Інфраструктура класифікації файлів в windows server 2018, windows it pro

У більшості компаній зберігається величезна кількість неструктурованих даних: документи Microsoft Word, електронні таблиці, зображення, файли даних з прикладних програм - список можна продовжувати нескінченно. Хоча такі додатки як SharePoint допомагають упорядкувати подібні дані, насправді в них розміщується лише близько 10% даних. Решта зберігаються на файл-серверах майже без контролю і можливості управління

Надіслати заявку на отримання матеріалів

Автоматизація управління і організація конфіденційних даних в компоненті FCI

Ніколи раніше значення класифікації та управління даними не було настільки велике. Вимоги нормативних актів стають все більш строгими. За невиконання вимог законодавства компаніям загрожують великі штрафи і навіть тюремне ув'язнення для керівників. Крім того, компанії, «втрачають» дані клієнтів, позбавляються їх довіри.

Багато організацій намагаються класифікувати дані декількома способами:

розміщують документи в різних місцях;
створюють правила резервного копіювання або сценарії власної розробки, які архівують і видаляють дані певного типу і «віку»;
застосовують політики служби управління правами Active Directory (AD RMS) або шифрують конфіденційні дані;
використовують програму шифрування диска Windows BitLocker для захисту певних томів, що містять важливі дані.

Інфраструктура класифікації файлів

FSRM дозволяє призначати квоти групам користувачів на рівні папок. Ви також керуєте не тільки розміром використовуваного простору, а й тим, як це простір використовується, через фільтри реального часу, що блокують певні типи файлів. Наприклад, можна створити фільтр блокування файлів для MP3-файлів. Користувач, який намагається записати MP3-файл, отримує повідомлення про відмову в доступі. Ці дії можна налаштовувати (наприклад, можна відправляти користувачеві по електронній пошті повідомлення з поясненням, чому відправлено повідомлення, і посиланням на корпоративну політику). FSRM також має в своєму розпорядженні чудовими функціями підготовки звітів, в яких показано, як і ким використовується простір файлового сервера.

Екран 1. Використання інфраструктури FCI для? Класифікації файлів

Після того, як дані класифіковані, завдання управління файлами шукає дані, чий класифікатор PII має значення Moderate або High, а потім застосовує політику AD RMS, яка обмежує способи використання даних. Також можуть застосовуватися інші дії, такі як шифрування або переміщення даних. По суті, робота компонента FCI включає два етапи:

Класифікація даних з використанням автоматизованих правил.
Виконання операцій з даними, заснованими на цій класифікації.

Величезна перевага класифікації перед звичайними процесами пошуку даних з подальшим виконанням певної дії полягає в тому, що дії не обов'язково повинні бути негайними. Дані класифікуються періодично або при створенні, а пізніше можуть бути виконані багато набори дій в залежності від класифікації даних. Це дуже корисна функція для компаній.

Незважаючи на всі свої достоїнства, технологія не отримала широкого поширення, хоча компанії відчайдушно потребували функціях подібного типу. Причина млявого впровадження досить проста: компанії не знають, з чого почати. Спочатку інфраструктура класифікації файлів не має стандартними властивостями класифікації, стандартними правилами класифікації і стандартними завданнями, виконуваними на основі готових класифікацій. Тому спочатку компаніям необхідно з'ясувати, які класифікації їм потрібні. Це перешкода гальмує весь процес. Компанії витрачають місяці, щоб підготувати класифікації, перед ними відкриваються сотні варіантів, а потім проект захлинається і так і залишається нереалізованим.

Екран 2. Управління властивостями класифікації (ресурсу) з центру адміністрування Active Directory

Перш ніж запустити майстер імпорту Data Classification Toolkit (який заповнює цільової сервер FSRM), важливо задіяти більшість властивостей класифікації в AD, а потім обновити властивості класифікації FSRM. Якщо не виконати ці першочергові кроки, процес імпорту завершиться невдачею, так як властивості класифікації будуть недоступні шаблонами. Крім того, слід розмістити AD RMS в компанії, щоб мати можливість застосувати політику AD RMS за замовчуванням (це можна змінити пізніше) і вказати файли конфігурації XML при імпорті набору інструментів.

Налаштування класифікацій. Майстер Data Classification Toolkit (див. Екран 3) проводить користувача через налаштування класифікацій. Перш за все, імпортуйте базові, готові класифікації на проміжний сервер. За допомогою набору інструментів зручно управляти FCI на одному сервері, налаштувати правила і завдання, а потім експортувати ці настройки на всі файлові сервери в компанії. Після того, як отримано оптимальний набір налаштувань, експортуйте його в XML-файл і розгорніть на виробничих файлових серверах.

Екран 3. Основні дії Data Classification Toolkit

Data Classification Toolkit містить три базових шаблону класифікації, що полегшують початок роботи. Це просто XML-файли, що застосовуються на файловому сервері; однак, швидше за все, буде потрібно настройка на конкретне застосування. Шаблони класифікації:

Зверніть увагу, що не обов'язково використовувати Data Classification Toolkit для імпорту і експортувати налаштування класифікації, але його шаблони забезпечують відмінну відправну точку для підготовки власних правил і завдань. Інакше можна задіяти PowerShell. Для управління класифікацією, крім глобальних властивостей класифікації, збережених в AD, використовуйте інструмент FSRM через навігаційні вузли Classification Management і File Management Tasks. На екрані 4 відображає список доступних властивості класифікації. Зверніть увагу, що для кожного властивості класифікації задана область. Властивості з глобальної областю витягуються з AD. Також врахуйте, що кожна властивість має тип використання, який показує, чи може воно застосовуватися як частина перевірки при динамічному контролі доступу, в інфраструктурі класифікації файлів або для управління папками.

Екран 4. Диспетчер ресурсів сервера показує доступні властивості класифікації

Навігаційний вузол Classification Rules дозволяє управляти правилами заповнення властивостей класифікації. Якщо застосувати Data Classification Toolkit і імпортувати стандартний Data Classification Toolkit Package.xml, то відкривається доступ до декількох правил класифікації; однак за замовчуванням вони відключені (імпортовані завдання управління файлами також відключені за замовчуванням).

Приділіть деякий час розгляду правил класифікації, способів їх роботи і при необхідності створення власних правил. Переконайтеся, що правила, які потрібно використовувати в компанії, включені, як показано на екрані 5. Погляньте на докладні властивості правила класифікації. Зверніть увагу на можливість застосування PowerShell для установки властивостей класифікації, що забезпечує безмежну гнучкість. Одне з дій, яке корисне застосувати до кожного правила, - вказати папки, до якої застосовуватиметься правило (на вкладці «Область» властивостей правила), і спосіб завдання значень для властивості класифікації.

Екран 5. Активація правила класифікації за допомогою дії Enable Rules

Зберігання даних класифікації. На даному етапі дані класифіковані. Часто виникає питання: де зберігати дані класифікації? Дані класифікації зберігаються в альтернативному потоці даних NTFS в файлі або папці з класифікацією:

Виконання завдань управління. Класифікація даних - гігантський крок, але ще необхідно, щоб FCI виконувала завдання на основі цих класифікацій. Використовуйте завдання управління файлами FSRM для виконання дій на основі класифікації.

Якщо Data Classification Toolkit використовується для імпорту базового набору налаштувань, то деякі завдання вже налаштовані, але відключені. Подивіться на завдання і налаштуйте і увімкніть потрібні на основі класифікацій, для яких існують правила. Наприклад, якщо активувати правила, щоб встановити значення для властивості класифікації Personally Identifiable Information (PII), то слід активувати дії на основі цієї властивості класифікації. Так, RMSProtect_ModerateAndHigh_PII (екран 6) виконує завдання, якщо PII більше, ніж Public, а потім пов'язує політику AD RMS з даними. Зверніть увагу, що доступний для користувача тип, який дозволяє виконати майже будь-яку дію за умови, що існує відповідний метод зробити це з командного рядка. У кожного завдання свій розклад і (як у правила класифікації) можливість запуску завдання при застосуванні класифікацій.

Екран 6. Завдання управління файлами захищає дані, що класифіковані як особисті відомості рівня Moderate або High

Залишилося лише створити файли даних, що містять елементи, які виявляються правилами, і дані автоматично класифікуються.

Збереження інфраструктури класифікації файлів

Активуйте властивості класифікації AD, які потрібно використовувати, і при необхідності визначте значення.
Встановіть роль FSRM на файлових серверах і Data Classification Toolkit на одному проміжному або головному файловому сервері.
У якості відправної точки імпортуйте шаблон. Налаштуйте правила класифікації і завдання відповідно до потреб компанії.
Експортуйте настройки класифікації з проміжного або головного файлового сервера на всі інші файлові сервери.
Постарайтеся використовувати існуючі класифікації для інших цілей, зокрема, динамічного контролю доступу.

Застосовуючи готову реалізацію FCI замість сторонніх рішень, можна досягти значної економії. Крім того, дані повинні бути «локальними» для файлових серверів Windows (тобто розміщуватися на безпосередньопідключених або монтованих томах з SAN). FCI не працює з віддаленими даними, в тому числі доступними через протокол Server Message Block.

У даній статті лише поверхнево порушені високорівневі можливості FCI. Це одна з технологій, які можуть буквально змінити способи функціонування компаній, але поки вона недостатньо зрозуміла і не знайшла широкого застосування. Я настійно рекомендую всім компаніям вивчити FCI і розібратися, як з її допомогою можна управляти неструктурованими даними.

Поділіться матеріалом з колегами і друзями