部署 Office 檔案加密 (示範步驟)
適用於:Windows Server 2022、Windows Server 2019、Windows Server 2016、Windows Server 2012 R2、Windows Server 2012
Contoso 的財務部門有數個儲存文件的檔案伺服器。 這些文件可以是一般的文件或具有高商業影響 (HBI) 的文件。 例如,Contoso 將包含機密資訊的任何文件視為具有高商業影響。 Contoso 想確定他們的文件有最基本的保護,且其 HBI 文件只限制給適當的人員使用。 為了達成這個目標,Contoso 探索使用 Windows Server 2012 中提供的檔案分類基礎結構 (FCI) 與 AD RMS。 藉著使用 FCI,Contoso 將根據文件內容來分類檔案伺服器上所有的文件,然後使用 AD RMS 套用適當的權限原則。
在此案例中,您會執行下列步驟:
| Task | 描述 |
|---|---|
| 啟用資源內容 | 啟用 [影響] 和 [個人識別資訊] 資源內容。 |
| 建立分類規則 | 建立下列分類規則:[HBI 分類規則] 和 [PII 分類規則] 。 |
| 使用檔案管理工作透過 AD RMS 自動保護文件 | 建立一個檔案管理工作,它會自動使用 AD RMS 來保護具有高個人識別資訊 (PII) 的文件。 只有 FinanceAdmin 群組的成員可以存取包含高 PII 的文件。 |
| 檢視結果 | 檢查文件的分類,觀察當您變更文件中的內容時,文件如何隨之變更。 同時確認 AD RMS 保護文件的方式。 |
| 確認 AD RMS 保護 | 確認文件受到 AD RMS 的保護。 |
步驟 1:啟用資源內容
啟用資源內容
在 [Hyper-V 管理員] 中,連線到伺服器 ID_AD_DC1。 使用 Contoso\Administrator 和 pass@word1密碼登入伺服器。
開啟 Active Directory 管理中心,然後按一下 [樹狀檢視] 。
展開 [動態存取控制] ,然後選取 [資源內容] 。
向下捲動到 [顯示名稱] 欄中的 [影響] 內容。 用滑鼠右鍵按一下 [影響] ,然後按一下 [啟用] 。
向下捲動到 [顯示名稱] 欄中的 [個人識別資訊] 內容。 在 [個人識別資訊] 上按一下滑鼠右鍵,然後按一下 [啟用] 。
若要將資源內容發佈到 [全域資源清單] ,請在左窗格中按一下 [資源內容清單] ,再按兩下 [全域資源內容清單] 。
按一下 [新增] ,然後向下捲動到 [影響] 並按一下以新增至清單。 為 [個人識別資訊] 執行同樣的動作。 按兩次 [確定] 以完成。
Windows PowerShell 對應的命令
下列 Windows PowerShell Cmdlet 執行與前述程序相同的功能。 在單一行中,輸入各個 Cmdlet (即使因為格式限制,它們可能會在這裡出現自動換行成數行)。
Set-ADResourceProperty -Enabled:$true -Identity:"CN=Impact_MS,CN=Resource Properties,CN=Claims Configuration,CN=Services,CN=Configuration,DC=contoso,DC=com"
Set-ADResourceProperty -Enabled:$true -Identity:"CN=PII_MS,CN=Resource Properties,CN=Claims Configuration,CN=Services,CN=Configuration,DC=contoso,DC=com"
步驟 2:建立分類規則
此步驟說明如何建立 [高影響] 分類規則。 這個規則會搜尋文件內容,如果找到「Contoso 公司機密」字串,則會將此文件分類為具有高度業務影響力。 這種分類會覆寫之前指派的低商業影響分類。
您也會建立 [高 PII] 規則。 這個規則會搜尋文件的內容,如果找到身分證號碼,它會將此文件分類為具有高 PII。
建立高影響分類規則
在 [Hyper-V 管理員] 中,連線到伺服器 ID_AD_FILE1。 使用 Contoso\Administrator 和 pass@word1密碼登入伺服器。
您需要重新整理 Active Directory 的全域資源內容。 開啟 Windows PowerShell 並輸入:
Update-FSRMClassificationPropertyDefinition,然後按 ENTER 鍵。 關閉 Windows PowerShell。開啟檔案伺服器資源管理員。 若要開啟檔案伺服器資源管理員,按一下 [開始] ,輸入 檔案伺服器資源管理員,然後按一下 [檔案伺服器資源管理員] 。
在 [檔案伺服器資源管理員] 的左窗格中,展開 [分類管理] ,然後選取 [分類規則] 。
在 [動作] 窗格中,按一下 [設定分類排程] 。 在 [自動分類] 索引標籤上,選取 [啟用固定的排程] ,選取 [星期幾] ,然後選取 [允許對新檔案進行連續分類] 核取方塊。 按一下 [確定]。
在 [動作] 窗格中,按一下 [建立分類規則] 。 如此會開啟 [建立分類規則] 對話方塊。
在 [規則名稱] 方塊中,輸入 高商業影響。
在 [描述] 方塊中,輸入根據是否出現「Contoso 公司機密」字串判斷文件是否具有高度業務影響力
在 [範圍] 索引標籤上,按一下 [設定資料夾管理內容] ,選取 [資料夾使用方式] ,按一下 [新增] ,然後按一下 [瀏覽] ,瀏覽至 D:\Finance Documents 作為路徑,按一下 [確定] ,然後選擇名稱為 [群組檔案] 的內容值,再按一下 [關閉] 。 設定好管理內容之後,在 [規則範圍] 索引標籤上選取 [群組檔案] 。
按一下 [分類] 索引標籤。在 [選擇將內容指派給檔案的方法] 下,從下拉式清單選取 [內容分類器] 。
在 [選擇要指派給檔案的內容] 下,從下拉式清單選取 [影響] 。
在 [指定值] 下,從下拉式清單選取 [高] 。
按一下 [參數] 下的 [設定] 。 在 [分類參數] 對話方塊中,從 [運算式類型] 清單中選取 [字串] 。 在 [運算式] 方塊中輸入: Contoso 公司機密,然後按一下 [確定] 。
按一下 [評估類型] 索引標籤。按一下 [重新評估現有的內容值] ,按一下 [覆寫] 以覆寫現有的值,然後按一下 [確定] 以完成。
Windows PowerShell 對應的命令
下列 Windows PowerShell Cmdlet 執行與前述程序相同的功能。 在單一行中,輸入各個 Cmdlet (即使因為格式限制,它們可能會在這裡出現自動換行成數行)。
Update-FSRMClassificationPropertyDefinition
$date = Get-Date
$AutomaticClassificationScheduledTask = New-FsrmScheduledTask -Time $date -Weekly @(3, 2, 4, 5,1,6,0) -RunDuration 0;
Set-FsrmClassification -Continuous -schedule $AutomaticClassificationScheduledTask
New-FSRMClassificationRule -Name "High Business Impact" -Property "Impact_MS" -Description "Determines if the document has a high business impact based on the presence of the string 'Contoso Confidential'" -PropertyValue "3000" -Namespace @("D:\Finance Documents") -ClassificationMechanism "Content Classifier" -Parameters @("StringEx=Min=1;Expr=Contoso Confidential") -ReevaluateProperty Overwrite
建立高 PII 分類規則
在 [Hyper-V 管理員] 中,連線到伺服器 ID_AD_FILE1。 使用 Contoso\Administrator 和 pass@word1密碼登入伺服器。
在桌面上,開啟名為 [規則運算式] 的資料夾,然後開啟名為 [RegEx SSN] 的文件。 反白顯示並複製下列規則運算式字串:^(?!000)([0-7]\d{2}|7([0-7]\d|7[012]))([ -]?)(?!00)\d\d\3(?!0000)\d{4}$。 此步驟中稍後會用到此字串,所以將它保留在剪貼簿上。
開啟檔案伺服器資源管理員。 若要開啟檔案伺服器資源管理員,按一下 [開始] ,輸入 檔案伺服器資源管理員,然後按一下 [檔案伺服器資源管理員] 。
在 [檔案伺服器資源管理員] 的左窗格中,展開 [分類管理] ,然後選取 [分類規則] 。
在 [動作] 窗格中,按一下 [設定分類排程] 。 在 [自動分類] 索引標籤上,選取 [啟用固定的排程] ,選取 [星期幾] ,然後選取 [允許對新檔案進行連續分類] 核取方塊。 按一下 [確定]。
在 [規則名稱] 方塊中,輸入 高 PII。 在 [描述] 方塊中,輸入 根據是否出現身分證號碼判斷文件是否具有高 PII。
按一下 [範圍] 索引標籤,選取 [群組檔案] 核取方塊。
按一下 [分類] 索引標籤。在 [選擇將內容指派給檔案的方法] 下,從下拉式清單選取 [內容分類器] 。
在 [選擇要指派給檔案的內容] 下,從下拉式清單選取 [個人識別資訊] 。
在 [指定值] 下,從下拉式清單選取 [高] 。
按一下 [參數] 下的 [設定] 。 在 [分類參數] 視窗中,從 [運算式類型] 清單中選取 [規則運算式]。 在 [運算式] 方塊中,貼上剪貼簿中的文字:^(?!000)([0-7]\d{2}|7([0-7]\d|7[012]))([ -]?)(?!00)\d\d\3(?!0000)\d{4}$,然後按一下 [確定]。
注意
這個運算式會允許無效身分證號碼。 這可讓我們在示範中使用虛構的身分證號碼。
按一下 [評估類型] 索引標籤。依序選取 [重新評估現有的內容值] 、[覆寫] 以覆寫現有的值,然後按一下 [確定] 以完成。
Windows PowerShell 對應的命令
下列 Windows PowerShell Cmdlet 執行與前述程序相同的功能。 在單一行中,輸入各個 Cmdlet (即使因為格式限制,它們可能會在這裡出現自動換行成數行)。
New-FSRMClassificationRule -Name "High PII" -Description "Determines if the document has a high PII based on the presence of a Social Security Number." -Property "PII_MS" -PropertyValue "5000" -Namespace @("D:\Finance Documents") -ClassificationMechanism "Content Classifier" -Parameters @("RegularExpressionEx=Min=1;Expr=^(?!000)([0-7]\d{2}|7([0-7]\d|7[012]))([ -]?)(?!00)\d\d\3(?!0000)\d{4}$") -ReevaluateProperty Overwrite
現在,您應該有兩個分類規則:
高商業影響
高 PII
步驟 3:使用檔案管理工作自動使用 AD RMS 保護文件
現在,您已建立根據內容自動分類文件的規則,下一步是建立檔案管理工作,使用 AD RMS 根據文件分類自動保護特定文件。 在此步驟中,您將建立自動保護具有高 PII 的任何文件的檔案管理工作。 只有 FinanceAdmin 群組的成員可以存取包含高 PII 的文件。
使用 AD RMS 保護文件
在 [Hyper-V 管理員] 中,連線到伺服器 ID_AD_FILE1。 使用 Contoso\Administrator 和 pass@word1密碼登入伺服器。
開啟檔案伺服器資源管理員。 若要開啟檔案伺服器資源管理員,按一下 [開始] ,輸入 檔案伺服器資源管理員,然後按一下 [檔案伺服器資源管理員] 。
在左窗格中,選取 [檔案管理工作] 。 在 [動作] 窗格中,選取 [建立檔案管理工作] 。
在 [工作名稱:] 欄位中,輸入 高 PII。 在 [描述] 欄位中,輸入 高 PII 文件的自動 RMS 保護。
按一下 [範圍] 索引標籤,選取 [群組檔案] 核取方塊。
按一下 [動作] 索引標籤。在 [類型] 下,選取 [RMS 加密] 。 按一下 [瀏覽] 以選取範本,然後選取 [只限 Contoso 財務管理人員] 範本。
按一下 [條件] 索引標籤,然後按一下 [新增] 。 在 [內容] 下,選取 [個人識別資訊] 。 在 [運算子] 下,選取 [等於] 。 在 [值] 下,選取 [高] 。 按一下 [確定]。
按一下 [排程] 索引標籤。在 [排程] 區段中,按一下 [每週] ,然後選取 [星期日] 。 每週執行一次工作可確保您找到任何可能因服務中斷或其他破壞性事件遺漏的文件。
在 [連續操作] 區段中,選取 [持續在新檔案上執行工作] ,然後按一下 [確定] 。 現在您應該有名為高 PII 的檔案管理工作。
Windows PowerShell 對應的命令
下列 Windows PowerShell Cmdlet 執行與前述程序相同的功能。 在單一行中,輸入各個 Cmdlet (即使因為格式限制,它們可能會在這裡出現自動換行成數行)。
$fmjRmsEncryption = New-FSRMFmjAction -Type 'Rms' -RmsTemplate 'Contoso Finance Admin Only'
$fmjCondition1 = New-FSRMFmjCondition -Property 'PII_MS' -Condition 'Equal' -Value '5000'
$date = get-date
$schedule = New-FsrmScheduledTask -Time $date -Weekly @('Sunday')
$fmj1=New-FSRMFileManagementJob -Name "High PII" -Description "Automatic RMS protection for high PII documents" -Namespace @('D:\Finance Documents') -Action $fmjRmsEncryption -Schedule $schedule -Continuous -Condition @($fmjCondition1)
步驟 4:檢視結果
是時候看看新的自動分類和 AD RMS 保護規則的實際執行情況了。 在這個步驟中,您會檢查文件的分類,觀察當您變更文件中的內容時,文件如何隨之變更。
若要檢視結果
在 [Hyper-V 管理員] 中,連線到伺服器 ID_AD_FILE1。 使用 Contoso\Administrator 和 pass@word1密碼登入伺服器。
在 [Windows 檔案總管] 中瀏覽至 D:\Finance Documents。
以滑鼠右鍵按一下 [財務備忘] 文件,按一下 [內容] 。按一下 [分類] 索引標籤,請注意 [影響] 內容目前沒有任何值。 按一下 [取消] 。
以滑鼠右鍵按一下 [雇用核准要求文件] ,然後選取 [內容] 。
按一下 [分類] 索引標籤,請注意 [個人識別資訊內容] 目前沒有任何值。 按一下 [取消] 。
切換至 CLIENT1。 登出任何登入的使用者,然後使用 Contoso\MReid 身分和 pass@word1密碼登入。
從桌面開啟 [財務文件] 共用資料夾。
開啟 [財務備忘] 文件。 靠近文件的底部,您會看到 機密兩個字。 將它修改為: Contoso 公司機密。 儲存文件,並將它關閉。
開啟 [雇用核准要求] 文件。 在 [身分證號碼:] 區段中,輸入:777-77-7777。 儲存文件,並將它關閉。
注意
您可能需要等待 30 秒鐘的時間以進行分類。
切換回 ID_AD_FILE1。 在 [Windows 檔案總管] 中瀏覽至 D:\Finance Documents。
以滑鼠右鍵按一下 [財經備忘] 文件,按一下 [內容] 。 按一下 [分類] 索引標籤。請注意,[影響] 內容現在已設定為 [高] 。 按一下 [取消] 。
以滑鼠右鍵按一下 [雇用核准要求] 文件,按一下 [內容] 。
. 按一下 [分類] 索引標籤。請注意,[個人識別資訊] 內容現在已設定為 [高] 。 按一下 [取消] 。
步驟 5:確認 AD RMS 保護
確認文件受到保護
切換回 ID_AD_CLIENT1。
開啟 [雇用核准要求] 文件。
按一下 [確定] ,允許文件連線到 AD RMS 伺服器。
您現在可以看到文件受到 AD RMS 的保護,因為它包含身份證號碼。