Infraestrutura de Classificação de Arquivos da Microsoft (FCI) Explicada

Compreender quais dados você possui e onde eles estão localizados é um passo crítico para cumprir com as regulamentações da indústria e do governo, como a diretiva GDPR da União Europeia.

A Microsoft introduziu a Infraestrutura de File Classification (FCI) no Windows Server 2008 R2 para ajudar as organizações a classificar dados armazenados em servidores de arquivos Windows. Usando o FCI, os administradores de sistema podem configurar regras que classificam automaticamente os arquivos com base em vários fatores, como localização ou conteúdo. Uma vez que os arquivos tenham sido classificados, o FCI pode executar ações especificadas neles, como movê-los para um diretório especificado ou criptografá-los.

Métodos de classificação

A maneira mais fácil de classificar arquivos com FCI é usar seu motor integrado. O FCI utiliza o Windows Search para vasculhar seus servidores de arquivos e classificar automaticamente os arquivos com base nas propriedades de classificação e regras que você configurar. Os usuários também podem classificar arquivos manualmente usando a aba Classification que o Windows Server 2012 e o Windows 8 adicionam ao Windows Explorer. Se você classificar os modelos do Microsoft Office da sua organização, os usuários podem criar documentos com os metadados necessários já inseridos.

Além disso, as aplicações podem utilizar a API FCI para analisar arquivos e permitir que os usuários classifiquem manualmente documentos dentro das próprias aplicações em que são criados. Há também um módulo classificador do Windows PowerShell que permite aos administradores de sistema acessar a API e classificar arquivos usando quaisquer propriedades que desejarem, sem a necessidade de programar em C# ou C++. O módulo classificador do PowerShell faz parte do Kit de Desenvolvimento de Software (SDK) do Windows.

Propriedades de classificação

Os administradores de servidores de arquivos criam propriedades de classificação para definir como os metadados serão usados para classificar arquivos. Existem oito tipos de propriedades de classificação no Windows Server 2016, incluindo sim/não, data/hora e lista de múltipla escolha. Cada propriedade de classificação possui um conjunto predefinido de tipos de valores possíveis. Alguns são simples; por exemplo, a propriedade Uso Pessoal pode ser apenas Sim ou Não, e a propriedade Data de Início da Retenção aceita apenas valores de data/hora. Outras propriedades têm tipos de valores mais complexos; por exemplo, a propriedade Uso da Pasta aceita múltiplos valores, e a propriedade Impacto é uma lista ordenada.

O processo de classificação

Metadados de classificação são adicionados aos arquivos usando o NTFS Alternate Data Stream (ADS). Os arquivos mantêm sua classificação desde que sejam armazenados em um volume NTFS. Se um arquivo for movido para um volume FAT32 ou ReFS, ele perde sua classificação. Uma exceção a essa regra são os arquivos do Microsoft Office; porque os metadados de classificação são armazenados nos arquivos e no NTFS ADS, a classificação não é perdida quando os arquivos são movidos para a nuvem — pense em SharePoint.

O Controle de Acesso Dinâmico (DAC) no Windows Server 2012 trabalha com o FCI para fornecer propriedades de classificação centralizadas no Active Directory (AD), em vez de definidas localmente em cada servidor de arquivos. Ao contrário do Windows Server 2008, o Windows Server 2012 oferece um conjunto de propriedades de classificação DAC padrão que as organizações podem usar para começar. Além disso, o Data Classification Toolkit fornece mais propriedades de classificação para atender a padrões comuns de conformidade regulatória, como HIPAA e GDPR.

Começando com FCI

Vamos passar pelo processo de criação e teste de uma regra de classificação usando FCI.

Pré-requisitos

Para este exemplo, você precisará de um servidor de arquivos Windows Server 2016 que seja membro de um domínio Active Directory (nível funcional de floresta do Windows Server 2012 ou superior).

Uma vez que o FCI faz parte do File Server Resource Manager (FSRM), certifique-se de que a função de servidor FSRM está instalada no seu servidor de arquivos. A maneira mais fácil de instalar o FSRM é usar o seguinte comando PowerShell:

      Add-WindowsFeature FS-Resource-Manager -IncludeManagementTools
      

Passo 1: Ative algumas propriedades de classificação

O Windows Server 2012 e versões posteriores vêm com várias propriedades de classificação global já configuradas, mas antes de poder utilizá-las, você deve habilitá-las no Centro Administrativo do Active Directory. Vamos habilitar uma delas:

1. Abra o Server Manager.

2. Abra o Active Directory Administrative Center a partir das Ferramentas

3. Clique em Resource Properties sob o controle de acesso dinâmico.

4. Na lista de propriedades no painel central, clique com o botão direito em Personal Use, e selecione Enable no menu.

5. Feche o Active Directory Administrative Center.

Passo 2: Crie uma regra de classificação

Agora vamos criar uma regra de classificação usando File Server Resource Manager:

1. Abra o File Server Resource Manager a partir do menu Tools no Server Manager.

2. Em Gerenciamento de Classificação, clique com o botão direito em Classification Rules e selecione Criar Regra de Classificação… no menu.

3. Na caixa de diálogo Criar Regra de Classificação, dê um nome à nova regra no campo Rule name

4. Mude para a aba Scope Clique em Adicionar… e selecione a pasta onde deseja aplicar a regra.

5. Mude para a Classification Certifique-se de que Content Classifier está selecionado em Classification method.

6. Em Property, selecione a propriedade de classificação Personal Use no menu suspenso.

7. Em Especifique um valor, selecione Não no menu suspenso.

8. Clique em Configure… abaixo de Parameters.

9. Na caixa de diálogo Parâmetros de Classificação, clique no campo Expression à direita de Regular expression, e insira o seguinte:

^d{3}([s-])?d{3}1d{3}$

Esta expressão regular irá procurar em arquivos por números de Seguro Social no formato XXX-XXX-XXX. Você pode usar strings ou expressões regulares nas suas regras de classificação.

10. Clique em OK para fechar a caixa de diálogo dos Parâmetros de Classificação.

11. Clique em OK na caixa de diálogo Criar Regra de Classificação. A nova regra aparecerá no painel central.

Etapa 3 (Opcional): Criar uma tarefa para que o FCI execute ações automaticamente com base na classificação de arquivos

Se quiséssemos que o FCI criptografasse automaticamente ou movesse quaisquer arquivos contendo números de Seguro Social, ou realizasse alguma outra ação com base na classificação, agora clicaríamos em File Management Tasks no Gerenciador de Recursos do Servidor de Arquivos (veja as opções à esquerda na Figura 2) para criar a tarefa apropriada e agendá-la para execução.

Por exemplo, para criptografar todos os arquivos no diretório Accounts classificados como No para uso pessoal, você seguiria os seguintes passos:

1. Em Classification Management, clique em Tarefas de Gerenciamento de Arquivos.

2. À direita, em Actions, clique em Create File Management Task.

3. Na aba Geral, dê um nome à tarefa.

4. Mude para a aba Escopo e selecione uma pasta, como C:Accounts.

5. Na aba Ação, selecione RMS Encryption. (Observe que o Active Directory Rights Management Services (RMS) deve estar instalado em um servidor no seu domínio antes de você poder usar o RMS Encryption.)

6. Selecione um modelo de RMS ou adicione manualmente pelo menos um endereço de email que tenha permissão para ler os documentos criptografados.

7. Na aba Condição, clique em Add para adicionar uma condição.

8. Na caixa de diálogo Condição da Propriedade, selecione Personal Use para a Propriedade, defina o valor do Operador para Equals e defina o Valor para No.

9. Na aba Agendar, especifique quando deseja que a tarefa seja executada e, em seguida, clique em OK.

Passo 4: Teste a regra de classificação

Finalmente, vamos testar a nova regra. Suponha que temos uma pasta chamada Accounts que contém dois arquivos: um com um número de Segurança Social e o outro sem.

1. No File Server Resource Manager, no painel de Ações à direita, clique em Executar Classificação com Todas as Regras Agora…

2. Na caixa de diálogo Executar Classificação, selecione Aguarde a conclusão da classificação e clique em OK.

3. Um relatório será exibido assim que o processo de classificação estiver concluído. O relatório abaixo mostra que um arquivo foi classificado, conforme esperado.

Verificando a classificação de um arquivo ou classificando manualmente um arquivo

Para verificar a classificação de um arquivo ou para classificar manualmente um arquivo, clique com o botão direito do mouse no arquivo no Explorer, clique em Properties no menu e vá para a aba Classification. Observe que todas as propriedades de classificação ativadas aparecem nos metadados do arquivo, independentemente de os valores estarem definidos ou não.

Prós e contras do Microsoft FCI

A tecnologia FCI certamente ajudará as organizações a começarem com data classification. Está disponível em todas as edições do Windows Server e não requer nenhuma licença adicional além do que é necessário para usar o Windows como um servidor de arquivos. Como o FCI depende do serviço de Pesquisa do Windows e do Controle de Acesso Dinâmico, a infraestrutura necessária provavelmente já está em vigor na sua organização. A integração com o Windows Explorer significa que não há necessidade de instalar um cliente nos dispositivos dos usuários finais.

No entanto, o FCI possui várias limitações quando comparado com ferramentas de classificação de dados de terceiros. Em primeiro lugar, a ferramenta funciona apenas com servidores de arquivos baseados em Windows. Organizações que usam EMC, NetApp, SharePoint, Office 365 e outros sistemas para armazenar dados não poderão classificar esse conteúdo usando o FCI.

Existem outras desvantagens também. Enquanto as propriedades de classificação podem ser gerenciadas centralmente no Active Directory, as regras de classificação devem ser definidas em cada servidor de arquivos, um processo tedioso que pode ser automatizado usando PowerShell. Você também precisará garantir que o Windows Search seja capaz de indexar os arquivos que deseja classificar, o que pode significar instalar o Microsoft Office Filter Pack e iFilters para outros tipos de arquivos nos seus servidores de arquivos. A geração de relatórios não é centralizada, então você precisará acessar cada servidor para gerar um relatório.

O FCI pode ajudar organizações a localizar e classificar os dados que armazenam em servidores de arquivos baseados em Windows, por isso pode ser uma ferramenta útil para começar com a classificação de dados. No entanto, para implementar a classificação e gestão de dados abrangentes necessárias para garantir segurança e conformidade regulatória, as organizações precisam investir em file classification software.