Dynamic Access Control

Windows 8: Verschlüsselung individuell anpassen

Office-Dateien automatisch verschlüsseln

Der Zugriffsschutz lässt sich durch eine automatische Verschlüsselung realisieren, die nur bei Erfüllung aller in der CAP definierten Voraussetzungen aufgehoben wird. Das können beispielsweise Anforderungen an den Nutzer, das Gerät, den Standort und den aktuellen Speicherort der Datei sein. Für die Verschlüsselung arbeitet Dynamic Access Control mit AD RMS (Active Directory Rights Management Services) zusammen.

Dazu legt der Administrator im File Server Resource Manager eine File Management Task an, die für Dateien mit definierten Tags eine automatische Aktion "RMS Encryption" vorsieht. Hat zum Beispiel eine Excel-Datei die Klassifizierung "Personenbezogene Daten", und wird für diesen Fall die automatische Verschlüsselung geplant, so werden alle entsprechend klassifizierten Dateien dazu passend behandelt. Ausnahme: Dateien, die zwar genauso klassifiziert sind, aber in einem gesperrten Ordner liegen.

Im Standard sieht Dynamic Access Control nur die automatische Verschlüsselung von Office-Dateien vor. Über Zusatzprogramme von Drittanbietern können weitere Dateitypen auf Basis ihrer Klassifizierung automatisch verschlüsselt werden. So weitet zum Beispiel GigaTrust Protector for SharePoint die RMS-Verschlüsselung auf PDF-Dateien aus.

Eine Frage der Klassifizierung

Die Klassifizierung und die genaue Definition der Zugriffsregeln bei DAC sorgen für die auf den Schutzbedarf angepasste Verschlüsselung und damit für mehr Verhältnismäßigkeit der Schutzmaßnahmen.

Sensible Daten: Auf Windows-8-Geräten können Dateien vom Nutzer im Rahmen zentraler Vorgaben klassifiziert werden, zum Beispiel als Datei, die personenbezogene Daten enthält.
Sensible Daten: Auf Windows-8-Geräten können Dateien vom Nutzer im Rahmen zentraler Vorgaben klassifiziert werden, zum Beispiel als Datei, die personenbezogene Daten enthält.
Foto: Microsoft

Die Klassifizierung und Zugriffsregeln bedeuten jedoch einiges an Arbeit für die Administratoren. Hilfreich ist es zum einen, dass sich die Klassifizierung von einem Verzeichnis auf alle darin enthaltenen Dateien vererben lässt.

Zum anderen kann die Klassifizierung für neue Dateien gleich nach Erstellung auf den Windows-8-Geräten vorgenommen werden. Das muss nicht rein manuell (über die Registerkarte Klassifizierung des Eigenschaftenblatts der Datei) erfolgen, sondern kann genauso automatisiert vonstatten gehen wie später die Verschlüsselung. Von Microsoft gibt es ein Toolkit zur Datenklassifizierung, das bereits einige integrierte Regeln zum Ermitteln personenbezogener Daten mitbringt.