Классифицировать файлы что это
Диспетчер ресурсов файлового сервера (FSRM) — это служба роли в Windows Server, которая позволяет классифицировать данные, хранящиеся на файловых серверах, и управлять этими данными. Диспетчер ресурсов файлового сервера можно использовать для автоматической классификации файлов, выполнения задач на основе этих классификаций, установки квот на папки и создания отчетов, отслеживающих использование хранилища.
это небольшая точка, но мы также добавили возможность отключения журналов изменений в Windows Server версии 1803.
Новые возможности — запретить диспетчеру FSRM создавать журналы изменений
начиная с Windows Server версии 1803, можно запретить службе диспетчер ресурсов файлового сервера создавать журнал изменений (также известный как журнал USN) на томах при запуске службы. Это может освободить немного пространства на каждом томе, но будет отключать классификацию файлов в режиме реального времени.
Чтобы предотвратить создание журнала изменений на некоторых или всех томах при запуске службы диспетчер ресурсов файлового сервера, выполните следующие действия.
Завершите работу службы СРМСВК. Например, откройте сеанс PowerShell от имени администратора и введите Stop-Service SrmSvc .
Удалите журнал USN для томов, для которых требуется экономить место, с помощью команды fsutil:
Пример: fsutil usn deletejournal /d c:
Откройте редактор реестра, например, введя regedit в тот же сеанс PowerShell.
Перейдите к следующему разделу: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrmSvc\Settings
Для необязательного пропуска создания журнала изменений для всего сервера (пропустите этот шаг, если вы хотите отключить его только на конкретных томах):
- щелкните правой кнопкой мыши ключ Параметры и выберите пункт NewDWORD (32-разр.).
- Присвойте этому значению SkipUSNCreationForSystem имя.
- Установите значение 1 (в шестнадцатеричной кодировке).
Для необязательного пропуска создания журнала изменений для конкретных томов выполните следующие действия.
Получите пути тома, которые нужно пропустить, с помощью fsutil volume list команды или следующей команды PowerShell:
Ниже представлен пример результата.
В редакторе реестра щелкните правой кнопкой мыши ключ HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrmSvc\Settings и выберите пункт новое многострочное значение.
Присвойте этому значению SkipUSNCreationForVolumes имя.
Введите путь к каждому тому, на котором вы пропускаете создание журнала изменений, размещая каждый путь на отдельной строке. Пример:
Редактор реестра может сообщить, что он удалил пустые строки, отображая это предупреждение, что можно спокойно проигнорировать: данные типа REG_MULTI_SZ не могут содержать пустые строки. Редактор реестра удалит все найденные пустые строки.
Запустите службу СРМСВК. Например, в сеансе PowerShell введите Start-Service SrmSvc .
17.05.2018
itpro
Windows Server 2012
комментария 2
Одним из краеугольных элементов технологии обеспечения идентификации и безопасности — Dynamic Access Control (динамического контроля доступа) в Windows Server 2012, является функционал File Classification Infrastructure (FCI — Инфраструктуры классификации файлов). FCI используется на файловых серверах организации и предоставляет возможность создавать новые свойства и атрибуты(File-classification properties) для классификации по ним файлов. FCI позволяет в автоматически режиме классифицировать файлы в соответствии с содержимым файла или каталогом, в котором они находится; осуществлять управление файлами (например, срок в течении которого возможен доступ к файлу); генерировать отчеты, показывающих распределение классификационных свойств на файловых сервере. Файлы на основании ключевых слов или паттернов могут в автоматическом режиме классифицироваться, например, как конфиденциальные или содержащее персональные данные. Однако пользователь (владелец) без использования FCI может и вручную классифицировать файлы.
FCI – это элемент Dynamic Access Control, который классифицирует файлы, присваивая им теги, от которых зависит применение политик DAC.
Впервые технология File Classification Infrastructure появилась в Windows Server 2008 R2. Какие же возможности она предоставляла? С помощью FCI возможно реализовать различные сценарии обработки документов в файловых хранилищах (в т.ч. содержащих конфиденциальную информацию): сбор, шифрование, перенос, архивирование, отправку по маршруту и удаление файлов. С помощью FCI можно, например, реализовать сценарий, позволяющий основываясь на классификации файлов, автоматического перемещения файлы из дорогих хранилищ в более дешевые и медленные, или например, автоматически делать файлы недоступными по истечению определенного времени.
На скриншоте ниже показан пример файла, который классифицирован как относящийся к стране Египет и отделу «Finance» . Атрибуты классификации могут быть абсолютно любым: например, приоритет, конфиденциальность, местоположение, организация и т.д.
Преимущества
- Файл можно классифицировать по множеству признаков: и по принадлежности к классу объектов (книга), и по принадлежности к задаче (конкретный проект), и т.д.;
- Все данные доступны через один интерфейс: поиск ОС или приложение облачного хранилища (Dropbox). По этой причине нет риска, что файл не будет найден, потому что мы забыли поискать в какой-то отдельной базе данных отдельного приложения. Никакого дополнительного софта для управления данными (заметками, pdf, картинками) не используется, так как в нем нет большой необходимости при описанном подходе;
- Файл сохраняется очень быстро. Потому что именовать файл гораздо проще, чем осуществлять навигацию к подходящей папке;
- Файл находится очень быстро. Потому что, опять же, ввести с клавиатуры элементы имени файла в строку поиска гораздо проще, чем осуществлять навигацию к подходящей папке;
Практическое применение
Ниже приведены возможности практического применения диспетчера ресурсов файлового сервера.
Использование инфраструктуры классификации файлов со сценарием динамического контроля доступа для создания политики, предоставляющей доступ к файлам и папкам на основании классификации файлов на файловом сервере.
Создание правила классификации файлов, которое отмечает как содержащие персональные данные файлы, включающие хотя бы 10 номеров социального обеспечения.
Прекращение срока действия файлов, которые не изменялись за последние 10 лет.
Создайте квоту 200 МБ для домашнего каталога каждого пользователя и уведомите их при использовании 180 мегабайт.
Запрет сохранения музыкальных файлов в личных папках с общим доступом.
Создание в расписании отчета, который будет выполняться в полночь по воскресеньям и создавать список файлов, открывавшихся за предыдущие два дня. Это поможет обнаружить действия по сохранению файлов в выходные и соответственно планировать время отключения сервера.
Кроссплатформенность
Та самая общая папка со всеми файлами должна храниться в месте, которое автоматически копируется в облако. Для примера, будем везде далее говорить о DropBox. Тогда в папке «Dropbox» будет наша общая папка, например, «bigBox». Так файл становится доступен с любого устройства по умолчанию.
Но файлы определенного типа иногда следует сохранять в отдельных специальных папках, а не в общей. Это нужно для синхронизации файлов отдельных приложений на смартфоне. Например, все текстовые файлы пойдут в одну папку (например, «textBox»), все pdf — в другую (например, «pdfBox»). Приложения на смартфоне для управления текстовыми файлами и pdf-файлами будут синхронизироваться именно с этими папками, каждое — со своей.
Удобство решения в том, что:
- можно переходить с приложения на приложение безболезненно;
- на смартфоне всегда доступен поиск по всем файлам через приложение Dropbox (ведь изначально может быть неизвестно в каком формате окажется искомая информация по проекту, например).
Решение
- cпециальным образом именовать любой сохраняемый файл;
- хранить все файлы в одной папке;
- обращаться к файлам через единственный интерфейс — строку поиска (например, Spotlight в OS X).
Атрибуты файла в файловой системе
C атрибутами следующие проблемы:
- Именовать файл проще и быстрее. Средств для минимально эффективного управления атрибутами файла не существует;
- Атрибуты теряются при перемещении файла. Например, в некоторых случаях резервного копирования. (Это причина того, почему в имени файла следует указывать дату. Это реализует надежную сортировку по дате.);
- Атрибуты не сохраняются при использовании облачного хранилища. И тот же dropbox не реализует поиск по ним со смартфона, например.
С тэгами следующие проблемы:
- Именовать файл проще и быстрее, чем назначить тэги;
- Тэги — это атрибуты файла в файловой системе и c ними те же проблемы, что с любыми атрибутами (см. параграф выше). Хотя фанаты тэгов, которые не захотят применить предложенный подход, могут перенять идею именования тэгов в формате параметр=значение.
Заключение
Это чудовищно эффективно, потому что экономит время и нервы. У меня сама собой реализовалась концепция Inbox Zero при такой работе с файлами. Все всегда на месте, ничто не маячит перед глазами и в сохранности ждет использования.
Компоненты
Диспетчер ресурсов файлового сервера включает следующие компоненты.
-
позволяет ограничить пространство, разрешенное для тома или папки, и они могут автоматически применяться к новым папкам, созданным на томе. Можно также определить шаблоны квот, которые могут применяться к новым томам или папкам. обеспечивает понимание данных за счет автоматизации процессов классификации, позволяющих более эффективно управлять данными. На основании классификации файлов можно применять политики. Примерами политик могут служить динамический контроль доступа для ограничения доступа к файлам, шифрование файлов и установка срока действия файлов. Классификация файлов может производиться автоматически с помощью правил классификации или вручную — изменением свойств выбранного файла или папки. позволяют применять к файлам условную политику или действие в зависимости от их классификации. Условия задачи управления файлами включают расположение файла, свойства классификации, дату создания файла, дату последнего изменения файла или время последнего доступа к файлу. Действия, доступные в задаче управления файлами, включают прекращение срока действия файлов, их шифрование или выполнение пользовательской команды. помогает управлять типами файлов, которые пользователь может хранить на файловом сервере. Можно ограничить расширения, допустимые при сохранении файлов с общим доступом. Например, можно создать фильтр блокировки файлов, который не позволит сохранять файлы с расширением MP3 в личных папках с общим доступом на файловом сервере. позволяют определить тенденции использования дискового пространства и способ классификации данных. Можно также контролировать попытки сохранять запрещенные файлы пользователями выбранной группы.
Компоненты, включенные в диспетчер ресурсов файлового сервера, можно настроить и управлять ими с помощью приложения файлового сервера диспетчер ресурсов или с помощью Windows PowerShell.
Диспетчер ресурсов файлового сервера поддерживает только тома, отформатированные с файловой системой NTFS. Файловая система Resilient File System не поддерживается.
Pros and Cons
Автоматическая классификация
Для настройки автоматической классификации объектов в Windows Server 2012 необходимо с помочью консоли Server Manager установить роль File Server (файлового сервера).
Установив компонент File Server Resource Manager (FSRM), откройте соответствующую MMC консоль и среди знакомых групп Quota, File Screening, File Management вы увидите новый подраздел Classification Management (управление классификацией), состоящий в свою очередь из двух подразделов:
- Classification Properties – служит для создания атрибутов классификации (в нашем примере это атрибуты country и Department, имеющих статус глобальных, т.к. они опубликованы в AD)
- Classification Rules – правила автоматической классификации
Чтобы настроить автоматическую классификацию документов, нужно создать правило классификации.
Одним из способов организации автоматической классификации файлов на основании местоположения – свойство классификации – FolderUsage. Это предопределённое свойство, хранящееся в разделе Classification Properties. По-умолчанию, в нем определены 4 типа данных:
- Данные приложений — Application data
- Резервные копии — Backup Data
- Групповые данные — Group Data
- Файлы пользователей — User Files
Здесь же можно создать собственные типы данных.
Создадим здесь собственные типы папок для финансового (Financial) и инженерного отдела (Engineering).Затем необходимо определить какие файлы к какому отделу (типу данных) отнести. Для этого щелкните по пустому месту консоли FSRM в разделе ClassificationProperties и выберите пункт SetFolderManagementProperties
Выберите свойство FolderUsage и укажите папки, которые будут использоваться каждым департаментом, или содержащие определенный тип данных. Однако следует понимать, что в данном случае настраивается не классификация файлов (мы будем настраивать ее позже), мы определим принадлежность папок, которую задействуем в классифицирующем правиле
Мы настроили так:
Специальное именование
При именовании необходимо ответить на три главных вопроса: когда, что, зачем.
- Когда — это дата. Удобней всего указывать дату создания содержания файла. Дата должна быть указана в начале имени файла в формате yymmdd. Пример: «141027»;
- Что или что есть этот файл? — это класс объекта. Это может быть книга, бизнес-план, идея, квитанция, билет на самолет, фото паспорта, отсканированный чек — что угодно. Ответ на вопрос должен быть указан в имени файла в формате o=что есть этот файл. «o» — это сокращение от «object». Вы можете выбрать свое сокращение, конечно. Примеры: «o=book», «o=businessPlan», «o=thought»;
- Зачем — это краткое имя задачи (проекта), для решения которой этот файл существует. Ответ на вопрос зачем должен быть указан в имени файла в формате t=задача. «t» — это сокращение от «task». Примеры: «t=myNewKillerApp», «t=новыйЯзыкПрограммированияКоторыйЯУчу», «t=ремонт».
В том же формате, параметр=значение, можно присваивать файлу любые другие параметры с любыми значениями. Например.
- client=имяКлиента — для имени заказчика, которому вы делаете проект;
- v=номерВерсии — для версии файла;
- Или даже, если содержание файла связано с какими-то сильными чувствами (например, потому что это особая для Вас книга, цитата, фотография котика), то можно ввести параметр «feeling», сокращенно «f», и добавлять в имя файла, например, следующее «f=passion», «f=humor».
Значения параметров можно делать вложенными. Например, «o=summary.book».
Закладки браузера
Закладки браузера нужно именовать точно так же, но они хранятся браузером отдельно и в общем случае Вам будет недоступен поиск через один интерфейс строки поиска. Поэтому тут придется искать компромисс. Варианты следующие.
- Можно не пользоваться закладками браузера вообще, а сохранять ссылки в виде файлов типа webloc в OS X или файлов типа Internet Shortcut в Windows. (В OS X это делается путем перетаскивания ссылки из строки браузера (за поле слева) в окно Finder'а). Если говорить об iOS, то для нее потребуется установить приложение Webloc Tool, которое позволит открывать webloc-файлы из Dropbox. В таком подходе придется мириться с тем, что закладки не будут доступны из браузера и придется переключаться;
- Можно использовать браузер, по закладкам которого возможен поиск в десктопной ОС (Safari в OS X, например). Тогда придется мириться с необходимостью на смартфоне искать данные не только в Dropbox, а еще и в закладках браузера.
Как начать работать в новой концепции
Для начала можно оставить все уже хранимые файлы нетронутыми, а все новые сохранять по описанное системе. Самое первое с чем можно разобраться — это содержание различных Inbox (Desktop, Downloads).
Дополнительный софт для упрощения работы с файлами
Для упрощения работы с файлами в указанном ключе выгодно использовать дополнительный софт.
- Теxt Expander Software, софт, который ввод нескольких символов превращает в текст большего объема. Например, у меня настроено так, что если я ввожу с клавиатуры «dd» и пробел, то появляется текущая дата в формате, нужном для именования файла; если я вхожу «nn», то появляется полный шаблон имени файла: «текущая_дата o= t= f=». Вообще же различных сокращений при использовании такого софта появляется десятки;
- Софт для переименования группы файлов разом;
- Notational Velocity (или его продвинутая альтернатива — nvALT) позволяет удобно работать с текстовыми заметками в OS X; позволяет легко сохранять web-страницы в markdown.
Назначение и отличия динамического контроля доступа от списков ACL
Как я уже отметил в большой вводной части первой статьи, посвященной этой технологии, динамический контроль доступа позволяет вам по-новому взглянуть на механизм предоставления общего доступа к корпоративным ресурсам, расположенным преимущественно на контроллерах домена и файловых серверах, работающих под управлением операционной системы Windows Server 2012. Так почему же мы сможем взглянуть на предоставление доступа по-новому, и чем же тут так не угодили списки контроля доступа?
Прежде всего, давайте вспомним, каким же образом предоставлялся доступ к ресурсам до выхода этой, пока еще загадочной, технологии.
Ссылки
Со ссылками следующие проблемы:
- Именовать файл проще и быстрее, чем создавать ряд ссылок для классификации по нескольким признакам;
- Средств для хоть сколь нибудь эффективного управления ссылками нет, поэтому, например, когда дойдет до удаления файла, придется совершать множество дополнительных действий.
Недостатки
- Имена и значения параметров могут забыться, что может помешать найти нужный файл. Хотя это может случаться, система избыточна: если файл не найден по одному признаку классификации, он может быть найден по другому. А в случае обнаружения ошибки, она может быть исправлена переименованием;
- Опечатки могут помешать найти нужный файл. Поэтому особенно важно использовать Теxt Expander Software;
- Нет возможности средствами ОС получить список значений определенного параметра. Например, чтобы увидеть все задачи, для которых сохранены файлы («t=»), или увидеть все возможные классы объектов («o=»). Для того, чтобы создать такой список, понадобится писать дополнительный софт.
Как раньше назначались разрешения доступа?
- Избирательные таблицы управления доступом (Discretionary access control list, DACL). Как известно из официальных источников, в DACL указаны пользователи и группы, которым явным образом разрешен или запрещен доступ к объекту. По вполне понятной причине, если определенный пользователь или группы, в которые он входит, явно не указаны в DACL, этому пользователю будет запрещен доступ к объекту. По умолчанию DACL управляется владельцем объекта или пользователем, который создал этот объект, и содержит записи управления доступом (ACE — Access control entries), определяющие доступ пользователя к объекту;
- Системные таблицы управления доступом (System access control list, SACL). В свою очередь, в SACL указаны пользователи и группы, для которых требуется выполнять аудит успешных и безуспешных попыток доступа к объекту. Аудит служит для наблюдения за событиями, относящимися к безопасности системы или сети, а также для обнаружения недостатков в системе безопасности и для определения объемов и расположения любых повреждений. По умолчанию, как и в случае с DACL, SACL управляется владельцем объекта или создавшим его пользователем. SACL содержит записи управления доступом, определяющие, требуется ли записывать успешные или безуспешные попытки доступа пользователя к объекту с использованием данного разрешения, например, «Полный доступ» или «Чтение».
Альтернативы
Evernote
С Evernote следующие проблемы.
- С Evernote нельзя в полной мере реализовать главное преимущество подхода — все данные доступны через один интерфейс — потому что Evernote использует свою базу данных, и потому что Evernote не для хранения всего. (Но все-таки, например, в OS X Spotlight ищет и в базе данных Evernote, поэтому можно идти на какие-то компромиссы при большой любви к преимуществам Evernote);
- Evernote штука сложная и поэтому ненадежная. Я трижды за последние несколько лет пытался с ним работать и постоянно сталкивался с ошибками, приводящим к невозможности найти нужные данные.
Ключевые сценарии использования динамического контроля доступа
А есть ли у него какие-то ограничения?
К сожалению, как и следовало ожидать, у данной технологии также есть некоторый ряд ограничений. Прежде всего, в организации должны быть развернуты доменные службы Active Directory. То есть, если вы захотите воспользоваться динамическим контролем доступа для компьютеров, входящих в состав рабочей группы, у вас ничего из этого не выйдет. Во-вторых, динамический контроль доступа – это не просто отдельная функциональная возможность. Эта технология представляет собой решение для файловых серверов, построенное на основании инфраструктуры Windows Server 2012, включающее поддержку прямых утверждений Kerberos, поддержку Active Directory специально для хранения свойств ресурсов, а также утверждений пользователей и компьютеров, поддержку Active Directory специально для хранения централизованных политик доступа, реализацию распространения таких централизованных политик доступа средствами функциональных возможностей групповой политики, а также многое другое.
Следовательно, согласно всем этим требованиям, можно сделать такой вывод: у вас в организации должен быть развернут как минимум один контроллер домена под управлением операционной системы Windows Server 2012, а также, в том случае, если в вашем лесу развернуто несколько доменов, то в каждом таком домене должно быть развернуто хотя бы по одному контроллеру домена под Windows Server 2012. Это делается специально для возможности использования утверждений между доменами, для которых установлены доверительные отношения. Да и более того, как я уже говорил, в Windows Server 2012 служба KDC была значительно усовершенствована специально для работы с утверждениями в рамках билета Kerberos.
Операционной системой на файловом сервере, естественно, должна быть Windows Sever 2012. Когда пользователь подключается к общей папке, файловый сервер выполняет проверку доступа к ресурсу, используя учетные данные входящего подключения. Это означает, что файловый сервер определяет доступ к общедоступному ресурсу. Это также означает, что различные компоненты на файловом сервере должны поддерживать утверждения, такие как LSA и сервер приложений Kerberos. Получается, файловый сервер, на котором будут располагаться данные, к которым пользователи будут получать доступ, должны быть в состоянии считать утверждения и данные авторизации устройства из билета Kerberos, перевести эти идентификаторы безопасности (SID) и утверждения билета в маркер проверки подлинности и сравнить данные авторизации в маркере с условиями, включенными в дескрипторе безопасности. То есть более старые версии ОС, как следствие, не подойдут.
Ну а в том случае, если у вас будут указаны утверждения для устройств, в качестве клиентов могут использоваться исключительно компьютеры под управлением операционных систем Windows 8 или Windows Server 2012. Другими словами, это ограничение можно назвать веской причиной для миграции клиентов на восьмерку.
Как классифицировать файл или каталог вручную
Файлы и каталоги можно классифицировать вручную, открыв окно свойств объекта и выбрав вкладку «Classification». В нашем примере из выпадающего списка предопределенных значений можно выбрать другие значения для атрибутов country и Department.
Создадим правило классификации данных
Пришло время в разделе ClassificationRules создать новое правило (контекстное меню Create Classification Rule):
Укажите имя правило (мы создаем правило классификации файлов как принадлежащих финансовому департаменту).
На вкладке Scope указываем каталоги, которые необходимо учитывать при проведении классификации, выберем созданное ранее правило FinancialData (автоматически добавляет все выбранные ранее папки), можно также добавить каталоги вручную (в примере это E:\share1).
На вкладке Classification можно выбрать один из двух методов классификации:
- Folder Classification – классификация на основании каталогов (атрибуты применяются ко всем файлам каталога)
- Content classification – классификация по содержимому файлов. В этом случается по всем файлам в каталоге осуществляется поиск по ключевым словам, паттернам или регулярным выражениям (номера проектов, кредитных карт, идентификаторы отделов и т.д.).
На скриншоте указано правило классификации на основании каталогов, правило классификации по содержимому будет рассмотрено ниже.
На вкладке Evaluation Type указывается порядок применения и повторного применения правил классификации к файлам. В примере ниже мы указали, что система может перезаписывать текущую классификацию, тем самым мы гарантируем, что пользовательская классификация будет переопределена корпоративным правилом.
В следующем правили классификации мы создадим правило классификации на основе содержимого файла:
В данном правиле осуществляется классификация данных по стране, поэтому мы добавим в него каталоги и инженерного и финансового департамента.
В данном правиле классификации на основе содержимого файла, мы попробуем классифицировать данные, относящиеся к стране Egypt.
В разделе Parameters выберите Configure. В появившемся окне можно реализовать поиск на основании регулярных выражений, строки или регистрозависимой строки.
С помощью регулярных выражений можно осуществлять поиск в текстовых документах (в том числе файла tiff) по различным критериям, например:
- Наличие корней в слове, не обращая внимания на падежи и суффиксы
- Наличие слов или словосочетаний в произвольном порядке
- Наличие данных в определенном формате, например номеров кредиток, телефонов, данных паспортов или адресов электронной почты
- Условия встречи определенного количества встречи искомых данных в файле (например, не менее 3 номеров кредитных карт, или телефонов)
В нашем примере, мы осуществим поиск документов по ключевому слову Egypt, и в случае его обнаружения файл должен классифицироваться этим правилом (можно указать минимально и максимально необходимое количество вхождений ключевого слова в документ).
Итак, мы создали два правила классификации:
Попробуем теперь запустить автоматическую классификацию файлов. Пусть у нас имеется 2 файла, один из которых содержит слово Egypt, а второй – нет. Эти файлы помещены в Каталоги “Financial Files” и “R&D files”, как вы видите на данный момент они никак не классифицированы.
Запустим наши классифицирующие правила (Run Classification With All Rules):
С результатом работы правил можно познакомится в отчетах в отчетах.
Как вы видите, все отработало правильно, файлам с ключевым словом присвоена правильная страна, а всему содержимому каталога финансового отдела атрибут Finance.
На данном этапе никаких операций с классифицируемыми файлами выполнено не было, они были просто отмечены нужными нам атрибутами. В дальнейшем на основании классификации файлов с ними можно выполнить различные операции, в частности зашифровать файлы с помощью AD RMS (пример использования описан в статье Шифрование файлов с помощью AD RMS на базе инфраструктуры классификация файлов Windows Server 2012), или управлять доступом к ним посредством Windows Server 2012 Dynamic Access Control. Эти аспекты мы рассмотрим в следующих статьях серии.
10.06.2014
itpro
Windows Server 2012
Один комментарий
В предыдущей статье серии (File Classification Infrastructure в Windows Server 2012) мы поговорили о механизме автоматической классификации файлов на основе их содержимого или местоположения. В данной статье мы постараемся реализовать более близкий к реальному сценарий защиты файлов, классифицированных определенным образом службой File classification Infrastructure (FCI). Допустим, мы хотим реализовать требование обязательного шифрования всех файлов финансового отдела, хранящихся на файловом сервере (как вариант всех конфиденциальных документов). Реализовать эту задачу можно с помощью служб FCI и AD RMS.
Как эта связка будет работать? Если вкратце, с помощью механизма FCI мы находим все файлы, которые необходимо защитить и присваиваем им определенные метку (метки), затем для файлов с данными метками создаем специальное задание RMS Encryption, в котором можно прикрепить существующий шаблон политики RMS или задать политику RMS вручную. Стоит отметить, что при переносе данных между серверами (естественно это должны быть Windows Server 2008 R2/ Server 2012) метки сохраняются.
Данный механизм можно было реализовать и Windows Server 2008 R2, но у новой платформы есть преимущества:
Чтобы разрешить файловому серверу запрашивать сертификаты и шифровать документы, необходимо не сервере RMS задать следующие разрешения для файла ServerCertification.asmx .
- Read+Execute для учетной записи файлового сервера
- Read+Execute для группы AD RMS Service Group
Затем нужно в консоли FSRM в разделе File Management Tools новое задание.
На вкладке General указывается имя правило (лучше, чтобы оно было значащим):
На вкладе Scope указывается область действия правила (мы указали заранее созданный набор Financial Data и отдельную папку E:\share1):
На вкладке Action доступны три опции:
- Custom – можно указать собственную команду, которую необходимо выполнить ко всем файлам. Это может быть в том числе скрипт на vbs, powershell и т.д.
- Expire – с помощью данной опции можно задать срок действия (срок жизни) файла, по истечении которого он перемещается в специальный каталог (политика срока действия файлов).
- RMS Encryption – можно указать существующий шаблон политики, либо создать собственное правило
Нас интересует опция шифрования файлов RMS encryption, выбрав которого нам будет предложено указать, хотим ли мы использовать готовый шаблон RMS, или же создать собственный набор разрешений. Мы выберем последнее, предоставив всем доступ на чтение, а пользователям “Finance User” полный доступ:
На вкладке Notification можно задать список адресов владельцев папки, руководителя подразделения или администратора, которому будут рассылаться уведомления:
На вкладке Conditions выбирается правило, определяющее документы, которые необходимо шифровать. Нас интересуют все файлы, помеченные тегом Department со значением Finance. Также тут указываются временные условия применения задания (время с момента создания/модификации/последнего доступа) и маску имен файлов:
На вкладке Schedule задается расписание применения правила, можно указать, что задание выполняется постоянно (continuously):
После сохранения правила его можно запустить и познакомится с отчетом его применения:
Как и ожидалось, файлы, которые удовлетворяют действиям параметров, зашифрованы, и доступ с ним теперь ограничен.
Итак, мы познакомились со способом защиты всех файлов внутри указанных каталогов с определенным содержимым при помощи функций ОС Windows Server 2012 (классификации файлов FCI) и AD RMS. Все эти технологии являются компонентами новой архитектура управления доступа к общим шарам и папкам в Windows Server 2012 — Dynamic Access Control.
А чем же лучше динамический контроль доступа?
Собственно, исходя из того, что собой представляет предоставление доступа на основании списков управления доступом, можно прийти к такому выводу, что при использовании такого метода разрешения предоставляются исключительно основываясь на членстве конечного объекта в определенной группе. Вы не можете ограничивать или, наоборот, разрешать доступ для конкретного устройства пользователя, основываясь на каких-то сторонних характеристиках, а также, само собой, о каких-либо нестандартных сценариях можно сразу забыть.
Динамический контроль доступа, в свою очередь, снимает эти ограничения и позволяет создавать более гранулированные правила, основываясь на которых вы можете предоставлять доступ согласно различным критериям. Другими словами, в первую очередь стоит обратить внимание на то, что эта технология предоставляет возможность управления доступом к файлам и данным посредством создания централизованных политик безопасности, позволяя наиболее подробным образом определять, кто вправе использовать ту или иную информацию. Иначе говоря, вы можете создавать такие политики, которые будут наилучшим образом отражать стратегию вашего бизнеса и полностью соответствовать любым нормативным требованиям. Более того, идентифицировать такую информацию вы можете при использовании классификации файлов, как в ручном, так и в автоматическом режиме. Только эти две возможности практически моментально могут уложить на лопатки управление доступом при использовании списков ACL.
Однако это еще не все. Самые распространенные типы данных, к которым предоставляют доступ, – это офисные документы, то есть файлы, которыми можно управлять при помощи продуктов Microsoft Office. Раньше для того, чтобы задать конкретным пользователям или группам уникальные разрешения с шифрованием документов, для каждого такого документа использовалась служба управления правами Active Directory, то есть AD RMS. Эта технология себя отлично зарекомендовала и сейчас, с появлением динамического контроля доступом, вам предоставляется возможность применения защиты RMS, с использованием автоматического шифрования на основе конкретных критериев.
В наше время одним из самых ценных активов многих компаний является не что иное, как сама информация, которая не должна выходить за пределы организации. Неправомерное использование такой информации может пагубно повлиять на дальнейшую судьбу всей компании. Благодаря централизованным политикам аудита данной технологии, вы можете создавать отчеты для дальнейшего проведения аудита доступа к файлам или же, в случае крайней необходимости, криминалистического анализа. Другими словами, вам не нужно будет прибегать к использованию каких-либо сторонних приложений и программных продуктов.
Что еще можно выделить помимо этого? А можно выделить то, что текущую технологию вы можете использовать, не внося изменений в схему Active Directory, без развертывания дополнительных ролей или же какого-то специфического программного обеспечения, да и, вообще, как говорится, «прямо из коробки». Более того, специально для реализации возможности использования динамического контроля доступа был разработан новый механизм авторизации и аудита для операционных систем Windows, а также для возможностей проверки подлинности Kerberos были реализованы некоторые новшества, о которых я уже писал в третьей части статьи про Kerberos, которая называлась «Сетевой протокол аутентификации Kerberos или зачем нужны утверждения».
Хотите знать больше?
Я сам прекрасно знаю, что порою сугубо теоретическая часть может быть очень унылой, особенно в том случае, если сразу подается уйма материала. Однако, любая практика без теоретической базы – это неправильный подход к изучению материала. В следующих статьях этого цикла, как я уже отметил ранее, вы узнаете о том, что же такое утверждения, как они создаются и какие в течение этого процесса могут встретиться подводные камни; узнаете о том, какие существуют свойства ресурса. Я подробнее остановлюсь на различных нюансах при создании централизованных политик и правил доступа, и, конечно, будет рассказано о том, как именно можно опубликовывать и применять такие централизованные политики доступа. Будут рассмотрены все сценарии, которые мельком были упомянуты несколькими абзацами выше. Кое-что узнаете об аудите и еще мы с вами посмотрим на классификацию различных файлов и папок. Более того, я обязательно посвящу отдельную статью вопросам устранения возможных неполадок, связанных с динамическим контролем доступа.
В целом, я надеюсь, что эта статья не была для вас чересчур утомительной и у вас не пропало желание узнать больше об использовании этой технологии. В свою очередь, следующие статьи, естественно, не будут обладать обильным количеством теоретического материала, а в них будут преимущественно рассматриваться сценарии, различные процедуры и пошаговые примеры использования этой технологии.
Управление личными файлами на компьютере сопряжено со следующими сложностями.
- Файлы теряются (куда сохранено? как названо?);
- Навигация в файловом менеджере отнимает много времени;
- Система каталогов позволяет с относительным удобством классифицировать файлы только по одному признаку.
Читайте также: