Skenario: Enkripsi Berbasis Klasifikasi untuk Dokumen Office

Berlaku untuk: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

Perlindungan informasi sensitif terutama tentang mengurangi risiko bagi organisasi. Berbagai peraturan kepatuhan, seperti Health Insurance Portability and Accountability Act (HIPAA) dan Payment Card Industry Data Security Standard (PCI-DSS), mendikte enkripsi informasi, dan ada banyak alasan bisnis untuk mengenkripsi informasi bisnis sensitif. Namun, mengenkripsi informasi mahal, dan mungkin mengganggu produktivitas bisnis. Dengan demikian, organisasi cenderung memiliki pendekatan dan prioritas yang berbeda untuk mengenkripsi informasi mereka.

Deskripsi Skenario

Windows Server 2012 menyediakan kemampuan untuk mengenkripsi file Microsoft Office sensitif secara otomatis, berdasarkan klasifikasinya. Ini dilakukan melalui tugas manajemen file yang memanggil perlindungan Layanan Active Directory Rights Management (AD RMS) untuk dokumen sensitif beberapa detik setelah file diidentifikasi sebagai file sensitif di server file. Ini difasilitasi oleh tugas manajemen file berkelanjutan di server file.

Enkripsi AD RMS memberikan lapisan perlindungan lain untuk file. Bahkan jika seseorang dengan akses ke file sensitif secara tidak sengaja mengirim file tersebut melalui email, file dilindungi oleh enkripsi AD RMS. Pengguna yang ingin mengakses file harus terlebih dahulu mengautentikasi diri mereka ke server AD RMS untuk menerima kunci dekripsi. Gambar berikut menunjukkan proses ini.

Gambar 6 Perlindungan RMS berbasis klasifikasi

Dukungan untuk format file non-Microsoft tersedia melalui vendor non-Microsoft. Setelah file dilindungi oleh enkripsi AD RMS, fitur manajemen data seperti klasifikasi berbasis pencarian atau konten tidak lagi tersedia untuk file tersebut.

Dalam skenario ini

Berikut ini adalah panduan yang tersedia untuk skenario ini:

• Pertimbangan Perencanaan untuk Enkripsi Dokumen Office

• Menyebarkan Enkripsi File Office (Langkah Demonstrasi)

• Kontrol Akses Dinamis: Gambaran Umum Skenario

Peran dan fitur yang disertakan dalam skenario ini

Tabel berikut mencantumkan peran dan fitur yang merupakan bagian dari skenario ini dan menjelaskan bagaimana mereka mendukungnya.

Peran/fitur	Cara mendukung skenario ini
Peran Active Directory Domain Services (AD DS)	AD DS menyediakan database terdistribusi yang menyimpan dan mengelola informasi tentang sumber daya jaringan dan data khusus aplikasi dari aplikasi yang diaktifkan direktori. Dalam skenario ini, AD DS di Windows Server 2012 memperkenalkan platform otorisasi berbasis klaim yang memungkinkan pembuatan klaim pengguna dan klaim perangkat, identitas campuran (klaim pengguna ditambah perangkat), model kebijakan akses pusat baru, dan penggunaan informasi klasifikasi file dalam keputusan otorisasi.
Peran Layanan File dan Penyimpanan Resource Manager Server File	Layanan File dan Penyimpanan menyediakan teknologi untuk membantu Anda menyiapkan dan mengelola satu atau beberapa server file yang menyediakan lokasi pusat di jaringan Anda tempat Anda dapat menyimpan file dan membagikannya dengan pengguna. Jika pengguna jaringan Anda memerlukan akses ke file dan aplikasi yang sama, atau jika pencadangan terpusat dan manajemen file penting bagi organisasi Anda, Anda harus menyiapkan satu atau beberapa komputer sebagai server file dengan menambahkan peran Layanan File dan Penyimpanan dan layanan peran yang sesuai ke komputer. Dalam skenario ini, administrator server file dapat mengonfigurasi tugas manajemen file yang memanggil perlindungan AD RMS untuk dokumen sensitif beberapa detik setelah file diidentifikasi sebagai file sensitif di server file (tugas manajemen file berkelanjutan di server file).
peran Layanan Active Directory Rights Management (AD RMS)	AD RMS memungkinkan individu dan administrator (melalui kebijakan Manajemen Hak Informasi (IRM) untuk menentukan izin akses ke dokumen, buku kerja, dan presentasi. Ini membantu mencegah informasi sensitif dicetak, diteruskan, atau disalin oleh orang yang tidak berwenang. Setelah izin untuk file dibatasi dengan menggunakan IRM, pembatasan akses dan penggunaan diberlakukan di mana pun informasi berada, karena izin ke file disimpan dalam file dokumen itu sendiri. Dalam skenario ini, enkripsi AD RMS menyediakan lapisan perlindungan lain untuk file. Bahkan jika seseorang dengan akses ke file sensitif secara tidak sengaja mengirim file tersebut melalui email, file dilindungi oleh enkripsi AD RMS. Pengguna yang ingin mengakses file harus terlebih dahulu mengautentikasi diri mereka ke server AD RMS untuk menerima kunci dekripsi.