Cenário: Encriptação Baseada na Classificação para Documentos do Office
Aplica-se a: Windows Server 2012
A proteção de informações confidenciais serve principalmente para mitigar o risco para a organização. Existem várias normas de conformidade, como a lei HIPAA (Health Insurance Portability and Accountability Act) e a norma PCI-DSS (Payment Card Industry Data Security Standard), que estipulam a encriptação da informação, e existem inúmeras razões comerciais para encriptar informações comerciais confidenciais. No entanto, a encriptação de informação é cara e pode prejudicar a produtividade da empresa. Por isso, as organizações tendem a ter diferentes abordagens e prioridades para encriptar as suas informações.
Descrição do cenário
O Windows Server 2012 permite encriptar automaticamente ficheiros confidenciais do Microsoft Office, com base na respetiva classificação. Isto é feito através de tarefas de gestão de ficheiros que invocam a proteção dos Rights Management Services do Active Directory (AD RMS) para documentos confidenciais poucos segundos depois de o ficheiro ser identificado como confidencial no servidor de ficheiros. Este processo é facilitado por tarefas contínuas de gestão de ficheiros no servidor de ficheiros.
A encriptação do AD RMS proporciona mais uma camada de proteção aos ficheiros. Mesmo que uma pessoa com acesso a um ficheiro confidencial envie inadvertidamente esse ficheiro por e-mail, o ficheiro está protegido pela encriptação do AD RMS. Os utilizadores que querem aceder ao ficheiro têm de fazer primeiro a autenticação num servidor do AD RMS para receberem a chave de desencriptação. A figura que se segue mostra esse processo.
Figura 6 Proteção do RMS baseada na classificação
O suporte de formatos de ficheiro que não sejam da Microsoft está disponível através de fornecedores que não sejam da Microsoft. Depois de um ficheiro ter sido protegido pela encriptação do AD RMS, as funcionalidades de gestão de dados, como a classificação baseada no conteúdo ou na procura, deixam de estar disponíveis para esse ficheiro.
Neste cenário
Segue-se a documentação de orientação disponível para este cenário:
Considerações de Planeamento para Encriptação de Documentos do Office
Implementar a Encriptação de Ficheiros do Office (Passos de Demonstração)
Funções e funcionalidades incluídas neste cenário
A tabela seguinte apresenta as funções e funcionalidades incluídas neste cenário e descreve o modo como o suportam.
Função/funcionalidade |
Como suporta este cenário |
---|---|
Função Serviços de Domínio do Active Directory (AD DS) |
O AD DS fornece uma base de dados distribuída que armazena e gere informações sobre recursos de rede e dados específicos de aplicações com suporte de diretório. Neste cenário, o AD DS no Windows Server 2012 introduz uma plataforma de autorização baseada em afirmações que permite a criação de afirmações de utilizador e afirmações de dispositivo, identidade composta (afirmações de utilizador e de dispositivo), novo modelo de políticas de acesso central (CAP) e a utilização informações de classificação de ficheiros em decisões de autorização. |
Função Serviços de Ficheiros e Armazenamento Gestor de Recursos do Servidor de Ficheiros |
Os Serviços de Ficheiros e Armazenamento fornecem tecnologias para ajudar a configurar e gerir um ou mais servidores de ficheiros que fornecem localizações centrais na sua rede onde pode armazenar ficheiros e partilhá-los com os utilizadores. Se os utilizadores da rede precisarem de acesso aos mesmos ficheiros e aplicações, ou se a gestão centralizada de ficheiros e cópias de segurança for importante para a sua organização, deve configurar um ou mais computadores como servidor de ficheiros adicionando a função Serviços de Ficheiros e Armazenamento e os serviços de função apropriados aos computadores. Neste cenário, os administradores do servidor de ficheiros podem configurar tarefas de gestão de ficheiros que invocam a proteção do AD RMS para documentos confidenciais poucos segundos depois de o ficheiro ser identificado como sendo confidencial no servidor de ficheiros (tarefas contínuas de gestão de ficheiros no servidor de ficheiros). |
Função Rights Management Services do Active Directory (AD RMS) |
O AD RMS permite que indivíduos e administradores, através de políticas de Gestão de Direitos de Informação (IRM), especifiquem permissões de acesso a documentos, livros e apresentações. Isto ajuda a impedir que as informações confidenciais sejam impressas, encaminhadas ou copiadas por pessoas não autorizadas. Depois de limitada a permissão de acesso a um ficheiro pela IRM, as restrições de acesso e utilização são impostas independentemente da localização das informações porque a permissão de acesso a um ficheiro está armazenada no próprio ficheiro do documento. Neste cenário, a encriptação do AD RMS proporciona mais uma camada de proteção aos ficheiros. Mesmo que uma pessoa com acesso a um ficheiro confidencial envie inadvertidamente esse ficheiro por e-mail, o ficheiro está protegido pela encriptação do AD RMS. Os utilizadores que querem aceder ao ficheiro têm de fazer primeiro a autenticação num servidor do AD RMS para receberem a chave de desencriptação. |