Senaryo: Office Belgeleri için Sınıflandırmaya Dayalı Şifreleme

Makale
06/11/2016

Uygulama Alanı: Windows Server 2012

Hassas bilgilerin korunması esas olarak kuruluş için riskin azaltılmasıyla ilgilidir. Sağlık Sigortası Taşınabilirlik ve Sorumluluk Yasası (HIPAA) ve Ödeme Kartı Sektör Veri Güvenliği Standardı (PCI-DSS) gibi çeşitli uyumluluk düzenlemeleri bilgilerin şifrelenmesini gerektirir ve hassas iş bilgilerinin şifrelenmesi için işle ilgili pek çok neden vardır. Bununla birlikte, bilgilerin şifrelenmesi pahalıdır ve iş üretkenliğini engelleyebilir. Bu nedenle, kuruluşlar, bilgilerini şifrelemek için farklı yaklaşımlara ve önceliklere sahip olma eğilimi gösterir.

Senaryo açıklaması

Windows Server 2012 hassas Microsoft Office dosyalarını sınıflarına dayalı olarak otomatik olarak şifreleme olanağı sağlar. Bu, dosya sunucusunda dosya hassas bir dosya olarak tanımlandıktan birkaç saniye sonra, hassas bilgiler için Active Directory Rights Management Services (AD RMS) korumasını harekete geçiren dosya yönetim görevleri kullanılarak yapılır. Bu da dosya sunucusunda sürekli dosya yönetim görevleri sayesinde kolaylaşır.

AD RMS şifrelemesi dosyalar için bir başka koruma katmanı sağlar. Hassas bir dosyaya erişimi olan bir kişi yanlışlıkla bu dosyayı e-postayla gönderse bile, dosya AD RMS şifrelemesi tarafından korunur. Dosyaya erişmek isteyen kullanıcıların önce kendilerini bir AD RMS sunucusuna tanıtarak şifre çözme anahtarını almaları gerekir. Aşağıdaki şekilde bu işlem görülmektedir.

Resim 6

Şekil 6 Sınıflandırma temelinde RMS koruması

Microsoft dışı dosya biçimleri için destek Microsoft dışı sağlayıcılardan alınır. Bir dosya AD RMS şifrelemesiyle korumaya alındıktan sonra, arama tabanlı veya içerik tabanlı sınıflandırma gibi veri yönetim özellikleri bu dosya için artık kullanılamaz.

Bu senaryoda

Aşağıda bu senaryo için kullanılabilecek yönergeler verilmiştir:

Bu senaryoya dahil edilen roller ve özellikler

Aşağıdaki tabloda, bu senaryonun parçası olan rol ve özellikler ve rolleri listelenmiş ve nasıl destekledikleri açıklanmıştır.

Rol/özellik	Bu senaryoyu nasıl destekler?
Active Directory Etki Alanı Hizmetleri rolü (AD DS)	AD DS, ağ kaynaklarıyla ilgili bilgileri ve dizin özellikli uygulamalardan uygulamaya özgü verileri depolamak ve yönetmek için dağıtılmış bir veritabanı sağlar. Bu senaryoda, Windows Server 2012 içindeki AD DS, kullanıcı talepleri ve cihaz talepleri, bileşik kimlik (kullanıcı ve cihaz talepleri), yeni bir merkezi erişim ilkeleri modeli oluşturmaya, yetkilendirme kararlarında dosya sınıflandırma bilgileri kullanımına olanak sağlayan talep tabanlı bir yetkilendirme platformu sunar.
Dosya ve Depolama Hizmetleri rolü Dosya Sunucusu Kaynak Yöneticisi	Dosya ve Depolama Hizmetleri, ağınızda dosya depolamak ve kullanıcılarla paylaşmak için kullanabileceğiniz merkezi konumlar sağlayan bir veya daha fazla dosya sunucusu ayarlamanıza yardımcı olan teknolojiler sağlar. Ağ kullanıcılarınızın aynı dosya ve uygulamalara erişmesi gerekiyorsa veya merkezi yedekleme ve dosya yönetimi kuruluşunuz için önemliyse, Dosya ve Depolama Hizmetleri rolünü ve ilgili rol hizmetlerini ekleyerek bir veya daha fazla bilgisayarı dosya sunucusu olarak kurmanız gerekir. Bu senaryoda, dosyayı sunucusu yöneticileri, dosya sunucusunda hassas dosya olarak tanımlandıktan birkaç saniye sonra hassas belgeler için AD RMS korumasını harekete geçiren dosya yönetim görevleri (dosya sunucusundaki sürekli dosya yönetim görevleri) yapılandırabilirler.
Active Directory Rights Management Services (AD RMS) rolü	AD RMS kişilerin ve yöneticilerin (Bilgi Hakları Yönetimi (IRM) ilkeleri kullanarak) belgelere, çalışma kitaplarına ve sunulara erişim izinleri tanımlamalarına olanak sağlar. Bu, gizli bilgilerin yetkisiz kişiler tarafından yazdırılması, iletilmesi veya kopyalanmasının önlenmesine yardımcı olur. IRM kullanılarak bir dosyayla ilgili izinler kısıtlandıktan sonra, dosyayla ilgili izin belge dosyasının kendisinde saklandığından, bilgiler nerede olursa olsun erişim ve kullanım kısıtlamaları yürürlükte olur. Bu senaryoda, AD RMS şifrelemesi dosyalar için bir başka koruma katmanı sağlar. Hassas bir dosyaya erişimi olan bir kişi yanlışlıkla bu dosyayı e-postayla gönderse bile, dosya AD RMS şifrelemesi tarafından korunur. Dosyaya erişmek isteyen kullanıcıların önce kendilerini bir AD RMS sunucusuna tanıtarak şifre çözme anahtarını almaları gerekir.

Active Directory Etki Alanı Hizmetleri rolü (AD DS)

AD DS, ağ kaynaklarıyla ilgili bilgileri ve dizin özellikli uygulamalardan uygulamaya özgü verileri depolamak ve yönetmek için dağıtılmış bir veritabanı sağlar. Bu senaryoda, Windows Server 2012 içindeki AD DS, kullanıcı talepleri ve cihaz talepleri, bileşik kimlik (kullanıcı ve cihaz talepleri), yeni bir merkezi erişim ilkeleri modeli oluşturmaya, yetkilendirme kararlarında dosya sınıflandırma bilgileri kullanımına olanak sağlayan talep tabanlı bir yetkilendirme platformu sunar.

Dosya ve Depolama Hizmetleri rolü

Dosya Sunucusu Kaynak Yöneticisi

Dosya ve Depolama Hizmetleri, ağınızda dosya depolamak ve kullanıcılarla paylaşmak için kullanabileceğiniz merkezi konumlar sağlayan bir veya daha fazla dosya sunucusu ayarlamanıza yardımcı olan teknolojiler sağlar. Ağ kullanıcılarınızın aynı dosya ve uygulamalara erişmesi gerekiyorsa veya merkezi yedekleme ve dosya yönetimi kuruluşunuz için önemliyse, Dosya ve Depolama Hizmetleri rolünü ve ilgili rol hizmetlerini ekleyerek bir veya daha fazla bilgisayarı dosya sunucusu olarak kurmanız gerekir. Bu senaryoda, dosyayı sunucusu yöneticileri, dosya sunucusunda hassas dosya olarak tanımlandıktan birkaç saniye sonra hassas belgeler için AD RMS korumasını harekete geçiren dosya yönetim görevleri (dosya sunucusundaki sürekli dosya yönetim görevleri) yapılandırabilirler.

Active Directory Rights Management Services (AD RMS) rolü

AD RMS kişilerin ve yöneticilerin (Bilgi Hakları Yönetimi (IRM) ilkeleri kullanarak) belgelere, çalışma kitaplarına ve sunulara erişim izinleri tanımlamalarına olanak sağlar. Bu, gizli bilgilerin yetkisiz kişiler tarafından yazdırılması, iletilmesi veya kopyalanmasının önlenmesine yardımcı olur. IRM kullanılarak bir dosyayla ilgili izinler kısıtlandıktan sonra, dosyayla ilgili izin belge dosyasının kendisinde saklandığından, bilgiler nerede olursa olsun erişim ve kullanım kısıtlamaları yürürlükte olur. Bu senaryoda, AD RMS şifrelemesi dosyalar için bir başka koruma katmanı sağlar. Hassas bir dosyaya erişimi olan bir kişi yanlışlıkla bu dosyayı e-postayla gönderse bile, dosya AD RMS şifrelemesi tarafından korunur. Dosyaya erişmek isteyen kullanıcıların önce kendilerini bir AD RMS sunucusuna tanıtarak şifre çözme anahtarını almaları gerekir.

Aracılığıyla paylaş

Senaryo: Office Belgeleri için Sınıflandırmaya Dayalı Şifreleme

Senaryo açıklaması

Bu senaryoda

Bu senaryoya dahil edilen roller ve özellikler

Ek kaynaklar