L’infrastructure de classification des fichiers Microsoft

Connaître les données dont on dispose et où elles se trouvent constitue une étape essentielle de la conformité aux réglementations sectorielles et gouvernementales, telles que le réglement RGPD de l’Union européenne.

Avec Windows Server 2008 R2, Microsoft a lancé l’Infrastructure de classification des fichiers (FCI), qui permet aux organisations de classer les données stockées sur leurs serveurs de fichiers Windows. Grâce à FCI, les administrateurs système peuvent définir des règles de classement automatique des fichiers en fonction de divers facteurs, comme leur emplacement ou leur contenu. Une fois les fichiers classés, FCI peut exécuter sur eux des actions spécifiques, par exemple les déplacer dans un répertoire spécifique ou les chiffrer.

Méthodes de classification

Le moyen le plus simple de classer les fichiers avec FCI est d’utiliser son moteur intégré. FCI se sert de la fonction de recherche de Windows pour parcourir vos serveurs de fichiers et classer automatiquement les fichiers en fonction des propriétés et des règles de classification que vous avez définies. Les utilisateurs peuvent également classer manuellement les fichiers à l’aide de l’onglet Classification ajoutés à l’explorateur Windows dans Windows Server 2012 et Windows 8. Si vous classez les modèles Microsoft Office de votre organisation, les utilisateurs peuvent créer des documents intégrant les métadonnées nécessaires.

De plus, les applications peuvent utiliser l’API FCI pour analyser les fichiers et permettre aux utilisateurs de classer manuellement les documents depuis les applications dans lesquelles ils ont été créés. Par ailleurs, un module de classification Windows PowerShell permet aux administrateurs système d’accéder à l’API et de classer les fichiers en utilisant les propriétés de leur choix, sans avoir à coder en C# ou C++. Le module de classification PowerShell fait partie du kit de développement logiciel Windows (SDK).

Propriétés de classification

Les administrateurs des serveurs de fichiers créent des propriétés de classification qui définissent comment utiliser les métadonnées pour classer les fichiers. Windows Server 2016 propose huit types de propriétés de classification, dont oui/non, date/heure et liste à choix multiples. À chaque propriété de classification correspond un ensemble prédéfini de types de valeurs possibles. Certaines propriétés sont simples ; par exemple, « Utilisation personnelle » ne peut être que Oui ou Non, et « Date de début de conservation » n’accepte que les valeurs date/heure. D’autres propriétés ont des types de valeurs plus complexes ; par exemple, la propriété « Utilisation des dossiers » accepte plusieurs valeurs, et la propriété « Impact » est une liste ordonnée.

Le processus de classification

Les métadonnées de classification sont ajoutées aux fichiers à l’aide du flux de données alternatif NTFS. La classification des fichiers est maintenue tant qu’ils sont stockés sur un volume NTFS. Si un fichier est déplacé vers un volume FAT32 ou ReFS, il perd sa classification. Les fichiers Microsoft Office constituent une exception à cette règle : comme les métadonnées de classification sont stockées dans les fichiers et le flux de données alternatif NTFS, la classification n’est pas perdue lorsque les fichiers sont déplacés vers le Cloud (cf SharePoint).

Le contrôle d’accès dynamique (DAC) de Windows Server 2012, en conjonction avec FCI, centralise les propriétés de classification dans Active Directory (AD), plutôt que de les définir localement dans chaque serveur de fichiers. À la différence de Windows Server 2008, Windows Server 2012 offre un ensemble de propriétés de classification DAC par défaut, que les entreprises peuvent utiliser pour démarrer. De plus, le Data Classification Toolkit fournit des propriétés de classification supplémentaires pour répondre aux normes communes de conformité réglementaire, comme HIPAA et le RGPD.

Bien démarrer avec FCI

Examinons le processus de création et de test d’une règle de classification à l’aide de FCI.

Prérequis

Pour cet exemple, il vous faut un serveur de fichiers Windows Server 2016 membre d’un domaine Active Directory (Niveau fonctionnel de la forêt Windows Server 2012 ou supérieur).

FCI faisant partie du Gestionnaire de ressources du serveur de fichiers (FSRM), assurez-vous que le rôle de serveur FSRM est installé sur votre serveur de fichiers. La manière la plus simple d’installer FSRM est d’utiliser la commande PowerShell suivante :

Add-WindowsFeature FS-Resource-Manager -IncludeManagementTools

Étape 1 : Activez certaines propriétés de classification

Windows Server 2012 et les versions ultérieures disposent de plusieurs propriétés globales de classification déjà configurées, mais avant de pouvoir les utiliser, vous devez les activer dans le Centre d’administration Active Directory. Activons l’une d’elles :

1. Ouvrez Server Manager (Gestionnaire de serveur).

2. Dans Tools (Outils), ouvrez Active Directory Administrative Center (Centre d’administration Active Directory)

3. Dans Dynamic Access Control (Contrôle d’accès dynamique), cliquez sur Resource Properties (Propriétés de ressources).

4. Dans la liste de propriétés du volet central, cliquez avec le bouton droit de la souris sur Personal Use (Utilisation personnelle), puis sélectionnez Enable (Activer) dans le menu.

5. Fermez Active Directory Administrative Center.

Étape 2 : Créez une règle de classification

Nous allons à présent créer une règle de classification à l’aide du Gestionnaire de ressources du serveur de fichiers :

1. Dans le menu Tools (Outils) de Server Manager (Gestionnaire de serveurs) ouvrez File Server Resource Manager (Gestionnaire de ressources du serveur de fichiers).

2. Dans Classification Management (Gestion de la classification), cliquez avec le bouton droit sur Classification Rules (Règles de classification), et sélectionnez Create Classification Rule… (Créer une règle de classification…) dans le menu.

3. Dans la boîte de dialogue Create Classification Rule (Créer une règle de classification), donnez un nom à la règle dans le champ Rule Name (Nom de la règle).

4. Passez à l’onglet Scope (Portée). Cliquez sur Add… (Ajouter…), puis sélectionnez le dossier auquel appliquer la règle.

5. Passez à l’onglet Classification. Assurez-vous que Content Classifier (Classifieur de contenus) est sélectionné dans Classification method (Méthode de classification).

6. Dans Property (Propriété), sélectionnez Personal Use (Utilisation personnelle) dans le menu déroulant.

7. Dans Specify a value (Spécifier une valeur), sélectionnez No (Non) dans le menu déroulant.

8. Sous Parameters (Paramètres), cliquez sur Configure… (Configurer…).

9. Dans la boîte de dialogue Classification Parameters (Paramètres de classification), cliquez dans le champ Expression à droite de Regular expression (Expression régulière), et entrez la formule suivante :

^\d{3}([\s-])?\d{3}\1\d{3}$

Cette expression régulière recherchera dans les fichiers les numéros de sécurité sociale dont le format est XXX-XXX-XXX. Vous pouvez utiliser des chaînes ou des expressions régulières pour vos règles de classification.

10. Cliquez sur OK pour fermer la boîte de dialogue Classification Parameters (Paramètres de classification).

11. Cliquez sur OK dans la boîte de dialogue Create Classification Rule (Créer une règle de classification). La nouvelle règle s’affiche dans le volet central.

Étape 3 (facultative) : Créez une tâche permettant à FCI d’agir automatiquement d’après la classification des fichiers.

Pour faire en sorte que FCI chiffre ou déplace automatiquement les fichiers contenant des numéros de sécurité sociale ou effectue d’autres actions en fonction de la classification, cliquez à présent sur File Management Tasks (Tâches de gestion de fichiers) dans File Server Resource Manager (Gestionnaire de ressources du serveur de fichiers) (voir les options de gauche dans la Figure 2) pour créer la tâche appropriée et planifier son exécution.

Par exemple, pour chiffrer tous les fichiers du répertoire Accounts (Comptes) pour lesquels la propriété Utilisation personnelle est Non, procédez comme suit :

1. Dans Classification Management (Gestion de la classification), cliquez sur File Management Tasks (Tâches de gestion).

2. À droite, dans Actions, cliquez Create File Management Task (Créer une tâche de gestion de fichiers).

3. Dans l’onglet General (Général), donnez un nom à la tâche.

4. Passez à l’onglet Scope (Portée) et sélectionnez un dossier, par exemple C:\Accounts.

5. Dans l’onglet Action, sélectionnez RMS Encryption (Chiffrement RMS). (Remarque : pour pouvoir utiliser le chiffrement, Active Directory Rights Management Services (RMS) doit être installé sur un serveur de votre domaine).

6. Sélectionnez un modèle RMS ou ajoutez manuellement au moins une adresse e-mail autorisée à lire les documents chiffrés.

7. Dans l’onglet Condition, cliquez sur Add (Ajouter) pour ajouter une condition.

8. Dans la boîte de dialogue Property Condition (Conditions de propriété), sélectionnez Personal Use (Utilisation personnelle), réglez Operator (Opérateur) sur Equals (Égale) et Value (Valeur) sur No (Non).

9. Dans l’onglet Schedule (Planification), spécifiez quand vous souhaitez que la tâche soit exécutée, puis cliquez sur OK.

Étape 4 : Testez la règle de classification

Vous pouvez à présent tester la nouvelle règle. Imaginons que nous disposions d’un dossier nommé Accounts (Comptes) contenant deux fichiers : l’un avec un numéro de sécurité sociale et l’autre sans.

1. Dans le volet Actions du File Server Resource Manager (Gestionnaire de ressources du serveur de fichiers), complètement à droite, cliquez sur Run Classification With All Rules Now… (Exécuter la classification avec toutes les règles maintenant…).

2. Dans la boîte de dialogue Run Classification (Exécuter la classification), sélectionnez Wait for classification to complete (Attendre la fin de la classification), puis cliquez sur OK.

3. Une fois la classification terminée, un rapport s’affiche. Le rapport ci-dessous indique qu’un dossier a été classé comme prévu.

Vérification de la classification d’un fichier ou classification manuelle d’un fichier

Pour vérifier la classification d’un fichier ou pour classer manuellement un fichier, cliquez avec le bouton droit sur le fichier dans l’explorateur, cliquez sur Properties (Propriétés) dans le menu, puis passez à l’onglet Classification. Remarquez que toutes les propriétés de classification activées apparaissent dans les métadonnées du fichier, que des valeurs soient définies ou non.

Avantages et inconvénients de Microsoft FCI

La technologie FCI permet aux organisations de bien démarrer la classification de leurs données. Elle est disponible dans toutes les versions de Windows Server et ne nécessite aucune licence supplémentaire en plus de ce qui est nécessaire pour utiliser Windows comme serveur de fichiers. Comme FCI s’appuie sur le service de recherche Windows et le contrôle d’accès dynamique, l’infrastructure nécessaire est probablement déjà en place dans votre organisation. Son intégration à l’Explorateur Windows implique qu’il n’est pas nécessaire d’installer un client sur les périphériques des utilisateurs finaux.

Cependant,  par rapport à des outils de classification de données tiers, FCI présente de nombreuses limites. En premier lieu, cet outil ne fonctionne qu’avec les serveurs de fichiers Windows. Les entreprises qui utilisent EMC, NetApp, SharePoint, Office 365 et d’autres systèmes pour stocker des données ne pourront pas classer ces contenus en utilisant FCI.

Il y a aussi d’autres inconvénients. Tandis que les propriétés de classification peuvent être gérées de manière centralisée dans Active Directory, les règles de classification doivent être définies pour chaque serveur de fichiers, un processus fastidieux qui peut être automatisé avec PowerShell. Vous devrez également vous assurer que la fonction de recherche de Windows est capable d’indexer les fichiers que vous voulez classer, ce qui peut nécessiter d’installer le Microsoft Office Filter Pack sur vos serveurs de fichiers, et iFilters pour les autres types de fichiers. La création de rapports n’est pas centralisée, vous devrez donc vous connecter à chaque serveur pour générer un rapport.

FCI permet aux entreprises de localiser et de classer les données qu’elles stockent sur des serveurs de fichiers Windows, en cela elle est utile pour commencer la classification des données. Mais pour implémenter toutes les fonctionnalités de classification et de gestion des données nécessaires pour assurer la sécurité et la conformité réglementaire, les organisations doivent investir dans un logiciel de classification de fichiers.