通过

部署 Office 文件加密(演示步骤)

Contoso 的财务部门具有多个用于存储其文档的文件服务器。 这些文档可能是通用文档,也可能是具有高业务影响 (HBI) 的文档。 例如,Contoso 将包含机密信息的所有文档都视为具有高业务影响。 Contoso 希望确保其所有文档都有最小程度的保护,并且将其 HBI 文档限制为仅相应人员才可访问。 若要实现此目的,Contoso 将尝试使用 Windows Server 2012 中提供的文件分类基础结构 (FCI) 和 AD RMS。 通过使用 FCI,Contoso 可根据文档内容对其文件服务器上的所有文档进行分类,然后使用 AD RMS 来应用相应的权限策略。

在此场景中,你将执行以下步骤:

Task Description
启用资源属性 Enable the Impact and Personally Identifiable Information resource properties.
创建分类规则 创建以下分类规则:“HBI 分类规则” 和“PII 分类规则”
使用文件管理任务通过 AD RMS 自动保护文档 创建文件管理任务,该任务自动使用 AD RMS 来保护具有高个人身份信息 (PII) 的文档。 只有 FinanceAdmin 组的成员才有权访问包含高 PII 的文档。
查看结果 检查文档的分类,并在更改文档内容时观察它们如何更改。 还要验证文档如何通过 AD RMS 获取保护。
验证 AD RMS 保护 验证是否已使用 AD RMS 保护文档。

步骤 1:启用资源属性

启用资源属性

  1. 在 Hyper-V 管理器中,连接到服务器 ID_AD_DC1。 Sign in to the server by using Contoso\Administrator with the password pass@word1.

  2. Open Active Directory Administrative Center, and click Tree View.

  3. 展开“动态访问控制” ,并选择“资源属性”

  4. Scroll down to the Impact property in the Display name column. Right-click Impact, and then click Enable.

  5. 在“显示名称” 列中,向下滚动到“个人身份信息” 属性。 右键单击“个人身份信息” ,然后单击“启用”

  6. 若要发布“全局资源列表” 中的资源属性,请在左窗格中单击“资源属性列表” ,然后双击“全局资源属性列表”

  7. Click Add, and then scroll down to and click Impact to add it to the list. 对于“个人身份信息” ,请执行相同的步骤。 Click OK twice to finish.

solution guidesWindows PowerShell equivalent commands

下面一个或多个 Windows PowerShell cmdlet 执行的功能与前面的过程相同。 在同一行输入每个 cmdlet(即使此处可能因格式限制而出现多行换行)。

Set-ADResourceProperty -Enabled:$true -Identity:"CN=Impact_MS,CN=Resource Properties,CN=Claims Configuration,CN=Services,CN=Configuration,DC=contoso,DC=com"
Set-ADResourceProperty -Enabled:$true -Identity:"CN=PII_MS,CN=Resource Properties,CN=Claims Configuration,CN=Services,CN=Configuration,DC=contoso,DC=com"

步骤 2:创建分类规则

This step explains how to create the High Impact classification rule. 该规则可搜索文档的内容,如果找到字符串“Contoso 机密”,则会将此文档归类为具有高业务影响的文档。 此分类将覆盖之前分配的低业务影响的分类。

You will also create a High PII rule. 此规则将搜索文档的内容,并且如果找到身份证号,则它将此文档归类为具有高 PII 的文档。

创建高影响分类规则

  1. 在 Hyper-V 管理器中,连接到服务器 ID_AD_FILE1。 Sign in to the server by using Contoso\Administrator with the password pass@word1.

  2. 你需要通过 Active Directory 刷新全局资源属性。 在 Windows PowerShell 上,键入 Update-FSRMClassificationPropertyDefinition,然后按 ENTER。 关闭 Windows PowerShell。

  3. 打开文件服务器资源管理器。 To open File Server Resource Manager, click Start, type file server resource manager, and then click File Server Resource Manager.

  4. In the left pane of File Server Resource Manager, expand Classification Management, and then select Classification Rules.

  5. In the Actions pane, click Configure Classification Schedule. On the Automatic Classification tab, select Enable fixed schedule, select a Day of the week, and then select the Allow continuous classification for new files check box. Click OK.

  6. In the Actions pane, click Create Classification Rule. 此操作将打开“创建分类规则” 对话框。

  7. In the Rule name box, type High Business Impact.

  8. In the Description box, type Determines if the document has a high business impact based on the presence of the string "Contoso Confidential"

  9. On the Scope tab, click Set Folder Management Properties, select Folder Usage, click Add, then click Browse, browse to D:\Finance Documents as the path, click OK, and then choose a property value named Group Files and click Close. Once management properties are set, on the Rule Scope tab select Group Files.

  10. Click the Classification tab. Under Choose a method to assign the property to files, select Content Classifier from the drop-down list.

  11. 在“选择要分配给文件的属性” 下,从下拉列表中选择“影响”

  12. 在“指定一个值” 下,从下拉列表中选择“高”

  13. Click Configure under Parameters. In the Classification Parameters dialog box, in the Expression Type list, select String. In the Expression box, type: Contoso Confidential, and then click OK.

  14. Click the Evaluation Type tab. Click Re-evaluate existing property values, click Overwritethe existing value, and then click OK to finish.

solution guidesWindows PowerShell equivalent commands

下面一个或多个 Windows PowerShell cmdlet 执行的功能与前面的过程相同。 在同一行输入每个 cmdlet(即使此处可能因格式限制而出现多行换行)。

Update-FSRMClassificationPropertyDefinition
$date = Get-Date
$AutomaticClassificationScheduledTask = New-FsrmScheduledTask -Time $date -Weekly @(3, 2, 4, 5,1,6,0) -RunDuration 0;
Set-FsrmClassification -Continuous -schedule $AutomaticClassificationScheduledTask
New-FSRMClassificationRule -Name "High Business Impact" -Property "Impact_MS" -Description "Determines if the document has a high business impact based on the presence of the string 'Contoso Confidential'" -PropertyValue "3000" -Namespace @("D:\Finance Documents") -ClassificationMechanism "Content Classifier" -Parameters @("StringEx=Min=1;Expr=Contoso Confidential") -ReevaluateProperty Overwrite

创建高 PII 分类规则

  1. 在 Hyper-V 管理器中,连接到服务器 ID_AD_FILE1。 Sign in to the server by using Contoso\Administrator with the password pass@word1.

  2. On the desktop, open the folder named Regular Expressions, and then open the text document named RegEx-SSN. 突出显示并复制以下正则表达式字符串:^(?!000)([0-7]\d{2}|7([0-7]\d|7[012]))([ -]?)(?!00)\d\d\3(?!0000)\d{4}$。 在本步骤的后面部分会使用此字符串,因此请将它保留在你的剪贴板上。

  3. 打开文件服务器资源管理器。 To open File Server Resource Manager, click Start, type file server resource manager, and then click File Server Resource Manager.

  4. In the left pane of File Server Resource Manager, expand Classification Management, and then select Classification Rules.

  5. In the Actions pane, click Configure Classification Schedule. On the Automatic Classification tab, select Enable fixed schedule, select a Day of the week, and then select the Allow continuous classification for new files check box. Click OK.

  6. In the Rule name box, type High PII. In the Description box, type Determines if the document has a high PII based on the presence of a Social Security Number.

  7. Click the Scope tab, select the Group Files check box.

  8. Click the Classification tab. Under Choose a method to assign the property to files, select Content Classifier from the drop-down list.

  9. 在“选择要分配给文件的属性” 下,从下拉列表中选择“个人身份信息”

  10. 在“指定一个值” 下,从下拉列表中选择“高”

  11. Click Configure under Parameters. In the Classification Parameterswindow, in the Expression Type list, select Regular Expression. In the Expression box, paste the text from your clipboard: ^(?!000)([0-7]\d{2}|7([0-7]\d|7[012]))([ -]?)(?!00)\d\d\3(?!0000)\d{4}$, and then click OK.

    Note

    此表达式将允许无效的身份证号。 这使得我们可以在演示中使用虚构的身份证号。

  12. Click the Evaluation Type tab. Select Re-evaluate existing property values, Overwritethe existing value, and then click OK to finish.

solution guidesWindows PowerShell equivalent commands

下面一个或多个 Windows PowerShell cmdlet 执行的功能与前面的过程相同。 在同一行输入每个 cmdlet(即使此处可能因格式限制而出现多行换行)。

New-FSRMClassificationRule -Name "High PII" -Description "Determines if the document has a high PII based on the presence of a Social Security Number." -Property "PII_MS" -PropertyValue "5000" -Namespace @("D:\Finance Documents") -ClassificationMechanism "Content Classifier" -Parameters @("RegularExpressionEx=Min=1;Expr=^(?!000)([0-7]\d{2}|7([0-7]\d|7[012]))([ -]?)(?!00)\d\d\3(?!0000)\d{4}$") -ReevaluateProperty Overwrite

你现在应具有两个分类规则:

  • 高业务影响

  • High PII

步骤 3:使用文件管理任务来通过 AD RMS 自动保护文档

现在,你已创建可根据文档内容自动对文档进行分类的规则,下一步是创建文件管理任务,该任务根据文档的分类来使用 AD RMS 自动保护某些文档。 在此步骤中,你将创建可自动保护任何高 PII 文档的文件管理任务。 只有 FinanceAdmin 组的成员才有权访问包含高 PII 的文档。

使用 AD RMS 保护文档

  1. 在 Hyper-V 管理器中,连接到服务器 ID_AD_FILE1。 Sign in to the server by using Contoso\Administrator with the password pass@word1.

  2. 打开文件服务器资源管理器。 To open File Server Resource Manager, click Start, type file server resource manager, and then click File Server Resource Manager.

  3. 在左窗格中,选择“文件管理任务” 。 In the Actions pane, select Create File Management Task.

  4. In the Task name: field, type High PII. In the Description field, type Automatic RMS protection for high PII documents.

  5. Click the Scope tab, select the Group Files check box.

  6. Click the Action tab. Under Type, select RMS Encryption. Click Browse to select a template, and then select the Contoso Finance Admin Only template.

  7. Click the Condition tab, and then click Add. Under Property, select Personally Identifiable Information. Under Operator, select Equal. Under Value, select High. Click OK.

  8. Click the Schedule tab. In the Schedule section, click Weekly, and then select Sunday. 通过每周运行一次该任务,可确保你捕获由于服务中断或其他破坏性事件而错过的任何文档。

  9. In the Continuous operation section, select Run task continuously on new files, and then click OK. 现在,应该具有一个名为“高 PII”的文件管理任务。

solution guidesWindows PowerShell equivalent commands

下面一个或多个 Windows PowerShell cmdlet 执行的功能与前面的过程相同。 在同一行输入每个 cmdlet(即使此处可能因格式限制而出现多行换行)。

$fmjRmsEncryption = New-FSRMFmjAction -Type 'Rms' -RmsTemplate 'Contoso Finance Admin Only'
$fmjCondition1 = New-FSRMFmjCondition -Property 'PII_MS' -Condition 'Equal' -Value '5000'
$date = get-date
$schedule = New-FsrmScheduledTask -Time $date -Weekly @('Sunday')
$fmj1=New-FSRMFileManagementJob -Name "High PII" -Description "Automatic RMS protection for high PII documents" -Namespace @('D:\Finance Documents') -Action $fmjRmsEncryption -Schedule $schedule -Continuous -Condition @($fmjCondition1)

步骤 4:查看结果

现在可以在操作中查看新的自动分类和 AD RMS 保护规则。 在本步骤中,你将检查文档的分类,并在更改文档内容时观察它们如何更改。

查看结果

  1. 在 Hyper-V 管理器中,连接到服务器 ID_AD_FILE1。 Sign in to the server by using Contoso\Administrator with the password pass@word1.

  2. 在 Windows 资源管理器中,导航到 D:\Finance Documents。

  3. Right-click the Finance Memo document and click Properties.Click the Classification tab, and notice that the Impact property currently has no value. Click Cancel.

  4. 右键单击“‘请求批准聘用’文档” ,然后选择“属性”

  5. Click the Classification tab, and notice that the Personally Identifiable Information property currently has no value. Click Cancel.

  6. 切换到 CLIENT1。 Sign off any user who is signed in, and then sign in as Contoso\MReid with the password pass@word1.

  7. From the Desktop, open the Finance Documents shared folder.

  8. Open the Finance Memo document. Near the bottom of the document, you will see the word Confidential. Modify it to read: Contoso Confidential. 保存该文档并将其关闭。

  9. 打开“请求批准聘用” 文档。 In the Social Security#: section, type: 777-77-7777. 保存该文档并将其关闭。

    Note

    可能需要等待 30 秒才会进行分类。

  10. 重新切换到 ID_AD_FILE1。 在 Windows 资源管理器中,导航到 D:\Finance Documents。

  11. Right-click the Finance Memo document, and click Properties. Click the Classification tab. Notice that the Impact property is now set to High. Click Cancel.

  12. Right-click the Request for Approval to Hire document and click Properties.

  13. . Click the Classification tab. Notice that the Personally Identifiable Information property is now set to High. Click Cancel.

步骤 5:验证使用 AD RMS 的保护

验证文档是否受保护

  1. 重新切换到 ID_AD_CLIENT1。

  2. 打开“请求批准聘用” 文档。

  3. Click OK to allow the document to connect to your AD RMS server.

  4. 你现在可以看到该文档由 AD RMS 保护,因为它包含身份证号。