通过

在 Exchange 2013 中使用文档指纹保护表单数据

  • 项目

适用于: Exchange Server 2013

如果贵组织使用表单收集敏感信息,用户可能会尝试将这些表单通过电子邮件发送给外部联系人,这就构成了安全风险。 Exchange 中的数据丢失防护 (DLP) 可以帮助您通过文档指纹检测此风险,以保护这些敏感信息。 要使用文档指纹,只需上载一个空白表单,例如知识产权文档、政府表单或组织内使用的其他标准表单。 然后将生成的文档指纹添加到 DLP 策略或传输规则。 方法如下:

文档指纹识别

使用 EAC 创建文档指纹

突出显示了 EAC 中文档指纹识别的路径。

  1. 在 Exchange 管理中心 EAC 中,转到 合规性管理>数据丢失防护

  2. 单击“管理文档指纹”

  3. 在文档指纹页上,单击“ 新建添加图标”。 创建新的文档指纹。

  4. 为文档指纹提供 “名称”“说明”。 (所选名称将显示在敏感信息类型 list.)

  5. 若要上传表单,请单击“添加”图标。

  6. 选择表单,然后单击“打开”。 (请确保上传的文件包含文本、不受密码保护,并且属于传输规则支持的文件类型之一。有关支持的文件类型列表,请参阅 使用传输规则检查邮件附件。否则,在尝试创建 fingerprint.) 要添加到此文档指纹的文档列表的任何其他文件重复创建时,会出现错误。 稍后您也可以向此文档指纹添加文件或从中删除文件。

  7. 单击保存

文档指纹现在是敏感信息类型的一部分,你可以将其添加到 DLP 策略,或者通过 “邮件包含敏感信息...” 条件将其添加到传输规则。

'Apply this rule if'条件已突出显示

有关向 DLP 策略添加规则的详细信息,请参阅管理 DLP 策略的“更改 DLP 策略”部分,有关修改传输规则的详细信息,请参阅 将敏感信息规则与传输规则集成。 如果要创建新策略,请参阅 从模板创建 DLP 策略

使用 Shell 创建基于文档指纹的分类规则包

提示

尽管您可以在 Shell 中创建和修改分类规则包,但您会发现在 EAC 中创建文档指纹更简单一点。 我们建议您先在 EAC 中尝试,然后再在 Shell 中尝试执行此过程。

DLP 使用分类规则包检测邮件中的敏感内容。 若要基于文档指纹创建分类规则包,请使用 New-FingerprintNew-DataClassification cmdlet。 由于 New-Fingerprint 的结果不会存储在数据分类规则之外,因此始终在同一 PowerShell 会话中运行 New-FingerprintNew-DataClassificationSet-DataClassification 。 以下示例基于文件 C:\My Documents\Contoso Employee Template.docx 创建新的文档指纹。 将新指纹存储为变量,以便可以将其与同一 PowerShell 会话中的 New-DataClassification cmdlet 一起使用。

$Employee_Template = [System.IO.File]::ReadAllBytes('C:\My Documents\Contoso Employee Template.docx')
$Employee_Fingerprint = New-Fingerprint -FileData $Employee_Template -Description "Contoso Employee Template"

现在,我们可以一起创建名为"Contoso Employee Confidential"的新数据分类规则,该规则使用文件 C:\My Documents\Contoso Customer Information Form.docx 的文档指纹。

$Customer_Form = [System.IO.File]::ReadAllBytes('C:\My Documents\Contoso Customer Information Form.docx')
$Customer_Fingerprint = New-Fingerprint -FileData $Customer_Form -Description "Contoso Customer Information Form"
New-DataClassification -Name "Contoso Customer Confidential" -Fingerprints $Customer_Fingerprint -Description "Message contains Contoso customer information."

现在可以使用 Get-DataClassification cmdlet 查找所有 DLP 数据分类规则包,在此示例中,“Contoso Customer Confidential”是数据分类规则包列表的一部分。

最后,将"Contoso Customer Confidential"数据分类规则包添加到 DLP 策略。

New-TransportRule -Name "Notify :External Recipient Contoso confidential" -NotifySender NotifyOnly -Mode Enforce -SentToScope NotInOrganization -MessageContainsDataClassification @{Name=" Contoso Customer Confidential"}

DLP 代理现在可以检测匹配 Contoso Customer Form.docx 文档指纹的文档。

有关语法和参数的信息,请参阅 New-FingerprintNew-DataClassificationSet-DataClassificationGet-DataClassification

详细信息

文档指纹识别

管理 DLP 策略

将敏感信息规则与传输规则集成