Explication de Microsoft File Classification Infrastructure (FCI)

Comprendre quelles données vous possédez et où elles se trouvent est une étape cruciale pour se conformer aux réglementations industrielles et gouvernementales, telles que le règlement GDPR de l'Union européenne.

Microsoft a introduit l'infrastructure de File Classification (FCI) dans Windows Server 2008 R2 pour aider les organisations à classifier les données stockées sur les serveurs de fichiers Windows. En utilisant FCI, les administrateurs système peuvent configurer des règles qui classifient automatiquement les fichiers en fonction de divers facteurs, tels que l'emplacement ou le contenu. Une fois les fichiers classifiés, FCI peut effectuer des actions spécifiées sur eux, telles que les déplacer vers un répertoire spécifié ou les chiffrer.

Méthodes de classification

La manière la plus simple de classer des fichiers avec FCI est d'utiliser son moteur intégré. FCI utilise Windows Search pour parcourir vos serveurs de fichiers et classer automatiquement les fichiers en fonction des propriétés de classification et des règles que vous avez établies. Les utilisateurs peuvent également classer manuellement les fichiers en utilisant l'onglet Classification que Windows Server 2012 et Windows 8 ajoutent à l'Explorateur Windows. Si vous classez les modèles Microsoft Office de votre organisation, les utilisateurs peuvent créer des documents avec les métadonnées nécessaires déjà en place.

De plus, les applications peuvent utiliser l'API FCI pour analyser les fichiers et permettre aux utilisateurs de classer manuellement les documents depuis les applications dans lesquelles ils sont créés. Il existe également un module de classification PowerShell de Windows qui permet aux administrateurs système d'accéder à l'API et de classer les fichiers en utilisant toutes les propriétés qu'ils souhaitent, sans avoir besoin de coder en C# ou C++. Le module de classification PowerShell fait partie du Kit de développement logiciel (SDK) de Windows.

Propriétés de classification

Les administrateurs de serveurs de fichiers créent des propriétés de classification pour définir comment les métadonnées seront utilisées pour classer les fichiers. Il existe huit types de propriétés de classification dans Windows Server 2016, y compris oui/non, date/heure et liste à choix multiples. Chaque propriété de classification a un ensemble prédéfini de types de valeurs possibles. Certaines sont simples ; par exemple, la propriété Utilisation Personnelle ne peut être que Oui ou Non, et la propriété Date de Début de Conservation n'accepte que des valeurs date/heure. D'autres propriétés ont des types de valeurs plus complexes ; par exemple, la propriété Utilisation du Dossier accepte plusieurs valeurs, et la propriété Impact est une liste ordonnée.

Le processus de classification

Les métadonnées de classification sont ajoutées aux fichiers en utilisant le flux de données alternatif NTFS (ADS). Les fichiers conservent leur classification à condition qu'ils soient stockés sur un volume NTFS. Si un fichier est déplacé vers un volume FAT32 ou ReFS, il perd sa classification. Une exception à cette règle concerne les fichiers Microsoft Office ; parce que les métadonnées de classification sont stockées dans les fichiers et le NTFS ADS, la classification n'est pas perdue lorsque les fichiers sont déplacés vers le cloud — pensez à SharePoint.

Le contrôle d'accès dynamique (DAC) dans Windows Server 2012 fonctionne avec FCI pour fournir des propriétés de classification centralisées dans Active Directory (AD), plutôt que définies localement sur chaque serveur de fichiers. Contrairement à Windows Server 2008, Windows Server 2012 fournit un ensemble de propriétés de classification DAC par défaut que les organisations peuvent utiliser pour commencer. De plus, le Data Classification Toolkit offre plus de propriétés de classification pour répondre aux normes de conformité réglementaire courantes, telles que HIPAA et GDPR.

Commencer avec FCI

Parcourons le processus de création et de test d'une règle de classification en utilisant FCI.

Prérequis

Pour cet exemple, vous aurez besoin d'un serveur de fichiers Windows Server 2016 qui est membre d'un domaine Active Directory (niveau de fonctionnalité de forêt Windows Server 2012 ou supérieur).

Puisque FCI fait partie du File Server Resource Manager (FSRM), assurez-vous que le rôle de serveur FSRM est installé sur votre serveur de fichiers. La manière la plus simple d'installer FSRM est d'utiliser la commande PowerShell suivante :

      Add-WindowsFeature FS-Resource-Manager -IncludeManagementTools
      

Étape 1 : Activez certaines propriétés de classification

Windows Server 2012 et les versions ultérieures sont livrés avec plusieurs propriétés de classification globale déjà configurées, mais avant de pouvoir les utiliser, vous devez les activer dans le Centre d'administration Active Directory. Activons-en une :

1. Ouvrez Server Manager.

2. Ouvrez le Active Directory Administrative Center depuis les Outils

3. Cliquez sur Resource Properties sous le contrôle d'accès dynamique.

4. Dans la liste des propriétés dans le volet central, faites un clic droit sur Personal Use, et sélectionnez Activer dans le menu.

5. Fermez le Centre d'administration Active Directory.

Étape 2 : Créez une règle de classification

Maintenant, nous allons créer une règle de classification en utilisant File Server Resource Manager :

1. Ouvrez File Server Resource Manager depuis le menu Outils dans Gestionnaire de serveur.

2. Sous Gestion de la classification, faites un clic droit sur Classification Rules et sélectionnez Créer une règle de classification… dans le menu.

3. Dans la boîte de dialogue Créer une règle de classification, donnez un nom à la nouvelle règle dans le champ Rule name

4. Passez à l'onglet Scope Cliquez sur Ajouter… et sélectionnez le dossier où vous souhaitez appliquer la règle.

5. Passez à la Classification Assurez-vous que le Content Classifier est sélectionné sous Classification method.

6. Sous la rubrique Property, sélectionnez la propriété de classification Personal Use dans le menu déroulant.

7. Sous Indiquez une valeur, sélectionnez Non dans le menu déroulant.

8. Cliquez sur Configure… ci-dessous Parameters.

9. Dans la boîte de dialogue Paramètres de classification, cliquez dans le champ Expression à droite de l'expression Regular expression, et saisissez ce qui suit :

^d{3}([s-])?d{3}1d{3}$

Cette expression régulière recherchera dans les fichiers des numéros de sécurité sociale au format XXX-XXX-XXX. Vous pouvez utiliser des chaînes de caractères ou des expressions régulières dans vos règles de classification.

10. Cliquez sur OK pour fermer la boîte de dialogue des paramètres de classification.

11. Cliquez sur OK dans la boîte de dialogue de création de règle de classification. La nouvelle règle apparaîtra dans le volet central.

Étape 3 (Facultatif) : Créez une tâche pour que FCI exécute automatiquement une action en fonction de la classification des fichiers

Si nous voulions que FCI chiffre automatiquement ou déplace tout fichier contenant des numéros de sécurité sociale, ou prenne une autre mesure basée sur la classification, nous cliquerions maintenant sur File Management Tasks dans le Gestionnaire de ressources du serveur de fichiers (voir les options à gauche dans la Figure 2) pour créer la tâche appropriée et la planifier.

Par exemple, pour chiffrer tous les fichiers dans le répertoire Accounts classifiés comme No pour usage personnel, vous suivriez les étapes suivantes :

1. Sous Classification Management, cliquez sur File Management Tasks.

2. À droite, sous Actions, cliquez sur Create File Management Task.

3. Dans l'onglet Général, donnez un nom à la tâche.

4. Passez à l'onglet Portée et sélectionnez un dossier, comme C:Accounts.

5. Dans l'onglet Action, sélectionnez RMS Encryption. (Notez que Active Directory Rights Management Services (RMS) doit être installé sur un serveur de votre domaine avant que vous puissiez utiliser RMS Encryption.)

6. Sélectionnez un modèle RMS ou ajoutez manuellement au moins une adresse e-mail autorisée à lire les documents chiffrés.

7. Dans l'onglet Condition, cliquez sur Add pour ajouter une condition.

8. Dans la boîte de dialogue État de la propriété, sélectionnez Personal Use pour la Propriété, définissez la valeur de l'Opérateur sur Equals et définissez la Valeur sur No.

9. Dans l'onglet Calendrier, spécifiez quand vous souhaitez que la tâche s'exécute, puis cliquez sur OK.

Étape 4 : Testez la règle de classification

Enfin, testons la nouvelle règle. Supposons que nous ayons un dossier appelé Accounts qui contient deux fichiers : l'un avec un numéro de sécurité sociale et l'autre sans.

1. Dans le Gestionnaire de ressources du serveur de fichiers, dans le panneau Actions à l'extrême droite, cliquez sur Exécuter la classification avec toutes les règles maintenant…

2. Dans la boîte de dialogue Exécuter la classification, sélectionnez Attendre que la classification soit terminée et cliquez sur OK.

3. Un rapport sera affiché une fois le processus de classification terminé. Le rapport ci-dessous indique qu'un fichier a été classifié, comme prévu.

Vérifier la classification d'un fichier ou le classer manuellement

Pour vérifier la classification d'un fichier, ou pour classer manuellement un fichier, cliquez avec le bouton droit sur le fichier dans l'Explorateur, cliquez sur Properties dans le menu, et passez à l'onglet Classification. Remarquez que toutes les propriétés de classification activées apparaissent dans les métadonnées du fichier, que des valeurs soient définies ou non.

Avantages et inconvénients de Microsoft FCI

La technologie FCI aidera certainement les organisations à démarrer avec la data classification. Elle est disponible dans toutes les éditions de Windows Server et ne nécessite aucune licence supplémentaire au-delà de ce qui est nécessaire pour utiliser Windows en tant que serveur de fichiers. Comme FCI repose sur le service de recherche Windows et le contrôle d'accès dynamique, l'infrastructure nécessaire est probablement déjà en place dans votre organisation. L'intégration avec l'Explorateur Windows signifie qu'il n'est pas nécessaire d'installer un client sur les appareils des utilisateurs finaux.

Toutefois, FCI présente de nombreuses limitations par rapport aux outils de classification des données tiers. En premier lieu, l'outil fonctionne uniquement avec les serveurs de fichiers basés sur Windows. Les organisations qui utilisent EMC, NetApp, SharePoint, Office 365 et d'autres systèmes pour stocker des données ne pourront pas classer ce contenu en utilisant FCI.

Il y a également d'autres inconvénients. Alors que les propriétés de classification peuvent être gérées de manière centralisée dans Active Directory, les règles de classification doivent être définies sur chaque serveur de fichiers, un processus fastidieux qui peut être automatisé à l'aide de PowerShell. Vous devrez également vous assurer que Windows Search peut indexer les fichiers que vous souhaitez classer, ce qui pourrait signifier l'installation du Microsoft Office Filter Pack, et des iFilters pour d'autres types de fichiers, sur vos serveurs de fichiers. La génération de rapports n'est pas centralisée, donc vous devrez intervenir sur chaque serveur pour générer un rapport.

FCI peut aider les organisations à localiser et classifier les données qu'elles stockent sur des serveurs de fichiers basés sur Windows, donc cela peut être un outil utile pour commencer avec la classification des données. Cependant, pour mettre en œuvre la classification et la gestion complètes des données nécessaires pour garantir la sécurité et la conformité réglementaire, les organisations doivent investir dans file classification software.