK untuk menyelesaikannya.

Perintah setara Windows PowerShell

Cmdlet atau cmdlet Windows PowerShell berikut melakukan fungsi yang sama dengan prosedur sebelumnya. Masukkan setiap cmdlet pada satu baris, meskipun mungkin muncul dibungkus kata di beberapa baris di sini karena batasan pemformatan.

Update-FSRMClassificationPropertyDefinition
$date = Get-Date
$AutomaticClassificationScheduledTask = New-FsrmScheduledTask -Time $date -Weekly @(3, 2, 4, 5,1,6,0) -RunDuration 0;
Set-FsrmClassification -Continuous -schedule $AutomaticClassificationScheduledTask
New-FSRMClassificationRule -Name "High Business Impact" -Property "Impact_MS" -Description "Determines if the document has a high business impact based on the presence of the string 'Contoso Confidential'" -PropertyValue "3000" -Namespace @("D:\Finance Documents") -ClassificationMechanism "Content Classifier" -Parameters @("StringEx=Min=1;Expr=Contoso Confidential") -ReevaluateProperty Overwrite

Untuk membuat aturan klasifikasi PII tinggi

1. Di Hyper-V Manager, sambungkan ke ID_AD_FILE1 server. Masuk ke server dengan menggunakan Contoso\Administrator dengan kata sandi pass@word1.

2. Di desktop, buka folder bernama Ekspresi Reguler, lalu buka dokumen teks bernama RegEx-SSN. Sorot dan salin string ekspresi reguler berikut: ^(?! 000)([0-7]\d{2}|7([0-7]\d|7[012]))([ -]?) (?! 00)\d\d\3(?! 0000)\d{4}$. String ini akan digunakan nanti dalam langkah ini jadi simpan di clipboard Anda.

3. Buka File Server Resource Manager. Untuk membuka File Server Resource Manager, klik Mulai, ketik manajer sumber daya server file, lalu klik File Server Resource Manager.

4. Di panel kiri File Server Resource Manager, perluas Manajemen Klasifikasi, lalu pilih Aturan Klasifikasi.

5. Di panel Tindakan , klik Konfigurasikan Jadwal Klasifikasi. Pada tab Klasifikasi Otomatis, pilih Aktifkan jadwal tetap, pilih Hari dalam seminggu, lalu pilih kotak centang Izinkan klasifikasi berkelanjutan untuk file baru. Klik OK.

6. Dalam kotak Nama aturan , ketik PII Tinggi. Dalam kotak Deskripsi , ketik Menentukan apakah dokumen memiliki PII tinggi berdasarkan keberadaan Nomor Jaminan Sosial.

7. Klik tab Cakupan , pilih kotak centang File Grup.

8. Klik tab Klasifikasi . Di bawah Pilih metode untuk menetapkan properti ke file, pilih Pengklasifikasi Konten dari daftar drop-down.

9. Di bawah Pilih properti untuk ditetapkan ke file, pilih Informasi Pengidentifikasi Pribadi dari daftar drop-down.

10. Di bawah Tentukan nilai, pilih Tinggi dari daftar drop-down.

11. Klik Konfigurasikan di bawah Parameter. Di jendela Parameter Klasifikasi, di daftar Jenis Ekspresi, pilih Ekspresi Reguler. Dalam kotak Ekspresi , tempelkan teks dari clipboard Anda: ^(?! 000)([0-7]\d{2}|7([0-7]\d|7[012]))([ -]?) (?! 00)\d\d\3(?! 0000)\d{4}$, lalu klik OK.

    Catatan

    Ekspresi ini akan memungkinkan nomor Jaminan Sosial yang tidak valid. Ini memungkinkan kita untuk menggunakan nomor Jaminan Sosial fiktif dalam demonstrasi.

12. Klik tab Jenis Evaluasi. Pilih Evaluasi ulang nilai properti yang ada, Timpanilai yang ada, lalu klik OK untuk menyelesaikan.

Perintah setara Windows PowerShell

Cmdlet atau cmdlet Windows PowerShell berikut melakukan fungsi yang sama dengan prosedur sebelumnya. Masukkan setiap cmdlet pada satu baris, meskipun mungkin muncul dibungkus kata di beberapa baris di sini karena batasan pemformatan.

New-FSRMClassificationRule -Name "High PII" -Description "Determines if the document has a high PII based on the presence of a Social Security Number." -Property "PII_MS" -PropertyValue "5000" -Namespace @("D:\Finance Documents") -ClassificationMechanism "Content Classifier" -Parameters @("RegularExpressionEx=Min=1;Expr=^(?!000)([0-7]\d{2}|7([0-7]\d|7[012]))([ -]?)(?!00)\d\d\3(?!0000)\d{4}$") -ReevaluateProperty Overwrite

Anda sekarang harus memiliki dua aturan klasifikasi:

• Dampak Bisnis Tinggi

• PII Tinggi

Langkah 3: Gunakan tugas manajemen file untuk melindungi dokumen secara otomatis dengan AD RMS

Sekarang setelah Anda membuat aturan untuk secara otomatis mengklasifikasikan dokumen berdasarkan konten, langkah selanjutnya adalah membuat tugas manajemen file yang menggunakan AD RMS untuk melindungi dokumen tertentu secara otomatis berdasarkan klasifikasinya. Dalam langkah ini, Anda akan membuat tugas manajemen file yang secara otomatis melindungi dokumen apa pun dengan PII tinggi. Hanya anggota grup FinanceAdmin yang akan memiliki akses ke dokumen yang berisi PII tinggi.

Untuk melindungi dokumen dengan AD RMS

1. Di Hyper-V Manager, sambungkan ke ID_AD_FILE1 server. Masuk ke server dengan menggunakan Contoso\Administrator dengan kata sandi pass@word1.

2. Buka File Server Resource Manager. Untuk membuka File Server Resource Manager, klik Mulai, ketik manajer sumber daya server file, lalu klik File Server Resource Manager.

3. Di panel kiri, pilih Tugas Manajemen File. Di panel Tindakan , pilih Buat Tugas Manajemen File.

4. Di bidang Nama tugas: , ketik PII Tinggi. Di bidang Deskripsi, ketik perlindungan RMS Otomatis untuk dokumen PII tinggi.

5. Klik tab Cakupan , pilih kotak centang File Grup.

6. Klik tab Tindakan . Di bawah Jenis, pilih Enkripsi RMS. Klik Telusuri untuk memilih templat, lalu pilih templat Hanya Admin Keuangan Contoso.

7. Klik tab Kondisi , lalu klik Tambahkan. Di bawah Properti, pilih Informasi Pengidentifikasi Pribadi. Di bawah Operator, pilih Sama dengan. Di bawah Nilai, pilih Tinggi. Klik OK.

8. Klik tab Jadwal . Di bagian Jadwal , klik Mingguan, lalu pilih Minggu. Menjalankan tugas sekali seminggu akan memastikan bahwa Anda menangkap dokumen apa pun yang mungkin terlewatkan karena pemadaman layanan atau peristiwa mengganggu lainnya.

9. Di bagian Operasi berkelanjutan, pilih Jalankan tugas terus menerus pada file baru, lalu klik OK. Anda sekarang harus memiliki tugas manajemen file bernama PII Tinggi.

Perintah setara Windows PowerShell

Cmdlet atau cmdlet Windows PowerShell berikut melakukan fungsi yang sama dengan prosedur sebelumnya. Masukkan setiap cmdlet pada satu baris, meskipun mungkin muncul dibungkus kata di beberapa baris di sini karena batasan pemformatan.

$fmjRmsEncryption = New-FSRMFmjAction -Type 'Rms' -RmsTemplate 'Contoso Finance Admin Only'
$fmjCondition1 = New-FSRMFmjCondition -Property 'PII_MS' -Condition 'Equal' -Value '5000'
$date = get-date
$schedule = New-FsrmScheduledTask -Time $date -Weekly @('Sunday')
$fmj1=New-FSRMFileManagementJob -Name "High PII" -Description "Automatic RMS protection for high PII documents" -Namespace @('D:\Finance Documents') -Action $fmjRmsEncryption -Schedule $schedule -Continuous -Condition @($fmjCondition1)

Langkah 4: Lihat hasilnya

Saatnya untuk melihat klasifikasi otomatis baru Anda dan aturan perlindungan AD RMS yang sedang berjalan. Dalam langkah ini Anda akan memeriksa klasifikasi dokumen dan mengamati bagaimana dokumen berubah saat Anda mengubah konten dalam dokumen.

Untuk melihat hasilnya

1. Di Hyper-V Manager, sambungkan ke ID_AD_FILE1 server. Masuk ke server dengan menggunakan Contoso\Administrator dengan kata sandi pass@word1.

2. Di Windows Explorer, navigasikan ke D:\Finance Documents.

3. Klik kanan dokumen Memo Keuangan dan klik Properti. Klik tab Klasifikasi , dan perhatikan bahwa properti Dampak saat ini tidak memiliki nilai. Klik Batalkan.

4. Klik kanan dokumen Permintaan Persetujuan untuk Menyewa, lalu pilih Properti.

5. Klik tab Klasifikasi , dan perhatikan bahwa properti Informasi Identifikasi Pribadi saat ini tidak memiliki nilai. Klik Batalkan.

6. Beralih ke CLIENT1. Tanda tangani setiap pengguna yang masuk, lalu masuk sebagai Contoso\MReid dengan kata sandi pass@word1.

7. Dari Desktop, buka folder bersama Dokumen Keuangan.

8. Buka dokumen Memo Keuangan. Di dekat bagian bawah dokumen, Anda akan melihat kata Rahasia. Ubah untuk dibaca: Contoso Confidential. Simpan dokumen dan tutup.

9. Buka dokumen Permintaan Persetujuan untuk Menyewa. Di bagian Jaminan Sosial#: , ketik: 777-77-7777. Simpan dokumen dan tutup.

   Catatan

   Anda mungkin perlu menunggu 30 detik agar klasifikasi terjadi.

10. Beralih kembali ke ID_AD_FILE1. Di Windows Explorer, navigasikan ke D:\Finance Documents.

11. Klik kanan dokumen Memo Keuangan, dan klik Properti. Klik tab Klasifikasi . Perhatikan bahwa properti Dampak sekarang diatur ke Tinggi. Klik Batalkan.

12. Klik kanan dokumen Permintaan Persetujuan untuk Menyewa dan klik Properti.

13. . Klik tab Klasifikasi . Perhatikan bahwa properti Informasi Identitas Pribadi sekarang diatur ke Tinggi. Klik Batalkan.

Langkah 5: Memverifikasi perlindungan dengan AD RMS

Untuk memverifikasi bahwa dokumen dilindungi

1. Beralih kembali ke ID_AD_CLIENT1.

2. Buka dokumen Permintaan persetujuan untuk Menyewa.

3. Klik OK untuk memperbolehkan dokumen tersambung ke server AD RMS Anda.

4. Anda sekarang dapat melihat bahwa dokumen telah dilindungi oleh AD RMS karena berisi nomor Jaminan Sosial.