Deploy Encryption of Office Files (Demonstration Steps)
Contoso 的财务部门具有多个用于存储其文档的文件服务器。 这些文档可能是通用文档,也可能是具有高业务影响 (HBI) 的文档。 例如,Contoso 将包含机密信息的所有文档都视为具有高业务影响。 Contoso 希望确保其所有文档都有最小程度的保护,并且将其 HBI 文档限制为仅相应人员才可访问。 若要实现此目的,Contoso 将尝试使用 Windows Server 2012 中提供的文件分类基础结构 (FCI) 和 AD RMS。 通过使用 FCI,Contoso 可根据文档内容对其文件服务器上的所有文档进行分类,然后使用 AD RMS 来应用相应的权限策略。
在此场景中,你将执行以下步骤:
| 任务 | 说明 |
|---|---|
| 启用资源属性 | 启用“影响” 和“个人身份信息” 资源属性。 |
| 创建分类规则 | 创建以下分类规则:“HBI 分类规则” 和“PII 分类规则” 。 |
| 使用文件管理任务来通过 AD RMS 自动保护文档 | 创建文件管理任务,该任务自动使用 AD RMS 来保护具有高个人身份信息 (PII) 的文档。 只有 FinanceAdmin 组的成员才有权访问包含高 PII 的文档。 |
| 查看结果 | 检查文档的分类,并在更改文档内容时观察它们如何更改。 还要验证文档如何通过 AD RMS 获取保护。 |
| 验证 AD RMS 保护 | 验证是否已使用 AD RMS 保护文档。 |
步骤 1:启用资源属性
启用资源属性
在 Hyper-V 管理器中,连接到服务器 ID_AD_DC1。 通过使用 Contoso\Administrator 和密码 pass@word1登录到服务器。
打开 Active Directory 管理中心,然后单击“树视图” 。
展开“动态访问控制” ,并选择“资源属性” 。
在“显示名称” 列中,向下滚动到“影响” 属性。 右键单击“影响” ,然后单击“启用” 。
在“显示名称” 列中,向下滚动到“个人身份信息” 属性。 右键单击“个人身份信息” ,然后单击“启用” 。
若要发布“全局资源列表” 中的资源属性,请在左窗格中单击“资源属性列表” ,然后双击“全局资源属性列表” 。
单击“添加” ,然后向下滚动到“影响” 并单击它以将其添加到该列表。 对于“个人身份信息” ,请执行相同的步骤。 单击“确定” 两次以完成操作。
Windows PowerShell 等效命令
下面一个或多个 Windows PowerShell cmdlet 执行的功能与前面的过程相同。 在同一行输入每个 cmdlet(即使此处可能因格式限制而出现多行换行)。
Set-ADResourceProperty -Enabled:$true -Identity:"CN=Impact_MS,CN=Resource Properties,CN=Claims Configuration,CN=Services,CN=Configuration,DC=contoso,DC=com"
Set-ADResourceProperty -Enabled:$true -Identity:"CN=PII_MS,CN=Resource Properties,CN=Claims Configuration,CN=Services,CN=Configuration,DC=contoso,DC=com"
步骤 2:创建分类规则
此步骤介绍如何创建“高影响” 分类规则。 该规则可搜索文档的内容,如果找到字符串“Contoso 机密”,则会将此文档归类为具有高业务影响的文档。 此分类将覆盖之前分配的低业务影响的分类。
你还将创建“高 PII” 规则。 此规则将搜索文档的内容,并且如果找到身份证号,则它将此文档归类为具有高 PII 的文档。
创建高影响分类规则
在 Hyper-V 管理器中,连接到服务器 ID_AD_FILE1。 通过使用 Contoso\Administrator 和密码 pass@word1登录到服务器。
你需要通过 Active Directory 刷新全局资源属性。 在 Windows PowerShell 上,键入
Update-FSRMClassificationPropertyDefinition,然后按 ENTER。 关闭 Windows PowerShell。打开文件服务器资源管理器。 若要打开文件服务器资源管理器,请单击“开始”,然后键入“文件服务器资源管理器”,最后单击“文件服务器资源管理器”。
在“文件服务器资源管理器”的左窗格中,展开“分类管理” ,然后选择“分类规则” 。
在“操作” 窗格中,单击“配置分类计划” 。 在“自动分类” 选项卡上,选择“启用固定日程安排” ,选择“星期几” ,然后选中“允许对新文件进行连续分类” 复选框。 单击“确定”。
在“操作” 窗格中,单击“创建分类规则” 。 此操作将打开“创建分类规则” 对话框。
在“规则名称” 框中,键入 高业务影响。
在“描述”框中,键入“根据是否存在字符串‘Contoso 机密’来确定文档是否为高业务影响的文档”
在“作用域” 选项卡上,单击“设置文件夹管理属性” ,选择“文件夹用途” ,单击“添加” ,再单击“浏览” 以浏览到作为路径的 D:\Finance Documents,单击“确定” ,然后选择名为“组文件” 的属性值,最后单击“关闭” 。 在设置管理属性之后,在“规则作用域” 选项卡上选择“组文件” 。
单击“分类”选项卡。在“选择用于将属性分配给文件的方法”下,从下拉列表中选择“内容分类器”。
在“选择要分配给文件的属性” 下,从下拉列表中选择“影响” 。
在“指定一个值” 下,从下拉列表中选择“高” 。
在“参数” 下单击“配置” 。 在“分类参数” 对话框中,在“表达式类型” 列表中选择“字符串” 。 在“表达式” 框中,键入: Contoso 机密,然后单击“确定” 。
单击“评估类型”选项卡。单击“重新评估现有属性值”,并单击“覆盖”以覆盖现有值,然后单击“确定”完成操作。
Windows PowerShell 等效命令
下面一个或多个 Windows PowerShell cmdlet 执行的功能与前面的过程相同。 在同一行输入每个 cmdlet(即使此处可能因格式限制而出现多行换行)。
Update-FSRMClassificationPropertyDefinition
$date = Get-Date
$AutomaticClassificationScheduledTask = New-FsrmScheduledTask -Time $date -Weekly @(3, 2, 4, 5,1,6,0) -RunDuration 0;
Set-FsrmClassification -Continuous -schedule $AutomaticClassificationScheduledTask
New-FSRMClassificationRule -Name "High Business Impact" -Property "Impact_MS" -Description "Determines if the document has a high business impact based on the presence of the string 'Contoso Confidential'" -PropertyValue "3000" -Namespace @("D:\Finance Documents") -ClassificationMechanism "Content Classifier" -Parameters @("StringEx=Min=1;Expr=Contoso Confidential") -ReevaluateProperty Overwrite
创建高 PII 分类规则
在 Hyper-V 管理器中,连接到服务器 ID_AD_FILE1。 通过使用 Contoso\Administrator 和密码 pass@word1登录到服务器。
在桌面上,打开名为“正则表达式” 的文件夹,然后打开名为“RegEx-SSN” 的文本文档。 突出显示并复制以下正则表达式字符串:^(?!000)([0-7]\d{2}|7([0-7]\d|7[012]))([ -]?)(?!00)\d\d\3(?!0000)\d{4}$。 在本步骤的后面部分会使用此字符串,因此请将它保留在你的剪贴板上。
打开文件服务器资源管理器。 若要打开文件服务器资源管理器,请单击“开始”,然后键入“文件服务器资源管理器”,最后单击“文件服务器资源管理器”。
在“文件服务器资源管理器”的左窗格中,展开“分类管理” ,然后选择“分类规则” 。
在“操作” 窗格中,单击“配置分类计划” 。 在“自动分类” 选项卡上,选择“启用固定日程安排” ,选择“星期几” ,然后选中“允许对新文件进行连续分类” 复选框。 单击“确定” 。
在“规则名称” 框中,键入 高 PII。 在“描述” 框中,键入 根据是否存在身份证号来确定文档是否为高 PII 的文档。
单击“作用域” 选项卡,然后选中“组文件” 复选框。
单击“分类”选项卡。在“选择用于将属性分配给文件的方法”下,从下拉列表中选择“内容分类器”。
在“选择要分配给文件的属性” 下,从下拉列表中选择“个人身份信息” 。
在“指定一个值” 下,从下拉列表中选择“高” 。
在“参数” 下单击“配置” 。 在“分类参数”窗口中,在“表达式类型”列表中选择“正则表达式”。 在“表达式”框中,粘贴剪贴板中的文本:^(?!000)([0-7]\d{2}|7([0-7]\d|7[012]))([ -]?)(?!00)\d\d\3(?!0000)\d{4}$,然后单击“确定”。
注意
此表达式将允许无效的身份证号。 这使得我们可以在演示中使用虚构的身份证号。
单击“评估类型”选项卡。选中“重新评估现有属性值”,单击“覆盖”以覆盖现有值,然后单击“确定”完成操作。
Windows PowerShell 等效命令
下面一个或多个 Windows PowerShell cmdlet 执行的功能与前面的过程相同。 在同一行输入每个 cmdlet(即使此处可能因格式限制而出现多行换行)。
New-FSRMClassificationRule -Name "High PII" -Description "Determines if the document has a high PII based on the presence of a Social Security Number." -Property "PII_MS" -PropertyValue "5000" -Namespace @("D:\Finance Documents") -ClassificationMechanism "Content Classifier" -Parameters @("RegularExpressionEx=Min=1;Expr=^(?!000)([0-7]\d{2}|7([0-7]\d|7[012]))([ -]?)(?!00)\d\d\3(?!0000)\d{4}$") -ReevaluateProperty Overwrite
你现在应具有两个分类规则:
高业务影响
高 PII
步骤 3:使用文件管理任务来通过 AD RMS 自动保护文档
现在,你已创建可根据文档内容自动对文档进行分类的规则,下一步是创建文件管理任务,该任务根据文档的分类来使用 AD RMS 自动保护某些文档。 在此步骤中,你将创建可自动保护任何高 PII 文档的文件管理任务。 只有 FinanceAdmin 组的成员才有权访问包含高 PII 的文档。
使用 AD RMS 保护文档
在 Hyper-V 管理器中,连接到服务器 ID_AD_FILE1。 通过使用 Contoso\Administrator 和密码 pass@word1登录到服务器。
打开文件服务器资源管理器。 若要打开文件服务器资源管理器,请单击“开始”,然后键入“文件服务器资源管理器”,最后单击“文件服务器资源管理器”。
在左窗格中,选择“文件管理任务” 。 在“操作” 窗格中,选择“创建文件管理任务” 。
在“任务名称:” 字段中,键入 高 PII。 在“描述” 字段中,键入 高 PII 文档的自动 RMS 保护。
单击“作用域” 选项卡,然后选中“组文件” 复选框。
单击“操作”选项卡。在“类型”下,选择“RMS 加密”。 单击“浏览” 以选择模板,然后选择“仅限 Contoso 财务管理员” 模板。
单击“条件” 选项卡,然后单击“添加” 。 在“属性” 下,选择“个人身份信息” 。 在“运营商” 下,选择“等于” 。 在“值” 下,选择“高” 。 单击“确定” 。
单击“计划”选项卡。在“计划”部分中,单击“每周”,然后选择“周日”。 通过每周运行一次该任务,可确保你捕获由于服务中断或其他破坏性事件而错过的任何文档。
在“连续运行” 部分中,选择“持续在新文件上运行任务” ,然后单击“确定” 。 现在,应该具有一个名为“高 PII”的文件管理任务。
Windows PowerShell 等效命令
下面一个或多个 Windows PowerShell cmdlet 执行的功能与前面的过程相同。 在同一行输入每个 cmdlet(即使此处可能因格式限制而出现多行换行)。
$fmjRmsEncryption = New-FSRMFmjAction -Type 'Rms' -RmsTemplate 'Contoso Finance Admin Only'
$fmjCondition1 = New-FSRMFmjCondition -Property 'PII_MS' -Condition 'Equal' -Value '5000'
$date = get-date
$schedule = New-FsrmScheduledTask -Time $date -Weekly @('Sunday')
$fmj1=New-FSRMFileManagementJob -Name "High PII" -Description "Automatic RMS protection for high PII documents" -Namespace @('D:\Finance Documents') -Action $fmjRmsEncryption -Schedule $schedule -Continuous -Condition @($fmjCondition1)
步骤 4:查看结果
现在可以在操作中查看新的自动分类和 AD RMS 保护规则。 在本步骤中,你将检查文档的分类,并在更改文档内容时观察它们如何更改。
查看结果
在 Hyper-V 管理器中,连接到服务器 ID_AD_FILE1。 通过使用 Contoso\Administrator 和密码 pass@word1登录到服务器。
在 Windows 资源管理器中,导航到 D:\Finance Documents。
右键单击“财务备注”文档,单击“属性” 。单击“分类” 选项卡,请注意,“影响”属性当前没有任何值。 单击取消。
右键单击“‘请求批准聘用’文档” ,然后选择“属性” 。
单击“分类” 选项卡,请注意,“个人身份信息” 属性当前当前没有任何值。 单击取消。
切换到 CLIENT1。 注销任何已登录的用户,然后以 Contoso\MReid 的身份使用密码 pass@word1进行登录。
从桌面上,打开“财务文档” 共享文件夹。
打开“财务备注” 文档。 在接近文档底部处,会看到 机密一词。 将其修改为: Contoso 机密。 保存该文档并将其关闭。
打开“请求批准聘用” 文档。 在“身份证号:” 部分中,键入:777-77-7777。 保存该文档并将其关闭。
注意
可能需要等待 30 秒才会进行分类。
重新切换到 ID_AD_FILE1。 在 Windows 资源管理器中,导航到 D:\Finance Documents。
右键单击“财务备注”文档,然后单击“属性” 。 单击“分类”选项卡。请注意,现已将“影响”属性设置为“高”。 单击取消。
右键单击“请求批准聘用”文档,然后单击“属性” 。
。 单击“分类”选项卡,请注意,现已将“个人身份信息”属性设置为“高”。 单击取消。
步骤 5:验证使用 AD RMS 的保护
验证文档是否受保护
重新切换到 ID_AD_CLIENT1。
打开“请求批准聘用” 文档。
单击“确定” 以允许该文档连接到 AD RMS 服务器。
你现在可以看到该文档由 AD RMS 保护,因为它包含身份证号。