Classification Information

Seit dem Release von 2008R2 gibt es im FSRM (File Services Resource Manager) ein Feature zur Klassifizierung von Dateien. Unter 2008R2 hatte diese neue Funktion innerhalb der File Services Role nur ein Schattendasein, da es rein zu Protokolierungs- und Überwachungszwecken einsetzbar war. Mit Server 2012 wurden Claims eingeführt. Kurz gesagt dynamische Berechtigungen auf Objekte. Diese Claims sind vergleichbar mit Access Token, um etwa anhand einer Gruppenmitgliedschaft Zugriff auf ein mit NTFS geschütztes Objekt zu gewähren. Claims sind Bestandteil von Dynamic Access Control (DAC). Für Userzugriffe sind Claims Abwärtskompatibel. Für Computer, und das ist neu mit DAC, ist mindestens Win8/Srv2012 notwendig. Zugriffe werden mittels Computer Claims gewährt. Es lässt sich damit steuern, welcher Computer Zugriff hat, bzw. welche Computer/User Kombination. Claims geparrt mit Classifications lässt vielseitiges Kombinationen zu.

Für das Setup einer Dynamic Access Control Umgebung gibt es einige Tutorials. Interessant war für mich die Frage wo und wie generierte Classification Informationen gespeichert werden, und können diese verloren gehen?

Resource Properties bestehen aus Name und Wert/Werten und ID. Diese Properties können Lokal pro Server oder per Group Policy mittele Property Lists verteilt werden. Classification Rules automatisieren die Zuweisung von Values. Manuelle Zuweisungen lassen sich aber nicht umgehen.

 

Classifikation Klassifizierung FCIDie Properties werden im Classification Tab angezeigt. Aktuell ist also noch kein Wert mit dem File verknüpft.

 

 

Es gibt ein Tool von Microsoft namens STREAM.EXE, um sogenannte ADS (alternate data streams) anzuzeigen.

Offizieller Sysinternals Link:
http://technet.microsoft.com/en-us/sysinternals/bb897440.aspx

Dieses Tool wurde inzwischen in die Powershell hineingepackt, und lässt sich mit Get-Item aufrufen.

$DATA verweist auf die Nutzdaten und wird „unnamed data stream“ genannt. Die Syntax lautet $DATA:““, und da der Wert zwischen den „“ eben unnamed ist, ist die Schreibweise $DATA. Bei einem alternate Stream wäre es $DATA:“alternate“.

 

get-item stream powershell

by default ist nur der Standard Data Stream vorhanden, $DATA

 

 

Wir setzen nun Values in Datei secret.txt

Classifikation Klassifizierung FCI

get-item stream powershell

nach dem Setzen der Values gibt es einen alternate Stream, der die Klassifizierungen enthält. Je mehr Values gesetzt werden, umso höher steigt die Length.

 

 

 

der alternate Classification Stream kann mit dem Powershell Befehl Remove-Item gelöscht werden

remove-item stream FSRM powershell

Classifikation Klassifizierung FCI

nach dem Löschen des Streams sind alle Values leer. Dass die Properties noch angezeigt werden, liegt daran das die File Services so konfiguriert sind.

 

 

 

Kompatibilität

 

get-volume driveletter powershell

wird das File auf eine ReFS (Resilient File System) Partition verschoben, bleiben die Stream Daten erhalten. Klassifikationen werden bei ReFS weder von Server 2012 noch 2012R2 unterstützt. Da die Funktion für die Speicherung vorhanden ist, ist entweder der Support für ReFS geplant, oder die Informationen sollen nach dem Rückverschieben nach NTFS erhalten bleiben?

Wandern Daten auf FAT32 , Ext oder ReiserFS gehen nicht nur Klassifikation verloren, sondern auch SID Kennungen sowie evtl. File Attribute. Eine Übernahme aus der Domain heraus stellt kein Problem dar, solange das Ziel NTFS ist.

 

 

Server 2008R2

 

get-item stream powershell

 

Classifikation Klassifizierung FCI

Wird ein File auf einem Server 2008R2 Klassifiziert, wird wie bei Server 2012 ein alternate Stream generiert. Dieser Stream wird beim Kopieren nach 2012 (NTFS to NTFS) wie oben beschrieben mitgenommen. Das Property wird dann als „Unknown“ gelistet, wenn es nicht definiert wurde. Ab Server 2012 ist ein zentraler AD Abgleich von Classification Properties implemtiert worden. Server 2008R2 unterstützt diesen Abgleich noch nicht!

 

 

Holger Wache

Holger Wache

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.