Explicación de Microsoft File Classification Infrastructure (FCI)

Comprender qué datos tiene y dónde se encuentran es un paso crítico para cumplir con las regulaciones de la industria y del gobierno, como la directiva GDPR de la Unión Europea.

Microsoft introdujo la infraestructura de File Classification (FCI) en Windows Server 2008 R2 para ayudar a las organizaciones a clasificar datos almacenados en servidores de archivos Windows. Utilizando FCI, los administradores de sistemas pueden configurar reglas que clasifican automáticamente los archivos basándose en varios factores, como la ubicación o el contenido. Una vez que los archivos han sido clasificados, FCI puede realizar acciones especificadas sobre ellos, como moverlos a un directorio especificado o cifrarlos.

Métodos de clasificación

La forma más fácil de clasificar archivos con FCI es utilizar su motor integrado. FCI usa Windows Search para rastrear tus servidores de archivos y clasificar automáticamente los archivos basándose en las propiedades de clasificación y reglas que configures. Los usuarios también pueden clasificar archivos manualmente usando la pestaña de Classification que Windows Server 2012 y Windows 8 añaden a Windows Explorer. Si clasificas las plantillas de Microsoft Office de tu organización, los usuarios pueden crear documentos con los metadatos necesarios ya establecidos.

Además, las aplicaciones pueden utilizar la API de FCI para analizar archivos y permitir a los usuarios clasificar documentos manualmente desde las aplicaciones en las que se crean. También hay un módulo clasificador de Windows PowerShell que permite a los administradores de sistemas acceder a la API y clasificar archivos utilizando cualquier propiedad que deseen, sin necesidad de programar en C# o C++. El módulo clasificador de PowerShell es parte del Windows Software Development Kit (SDK).

Propiedades de clasificación

Los administradores de servidores de archivos crean propiedades de clasificación para definir cómo se utilizará la metainformación para clasificar archivos. Hay ocho tipos de propiedades de clasificación en Windows Server 2016, incluyendo sí/no, fecha/hora y lista de opciones múltiples. Cada propiedad de clasificación tiene un conjunto predefinido de posibles tipos de valores. Algunos son simples; por ejemplo, la propiedad de Uso Personal solo puede ser Sí o No, y la propiedad de Fecha de Inicio de Retención solo acepta valores de fecha/hora. Otras propiedades tienen tipos de valores más complejos; por ejemplo, la propiedad de Uso de Carpeta acepta múltiples valores, y la propiedad de Impacto es una lista ordenada.

El proceso de clasificación

Los metadatos de clasificación se añaden a los archivos utilizando el Flujo de Datos Alternativo de NTFS (ADS). Los archivos conservan su clasificación siempre que se almacenen en un volumen NTFS. Si un archivo se traslada a un volumen FAT32 o ReFS, pierde su clasificación. Una excepción a esta regla son los archivos de Microsoft Office; debido a que los metadatos de clasificación se almacenan en los archivos y en el ADS de NTFS, la clasificación no se pierde cuando los archivos se mueven a la nube — piense en SharePoint.

El Control de Acceso Dinámico (DAC) en Windows Server 2012 trabaja con FCI para proporcionar propiedades de clasificación que están centralizadas en Active Directory (AD), en lugar de establecerse localmente en cada servidor de archivos. A diferencia de Windows Server 2008, Windows Server 2012 ofrece un conjunto de propiedades de clasificación DAC predeterminadas que las organizaciones pueden utilizar para comenzar. Además, el Data Classification Toolkit proporciona más propiedades de clasificación para cumplir con estándares comunes de cumplimiento regulatorio, como HIPAA y GDPR.

Comenzando con FCI

Avancemos a través del proceso de creación y prueba de una regla de clasificación usando FCI.

Requisitos previos

Para este ejemplo, necesitarás un servidor de archivos Windows Server 2016 que sea miembro de an Active Directory domain (nivel de funcionalidad de bosque de Windows Server 2012 o superior).

Dado que FCI es parte de File Server Resource Manager (FSRM), asegúrese de que el rol de servidor FSRM esté instalado en su servidor de archivos. La forma más fácil de instalar FSRM es utilizar el siguiente comando de PowerShell:

      Add-WindowsFeature FS-Resource-Manager -IncludeManagementTools
      

Paso 1: Activar algunas propiedades de clasificación

Windows Server 2012 y versiones posteriores vienen con varias propiedades de clasificación globales ya configuradas, pero antes de que puedas usarlas, debes habilitarlas en el Centro Administrativo de Active Directory. Vamos a habilitar una de ellas:

1. Abra Server Manager.

2. Abra el Active Directory Administrative Center desde las Herramientas

3. Haga clic en Resource Properties bajo Control de Acceso Dinámico.

4. En la lista de propiedades en el panel central, haga clic derecho en Personal Use, y seleccione Enable del menú.

5. Cierre el Centro Administrativo de Active Directory.

Paso 2: Crear una regla de clasificación

Ahora vamos a crear una regla de clasificación utilizando File Server Resource Manager:

1. Abra File Server Resource Manager desde el menú de Herramientas en el Administrador del Servidor.

2. Bajo Gestión de Clasificación, haga clic derecho en Classification Rules y seleccione Crear regla de clasificación… del menú.

3. En el diálogo Crear regla de clasificación, asigne un nombre a la nueva regla en el campo Rule name

4. Cambie al Scope Haga clic en Agregar… y seleccione la carpeta donde desea aplicar la regla.

5. Cambie a la Classification Asegúrese de que Content Classifier esté seleccionado bajo el método de Classification method.

6. Bajo Property, seleccione la propiedad de clasificación Personal Use del menú desplegable.

7. Bajo Especifique un valor, seleccione No del menú desplegable.

8. Haga clic en Configure… debajo de Parameters.

9. En el cuadro de diálogo de Parámetros de Clasificación, haga clic en el campo Expression a la derecha de Regular expression, e ingrese lo siguiente:

^d{3}([s-])?d{3}1d{3}$

Esta expresión regular buscará en los archivos números de Seguro Social en el formato XXX-XXX-XXX. Puede utilizar cadenas de texto o expresiones regulares en sus reglas de clasificación.

10. Haga clic en OK para cerrar el diálogo de Parámetros de Clasificación.

11. Haga clic en OK en el diálogo de Crear Regla de Clasificación. La nueva regla aparecerá en el panel central.

Paso 3 (Opcional): Crear una tarea para que FCI ejecute acciones automáticamente basadas en la clasificación de archivos

Si quisiéramos que FCI cifre automáticamente o mueva cualquier archivo que contenga números de Seguro Social, o realice alguna otra acción basada en la clasificación, ahora haríamos clic en File Management Tasks en el Administrador de recursos del servidor de archivos (vea las opciones a la izquierda en la Figura 2) para crear la tarea apropiada y programarla para su ejecución.

Por ejemplo, para cifrar todos los archivos en el directorio Accounts clasificados como No para uso personal, seguiría los siguientes pasos:

1. Bajo Classification Management, haga clic en File Management Tasks.

2. A la derecha, bajo Actions, haga clic en Create File Management Task.

3. En la pestaña General, asigne un nombre a la tarea.

4. Cambie a la pestaña Alcance y seleccione una carpeta, como C:Accounts.

5. En la pestaña Acción, seleccione RMS Encryption. (Tenga en cuenta que Active Directory Rights Management Services (RMS) debe estar instalado en un servidor de su dominio antes de que pueda usar RMS Encryption.)

6. Seleccione una plantilla RMS o agregue manualmente al menos una dirección de correo electrónico que tenga permiso para leer los documentos cifrados.

7. En la pestaña Condición, haga clic en Add para agregar una condición.

8. En el cuadro de diálogo de Condición de Propiedad, seleccione Personal Use para la Propiedad, establezca el valor del Operador en Equals y establezca el Valor en No.

9. En la pestaña Programar, especifique cuándo le gustaría que se ejecute la tarea y luego haga clic en OK.

Paso 4: Pruebe la regla de clasificación

Finalmente, probemos la nueva regla. Supongamos que tenemos una carpeta llamada Accounts que contiene dos archivos: uno con un número de Seguro Social y el otro sin él.

1. En el Administrador de recursos del servidor de archivos, en el panel de Acciones a la derecha, haga clic en Ejecutar Clasificación Con Todas las Reglas Ahora…

2. En el cuadro de diálogo Ejecutar Clasificación, seleccione Esperar a que la clasificación se complete y haga clic en Aceptar.

3. Se mostrará un informe una vez que el proceso de clasificación esté completo. El informe a continuación muestra que un archivo ha sido clasificado, como se esperaba.

Verificar la clasificación de un archivo o clasificar manualmente un archivo

Para verificar la clasificación de un archivo o para clasificar manualmente un archivo, haga clic derecho en el archivo en Explorer, haga clic en Properties en el menú y cambie a la pestaña de Classification. Tenga en cuenta que todas las propiedades de clasificación habilitadas aparecen en los metadatos del archivo, independientemente de si se han establecido valores.

Pros y contras de Microsoft FCI

La tecnología FCI sin duda ayudará a las organizaciones a comenzar con la data classification. Está disponible en todas las ediciones de Windows Server y no requiere ninguna licencia adicional más allá de lo necesario para usar Windows como servidor de archivos. Debido a que FCI depende del servicio de búsqueda de Windows y del Control de Acceso Dinámico, es probable que la infraestructura necesaria ya esté en su lugar en su organización. La integración con el Explorador de Windows significa que no hay necesidad de instalar un cliente en los dispositivos de los usuarios finales.

Sin embargo, FCI tiene numerosas limitaciones en comparación con herramientas de clasificación de datos de terceros. En primer lugar, la herramienta solo funciona con servidores de archivos basados en Windows. Las organizaciones que utilizan EMC, NetApp, SharePoint, Office 365 y otros sistemas para almacenar datos no podrán clasificar ese contenido utilizando FCI.

También hay otros inconvenientes. Aunque las propiedades de clasificación se pueden gestionar de manera centralizada en Active Directory, las reglas de clasificación deben establecerse en cada servidor de archivos, un proceso tedioso que puede automatizarse utilizando PowerShell. También necesitarás asegurarte de que Windows Search pueda indexar los archivos que deseas clasificar, lo que podría significar instalar el Microsoft Office Filter Pack y los iFilters para otros tipos de archivos en tus servidores de archivos. La generación de informes no está centralizada, por lo que necesitarás acceder a cada servidor para generar un informe.

FCI puede ayudar a las organizaciones a localizar y clasificar los datos que almacenan en servidores de archivos basados en Windows, por lo que puede ser una herramienta útil para comenzar con la clasificación de datos. Sin embargo, para implementar la clasificación y gestión de datos integral necesaria para garantizar la seguridad y el cumplimiento regulatorio, las organizaciones necesitan invertir en file classification software.