Condividi tramite

Distribuire la crittografia dei file di Office (passaggi dimostrativi)

Reparto finanziario di Contoso ha un numero di file server che archiviano i propri documenti. che spaziano dalla documentazione generale a documenti ad alto impatto aziendale (HBI). Ad esempio, i documenti che contengono informazioni riservate sono classificati da Contoso come documenti HBI. L'azienda vuole che tutta la documentazione abbia un minimo di protezione e che tutta la documentazione HBI sia accessibile solo dalle persone autorizzate. A tale scopo, Contoso sta prendendo in considerazione utilizzando l'infrastruttura di classificazione File (FCI) e AD RMS è disponibile in Windows Server 2012. Infrastruttura di classificazione file consentirà a Contoso di classificare tutti i documenti archiviati nei file server in base al contenuto, mentre AD RMS consentirà di applicare i criteri per i diritti di utilizzo appropriati.

In questo scenario si eseguirà la procedura seguente:

Attività Descrizione
Abilitare le proprietà delle risorse Abilitare le proprietà della risorsa Impatto e Informazioni personali .
Creare regole di classificazione Creare le regole di classificazione seguenti: Regola di classificazione HBI e Regola di classificazione PII.
Usare le attività di gestione dei file per proteggere automaticamente i documenti con AD RMS Creare un'attività di gestione file che usa automaticamente AD RMS per proteggere i documenti che contengono informazioni personali (PII). Solo i membri del gruppo FinanceAdmin avranno accesso ai documenti classificati come High PII.
Visualizzare i risultati Esaminare la classificazione dei documenti e osservare come cambia in base alla modifica del contenuto. Verificare inoltre la protezione applicata al documento tramite AD RMS.
Verificare la protezione di AD RMS Verificare che il documento sia protetto con AD RMS.

Passaggio 1: Abilitare le proprietà delle risorse

Per abilitare le proprietà delle risorse

  1. Nella console di gestione di Hyper-V connettersi al server ID_AD_DC1. Accedere al server usando Contoso\Administrator con la password pass@word1.

  2. Aprire centro di amministrazione di Active Directory e fare clic su Visualizzazione albero.

  3. Espandere DYNAMIC ACCESS CONTROL e selezionare Proprietà risorsa.

  4. Scorrere verso il basso fino alla proprietà Impact nella colonna Nome visualizzato . Fare clic con il pulsante destro del mouse su Impatto, quindi scegliere Abilita.

  5. Scorrere verso il basso fino alla proprietà Informazioni personali nella colonna Nome visualizzato . Fare clic con il pulsante destro del mouse su Informazioni personali, quindi scegliere Abilita.

  6. Per pubblicare le proprietà della risorsa nell'elenco risorse globali, nel riquadro sinistro fare clic su Elenchi proprietà risorsa e quindi fare doppio clic su Elenco proprietà risorse globali.

  7. Fare clic su Aggiungi, quindi scorrere verso il basso e fare clic su Impatto per aggiungerlo all'elenco. Eseguire la stessa operazione per le informazioni personali. Fare clic due volte su OK per terminare.

guide alla soluzione comandi equivalenti di Windows PowerShell

Il cmdlet o i cmdlet di Windows PowerShell seguenti eseguono la stessa funzione della procedura precedente. Immettere ogni cmdlet in una singola riga, anche se qui può sembrare che siano divisi su più righe a causa di vincoli di formattazione.

Set-ADResourceProperty -Enabled:$true -Identity:"CN=Impact_MS,CN=Resource Properties,CN=Claims Configuration,CN=Services,CN=Configuration,DC=contoso,DC=com"
Set-ADResourceProperty -Enabled:$true -Identity:"CN=PII_MS,CN=Resource Properties,CN=Claims Configuration,CN=Services,CN=Configuration,DC=contoso,DC=com"

Passaggio 2: Creare regole di classificazione

Questo passaggio illustra come creare la regola di classificazione high impact . Questa regola cerca nel contenuto dei documenti e se viene trovata la stringa "Contoso Confidential", classifica il documento come ad alto impatto aziendale. Questa classificazione ha la precedenza su un'eventuale classificazione di basso impatto aziendale assegnata in precedenza.

Creerai anche una regola ad alto PII. Questa regola cerca nel contenuto dei documenti e, se trova un codice fiscale, classifica il documento che lo contiene come High PII.

Per creare la regola di classificazione High Impact

  1. Nella console di gestione di Hyper-V connettersi al server ID_AD_FILE1. Accedere al server usando Contoso\Administrator con la password pass@word1.

  2. È necessario aggiornare le proprietà delle risorse globali da Active Directory. Aprire Windows PowerShell, digitare Update-FSRMClassificationPropertyDefinitione quindi premere INVIO. Chiudere Windows PowerShell.

  3. Aprire Gestione risorse file server. Per aprire Gestione risorse file server, fare clic su Start, digitare Gestione risorse file server e quindi fare clic su Gestione risorse file server.

  4. Nel riquadro sinistro di Gestione risorse file server espandere Gestione classificazione e quindi selezionare Regole di classificazione.

  5. Nel riquadro Azioni fare clic su Configura pianificazione classificazione. Nella scheda Classificazione automatica selezionare Abilita pianificazione fissa, selezionare un giorno della settimana e quindi selezionare la casella di controllo Consenti classificazione continua per i nuovi file . Fare clic su OK.

  6. Nel riquadro Azioni fare clic su Crea regola di classificazione. Verrà visualizzata la finestra di dialogo Crea regola di classificazione .

  7. Nella casella Nome regola digitare High Business Impact.

  8. Nella casella Descrizione digitare Determina se il documento ha un impatto aziendale elevato in base alla presenza della stringa "Contoso Confidential"

  9. Nella scheda Ambito fare clic su Imposta proprietà gestione cartelle, selezionare Utilizzo cartelle, fare clic su Aggiungi, quindi su Sfoglia, passare a D:\Finance Documents come percorso, fare clic su OK, quindi scegliere un valore di proprietà denominato File di gruppo e fare clic su Chiudi. Dopo aver impostato le proprietà di gestione, nella scheda Ambito regola selezionare File di gruppo.

  10. Fare clic sulla scheda Classificazione . In Scegliere un metodo per assegnare la proprietà ai file selezionare Classificatore di contenuto nell'elenco a discesa.

  11. In Scegliere una proprietà da assegnare ai file selezionare Impatto nell'elenco a discesa.

  12. In Specificare un valore selezionare Alto nell'elenco a discesa.

  13. Fare clic su Configura in Parametri. Nella finestra di dialogo Parametri di classificazione selezionare String nell'elenco Tipo di espressione. Nella casella Espressione digitare Contoso Confidential e quindi fare clic su OK.

  14. Fare clic sulla scheda Tipo di valutazione . Fare clic su Rivalutare i valori delle proprietà esistenti, fare clic su Sovrascriviil valore esistente e quindi fare clic su OK per terminare.

guide alla soluzione comandi equivalenti di Windows PowerShell

Il cmdlet o i cmdlet di Windows PowerShell seguenti eseguono la stessa funzione della procedura precedente. Immettere ogni cmdlet in una singola riga, anche se qui può sembrare che siano divisi su più righe a causa di vincoli di formattazione.

Update-FSRMClassificationPropertyDefinition
$date = Get-Date
$AutomaticClassificationScheduledTask = New-FsrmScheduledTask -Time $date -Weekly @(3, 2, 4, 5,1,6,0) -RunDuration 0;
Set-FsrmClassification -Continuous -schedule $AutomaticClassificationScheduledTask
New-FSRMClassificationRule -Name "High Business Impact" -Property "Impact_MS" -Description "Determines if the document has a high business impact based on the presence of the string 'Contoso Confidential'" -PropertyValue "3000" -Namespace @("D:\Finance Documents") -ClassificationMechanism "Content Classifier" -Parameters @("StringEx=Min=1;Expr=Contoso Confidential") -ReevaluateProperty Overwrite

Per creare la regola di classificazione High PII

  1. Nella console di gestione di Hyper-V connettersi al server ID_AD_FILE1. Accedere al server usando Contoso\Administrator con la password pass@word1.

  2. Sul desktop aprire la cartella denominata Espressioni regolari e quindi aprire il documento di testo denominato RegEx-SSN. Evidenziare e copiare la stringa di espressione regolare seguente: ^(?!000)([0-7]\d{2}|7([0-7]\d|7[012]))([ -]?)(?!00)\d\d\3(?!0000)\d{4}$. Poiché questa stringa verrà usata più avanti in questo passaggio, tenerla negli Appunti.

  3. Aprire Gestione risorse file server. Per aprire Gestione risorse file server, fare clic su Start, digitare Gestione risorse file server e quindi fare clic su Gestione risorse file server.

  4. Nel riquadro sinistro di Gestione risorse file server espandere Gestione classificazione e quindi selezionare Regole di classificazione.

  5. Nel riquadro Azioni fare clic su Configura pianificazione classificazione. Nella scheda Classificazione automatica selezionare Abilita pianificazione fissa, selezionare un giorno della settimana e quindi selezionare la casella di controllo Consenti classificazione continua per i nuovi file . Fare clic su OK.

  6. Nella casella Nome regola digitare High PII. Nella casella Descrizione digitare Determina se il documento ha un numero di informazioni personali elevato in base alla presenza di un numero di previdenza sociale.

  7. Fare clic sulla scheda Ambito e selezionare la casella di controllo File di gruppo .

  8. Fare clic sulla scheda Classificazione . In Scegliere un metodo per assegnare la proprietà ai file selezionare Classificatore di contenuto nell'elenco a discesa.

  9. In Scegliere una proprietà da assegnare ai fileselezionare Informazioni personali dall'elenco a discesa.

  10. In Specificare un valore selezionare Alto nell'elenco a discesa.

  11. Fare clic su Configura in Parametri. Nell'elenco Tipo di espressione della finestra Parametri di classificazioneselezionare Espressione regolare. Nella casella Espressione incollare il testo dagli appunti: ^(?! 000)([0-7]\d{2}|7([0-7]\d|7[012]))([ -]?)(?! 00)\d\d\3(?! 0000)\d{4}$, quindi cliccare su OK.

    Nota

    Questa espressione consente di immettere codici fiscali non validi. In questo modo sarà possibile usare codici fiscali fittizi nella dimostrazione.

  12. Fare clic sulla scheda Tipo di valutazione . Selezionare Rivalutare i valori delle proprietà esistenti, Sovrascrivereil valore esistente e quindi fare clic su OK per terminare.

guide alla soluzione comandi equivalenti di Windows PowerShell

Il cmdlet o i cmdlet di Windows PowerShell seguenti eseguono la stessa funzione della procedura precedente. Immettere ogni cmdlet in una singola riga, anche se qui può sembrare che siano divisi su più righe a causa di vincoli di formattazione.

New-FSRMClassificationRule -Name "High PII" -Description "Determines if the document has a high PII based on the presence of a Social Security Number." -Property "PII_MS" -PropertyValue "5000" -Namespace @("D:\Finance Documents") -ClassificationMechanism "Content Classifier" -Parameters @("RegularExpressionEx=Min=1;Expr=^(?!000)([0-7]\d{2}|7([0-7]\d|7[012]))([ -]?)(?!00)\d\d\3(?!0000)\d{4}$") -ReevaluateProperty Overwrite

A questo punto dovrebbero essere presenti due regole di classificazione:

  • Impatto aziendale elevato

  • Dati personali ad alto rischio

Passaggio 3: Usare le attività di gestione file per proteggere automaticamente i documenti con AD RMS

Ora che avete creato le regole per classificare automaticamente i documenti in base al contenuto, il passaggio successivo consiste nel creare un'attività di gestione di file che usa AD RMS per proteggere automaticamente determinati documenti in base alla relativa classificazione. In questo passaggio verrà creata un'attività di gestione file che protegge automaticamente i documenti classificati come High PII. Solo i membri del gruppo FinanceAdmin avranno accesso ai documenti classificati come High PII.

Per proteggere i documenti con AD RMS

  1. Nella console di gestione di Hyper-V connettersi al server ID_AD_FILE1. Accedere al server usando Contoso\Administrator con la password pass@word1.

  2. Aprire Gestione risorse file server. Per aprire Gestione risorse file server, fare clic su Start, digitare Gestione risorse file server e quindi fare clic su Gestione risorse file server.

  3. Nel riquadro sinistro selezionare Attività di gestione file. Nel riquadro Azioni selezionare Crea attività gestione file.

  4. Nel campo Nome attività: digitare High PII. Nel campo Descrizione digitare Protezione AUTOMATICA RMS per documenti con informazioni personali elevate.

  5. Fare clic sulla scheda Ambito e selezionare la casella di controllo File di gruppo .

  6. Fare clic sulla scheda Azione . In Tipo selezionare Crittografia RMS. Fare clic su Sfoglia per selezionare un modello e quindi selezionare il modello Solo amministratore Contoso Finance .

  7. Fare clic sulla scheda Condizione e quindi su Aggiungi. In Proprietà selezionare Informazioni personali. Sotto Operatore, selezionare Uguale. In Valore selezionare Alto. Fare clic su OK.

  8. Fare clic sulla scheda Pianificazione . Nella sezione Pianificazione fare clic su Settimanale e quindi selezionare Domenica. L'esecuzione settimanale dell'attività assicura l'individuazione di eventuali documenti che potrebbero essere sfuggiti a causa di un'interruzione del servizio o di altri eventi.

  9. Nella sezione Operazione continua selezionare Esegui attività in modo continuo sui nuovi file e quindi fare clic su OK. A questo punto dovrebbe essere presente un'attività di gestione file denominata High PII.

guide alla soluzione comandi equivalenti di Windows PowerShell

Il cmdlet o i cmdlet di Windows PowerShell seguenti eseguono la stessa funzione della procedura precedente. Immettere ogni cmdlet in una singola riga, anche se qui può sembrare che siano divisi su più righe a causa di vincoli di formattazione.

$fmjRmsEncryption = New-FSRMFmjAction -Type 'Rms' -RmsTemplate 'Contoso Finance Admin Only'
$fmjCondition1 = New-FSRMFmjCondition -Property 'PII_MS' -Condition 'Equal' -Value '5000'
$date = get-date
$schedule = New-FsrmScheduledTask -Time $date -Weekly @('Sunday')
$fmj1=New-FSRMFileManagementJob -Name "High PII" -Description "Automatic RMS protection for high PII documents" -Namespace @('D:\Finance Documents') -Action $fmjRmsEncryption -Schedule $schedule -Continuous -Condition @($fmjCondition1)

Passaggio 4: Visualizzare i risultati

È necessario osservare la nuova classificazione automatica e regole di protezione di AD RMS in azione. In questo passaggio verrà esaminata la classificazione dei documenti e si osserverà come cambia in base alla modifica del contenuto.

Per visualizzare i risultati

  1. Nella console di gestione di Hyper-V connettersi al server ID_AD_FILE1. Accedere al server usando Contoso\Administrator con la password pass@word1.

  2. In Esplora risorse passare a D:\Finance Documents.

  3. Fare clic con il pulsante destro del mouse sul documento Finance Memo e scegliere Proprietà. Fare clic sulla scheda Classificazione e notare che la proprietà Impact non ha attualmente alcun valore. Fare clic su Annulla.

  4. Fare clic con il pulsante destro del mouse sul documento Richiedi approvazione per l'assunzione e quindi scegliere Proprietà.

  5. Fare clic sulla scheda Classificazione e notare che la proprietà Informazioni personali non ha attualmente alcun valore. Fare clic su Annulla.

  6. Passare a CLIENT1. Disconnettere qualsiasi utente attualmente connesso e quindi eseguire l'accesso come Contoso\MReid con la password pass@word1.

  7. Dal desktop aprire la cartella condivisa Documenti finanziari .

  8. Aprire il documento Finance Memo . Nella parte inferiore del documento verrà visualizzata la parola Riservato. Modificare in: Contoso Confidential. Salvare il documento e chiuderlo.

  9. Aprire il documento Richiesta di approvazione per l'assunzione . Nella sezione Previdenza sociale#: digitare: 777-77-7777. Salvare il documento e chiuderlo.

    Nota

    L'applicazione della classificazione può richiedere circa 30 secondi.

  10. Tornare a ID_AD_FILE1. In Esplora risorse passare a D:\Finance Documents.

  11. Fare clic con il pulsante destro del mouse sul documento Finance Memo e scegliere Proprietà. Fare clic sulla scheda Classificazione . Si noti che la proprietà Impact è ora impostata su Alto. Fare clic su Annulla.

  12. Fare clic con il pulsante destro del mouse sul documento Richiesta di approvazione per assumere e scegliere Proprietà.

  13. . Fare clic sulla scheda Classificazione . Si noti che la proprietà Personally Identifiable Information è ora impostata su High. Fare clic su Annulla.

Passaggio 5: Verificare la protezione con AD RMS

Per verificare che il documento sia protetto

  1. Tornare a ID_AD_CLIENT1.

  2. Aprire il documento Richiedi approvazione per l'assunzione .

  3. Fare clic su OK per consentire al documento di connettersi al server AD RMS.

  4. È ora possibile vedere che il documento è stato protetto con AD RMS poiché contiene un codice fiscale.