Един от крайъгълните камъни на технологията за идентификация и сигурност - Динамичен контрол на достъпа (динамичен контрол на достъпа) в Windows Server 2012, е функционален Инфраструктура на класификацията на файловете (FCI - Инфраструктури за класификация на файлове). FCI се използва на файлови сървъри на организацията и предоставя възможност за създаване на нови свойства и атрибути(Свойства за класификация на файлове) за класификация на файловете. FCI ви позволява автоматично да класифицирате файловете според съдържанието на файла или директорията, в която се намират; управлявайте файлове (например периодът, през който е възможен достъп до файла); генерира отчети, показващи разпределението на класификационните свойства на файлов сървър. Файлове въз основа на ключови думи или модели могат да бъдат автоматично класифицирани, например, като поверителни или съдържащи лични данни. Въпреки това, потребителят (собственикът), без да използва FCI, също може да класифицира ръчно файловете.
FCI е елемент на динамичния контрол на достъпа, който класифицира файловете, като им присвоява тагове, от които зависи приложението на политиките за DAC..
Технология за първи път Инфраструктура на класификацията на файловете Въведен в Windows Server 2008 R2. Какви възможности тя предостави? С помощта на FCI е възможно да се реализират различни сценарии за обработка на документи във файлови хранилища (включително тези, съдържащи поверителна информация): събиране, криптиране, прехвърляне, архивиране, изпращане по маршрута и изтриване на файлове. Използвайки FCI, можете например да внедрите скрипт, който ви позволява автоматично да премествате файлове от скъпо хранилище в по-евтино и по-бавно въз основа на класификацията на файловете или, например, автоматично да правите файлове недостъпни след определено време.
На екрана по-долу е показан пример за файл, който е класифициран като принадлежащ към страната Египет и отдела "Финанси". Класификационните атрибути могат да бъдат абсолютно всякакви: например приоритет, поверителност, местоположение, организация и т.н..
Как ръчно да класифицирате файл или директория
Файлове и директории могат да бъдат класифицирани ръчно, като отворите прозореца със свойствата на обекта и изберете „класификацияВ нашия пример от падащия списък на предварително дефинирани стойности можете да изберете други стойности за атрибутите за държава и отдел..
Автоматична класификация
За да конфигурирате автоматична класификация на обекти в Windows Server 2012, трябва да използвате конзолата на Server Manager, за да инсталирате ролята Файлов сървър (файлов сървър).
Чрез инсталирането на компонента Мениджър на ресурси за файлов сървър (FSRM), отворете подходящата конзола MMC и сред познатите групи за квоти, скрининг на файлове, управление на файлове ще видите нов подраздел Управление на класификацията (управление на класификацията), което от своя страна се състои от два раздела:
- Класификационни свойства - служи за създаване на класификационни атрибути (в нашия пример това са атрибути на държава и отдел, които имат глобален статус, защото са публикувани в AD)
- Правила за класификация - правила за автоматично класифициране
За да настроите автоматична класификация на документи, трябва да създадете правило за класификация.
Един от начините за организиране на автоматична класификация на файлове въз основа на местоположението е свойството за класификация - папкаупотреба. Това е предварително дефинирано свойство, което се съхранява в секцията Свойства за класификация. По подразбиране той определя 4 типа данни:
- Данни за приложение - Данни за приложението
- Резервни копия - Данни за архивиране
- Group Data - Групови данни
- Потребителски файлове - потребителски файлове
Можете да създадете свои собствени типове данни тук..
Тук ще създадем собствени типове папки за финансовия (Финансов) и инженерния отдел (Инженеринг). След това трябва да определим кои файлове принадлежат към кой отдел (тип данни). За да направите това, кликнете на празно място в FSRM конзолата под класификацияИмоти и изберете комплектпапкауправлениеИмоти
Изберете собственост папкаупотреба и посочете папките, които ще бъдат използвани от всеки отдел или съдържащи конкретен тип данни. Трябва обаче да се разбере, че в случая не е класифицирането на файловете, което е конфигурирано (ние ще го конфигурираме по-късно), ще определим собствеността върху папките, които ще използваме в правилото за класификация
Настроихме го така:
Създайте правило за класификация на данните
Времето дойде в секцията класификацияправилник създайте ново правило (контекстно меню за създаване на правило за класификация):
Посочете името на правилото (създаваме правило за класифициране на файлове като принадлежащи към финансовия отдел).
етикет обхват посочваме директории, които трябва да се вземат предвид при провеждането на класификацията, ще изберем правилото, създадено по-рано финансовданни (автоматично добавя всички избрани преди това папки), можете също да добавите директории ръчно (в примера това е E: \ share1).
етикет класификация Можете да изберете един от двата метода на класификация:
- Класификация на папките - класификация, базирана на директория (атрибутите се прилагат за всички файлове на директория)
- Класификация на съдържанието - класификация по съдържание на файлове. В този случай всички файлове в директорията се търсят по ключови думи, модели или редовни изрази (номера на проекта, кредитни карти, идентификатори на отдели и т.н.).
На екрана е показано правилото за класификация на базата на директории, правилото за класификация по съдържание ще бъде разгледано по-долу.
етикет Тип стойност на оценката Посочена е процедурата за прилагане и повторно прилагане на правила за класификация към файловете. В примера по-долу посочихме, че системата може да презапише текущата класификация, като по този начин гарантираме, че класификацията на потребителя ще бъде отменена от корпоративно правило.
В следното правило за класификация ще създадем правило за класификация въз основа на съдържанието на файла:
Това правило класифицира данните по държави, така че към него ще добавим каталози както на инженерния, така и на финансовия отдел.
В това правило за класификация въз основа на съдържанието на файла ще се опитаме да класифицираме данни, свързани със страната Египет.
В секцията Параметри изберете Конфигуриране. В прозореца, който се показва, можете да търсите въз основа на регулярни изрази, низ или регистър, чувствителен към регистър..
Използвайки редовни изрази, можете да търсите в текстови документи (включително тиф файл) по различни критерии, например:
- Наличието на корени в думата, без да се обръща внимание на случаите и наставките
- Наличието на думи или фрази в произволен ред
- Наличие на данни в определен формат, като номера на кредитна карта, телефонни номера, паспортни данни или имейл адреси
- Условия за среща за определено количество от срещата на необходимите данни във файла (например, най-малко 3 кредитни карти или телефонни номера)
В нашия пример ще търсим документи, използвайки ключовата дума Египет, и ако тя бъде намерена, файлът трябва да бъде класифициран по това правило (можете да посочите минималния и максималния брой на появата на ключовата дума в документа).
И така, създадохме две правила за класификация:
Сега нека се опитаме да стартираме автоматична класификация на файловете. Да предположим, че имаме 2 файла, единият от които съдържа думата Египет, а вторият не. Тези файлове са поставени в директории „Финансови файлове“ и „Файлове за научноизследователска и развойна дейност“, както виждате в момента, че не са класифицирани по никакъв начин..
Изпълнете нашите правила за класификация (Изпълнете класификация с всички правила):
Резултатите от правилата могат да бъдат намерени в докладите в докладите..
Както можете да видите, всичко работеше правилно, правилната държава беше присвоена на файловете с ключовата дума, а атрибута „Финанси“ на цялото съдържание на каталога на финансовия отдел.
На този етап не се извършват никакви операции с класифицирани файлове, те просто са маркирани с необходимите ни атрибути. В бъдеще въз основа на класификацията на файловете можете да извършвате различни операции с тях, по-специално да криптирате файлове с помощта на AD RMS (пример за използване е описан в статията Криптиране на файлове с помощта на AD RMS въз основа на класификационната инфраструктура на файлове на Windows Server 2012) или да контролирате достъпа до тях чрез Windows Динамичен контрол на достъпа на сървъра 2012. Ще разгледаме тези аспекти в следващите статии от поредицата..