Dela via


Scenario: Klassificeringsbaserad kryptering för Office-dokument

 

Gäller för: Windows Server 2012

Att skydda känslig information handlar främst om att minimera risk för organisationen. Diverse förordningar, som Health Insurance Portability and Accountability Act (HIPAA) och Payment Card Industry Data Security Standard (PCI-DSS), förordar kryptering av information och det finns flera affärs-skäl att kryptera känslig affärsinformation. Informationskryptering är dock dyrt och kan försämra företagsproduktiviteten. Därmed tenderar organisationer att ha olika strategier och prioriteringar när det gäller kryptering av information.

Scenariobeskrivning

Windows Server 2012 ger dig möjlighet att automatiskt kryptera känsliga Microsoft Office-filer baserat på deras klassificering. Det här görs via filhanteringsaktiviteter som anropar Active Directory Rights Management Server (AD RMS)-skydd för känsliga handlingar några sekunder efter att filen identifieras som en känslig fil på filservern. Detta möjliggörs med hjälp av kontinuerliga filhanteringsaktiviteter på filservern.

AD RMS-kryptering ger ett ytterligare skyddslager för filer. Även om en person med tillgång till en känslig fil oavsiktligt skulle skicka den via e-post så skyddas filen av AD RMS-kryptering. Användare som vill ha åtkomst till filen måste först autentisera sig gentemot en AD RMS-server för att ta emot krypteringsnyckeln. Följande bild visar den här processen.

Bild 6

Figure 6   Klassificeringsbaserat RMS-skydd

Stöd för filformat som inte är från Microsoft stöds via andra leverantörer än Microsoft. När en fil väl skyddats av AD RMS-kryptering, är funktioner för datahantering, till exempel sök- eller innehållsbaserad klassificering inte längre tillgängliga för den filen.

I detta scenario

Nedan följer de riktlinjer som finns i det här scenariot:

Roller och funktioner som ingår i det här scenariot

Följande tabell listar de roller och funktioner som ingår i det här scenariot samt en beskrivning av hur de stöder det.

Roll/funktion

Hur den stöds i detta scenario

Active Directory Domain Services rollen (AD DS)

AD DS tillhandahåller en distribuerad databas som lagrar och hanterar information om nätverksresurser och programspecifik data från katalogaktiverade applikationer. I det här scenariot, introducerar AD DS i Windows Server 2012 en anspråksbaserad auktoriseringsplattform som gör det möjligt att skapa användaranspråk och enhetsanspråk, sammansatta identiteter (användare plus enhetsanspråk), en ny central modell för åtkomstpolicys och användandet av information om filklassificering i auktoriseringsbeslut.

Rollen Fil- och lagringstjänster

Hanteraren för filserverresurser

Fil- och lagringstjänster tillhandahåller tekniker för att hjälpa dig ställa in och hantera en eller flera filservrar som tillhandahåller centrala platser på ditt nätverk att lagra filer och dela dem med användare. Om dina nätverksanvändare behöver åtkomst till samma filer och program, eller om centraliserad säkerhetskopiering och filhantering är viktigt för organisationen så bör du ställa in en eller flera datorer som filservrar genom att lägga till rollen fil- och lagringstjänster och tillämpliga rolltjänster på datorerna. I det här scenariot kan filserveradministratörer konfigurera filhanteringsaktiviteter som anropar AD RMS-skydd för känsliga handlingar några sekunder efter att filen identifieras som en känslig fil på filservern (kontinuerliga filhanteringsaktiviteter på servern).

Rollen Active Directory Rights Management Services (AD RMS)

Med AD RMS kan enskilda personer och administratörer (via Information Rights Management (IRM)-principer) ange åtkomstbehörigheter till dokument, arbetsböcker och presentationer. Detta förhindrar känslig information från att skrivas ut, vidarebefordras eller kopieras av obehöriga. När behörigheten för en fil har begränsats med hjälp av IRM så tillämpas begränsningar för åtkomst till och användning av filen, oavsett var informationen finns, eftersom behörigheten till filen lagras i själva filen. I det här scenariot ger AD RMS-krypteringen ett extra skyddslager för filerna. Även om en person med tillgång till en känslig fil oavsiktligt skulle skicka den via e-post så skyddas filen av AD RMS-kryptering. Användare som vill ha åtkomst till filen måste först autentisera sig gentemot en AD RMS-server för att ta emot krypteringsnyckeln.