Windows Server 2022 et FSRM – Découverte de la classification de fichiers
Sommaire
I. Présentation
Dans ce tutoriel, nous allons apprendre à utiliser la fonction de classification de données intégrée à FSRM de Windows Server. Grâce au système de classifications de données, il devient possible d'ajouter des attributs personnalisés aux fichiers pour éventuellement créer des règles de traitement spécifiques aux fichiers, selon la valeur de l'attribut en question.
Par exemple, on pourrait rechercher la présence d'un mot de passe, d'un numéro de carte bancaire ou encore d'un numéro de sécurité sociale dans les fichiers et ajuster la valeur d'un attribut en fonction du résultat : Données sensibles, oui ou non. Toutefois, le système de règles de classification intégré à FSRM est assez basique (même s'il prend en charge les expressions régulières) et il sera surtout intéressant lorsqu'il est utilisé avec une politique de contrôle d'accès dynamique (Dynamic Access Control).
Grâce à l'accès dynamique, on peut ajuster les droits d'accès à certains utilisateurs en fonction des attributs d'un élément. Par exemple, un utilisateur peut avoir accès en lecture/écriture à un dossier et aux fichiers, mais en lecture seule pour les fichiers classés confidentiels. Sujet qui sera probablement abordé dans un prochain épisode.
Avant de commencer, vous devez disposer de FSRM sur votre serveur de fichiers :
Dans cet exemple, une propriété personnalisée nommée "Contient un mot de passe" sera créée et indiquera si "oui" ou "non", le fichier contient un mot de passe. Pour cela, on recherchera tout simplement la présence du terme "mot de passe" dans les fichiers.
II. Créer une propriété personnalisée pour les fichiers
Tout d'abord, à partir de la console "Gestionnaire de ressources du serveur de fichiers", une nouvelle propriété locale doit être créée. Il s'agit d'une nouvel attribut / une nouvelle propriété pour chaque fichier. Pour cela, sous "Gestion de la classification", effectuez un clic droit sur "Propriétés de la classification" et cliquez sur "Créer une propriété locale...".
Un assistant s'ouvre. Ici, il faut commencer par nommer la propriété donc on indique "Contient un mot de passe". Puis, il faut choisir un type de propriété. Il y a plusieurs choix possibles : date-heure, numéro, liste de choix, chaîne, etc... Vous devez choisir "Oui/Non", ce qui revient à créer une propriété booléenne en quelque sorte.
Cliquez sur "OK", et c'est fait !
III. Créer des règles de classification des données
Seconde étape : la création de règles de classification afin de déterminer quand la propriété "Contient un mot de passe" doit être égale à "oui" ou "non". Effectuez un clic droit sur "Règles de classification" et cliquez sur "Créer une règle de classification".
Commencez par nommer la règle, par exemple "Fichiers avec mot de passe (oui)" et activez la règle.
Basculez sur le second onglet pour déterminer où s'applique cette règle. Dans cet exemple, la règle s'applique au répertoire "P:\Partage" qui contient les données de mon serveur de fichiers.
Ensuite, dans l'onglet "Classification", vous devez créer la règle de classification. Il y a plusieurs méthodes disponibles, y compris la méthode "Classifieur de contenus" qui va permettre de définir une valeur sur une propriété d'un fichier en fonction de son contenu. Plutôt cohérent comme choix par rapport à notre objectif !
Un peu plus bas, choisissez la propriété "Contient un mot de passe" et la valeur "Oui" puis cliquez sur "Configurer".
Dans quel cas de figure la propriété doit-elle être définie sur "Oui" ? Et bien, lorsque le fichier contient la chaîne de caractères "Mot de passe" (ou "MOT DE PASSE", "mot de passe", etc..). On sélectionner le type "Chaîne" et on indique notre chaîne en guise d'expression. Laissez "Occurrences minimales" à "1", car le fait de trouver au moins une fois la chaîne suffira pour considérer que le fichier contient un mot de passe.
Vous pouvez remarquer qu'il est possible de créer des expressions basées sur le principe des expressions régulières pour créer des filtres avancés (on recherche la correspondance vis-à-vis d'un modèle). À noter que si vous indiquez plusieurs règles dans cette même fenêtre, elles doivent toutes être vérifiées : on peut considérer qu'il y a un opérateur "ET" entre les règles et non un "OU". Ce qui est dommage, en fait. Validez.
Le dernier onglet, intitulé "Type d'évaluation" permet de définir si l'on réévalue les propriétés existantes. Autrement dit, si un fichier a la propriété "Contient un mot de passe" sur "non", car il ne contient pas de mot de passe mais que le lendemain il en contient un, doit-on mettre à jour la valeur ou laisser la première valeur ? A mon avis, c'est préférable de mettre à jour la propriété pour tenir compte des changements.
Cliquez sur "OK", la première règle est créée. Créez une seconde règle nommée "Fichiers avec mot de passe (non)" qui permettra de définir la valeur sur "non". Ici, le nombre d'occurrences minimales et maximales sera sur "0". En fait, la règle "oui" seule ne suffit pas, car ce n'est pas parce qu'un fichier n'aura pas de mot de passe, que la propriété sera définie sur "non" : vous devez créer deux règles, une pour chaque cas de figure.
Une fois les deux règles créées, passez à la suite.
Note : si un fichier contient "Mots de passe" et non "mot de passe", la propriété ne sera pas définie sur "oui".
IV. Installer Microsoft Office Filter Packs
Pour effectuer de la classification sur des fichiers Microsoft Office, il convient d'installer le Microsoft Office Filter Packs sur le serveur de fichiers équipé de FSRM.
Commencez par télécharger et installer Microsoft Filter Pack 2.0.
Puis, téléchargez et installez le SP2 pour le Filter Pack qui ajoute des améliorations :
V. Tester les règles de classifications
Maintenant que les règles sont créées, il ne reste plus qu'à tester ! Pour cela, vous devez tout simplement créer plusieurs fichiers : certains avec la chaîne "mot de passe", et d'autres sans cette valeur. Il peut s'agir de simples fichiers textes ou de documents Microsoft.
Une fois que c'est fait, vous pouvez exécuter la classification en cliquant sur "Exécuter la classification avec toutes les règles..." sur la droite dans la console FSRM. Ici, il s'agit de déclencher manuellement la classification. Si vous cliquez sur "Configurer la planification de la classification", vous pouvez automatiser cette action (une fois par jour, par exemple). Dans tous les cas, ce ne sera jamais du temps réel ou à l'heure près.
Sur mon serveur de fichiers, il y a très peu de fichiers, donc le processus est rapide. Une fois que c'est terminé, rendez-vous dans les propriétés des fichiers, au sein de l'onglet "Classification". Lorsque le fichier contient "mot de passe", la propriété est bien définie sur "Oui" ! L'inverse fonctionne aussi, comme vous pourrez le constater.
VI. Conclusion
Cette initiation à la classification de fichiers avec FSRM touche à sa fin ! Pour aller plus loin, il faut s'intéresser au contrôle d'accès dynamique ou à la section "Tâches de gestion de fichiers" de FSRM pour exécuter des traitements sur les fichiers selon la valeur d'une ou plusieurs propriétés. Par exemple, on pourrait créer une règle pour déplacer les fichiers qui contiennent un mot de passe de manière à les protéger.