WavebreakmediaMicro - Fotolia

Windows Server: Daten sicher klassifizieren

Mit dem Feature File Classification Infrastructure in Windows Server lassen sich Dokumente klassifizieren und anhand der Merkmale steuern.

Bei Windows Server 2016 stehen neue Tools fürs schnelle Entwickeln und Bereitstellen im Fokus. Aus dem Blick geraten da schnell bereits existierende Features wie die File Classification Infrastructure (FCI). Das Feature dient dazu, Dateien zu klassifizieren und diese Klassifizierung auch unabhängig vom Ablageort fortzuführen. Anhand der Klassifizierung können Berechtigungen vergeben oder Management-Tasks ausgeführt werden. Richtig eingesetzt, bietet die On-Premise-Lösung wirkungsvolle Mechanismen für Datensicherheit.

Im Oktober stellte Microsoft den Windows Server 2016 zu Verfügung. Der IT-Betrieb bekommt mit ihm viele Funktionen an die Hand, um in Richtung Software-definiertes Rechenzentrum zu gehen. Zugleich erhält die interne IT mit dem neuen Server-Betriebssystem Werkzeuge für moderne Anwendungsplattformen. Mit Hilfe von Windows Server-Containern und Hyper-V-Containern ist es möglich, in deutlich schnelleren Iterationen zu entwickeln und ein deutlich leichteres DevOps zu liefern. In Windows Server 2016 finden IT-Administratoren auch nach wie vor das Feature File Classification Infrastructure (FCI), das seit der Version 2008 existiert – und bei all den Neuheiten unterzugehen droht. Aber es hat durchaus seine Berechtigung, betrachtet man, was FCI leistet: Es lassen sich Dateien klassifizieren, zusätzliche Eigenschaften vergeben und Dokumente anhand der Merkmale steuern. Anwender erhalten so Klassifizierungsmöglichkeiten, um beispielsweise ihre Archivierung zu optimieren und den Schutzstatus ihrer Dateien zu erhöhen.

Gute Lösung für abgeschottete Umgebungen

Jedoch wissen viele potenzielle Anwender gar nicht, dass dieses Feature überhaupt existiert. Der Bedarf für diese On-Premise-Lösung speist sich auch aus dem Umstand, dass Microsoft im Moment für die Klassifizierung selbst auf Cloud-Dienste setzt. Die Benutzerauthentifizierung basiert in dem Szenario auf Azure Active Directory. Viele Banken, Sicherheits- und Justizbehörden, öffentliche Auftraggeber und Industriefirmen wollen jedoch keine Internetkonnektivität in ihrer Server-Welt – beispielsweise weil personenbezogene Daten diese Einrichtung nicht verlassen dürfen. FCI lässt sich in solch einer komplett abgeschotteten Umgebung betreiben. Zusatzkosten pro Nutzer oder klassifizierter Datei fallen nicht an, denn die Windows-Server-Lizenz deckt alles ab.

Anwendergruppen arbeiten heute vielerorts mobil und teamübergreifend, wodurch der Datenaustausch an Bedeutung gewinnt. Das bedeutet jedoch nicht, dass jeder alle Dokumente lesen oder bearbeiten sollte. Es gilt daher, Schutzmechanismen zu etablieren. In der Praxis laufen in den meisten Unternehmen Fileserver, für die Berechtigungsstrukturen in irgendeiner Form bestehen. Diese erlauben oder verbieten den Zugriff und legen fest, wer das Dokument lesen oder weiter schreiben darf. Der Schutzstatus ist aber in der Regel an dem Ablageort festgemacht. Bei einem Datentransfer aus der File-Struktur heraus geht der Schutzmechanismus verloren. Ziel muss es sein, Dokumente über ihren Lebenszeitraum hinweg auch unabhängig vom Ablageort zu schützen. Dieser bleibt zwar ein Kriterium, da ein Dokument in einem HR-Verzeichnis in der Regel schützenswerter ist als in einem Marketing-Ordner. Aber der Ablageort reicht als alleiniges Schutzkriterium eben nicht aus.

Klassifizierungsregeln und Management-Aktionen

FCI setzt auf dem sogenannten File-Server-Ressource-Manager (FSRM) auf, mit dem zentrale Datei-Eigenschaften angelegt werden. Das können ganz einfache Ja-Nein-Entscheidungen wie „Confidential ja/nein“ sein. Es lassen sich auch Sicherheitslevel 200, 300, 400 oder Ähnliches für Dokumente festlegen. FCI weist einem Dokument eine oder mehrere Klassifizierung zu. Im FSRM besteht darüber hinaus die Möglichkeit, Regeln zu definieren, nach denen das Klassifizieren der Dateien automatisch erfolgt.

Eine Regel, die auf Inhaltsklassifizierung abzielt, kann auf „Regular Expressions“ beruhen. Die Dokumente werden dann nach bestimmten Ausdrücken durchsucht. Weitere gängige Suchkriterien sind IP-Adressen, Kreditkartennummern und Formulierungen aus Standardformularen. Das Durchsuchen von Dokumenten beschränkt sich jedoch auf Office- und PDF-Formate. Dennoch lassen sich auch andere Formate wie CAD-Dateien inhaltlich klassifizieren. In dem Fall bietet sich eine Zuordnung nach Dateinamen oder Kundenprojekten an. Generell gilt, dass sich für alle Dateitypen Klassifizierungen vornehmen und Zugriffsrechte vergeben lassen. Wie eine Firma dabei vorgehen sollte, hängt davon, welche Entscheidungswege sie intern etabliert hat.

Der Einsatz von FCI bringt den entscheidenden Vorteil: Egal wohin ein Dokument verschoben wird, seine Klassifizierung bleibt erhalten. Zielt die Berechtigungsstruktur nun nicht mehr nur auf den Ablageort sondern auch auf die Klassifizierung der Dateien, so entsteht ein kontinuierlicher Datenschutz. Zusätzlich lassen sich im Zusammenspiel von FCI mit FSRM Aktionen ausführen. Das kann zum Beispiel die folgende Sicherheitsregel sein: Alle Dateien, die älter als 100 Tage sind, den Status „Confidential – Yes“ inne haben und im Excel-Format abliegen, sollen von den Dateifreigaben entfernt werden und nicht mehr für die Endanwender zur Verfügung stehen. Wenn nun ein Dokument die Klassifizierung „Confidential“ besitzt, dann kann außerdem eine bestimmte Rights-Management-Richtlinie zur Anwendung kommen. So würde ein Dokumentenschutz hinterlegt, wodurch sich ein Nutzer vor dem Öffnen des Dokumentes authentifizieren muss. Das Rights Management ist relativ eingeschränkt, weil es bei dem Standard Active Directory Rights Management nur mit Office- und PDF-Dokumenten funktioniert.

 „Der Einsatz von FCI bringt den entscheidenden Vorteil: Egal wohin ein Dokument verschoben wird, seine Klassifizierung bleibt erhalten.“

 Eric Berg, Comparex

Seit Windows Server 2012 existiert das Feature Dynamic Access Control (DAC), in dem FCI implementiert ist. DAC dient dazu, Zugriffs- und Audit-Richtlinien zentral im Active Directory zu steuern. Diese Integration vereinfacht die Klassifizierung und spart erheblichen Management-Aufwand. Denn die interne IT kann viel granularer Berechtigungen vergeben, welcher Anwender auf welche Inhalte zugreifen und lesen darf – ohne dafür tausende Unterordner zu erstellen. Firmen können über DAC ihre Klassifizierung global anwenden. Das Feature verteilt die verfügbaren Klassifizierungseigenschaften automatisch auf alle Fileserver im Unternehmen.

Die Grenzen von File Classification Infrastructure

Das Tool FCI stößt jedoch an Grenzen. Im Vergleich mit Enterprise-Produkten zieht die kostenfreie Funktion den Kürzeren. So kann die Anwendung kein komplettes Dokumenten-Management-System ersetzen, weil sie nur den Part der Klassifizierung übernimmt. Auch stellt die Klassifizierung allein noch keinen Schutz, aber ein nützliches Mittel dar, um weitere Schutzmechanismen wirken zu lassen.

Setzen Firmen Rechteverwaltungsdienstregeln (RMS) für ihre Daten fest, verhindern sie, dass ungewollt nach außen gelangte Dokumente lesbar sind. An der Stelle greift der weitergehende Schutz. Allgemein fügt sich FCI in eine Kette von sicherheitsrelevanten Methoden und Tools ein. Mit dem Klassifizierungs-Tool definieren Anwender, welche ihrer Dateien schützenswert sind. Zudem entlastet die On-Premise-Lösung die interne IT, weil es zusätzlich Datei-Verwaltungsaufgaben übernimmt. Trotz dieser Vorteile arbeitet Microsoft derzeit nicht am FCI. Vielleicht überdenken die Produktverantwortlichen in Redmond diesen Ansatz nochmal. Mehr FCI-Einsatz lohnt sich.

Über den Autor:
Eric Berg ist Senior IT-Architekt bei Comparex und Microsoft MVP (Most Valuable Professional).

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

Die Klassifizierung von Daten in der Cloud erhöht die Sicherheit.

Microsoft Azure Information Protection: Daten klassifizieren und schützen.

Von Hyper-V 2016 bis Nano Server: Windows Server 2016 ist ab Oktober verfügbar.

Die fünf wichtigsten Security-Verbesserungen von Windows Server 2016.

Erfahren Sie mehr über Anwendungs- und Plattformsicherheit

- GOOGLE-ANZEIGEN

ComputerWeekly.de

Close