Die File Classification Infrastructure (FCI) in Windows Server 2016 dient dazu, Dateien On-Premise zu klassifizieren und die Klassifizierung als Datenschutzmaßnahme unabhängig vom Speicherort fortzuführen. [...]
Seit Oktober 2016 steht das neue Betriebssystem Windows Server 2016 zur Verfügung. Wieder mit dabei ist das Feature File Classification Infrastructure (FCI), das es bereits seit der Version 2008 gibt. Bei den vielen Neuerungen wird das Tool leicht übersehen, dabei lassen sich mit ihm Dateien klassifizieren, zusätzliche Eigenschaften vergeben und Dokumente anhand der Merkmale steuern. Nutzer können so beispielsweise ihre Archivierung verbessern und ihre Dateien besser schützen.
Warum ist das relevant? Der Bedarf an dieser On-Premise-Lösung ergibt sich daraus, dass Microsoft selbst momentan für die Klassifizierung auf Cloud-Dienste setzt. Personenbezogene Daten dürfen jedoch in vielen Fällen die Server von Sicherheits- und Justizbehörden, Banken und auch Industrieunternehmen nicht verlassen. Für sie eignet sich FCI, denn es lässt sich in einer komplett abgeschotteten Umgebung betreiben. Dabei entstehen den Anwendern keine zusätzlichen Kosten, weil die Windows-Server-Lizenz alles abdeckt.
Der Schutzstatus von Dateien ist im Normalfall an ihrem Ablageort festgemacht. In den meisten Firmen laufen Fileserver, für die Berechtigungsstrukturen existieren. Diese legen fest, wer auf ein Dokument zugreifen kann, es lesen oder bearbeiten darf. Solche Beschränkungen gehen allerdings verloren, wenn jemand ein Dokument aus der File-Struktur heraus verschiebt. Da Anwendergruppen heute oft mobil und teamübergreifend arbeiten und untereinander Dateien austauschen, verändern sie auch häufig den Ablageort von Dokumenten. Das bedeutet aber nicht, dass jeder alle Dokumente lesen oder bearbeiten sollte. Es gilt daher, Mechanismen zu etablieren, Dokumente über ihren gesamten Lebenszyklus hinweg unabhängig vom Ablageort zu schützen. Der Speicherort bleibt dabei trotzdem ein Kriterium, weil ein Dokument in einem HR-Verzeichnis meist schützenswerter ist als eines in einem Marketing-Ordner. Als einziges Schutzkriterium reicht der Ablageort jedoch nicht aus.
Dokumentenschutz über Datei-Eigenschaften
FCI baut auf dem File-Server-Resource-Manager (FSRM) auf, in dem sich zentrale Datei-Eigenschaften anlegen lassen. Dabei kann es sich um einfache Entscheidungen wie „vertraulich“ oder „nicht vertraulich“ handeln. Es können aber auch unterschiedliche Sicherheitslevel festgelegt werden. FCI weist Dateien eine oder mehrere Klassifizierungen zu. Zudem besteht im FSRM die Möglichkeit, Regeln festzulegen, nach denen Dokumente automatisch klassifiziert werden.
FCI baut auf dem File-Server-Resource-Manager (FSRM) auf, in dem sich zentrale Datei-Eigenschaften anlegen lassen. Dabei kann es sich um einfache Entscheidungen wie „vertraulich“ oder „nicht vertraulich“ handeln. Es können aber auch unterschiedliche Sicherheitslevel festgelegt werden. FCI weist Dateien eine oder mehrere Klassifizierungen zu. Zudem besteht im FSRM die Möglichkeit, Regeln festzulegen, nach denen Dokumente automatisch klassifiziert werden.
Eine Regel, nach der anhand des Inhaltes klassifiziert wird, kann auf sogenannten „Regular Expressions“ beruhen. Dabei wird der Inhalt von Dokumenten nach vorher festgelegten Ausdrücken durchsucht. Gängige Suchkriterien sind Kreditkartennummern, IP-Adressen oder Formulierungen aus Standardformularen. Allerdings lassen sich nur Inhalte von Office-Dateien und PDFs durchsuchen. Grundsätzlich lassen sich für alle Dateitypen Klassifizierungen vornehmen und Zugriffsrechte vergeben – zum Beispiel über eine Zuordnung nach Kundenprojekten oder Dateinamen. Welches Vorgehen ein Unternehmen am besten wählen sollte, hängt von den intern festgelegten Entscheidungswegen ab.
Kontinuierlicher Datenschutz und Rights Management
Entscheidender Vorteil von FCI: Auch wenn eine Datei verschoben wird, bleibt ihre Klassifizierung erhalten. Berechtigungen hängen nicht mehr nur vom Ablageort ab, sondern auch von der Klassifizierung des einzelnen Dokumentes. Das schafft kontinuierlichen Datenschutz. Die Kombination aus FCI und FSRM kann aber noch mehr, zum Beispiel Aktionen wie die folgende Sicherheitsregel: Alle Dateien die älter als 150 Tage sind, deren Status „vertraulich“ ist und die im Excel-Format abliegen, sollen von den Dateifreigaben entfernt werden und den Endanwendern nicht mehr zur Verfügung stehen. Wenn Dokumente als „vertraulich“ klassifiziert sind, kann zudem eine bestimmte Rights-Management-Richtlinie zur Anwendung kommen. Dann würde ein Dokumentenschutz hinterlegt, wodurch sich ein Anwender authentifizieren müsste, um eine Datei zu öffnen. Das Rights Management ist relativ eingeschränkt, weil es bei dem Standard Active Directory Rights Management nur mit Office- und PDF-Dokumenten funktioniert.
Entscheidender Vorteil von FCI: Auch wenn eine Datei verschoben wird, bleibt ihre Klassifizierung erhalten. Berechtigungen hängen nicht mehr nur vom Ablageort ab, sondern auch von der Klassifizierung des einzelnen Dokumentes. Das schafft kontinuierlichen Datenschutz. Die Kombination aus FCI und FSRM kann aber noch mehr, zum Beispiel Aktionen wie die folgende Sicherheitsregel: Alle Dateien die älter als 150 Tage sind, deren Status „vertraulich“ ist und die im Excel-Format abliegen, sollen von den Dateifreigaben entfernt werden und den Endanwendern nicht mehr zur Verfügung stehen. Wenn Dokumente als „vertraulich“ klassifiziert sind, kann zudem eine bestimmte Rights-Management-Richtlinie zur Anwendung kommen. Dann würde ein Dokumentenschutz hinterlegt, wodurch sich ein Anwender authentifizieren müsste, um eine Datei zu öffnen. Das Rights Management ist relativ eingeschränkt, weil es bei dem Standard Active Directory Rights Management nur mit Office- und PDF-Dokumenten funktioniert.
Seit Windows Server 2012 gibt es das Feature Dynamic Access Control (DAC), in dem FCI implementiert ist. Mit DAC lassen sich Zugriffs- und Audit-Richtlinien zentral im Active Directory steuern. Diese Integration vereinfacht die Klassifizierung und spart erheblichen Managementaufwand, weil die interne IT Berechtigungen viel granularer vergeben kann. Sie kann festlegen, welcher Nutzer auf welche Inhalte zugreifen und sie lesen darf, ohne dafür zahllose Unterordner zu erstellen. Über DAC können Unternehmen ihre Klassifizierung global anwenden. Es überträgt die verfügbaren Klassifizierungseigenschaften automatisch auf alle Fileserver in der Firma.
Hilfreiches Werkzeug für besseren Dokumentenschutz
Mit Enterprise-Produkten kann FCI nicht mithalten. Es stößt an Grenzen, weil es ausschließlich der Klassifizierung dient und kann deshalb auch kein Dokumentenmanagementsystem ersetzen. Die Klassifizierung allein bietet auch noch keinen Schutz, sie legt jedoch den Grundstein, um Schutzmechanismen wirken zu lassen. Wenn Firmen Rechteverwaltungsdienstregeln (RMS) für ihre Daten festlegen, dann verhindern sie, dass Dokumente lesbar sind, sollten sie nach außen gelangen.
Mit Enterprise-Produkten kann FCI nicht mithalten. Es stößt an Grenzen, weil es ausschließlich der Klassifizierung dient und kann deshalb auch kein Dokumentenmanagementsystem ersetzen. Die Klassifizierung allein bietet auch noch keinen Schutz, sie legt jedoch den Grundstein, um Schutzmechanismen wirken zu lassen. Wenn Firmen Rechteverwaltungsdienstregeln (RMS) für ihre Daten festlegen, dann verhindern sie, dass Dokumente lesbar sind, sollten sie nach außen gelangen.
Insgesamt bietet sich FCI als ein Glied in der Kette sicherheitsrelevanter Methoden und Tools an. Nutzer legen damit fest, welche ihrer Dateien schützenswert sind. Die On-Premises-Lösung entlastet zugleich die interne IT, weil es auch Datei-Verwaltungsaufgaben übernimmt. Microsoft entwickelt das Feature aktuell nicht weiter – aber vielleicht überdenkt der Hersteller diese Strategie nochmal.
* Eric Berg ist Senior IT-Architekt bei Comparex. Er besitzt eine starke Affinität zu Microsoft-Technologien, besonders zu Themen wie Windows 10, Hyper-V, System Center oder Azure. Im Oktober 2016 erhielt er zum zweiten Mal in Folge die Auszeichnung zum Microsoft Most Valuable Professional (MVP).
Be the first to comment