Spiegazione dell'infrastruttura di classificazione dei file di Microsoft (FCI)

Comprendere quali dati si possiedono e dove si trovano è un passo critico per conformarsi alle normative di settore e governative, come il GDPR dell'Unione Europea.

Microsoft ha introdotto l'infrastruttura di File Classification (FCI) in Windows Server 2008 R2 per aiutare le organizzazioni a classificare i dati memorizzati sui server di file Windows. Utilizzando FCI, gli amministratori di sistema possono impostare regole che classificano automaticamente i file in base a vari fattori, come la posizione o il contenuto. Una volta che i file sono stati classificati, FCI può eseguire azioni specificate su di essi, come spostarli in una directory specificata o cifrarli.

Metodi di classificazione

Il modo più semplice per classificare i file con FCI è utilizzare il suo motore integrato. FCI utilizza Windows Search per esplorare i tuoi file server e classificare automaticamente i file in base alle proprietà di classificazione e alle regole che hai impostato. Gli utenti possono anche classificare manualmente i file utilizzando la scheda Classification che Windows Server 2012 e Windows 8 aggiungono a Windows Explorer. Se classifichi i modelli di Microsoft Office della tua organizzazione, gli utenti possono creare documenti con i metadati necessari già al loro posto.

Inoltre, le applicazioni possono utilizzare l'API FCI per analizzare i file e consentire agli utenti di classificare manualmente i documenti direttamente all'interno delle applicazioni in cui vengono creati. È disponibile anche un modulo classificatore di Windows PowerShell che permette agli amministratori di sistema di accedere all'API e classificare i file utilizzando qualsiasi proprietà desiderino, senza la necessità di programmare in C# o C++. Il modulo classificatore di PowerShell fa parte del Windows Software Development Kit (SDK).

Proprietà di classificazione

Gli amministratori dei file server creano proprietà di classificazione per definire come i metadati saranno utilizzati per classificare i file. Ci sono otto tipi di proprietà di classificazione in Windows Server 2016, inclusi sì/no, data/ora e lista a scelta multipla. Ogni proprietà di classificazione ha un insieme predefinito di possibili tipi di valori. Alcuni sono semplici; per esempio, la proprietà Uso Personale può essere solo Sì o No, e la proprietà Data Inizio Conservazione accetta solo valori data/ora. Altre proprietà hanno tipi di valori più complessi; per esempio, la proprietà Uso Cartella accetta valori multipli, e la proprietà Impatto è un elenco ordinato.

Il processo di classificazione

I metadati di classificazione vengono aggiunti ai file utilizzando lo Stream Alternativo di Dati NTFS (ADS). I file mantengono la loro classificazione a condizione che siano memorizzati su un volume NTFS. Se un file viene spostato su un volume FAT32 o ReFS, perde la sua classificazione. Un'eccezione a questa regola sono i file di Microsoft Office; poiché i metadati di classificazione sono memorizzati nei file e nello ADS NTFS, la classificazione non viene persa quando i file vengono spostati sul cloud — pensa a SharePoint.

Il Dynamic Access Control (DAC) in Windows Server 2012 lavora con FCI per fornire proprietà di classificazione che sono centralizzate in Active Directory (AD), piuttosto che impostate localmente su ogni file server. A differenza di Windows Server 2008, Windows Server 2012 fornisce un insieme di proprietà di classificazione DAC predefinite che le organizzazioni possono utilizzare per iniziare. Inoltre, il Data Classification Toolkit offre ulteriori proprietà di classificazione per soddisfare gli standard comuni di conformità normativa, come HIPAA e GDPR.

Iniziare con FCI

Procediamo con il processo di creazione e test di una regola di classificazione utilizzando FCI.

Prerequisiti

Per questo esempio, avrai bisogno di un file server Windows Server 2016 che sia membro di un dominio Active Directory (livello funzionale della foresta di Windows Server 2012 o superiore).

Poiché FCI fa parte di File Server Resource Manager (FSRM), assicurati che il ruolo del server FSRM sia installato sul tuo file server. Il modo più semplice per installare FSRM è utilizzare il seguente comando PowerShell:

      Add-WindowsFeature FS-Resource-Manager -IncludeManagementTools
      

Passaggio 1: Abilita alcune proprietà di classificazione

Le versioni di Windows Server 2012 e successive sono già configurate con diverse proprietà di classificazione globale, ma prima di poterle utilizzare, devi abilitarle nel Centro amministrativo di Active Directory. Abilitiamo una di queste:

1. Apri Server Manager.

2. Apri il Active Directory Administrative Center dal menu Strumenti

3. Fare clic su Resource Properties sotto il controllo di accesso dinamico.

4. Nell'elenco delle proprietà nel riquadro centrale, fare clic con il pulsante destro del mouse su Personal Use, e selezionare Enable dal menu.

5. Chiudi il Centro amministrativo di Active Directory.

Passaggio 2: Crea una regola di classificazione

Ora creeremo una regola di classificazione utilizzando File Server Resource Manager:

1. Apri File Server Resource Manager dal menu Strumenti in Server Manager.

2. In Gestione della Classificazione, fare clic con il pulsante destro del mouse su Classification Rules e selezionare Crea regola di classificazione… dal menu.

3. Nella finestra di dialogo Crea regola di classificazione, assegnate un nome alla nuova regola nel campo Rule name

4. Passa alla sezione Scope Fai clic su Aggiungi… e seleziona la cartella dove vuoi applicare la regola.

5. Passa alla Classification Assicurati che Content Classifier sia selezionato sotto Classification method.

6. Nella sezione Property, selezionare la proprietà di classificazione Personal Use dal menu a discesa.

7. Nella sezione Specifica un valore, seleziona No dal menu a discesa.

8. Fare clic su Configure… sotto Parameters.

9. Nella finestra di dialogo dei Parametri di Classificazione, clicca nel campo Expression alla destra dell'espressione Regular expression, e inserisci quanto segue:

^d{3}([s-])?d{3}1d{3}$

Questa espressione regolare cercherà nei file i numeri di previdenza sociale nel formato XXX-XXX-XXX. Puoi utilizzare stringhe o espressioni regolari nelle tue regole di classificazione.

10. Fai clic su OK per chiudere la finestra di dialogo dei Parametri di Classificazione.

11. Fare clic su OK nella finestra di dialogo Crea regola di classificazione. La nuova regola apparirà nel riquadro centrale.

Passaggio 3 (Opzionale): Creare un'attività per far sì che FCI esegua automaticamente un'azione in base alla classificazione dei file

Se volessimo che FCI criptasse automaticamente o spostasse qualsiasi file contenente numeri di previdenza sociale, o intraprendesse qualche altra azione basata sulla classificazione, ora faremmo clic su File Management Tasks nel File Server Resource Manager (vedi le opzioni a sinistra nella Figura 2) per creare l'attività appropriata e programmarne l'esecuzione.

Ad esempio, per criptare tutti i file nella directory Accounts classificati come No per uso personale, seguiresti i seguenti passaggi:

1. Nella sezione Classification Management, clicca su File Management Tasks.

2. A destra, sotto la voce Actions, clicca su Create File Management Task.

3. Nella scheda Generale, assegna un nome al compito.

4. Passa alla scheda Ambito e seleziona una cartella, come C:Accounts.

5. Nella scheda Azione, selezionare RMS Encryption. (Nota che i servizi di gestione dei diritti di Active Directory (RMS) devono essere installati su un server nel tuo dominio prima di poter utilizzare RMS Encryption.)

6. Seleziona un modello RMS o aggiungi manualmente almeno un indirizzo email autorizzato a leggere i documenti criptati.

7. Nella scheda Condizione, clicca su Add per aggiungere una condizione.

8. Nella finestra di dialogo Condizione Proprietà, selezionare Personal Use per la Proprietà, impostare il valore dell'Operatore su Equals e impostare il Valore su No.

9. Nella scheda Programma, specificare quando si desidera che l'attività venga eseguita e poi fare clic su OK.

Passaggio 4: Testare la regola di classificazione

Infine, testiamo la nuova regola. Supponiamo di avere una cartella chiamata Accounts che contiene due file: uno con un numero di Previdenza Sociale e l'altro senza.

1. Nel File Server Resource Manager, nel pannello Azioni sulla destra, cliccare su Esegui Classificazione Con Tutte le Regole Ora…

2. Nella finestra di dialogo Esegui Classificazione, selezionare Attendere il completamento della classificazione e fare clic su OK.

3. Verrà visualizzato un rapporto una volta completato il processo di classificazione. Il rapporto sottostante mostra che un file è stato classificato, come previsto.

Verificare la classificazione di un file o classificarlo manualmente

Per verificare la classificazione di un file o per classificarlo manualmente, fare clic con il pulsante destro del mouse sul file in Esplora risorse, cliccare su Properties nel menu e passare alla scheda Classification. Notare che tutte le proprietà di classificazione abilitate appaiono nei metadati del file, indipendentemente dal fatto che i valori siano impostati.

Pro e contro di Microsoft FCI

La tecnologia FCI aiuterà sicuramente le organizzazioni a iniziare con la data classification. È disponibile in tutte le edizioni di Windows Server e non richiede alcuna licenza aggiuntiva oltre a quella necessaria per utilizzare Windows come file server. Poiché FCI si basa sul servizio di ricerca di Windows e sul Controllo di Accesso Dinamico, l'infrastruttura necessaria è probabilmente già presente nella vostra organizzazione. L'integrazione con Windows Explorer significa che non c'è bisogno di installare un client sui dispositivi degli utenti finali.

Tuttavia, FCI presenta numerose limitazioni rispetto agli strumenti di classificazione dei dati di terze parti. Prima di tutto, lo strumento funziona solo con i file server basati su Windows. Le organizzazioni che utilizzano EMC, NetApp, SharePoint, Office 365 e altri sistemi per memorizzare i dati non saranno in grado di classificare tali contenuti utilizzando FCI.

Ci sono anche altri svantaggi. Mentre le proprietà di classificazione possono essere gestite centralmente in Active Directory, le regole di classificazione devono essere impostate su ogni file server, un processo noioso che può essere automatizzato utilizzando PowerShell. Dovrai anche assicurarti che Windows Search sia in grado di indicizzare i file che desideri classificare, il che potrebbe significare installare il Microsoft Office Filter Pack e iFilters per altri tipi di file sui tuoi file server. La generazione di report non è centralizzata, quindi dovrai intervenire su ogni server per generare un rapporto.

FCI può aiutare le organizzazioni a localizzare e classificare i dati che memorizzano sui server di file basati su Windows, quindi può essere uno strumento utile per iniziare con la data classification. Tuttavia, per implementare la classificazione e la gestione dei dati completa richiesta per garantire la sicurezza e la conformità normativa, le organizzazioni devono investire in file classification software.