Avaloq Vermögensmanagement
SECURITY16. Dezember 2016

Klassifizieren und schützen: On-Premises-Klassifizierung in Windows Server 2016 bei Banken und Versicherern

Eric Berg, Senior IT-Consultant bei ComparexComparex
Eric Berg, Senior IT-Consultant bei ComparexComparex

Mit dem Feature File Classification Infrastructure (FCI) im neuen Server-Betriebssystem von Microsoft können Banken und Versicherer Dateien unabhängig vom Ablageort klassifizieren. Darauf aufbauend bietet die On-Premises-Lösung die Option, über Zugriffsberechtigungen für mehr Datensicherheit zu sorgen. Außerdem lassen sich Verwaltungsaufgaben erledigen.

von Eric Berg, Senior IT-Architekt Comparex und MVP

Seit Oktober steht der Windows Server 2016 zu Verfügung. In dem Server-Betriebssystem von Microsoft finden IT-Administratoren seit der Version 2008 das Feature File Classification Infrastructure (FCI). Die On-Premises-Lösung dient dazu, Dateien zu klassifizieren, zusätzliche Eigenschaften zu vergeben und Dokumente anhand der Merkmale zu steuern.

Die Klassifizierung schafft die Basis für eine bessere Archivierung und erhöht den Schutzstatus der Dateien. Zusatzkosten, etwa pro Nutzer oder klassifizierter Datei, entstehen nicht – die Windows-Server-Lizenz deckt alles ab.”

Das Feature eignet sich insbesondere für den Einsatz in einer völlig abgeschotteten Umgebung. Viele Banken und Versicherer betreiben solche IT-Infrastrukturen, in denen die Server-Landschaft keine Internet-Konnektivität aufweist. Damit wird sichergestellt, dass keine personenbezogenen Daten nach draußen gelangen.

Dateien über Eigenschaften unabhängig vom Ablageort schützen

Man kann davon ausgehen, dass für die meisten Fileserver jeweils ein Berechtigungskonzept existiert. Doch normalerweise basieren die Zugriffsregeln, wer das Dokument lesen oder weiter schreiben darf, auf dem Ablageort. Erfolgt jedoch bewusst oder unbewusst ein Datentransfer aus der File-Struktur heraus, fehlt der Schutzmechanismus.

Autor Eric Berg
Eric Berg, Comparex-516Eric Berg ist Senior IT-Architekt bei Comparex. Er besitzt eine starke Affinität zu Microsoft-Technologien, besonders zu Themen wie Windows 10, Hyper-V, System Center oder Azure. Im Oktober 2016 erhielt er zum zweiten Mal in Folge die Auszeichnung zum Microsoft Most Valuable Professional (MVP). 2014 wurde er zum Microsoft Partner Technology Solutions Professional (P-TSP) ernannt. In der Microsoft-Community unterstützt er Produkt-Demos, entwickelt Strategien und klärt über technische Zusammenhänge auf.
FCI setzt auf dem sogenannten File-Server-Ressource-Manager (FSRM) auf, mit dem zentrale Datei-Eigenschaften angelegt werden. Das können ganz einfache Ja-Nein-Entscheidungen wie „Confidential ja/nein“ sein. FCI weist einem Dokument eine oder mehrere Klassifizierungen zu – und kann auch Sicherheitslevel festlegen. FSRM bietet außerdem die Option zum automatischen Klassifizieren.

Ein gängiges Vorgehen beruht darauf, eine Regel für das Klassifizieren nach dem Inhalt aufzustellen. Dokumente werden dann nach bestimmten Ausdrücken („Regular Expressions“), IP-Adressen, Kreditkartennummern oder Formulierungen aus Standardformularen durchsucht. Dieses Durchleuchten bleibt jedoch auf Office- und PDF-Formate beschränkt. Gleichwohl gilt, dass sich für alle Dateitypen Klassifizierungen vornehmen und Zugriffsrechte vergeben lassen. So bietet sich eine Zuordnung nach Dateinamen oder Projekten an.

Weiteren Dokumentenschutz hinterlegen

Durch den Einsatz von FCI bleibt die Klassifizierung erhalten, egal wohin ein Dokument verschoben wird. So entsteht ein kontinuierlicher Datenschutz. Zusätzlich lassen sich im Zusammenspiel von FCI mit FSRM Aktionen ausführen, um beispielsweise bestimmte Dokumente nach Ablauf einer Frist aus der Dateienfreigabe zu entfernen. Wenn nun ein Dokument die Klassifizierung „Confidential“ besitzt, dann kann außerdem eine bestimmte Rights-Management-Richtlinie zur Anwendung kommen. So würde ein Dokumentenschutz hinterlegt, wodurch sich ein Nutzer vor dem Öffnen des Dokumentes authentifizieren muss. Das Rights Management ist relativ eingeschränkt, weil es bei dem Standard Active Directory Rights Management nur mit Office- und PDF-Dokumenten funktioniert.

Anhand von bestimmten Ausdrücken lassen sich regelbasiert Datei-Eigenschaften zuweisenComparex
Anhand von bestimmten Ausdrücken lassen sich regelbasiert Datei-Eigenschaften zuweisenComparex

Seit Windows Server 2012 existiert das Feature Dynamic Access Control (DAC), in dem FCI implementiert ist. DAC dient dazu, Zugriffs- und Audit-Richtlinien zentral im Active Directory zu steuern. Diese Integration vereinfacht die Klassifizierung und spart erheblichen Managementaufwand. Das Feature verteilt die verfügbaren Klassifizierungseigenschaften automatisch auf alle Fileserver im Unternehmen.

Werkzeug für die schützenswerten Dateien

Mit FCI allein lässt sich noch kein Schutz realisieren, jedoch der Weg ebnen, damit weitere Schutzmechanismen wirken. Setzen Banken und Versicherer Rechteverwaltungsdienstregeln (RMS) für ihre Daten fest, verhindern sie, dass ungewollt nach außen gelangte Dokumente lesbar sind. An der Stelle greift der weitergehende Schutz. Anwender definieren mit dem Klassifizierungs-Tool, welche ihrer Dateien schützenswert sind. Zudem entlastet die On-Premises-Lösung die interne IT, weil es zusätzlich Datei-Verwaltungsaufgaben übernimmt.aj

 
Sie finden diesen Artikel im Internet auf der Website:
https://itfm.link/42007

 

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert