Hidden Champion in Windows Server 2016

File Classification Infrastructure in Aktion bei On-Premise-Systemen

| Autor / Redakteur: Eric Berg* / Ulrike Ostler

Der Vorteil von FCI besteht darin, dass die Klassifizierung erhalten bleibt, auch wenn das Dokument verschoben wird.
Der Vorteil von FCI besteht darin, dass die Klassifizierung erhalten bleibt, auch wenn das Dokument verschoben wird. (Bild: © Jürgen Priewe/ Fotolia.com)

„Windows Server 2016“ liefert viele Funktionen für das Software-definierte Rechenzentrum. Für viele verborgen bleibt jedoch ein Feature, das es schon seit 2008 gibt: „File Classification Infrastructure“ (FCI). Damit lassen sich Dateien klassifizieren und die definierten Merkmale unabhängig vom Ablageort fortführen. FCI kann so die Basis für mehr Datensicherheit im Unternehmen legen und zudem Verwaltungsaufgaben automatisieren.

Microsoft hat für sein Server-Betriebssystem vor allem an Container-Funktionen und der Virtualisierung gearbeitet. Offensichtlich verfolgt das Unternehmen aus Redmond das Ziel, den Betrieb von Cloud-artigen Infrastrukturen zu verbessern.

So finden sich im Windows Server 2016 Funktionen, die den Betrieb hyperkonvergenter Systeme erlauben – und den Weg zum Software-definierten Rechenzentrum ebnen sollen. Das Betriebssystem verschaltet Server mit Compute- und Storage-Fähigkeiten zu einem großen System, um darauf virtuelle Maschinen beliebig zu verteilen.

Bei diesem Fokus auf Cloud-Computing geraten bereits existierende On-Premise-Features wie die File Classification Infrastructure (FCI) schnell aus dem Blickfeld. Dabei hat FCI durchaus seine Berechtigung, denn mit dem Tool lassen sich Dateien klassifizieren, zusätzliche Eigenschaften vergeben und Dokumente anhand dieser Klassifizierung steuern. Nutzer können ihre Dateien so besser archivieren oder schützen.

Der Aufbau von Schutzmechanismen in abgeschottete Umgebungen

FCI ist eher ein Hidden Champion: nützlich, aber vielen unbekannt. Dabei besteht durchaus ein Bedarf für die On-Premises-Lösung – zumal Microsoft selbst im Moment bei der Dateien-Klassifizierung eher auf Cloud-Dienste setzt. Dort basiert die Benutzerauthentifizierung auf „Azure Active Directory“.

Unternehmen und Behörden, bei denen Daten die eigenen Server nicht verlassen dürfen, können darauf jedoch nicht zurückgreifen. Zu diesem Anwenderkreis gehören viele Banken sowie Justiz- und Sicherheitsbehörden, aber auch einige Industrieunternehmen. Für sie alle ist FCI prädestiniert, weil es sich in einer Umgebung ohne Internet-Verbindung betreiben lässt. Zusätzliche Lizenzkosten fallen nicht an, denn die Windows-Server-Lizenz deckt alles ab.

Der entscheidende Vorteil von FCI liegt darin begründet, dass die Klassifizierung erhalten bleibt, egal, wohin ein Dokument verschoben wird. Die Berechtigungsstruktur zielt so nicht mehr nur auf den Ablageort, sondern auch auf die Klassifizierung von Dateien ab. Dieses Vorgehen gewährleistet einen kontinuierlichen Datenschutz.

Wenn Dokumente ihr „Zuhause“ verlassen

Datensicherheit und -schutz genießen höchste Priorität in der Arbeitswelt, die sich gerade dynamisch verändert. Viele Mitarbeiter gehören mehr als einem Team an und arbeiten mobil. Die Experten aus verschiedenen Fachbereichen greifen auf die Dokumente mehrerer Arbeitsgruppen zu, die sie verschieben und untereinander austauschen.

Deshalb ist es wichtig, Schutzmechanismen zu etablieren, die sicherstellen, dass trotzdem nur Berechtigte Dokumente lesen und bearbeiten. In den meisten Unternehmen gibt es Berechtigungsstrukturen für Fileserver, die festlegen, wer ein Dokument lesen und verändern darf.

Der Schutz setzt aber in der Regel am Speicherort an und wird ausgehebelt, wenn dazu Berechtigte ein Dokument aus der Struktur heraus verschieben. Trotzdem ist der Speicherort ein wichtiges Kriterium für den Schutzstatus von Dokumenten. Dateien aus einem Ordner des Bereich Human Ressources sind beispielweise in den meisten Fällen schützenswerter als die aus einem Marketing-Ordner. Der Ablageort reicht jedoch nicht mehr als einziges Kriterium aus, um einen Schutzmechanismus aufzubauen.

Regeln für inhaltliches Klassifizieren

FCI baut auf dem File-Server-Resource-Manager (FSRM) auf, mit dem sich zentrale Datei-Eigenschaften anlegen lassen. Nutzer legen beispielsweise fest, ob eine Datei „vertraulich“ oder „nicht vertraulich“ ist. Oder sie definieren verschiedene Sicherheitslevel für Dokumente.

FCI weist Dateien eine oder mehrere Klassifizierungen zu. Mit dem FSRM lassen sich zudem Regeln definieren, nach denen das Klassifizieren der Dateien automatisch erfolgt.

Bewährt hat sich in der Praxis, Regeln für das Klassifizieren nach Inhalt aufzustellen. Es bietet sich an, so genannte „Regular Expressions“ zu nutzen.

Der Autor, Eric Berg, arbeitet als Senior IT-Architekt bei Comparex und Microsoft MVP (Most Valuable Professional).
Der Autor, Eric Berg, arbeitet als Senior IT-Architekt bei Comparex und Microsoft MVP (Most Valuable Professional). (Bild: Comparex)

Dokumente werden dazu nach festgelegten Ausdrücken durchsucht. IP-Adressen, Kreditkartennummern oder Begriffen aus Standardformularen funktionieren ebenfalls. Das inhaltliche Durchsuchen bleibt jedoch auf Office- und PDF-Formate beschränkt.

Trotzdem sind andere Formate wie CAD-Dateien nach dem Inhalt klassifizierbar. Die Zuordnung gelingt in dem Fall über Dateinamen oder Kundenprojekte. Grundsätzlich ist es möglich, für alle Dateiformate Klassifizierungen vorzunehmen und Zugriffsrechte zu vergeben. Wie Unternehmen hier konkret vorgehen sollten, hängt von deren internen Entscheidungswegen ab.

Automatische Archivierung und globale Klassifizierung

Das Zusammenspiel von FCI mit FSRM eröffnet Spielraum für weitere Aktionen. So hat die IT die Option, folgende Sicherheitsregeln festzulegen: Jede Datei, die älter als ein halbes Jahr und deren Status „vertraulich“ ist, zudem im Excel-Format vorliegt, soll von den Dateifreigaben entfernt werden und nicht mehr für die Endanwender verfügbar sein. Für ein solches, als vertraulich klassifiziertes Dokument kann zudem eine Rights-Management-Richtlinie angewendet werden.

Dadurch würde ein Dokumentenschutz hinterlegt und ein Anwender, der die Datei öffnen möchte, müsste sich zuerst authentifizieren. Das Rights Management ist jedoch relativ eingeschränkt, denn es funktioniert bei dem Standard Active Directory Rights Management nur mit Office- und PDF-Dokumenten.

Granulare Zugriffssteuerung

Seit der Windows Server Version 2012 existiert das Feature „Dynamic Access Control“ (DAC), in dem FCI implementiert ist. DAC dient dazu, Zugriffs- und Audit-Richtlinien zentral im Active Directory zu steuern.

Mit dieser Integration lässt sich erheblicher Management-Aufwand sparen und die Klassifizierung vereinfachen. Denn die IT im Unternehmen kann viel granularer Berechtigungen vergeben, welcher Anwender auf welche Dateien zugreifen und lesen darf. Es ist hierfür nicht notwendig, eine Vielzahl an Unterordnern zu erstellen.

Über DAC können Firmen ihre Klassifizierung global anwenden. Es verteilt die verfügbaren Klassifizierungseigenschaften automatisch auf alle Fileserver des Unternehmens.

Nützliches Tool für höheres Schutzniveau

Das Feature FCI fügt sich in eine Kette von sicherheitsrelevanten Methoden und Werkzeugen ein. Nutzer definieren mit diesem Klassifizierungs-Tool, welche Dokumente schützenswert sind. Da sie zusätzliche Datei-Verwaltungsaufgaben übernimmt, entlastet die On-Premises-Lösung die interne IT.

FCI ersetzt jedoch kein komplettes Dokumenten-Management-System, weil es lediglich klassifiziert. Dieser Akt allein erzeugt noch keinen Schutz, legt jedoch die Basis dafür, weitere Schutzmechanismen wirken zu lassen. Firmen, die Rechteverwaltungsdienstregeln für ihre Daten festsetzen, verhindern, dass ungewollt nach außen gelangte Dateien lesbar sind. Hier greift der weitergehende Schutz. Mehr FCI-Einsatz lohnt sich also.

* Eric Berg ist Senior IT-Architekt bei Comparex und Microsoft MVP (Most Valuable Professional).

Was meinen Sie zu diesem Thema?

Schreiben Sie uns hier Ihre Meinung ...
(nicht registrierter User)

Kommentar abschicken
copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44508972 / Software)