Erklärung der Microsoft File Classification Infrastructure (FCI)

Das Verständnis darüber, welche Daten Sie besitzen und wo diese sich befinden, ist ein kritischer Schritt, um Industrie- und Regierungsregulierungen einzuhalten, wie die GDPR-Richtlinie der Europäischen Union.

Microsoft führte die File Classification Infrastructure (FCI) in Windows Server 2008 R2 ein, um Organisationen dabei zu helfen, Daten zu klassifizieren, die auf Windows-Dateiservern gespeichert sind. Mit FCI können Systemadministratoren Regeln einrichten, die Dateien automatisch basierend auf verschiedenen Faktoren wie Standort oder Inhalt klassifizieren. Sobald Dateien klassifiziert wurden, kann FCI bestimmte Aktionen an ihnen durchführen, wie beispielsweise sie in ein bestimmtes Verzeichnis zu verschieben oder sie zu verschlüsseln.

Klassifizierungsmethoden

Der einfachste Weg, Dateien mit FCI zu klassifizieren, besteht darin, dessen integrierten Motor zu verwenden. FCI nutzt Windows Search, um Ihre Dateiserver zu durchsuchen und die Dateien automatisch basierend auf den Klassifizierungseigenschaften und -regeln, die Sie einrichten, zu klassifizieren. Benutzer können auch manuell Dateien klassifizieren, indem sie die Classification-Registerkarte verwenden, die Windows Server 2012 und Windows 8 dem Windows Explorer hinzufügen. Wenn Sie die Microsoft Office-Vorlagen Ihrer Organisation klassifizieren, können Benutzer Dokumente erstellen, die bereits die notwendigen Metadaten enthalten.

Darüber hinaus können Anwendungen die FCI API nutzen, um Dateien zu analysieren und Benutzern zu ermöglichen, Dokumente manuell innerhalb der Anwendungen zu klassifizieren, in denen sie erstellt werden. Es gibt auch ein Windows PowerShell-Klassifikationsmodul, das Systemadministratoren den Zugriff auf die API ermöglicht und die Klassifizierung von Dateien anhand beliebiger Eigenschaften erlaubt, ohne dass sie in C# oder C++ programmieren müssen. Das PowerShell-Klassifikationsmodul ist Teil des Windows Software Development Kit (SDK).

Klassifizierungseigenschaften

Dateiserver-Administratoren erstellen Klassifizierungseigenschaften, um zu definieren, wie Metadaten verwendet werden, um Dateien zu klassifizieren. Es gibt acht Arten von Klassifizierungseigenschaften in Windows Server 2016, einschließlich Ja/Nein, Datum/Uhrzeit und Mehrfachauswahlliste. Jede Klassifizierungseigenschaft hat eine vordefinierte Menge möglicher Werttypen. Einige sind einfach; zum Beispiel kann die Eigenschaft 'Persönliche Nutzung' nur Ja oder Nein sein, und die Eigenschaft 'Beginn des Aufbewahrungszeitraums' akzeptiert nur Datum/Uhrzeit-Werte. Andere Eigenschaften haben komplexere Werttypen; beispielsweise akzeptiert die Eigenschaft 'Ordnerverwendung' mehrere Werte und die Eigenschaft 'Auswirkung' ist eine geordnete Liste.

Der Klassifizierungsprozess

Klassifizierungsmetadaten werden mithilfe des NTFS-Alternativen Datenstroms (ADS) zu Dateien hinzugefügt. Dateien behalten ihre Klassifizierung bei, solange sie auf einem NTFS-Volume gespeichert sind. Wird eine Datei auf ein FAT32- oder ReFS-Volume verschoben, geht ihre Klassifizierung verloren. Eine Ausnahme von dieser Regel sind Microsoft Office-Dateien; da die Klassifizierungsmetadaten in den Dateien und dem NTFS ADS gespeichert sind, geht die Klassifizierung nicht verloren, wenn Dateien in die Cloud verschoben werden — denken Sie an SharePoint.

Dynamic Access Control (DAC) in Windows Server 2012 arbeitet mit FCI zusammen, um Klassifizierungseigenschaften bereitzustellen, die zentral in Active Directory (AD) gespeichert sind, anstatt lokal auf jedem Dateiserver festgelegt zu werden. Im Gegensatz zu Windows Server 2008 bietet Windows Server 2012 eine Reihe von standardmäßigen DAC-Klassifizierungseigenschaften, die Organisationen nutzen können, um zu beginnen. Zusätzlich bietet das Data Classification Toolkit weitere Klassifizierungseigenschaften, um gängigen regulatorischen Compliance-Standards wie HIPAA und GDPR zu entsprechen.

Erste Schritte mit FCI

Lassen Sie uns den Prozess des Erstellens und Testens einer Klassifizierungsregel mit FCI durchgehen.

Voraussetzungen

Für dieses Beispiel benötigen Sie einen Windows Server 2016-Dateiserver, der Mitglied einer Active Directory-Domäne (Windows Server 2012-Wald-Funktionsniveau oder höher) ist.

Da FCI Teil des File Server Resource Manager (FSRM) ist, stellen Sie sicher, dass die FSRM-Serverrolle auf Ihrem Dateiserver installiert ist. Die einfachste Methode, FSRM zu installieren, ist die Verwendung des folgenden PowerShell-Befehls:

      Add-WindowsFeature FS-Resource-Manager -IncludeManagementTools
      

Schritt 1: Aktivieren Sie einige Klassifizierungseigenschaften

Windows Server 2012 und spätere Versionen sind bereits mit mehreren globalen Klassifizierungseigenschaften konfiguriert, aber bevor Sie diese nutzen können, müssen Sie sie im Active Directory Administrative Center aktivieren. Lassen Sie uns eine davon aktivieren:

1. Öffnen Sie den Server Manager.

2. Öffnen Sie das Active Directory Administrative Center über die Tools

3. Klicken Sie auf Resource Properties unter Dynamic Access Control.

4. In der Liste der Eigenschaften im mittleren Bereich klicken Sie mit der rechten Maustaste auf Personal Use, und wählen Sie Aktivieren aus dem Menü.

5. Schließen Sie das Active Directory Administrative Center.

Schritt 2: Erstellen Sie eine Klassifikationsregel

Jetzt werden wir eine Klassifizierungsregel mit File Server Resource Manager erstellen:

1. Öffnen Sie den File Server Resource Manager über das Tools-Menü im Server-Manager.

2. Unter Classification Management, klicken Sie mit der rechten Maustaste auf Classification Rules und wählen Sie Create Classification Rule… aus dem Menü.

3. Im Dialogfeld Klassifizierungsregel erstellen geben Sie der neuen Regel einen Namen im Feld Rule name

4. Wechseln Sie zum Scope Klicken Sie auf Hinzufügen… und wählen Sie den Ordner aus, auf den Sie die Regel anwenden möchten.

5. Wechseln Sie zur Classification Stellen Sie sicher, dass der Content Classifier unter Classification method ausgewählt ist.

6. Unter Property, wählen Sie die Klassifizierungseigenschaft Personal Use aus dem Dropdown-Menü aus.

7. Unter Geben Sie einen Wert an, wählen Sie Nein aus dem Dropdown-Menü aus.

8. Klicken Sie unten auf Configure… unter Parameters.

9. Im Dialogfeld Klassifizierungsparameter klicken Sie in das Feld Expression rechts von Regular expression, und geben Sie Folgendes ein:

^d{3}([s-])?d{3}1d{3}$

Dieser reguläre Ausdruck wird Dateien nach Sozialversicherungsnummern im Format XXX-XXX-XXX durchsuchen. Sie können Zeichenketten oder reguläre Ausdrücke in Ihren Klassifizierungsregeln verwenden.

10. Klicken Sie auf OK um den Dialog 'Classification Parameters' zu schließen.

11. Klicken Sie auf OK im Dialogfeld Klassifizierungsregel erstellen. Die neue Regel wird im zentralen Bereich angezeigt.

Schritt 3 (Optional): Erstellen Sie eine Aufgabe, um FCI automatisch Aktionen basierend auf der Dateiklassifizierung durchführen zu lassen

Wenn wir möchten, dass FCI automatisch Dateien verschlüsselt oder verschiebt, die Sozialversicherungsnummern enthalten, oder eine andere Aktion basierend auf der Klassifizierung durchführt, würden wir jetzt auf File Management Tasks im File Server Resource Manager klicken (siehe die Optionen links in Abbildung 2), um die entsprechende Aufgabe zu erstellen und deren Ausführung zu planen.

Zum Beispiel, um alle Dateien im Verzeichnis Accounts zu verschlüsseln, die als No für persönlichen Gebrauch klassifiziert wurden, würden Sie folgende Schritte unternehmen:

1. Unter Classification Management, klicken Sie auf File Management Tasks.

2. Rechts unter Actions klicken Sie auf Create File Management Task.

3. Im Register 'Allgemein' geben Sie der Aufgabe einen Namen.

4. Wechseln Sie zum Register 'Bereich' und wählen Sie einen Ordner aus, wie zum Beispiel C:Accounts.

5. Wählen Sie auf der Registerkarte Aktion die Option RMS Encryption. (Beachten Sie, dass Active Directory Rights Management Services (RMS) auf einem Server in Ihrer Domäne installiert sein müssen, bevor Sie RMS Encryption verwenden können.)

6. Wählen Sie eine RMS-Vorlage aus oder fügen Sie manuell mindestens eine E-Mail-Adresse hinzu, die berechtigt ist, die verschlüsselten Dokumente zu lesen.

7. Klicken Sie auf der Registerkarte Bedingung auf Add, um eine Bedingung hinzuzufügen.

8. Im Dialogfeld Eigenschaftsbedingung wählen Sie Personal Use für die Eigenschaft, setzen Sie den Operator auf Gleich und setzen Sie den Wert auf Nein.

9. Wählen Sie auf dem Register „Zeitplan“ aus, wann die Aufgabe ausgeführt werden soll, und klicken Sie dann auf OK.

Schritt 4: Testen Sie die Klassifikationsregel

Schließlich testen wir die neue Regel. Nehmen wir an, wir haben einen Ordner namens Accounts der zwei Dateien enthält: eine mit einer Sozialversicherungsnummer und die andere ohne.

1. Im File Server Resource Manager, im Aktionsbereich ganz rechts, klicken Sie auf Jetzt Klassifizierung mit allen Regeln ausführen…

2. Im Dialogfeld Klassifizierung ausführen wählen Sie Warten Sie, bis die Klassifizierung abgeschlossen ist und klicken Sie auf OK.

3. Ein Bericht wird angezeigt, sobald der Klassifizierungsprozess abgeschlossen ist. Der untenstehende Bericht zeigt, dass eine Datei wie erwartet klassifiziert wurde.

Überprüfen der Klassifizierung einer Datei oder manuelles Klassifizieren einer Datei

Um die Klassifizierung einer Datei zu überprüfen oder um eine Datei manuell zu klassifizieren, klicken Sie die Datei im Explorer mit der rechten Maustaste an, klicken Sie auf Eigenschaften im Menü und wechseln Sie zum Tab Klassifizierung. Beachten Sie, dass alle aktivierten Klassifizierungseigenschaften in den Metadaten der Datei erscheinen, unabhängig davon, ob Werte festgelegt sind.

Vor- und Nachteile von Microsoft FCI

Die FCI-Technologie wird Organisationen sicherlich dabei helfen, mit Data Classification zu beginnen. Sie ist in allen Editionen von Windows Server verfügbar und erfordert keine zusätzlichen Lizenzen über das hinaus, was benötigt wird, um Windows als Dateiserver zu nutzen. Da FCI auf den Windows-Suchdienst und die dynamische Zugriffskontrolle angewiesen ist, ist die notwendige Infrastruktur wahrscheinlich bereits in Ihrer Organisation vorhanden. Die Integration in den Windows Explorer bedeutet, dass keine Client-Installation auf Endbenutzergeräten erforderlich ist.

Allerdings hat FCI zahlreiche Einschränkungen im Vergleich zu Tools zur Datenklassifizierung von Drittanbietern. Zuerst und vor allem funktioniert das Tool nur mit auf Windows basierenden Dateiservern. Organisationen, die EMC, NetApp, SharePoint, Office 365 und andere Systeme zur Datenspeicherung verwenden, können ihre Inhalte mit FCI nicht klassifizieren.

Es gibt auch andere Nachteile. Während Klassifizierungseigenschaften zentral im Active Directory verwaltet werden können, müssen Klassifizierungsregeln auf jedem Dateiserver einzeln festgelegt werden, ein mühsamer Prozess, der mit PowerShell automatisiert werden kann. Sie müssen auch sicherstellen, dass Windows Search in der Lage ist, die Dateien, die Sie klassifizieren möchten, zu indizieren, was möglicherweise die Installation des Microsoft Office Filter Packs und iFilters für andere Dateitypen auf Ihren Dateiservern erfordert. Das Reporting ist nicht zentralisiert, daher müssen Sie jeden Server einzeln anfassen, um einen Bericht zu generieren.

FCI kann Organisationen dabei helfen, die auf Windows-basierten Dateiservern gespeicherten Daten zu lokalisieren und zu klassifizieren, sodass es ein nützliches Werkzeug für den Einstieg in die Datenklassifizierung sein kann. Um jedoch die umfassende Datenklassifizierung und -verwaltung zu implementieren, die erforderlich ist, um Sicherheit und regulatorische Konformität zu gewährleisten, müssen Organisationen in file classification software investieren.