logo

Einführung in die Dateiklassifizierungsinfrastruktur (FCI) von Microsoft

Ein wichtiger Schritt für die Einhaltung von branchenspezifischen und behördlichen Vorschriften wie der DSGVO besteht darin, sich einen Überblick über die im Unternehmen vorhandenen Daten und deren Speicherort zu verschaffen.

Mit Windows Server 2008 R2 hat Microsoft die Dateiklassifizierungsinfrastruktur (FCI) eingeführt, um Unternehmen bei der Klassifizierung von Daten auf Windows-Dateiservern zu unterstützen. Mithilfe der Dateiklassifizierungsinfrastruktur können Systemadministratoren Regeln definieren, die Dateien auf der Grundlage verschiedener Faktoren wie Speicherort oder Inhalte automatisch klassifizieren. Nach der Klassifizierung kann FCI bestimmte Aktionen für die Dateien ausführen und sie beispielsweise in ein bestimmtes Verzeichnis verschieben oder verschlüsseln.

Klassifizierungsmethoden

Die einfachste Methode zur Klassifizierung von Dateien mit FCI ist die Verwendung der integrierten Engine. Mithilfe von Windows Search durchsucht FCI Ihre Dateiserver und klassifiziert die darauf gespeicherten Dateien automatisch auf der Grundlage von Klassifizierungseigenschaften und Regeln, die Sie festgelegt haben. Über die Registerkarte Classification, die ab Windows Server 2012 und Windows 8 im Windows-Explorer zur Verfügung steht, können Benutzer Dateien außerdem manuell klassifizieren. Wenn Sie die Microsoft Office-Vorlagen Ihres Unternehmens klassifizieren, können Benutzer Dokumente erstellen, die bereits die erforderlichen Metadaten enthalten.

Anwendungen können über die FCI-API außerdem Dateien analysieren und Benutzern eine manuelle Klassifizierung von Dokumenten direkt in der Anwendung ermöglichen, in der sie erstellt wurden. Darüber hinaus gibt es ein Windows PowerShell-Klassifizierungsmodul, mit dem Systemadministratoren auf die API zugreifen und Dateien nach beliebigen Eigenschaften klassifizieren können, ohne Programmierungen in C# oder C++ vornehmen zu müssen. Das PowerShell-Klassifizierungsmodul ist im Windows Software Development Kit (SDK) enthalten.

Klassifizierungseigenschaften

Dateiserver-Administratoren legen Klassifizierungseigenschaften fest, die definieren, wie Dateien anhand von Metadaten klassifiziert werden. Es gibt acht Arten von Klassifizierungseigenschaften in Windows Server 2016, darunter Ja/Nein, Datum/Uhrzeit und Mehrfachauswahllisten. Jede Klassifizierungseigenschaft ist mit einer vordefinierten Gruppe von möglichen Werttypen verknüpft. Einige sind relativ einfach: So kann die Eigenschaft Personal Use nur den Wert Ja oder Nein haben, für die Eigenschaft Retention Start Date sind nur Datum- und Uhrzeitwerte möglich. Die Werttypen anderer Eigenschaften sind komplexer. Für die Eigenschaft Folder Usage sind beispielsweise mehrere Werte möglich, und die Eigenschaft Impact besteht aus einer sortierten Liste.

Der Klassifizierungsprozess

Über den alternativen NTFS-Datenstrom werden Dateien mit Metadaten für die Klassifizierung versehen. Sofern Dateien auf einem NTFS-Volume gespeichert werden, behalten sie ihre Klassifizierung bei. Wird eine Datei auf ein FAT32- oder ReFS-Volume verschoben, geht die Klassifizierung verloren. Eine Ausnahme hiervon sind Microsoft Office-Dateien, bei denen die Klassifizierungsmetadaten in den Dateien selbst und im alternativen NTFS-Datenstrom gespeichert werden. Dadurch bleibt die Klassifizierung auch beim Verschieben der Dateien in die Cloud (z. B. in SharePoint) erhalten.

Die dynamische Zugriffssteuerung (DAC) in Windows Server 2012 nutzt FCI für die Bereitstellung von Klassifizierungseigenschaften, die zentral im Active Directory (AD) und nicht lokal auf den einzelnen Dateiservern festgelegt werden. Im Gegensatz zu Windows Server 2008 stellt Windows Server 2012 verschiedene standardmäßige DAC-Klassifizierungseigenschaften zur Verfügung, die Unternehmen bei den ersten Schritten unterstützen. Weitere Klassifizierungseigenschaften zur Einhaltung von Compliance-Standards wie dem HIPAA und der DSGVO stehen über das Datenklassifizierungs-Toolkit bereit.

Erste Schritte mit der Dateiklassifizierungsinfrastruktur

Im Folgenden werden die einzelnen Schritte für das Erstellen und Testen einer Klassifizierungsregel mit FCI erläutert.

Voraussetzungen

Für dieses Beispiel benötigen Sie einen Windows Server 2016-Dateiserver, der Mitglied einer Active Directory-Domäne ist (Funktionsebene einer Windows Server 2012-Gesamtstruktur oder höher).

Da FCI Teil des Ressourcen-Managers für Dateiserver (FSRM) ist, müssen Sie sicherstellen, dass die FSRM-Serverrolle auf Ihrem Dateiserver installiert ist. Am einfachsten lässt sich FSRM mithilfe dieses PowerShell-Befehls installieren:

Add-WindowsFeature FS-Resource-Manager -IncludeManagementTools

Schritt 1: Aktivieren von Klassifizierungseigenschaften

In Windows Server 2012 und höheren Versionen sind bereits verschiedene globale Klassifizierungseigenschaften konfiguriert, doch bevor Sie diese verwenden können, müssen Sie sie im Active Directory-Verwaltungscenter aktivieren. Gehen Sie wie folgt vor:

1. Öffnen Sie den Server-Manager.

2. Klicken Sie unter Tools auf Active Directory Administrative Center.

3. Klicken Sie unter Dynamic Access Control auf Resource Properties.

4. Klicken Sie in der Liste der Eigenschaften im mittleren Fenster mit der rechten Maustaste auf Personal Use und wählen Sie im Menü die Option Enable.

5. Schließen Sie das Active Directory-Verwaltungscenter.

Schritt 2: Erstellen einer Klassifizierungsregel

Sie erstellen nun mithilfe des Ressourcen-Managers für Dateiserver eine Klassifizierungsregel:

1. Klicken Sie im Server-Manager unter Tools auf File Server Resource Manager.

2. Klicken Sie im Bereich Classification Management mit der rechten Maustaste auf Classification Rules und wählen Sie im Menü den Eintrag Create Classification Rule…

3. Geben Sie im Dialogfeld Create Classification Rule unter Rule name einen Namen für die neue Regel ein.

4. Wechseln Sie zur Registerkarte Scope, klicken Sie auf Add… und wählen Sie den Ordner aus, auf den Sie die Regel anwenden möchten.

5. Wechseln Sie zur Registerkarte Classification und überprüfen Sie, ob unter Classification method die Option Content Classifier ausgewählt ist.

6. Wählen Sie unter Property die Klassifizierungseigenschaft Personal Use im Dropdown-Menü aus.

7. Wählen Sie im Dropdown-Menü unter Specify a value den Eintrag No.

8. Klicken Sie unter Parameters auf Configure…

9. Klicken Sie im Dialogfeld Classification Parameters in das Feld Expression rechts neben Regular expression und geben Sie folgenden Ausdruck ein:

^\d{3}([\s-])?\d{3}\1\d{3}$

Dieser reguläre Ausdruck durchsucht Dateien nach Sozialversicherungsnummern im Format XXX-XXX-XXX. Sie können in Ihren Klassifizierungsregeln Zeichenfolgen oder reguläre Ausdrücke verwenden.

10. Klicken Sie auf OK, um das Dialogfeld Classification Parameters zu schließen.

11. Klicken Sie im Dialogfeld Create Classification Rule auf OK. Die neue Regel wird im mittleren Fensterbereich angezeigt.

Schritt 3 (optional): Erstellen einer Aufgabe, damit FCI auf der Grundlage der Dateiklassifizierung automatisch Aktionen ausführt

Wenn FCI Dateien mit Sozialversicherungsnummern automatisch verschlüsseln oder verschieben bzw. auf der Grundlage der Klassifizierung andere Aktionen ausführen soll, klicken Sie hierfür im Ressourcen-Manager für Dateiserver auf File Management Tasks (siehe die Optionen links in Abbildung 2), um die entsprechende Aufgabe zu erstellen und ihre Ausführung zu planen.

Um beispielsweise alle Dateien im Verzeichnis „Accounts“ zu verschlüsseln, für die die Eigenschaft Personal Use mit No klassifiziert wurde, gehen Sie wie folgt vor:

1. Klicken Sie unter Classification Management auf File Management Tasks.

2. Klicken Sie auf der rechten Seite unter Actions auf Create File Management Task.

3. Geben Sie auf der Registerkarte General einen Namen für die Aufgabe ein.

4. Wechseln Sie zur Registerkarte Scope und wählen Sie einen Ordner aus (z. B. „C:\Accounts“).

5. Wählen Sie auf der Registerkarte Action die Option RMS Encryption. (Beachten Sie bitte, dass Active Directory Rights Management Services (RMS) auf einem Server in Ihrer Domäne installiert werden muss, bevor Sie RMS Encryption verwenden können.)

6. Wählen Sie eine RMS-Vorlage aus oder fügen Sie manuell die E-Mail-Adresse mindestens eines Benutzers hinzu, der berechtigt ist, verschlüsselte Dokumente zu lesen.

7. Klicken Sie auf der Registerkarte Condition auf Add, um eine Bedingung hinzuzufügen.

8. Wählen Sie im Dialogfeld Property Condition unter Property die Eigenschaft Personal Use, legen Sie als Operator-Wert Equals fest und wählen Sie für Value den Wert No.

9. Geben Sie auf der Registerkarte Schedule an, wann die Aufgabe ausgeführt werden soll, und klicken Sie anschließend auf OK.

Schritt 4: Testen der Klassifizierungsregel

Testen Sie nun die neue Regel. Angenommen, Sie haben einen Ordner „Accounts“ mit zwei Dateien, von denen eine Sozialversicherungsnummern enthält und die andere nicht.

1. Klicken Sie im Ressourcen-Manager für Dateiserver im Bereich Actions ganz rechts auf Run Classification With All Rules Now…

2. Wählen Sie im Dialogfeld Run Classification die Option Wait for classification to complete und klicken Sie auf OK.

3. Sobald die Klassifizierung abgeschlossen ist, wird ein Bericht angezeigt. Sie können darin sehen, dass eine Datei wie erwartet klassifiziert wurde.

Überprüfen der Klassifizierung einer Datei oder manuelles Klassifizieren von Dateien

Um die Klassifizierung einer Datei zu überprüfen oder eine Datei manuell zu klassifizieren, klicken Sie mit der rechten Maustaste im Explorer auf die Datei, wählen im Menü den Eintrag Properties und wechseln zur Registerkarte Classification. Beachten Sie bitte, dass alle aktivierten Klassifizierungseigenschaften in den Metadaten der Datei angezeigt werden, unabhängig davon, ob Werte für die Eigenschaften festgelegt wurden oder nicht.

Vor- und Nachteile von Microsoft FCI

Die Dateiklassifizierungsinfrastruktur unterstützt Unternehmen mit Sicherheit bei den ersten Schritten für die Klassifizierung von Dateien. Sie steht in allen Editionen von Windows Server zur Verfügung und erfordert keine zusätzlichen Lizenzen, lediglich einen Windows-Dateiserver. Da FCI auf den Dienst Windows Search und die dynamische Zugriffssteuerung zugreift, ist die erforderliche Infrastruktur sehr wahrscheinlich in Ihrem Unternehmen bereits vorhanden. Dank der Integration in den Windows-Explorer muss auf den Geräten der Benutzer kein Client installiert werden.

Im Vergleich mit Datenklassifizierungs-Tools von Drittanbietern ist FCI jedoch mit verschiedenen Einschränkungen verbunden. Insbesondere funktioniert das Tool nur in Kombination mit Windows-basierten Dateiservern. Unternehmen, die für die Dateispeicherung EMC, NetApp, SharePoint, Office 365 und andere Systeme verwenden, können diese Inhalte nicht mit FCI klassifizieren.

Daneben gibt es noch weitere Nachteile. Zwar können die Klassifizierungseigenschaften zentral im Active Directory verwaltet werden, doch die Klassifizierungsregeln müssen für jeden Dateiserver einzeln festgelegt werden – ein aufwendiger Prozess, der mit PowerShell automatisiert werden kann. Sie müssen außerdem sicherstellen, dass Windows Search die Dateien, die Sie klassifizieren möchten, indizieren kann. Hierfür müssen Sie unter Umständen das Microsoft Office Filter Pack sowie iFilters für andere Dateitypen auf Ihren Dateiservern installieren. Eine zentrale Berichterstellung ist nicht möglich, sondern Sie müssen die Berichte auf jedem Server separat erstellen.

Mit der Dateiklassifizierungsinfrastruktur können Unternehmen die Daten auf ihren Windows-basierten Dateiservern identifizieren und klassifizieren. Sie ist somit ein hilfreiches Werkzeug für die ersten Schritte bei der Klassifizierung von Dateien. Um jedoch eine umfassende Lösung für die Datenklassifizierung und das Datenmanagement zu implementieren, die eine zuverlässige Einhaltung von Sicherheitsrichtlinien und behördlichen Vorschriften gewährleistet, benötigen Unternehmen eine Software für die Klassifizierung von Dateien.

Kostenloser Download: Vorlage für eine Datenklassifizierungsrichtlinie