Beveilig de kroonjuwelen van de organisatie

Loading Likes...

Elke organisatie heeft wel documenten waar gevoelige informatie in opgeslagen is. Dit kan een document zijn met wachtwoorden of privacy gevoelige informatie, oftewel een kroonjuweel van het bedrijf. Dit document moet natuurlijk goed beveiligd zijn, want dit mag absoluut niet naar buiten gelekt worden. Er zijn standaard oplossingen binnen Microsoft om dit soort bestanden te beveiligen, zoals het beschermen met een wachtwoord. Maar hoe bewaak je dat dit wachtwoord niet gekraakt wordt of dat het wachtwoord per ongeluk bij een verkeerd persoon terecht komt?


Verwachtte leestijd: 7 minuten

Scenario

Klusbedrijf “de Hamer” heeft afgelopen jaar veel geïnvesteerd in de IT omgeving en is gebruik gaan maken van Office365. Alle bestanden staan opgeslagen in SharePoint en OneDrive. Uiteraard is alles goed afgeschermd, want elke gebruiker heeft een moeilijk wachtwoord en gebruikt MultiFactor Authenticatie. Directeur John heeft van elke werknemer persoonsgegevens in een Excel document opgeslagen staan. Één van de persoonsgegeven is een BSN nummer. John wil dit document goed beveiligen. Het document wordt gedeeld met een extern bedrijf dat de salarissen afhandelt, het moet dus wel gedeeld kunnen worden buiten de organisatie ongeacht of de externe personen een Microsoft account hebben of niet. Omdat John gebruik maakt van de EM+S licentie van Microsoft kan hij dit document beveiligen met Information Protection. Het document wordt hiermee geëncrypt en John kan zelf bepalen welke personen het document mogen openen. Ook kan John de rechten tot het document op elk moment intrekken. Mocht hij toch onbewust een BSN nummer versturen in een e-mail, dan zal de email automatisch op dezelfde manier beveiligd worden.

 

Technische implementatie

Vereisten:

  • Office365 Business of Enterprise licentie
  • Office365 EM+S E3 (EM+S E5 voor het automatisch herkennen van informatie)

Information Protection activeren

Voordat we kunnen starten met Information Protection moeten we het activeren binnen de Office365 tenant.

  1. Log in als beheerder op https://portal.office.com
  2. Open het Admin portaal en klik in het linker menu op Settings
  3. Kies Services & Add-ins
  4. Selecteer Microsoft Azure Information Protection
  5. Klik op Manage Microsoft Azure Information Protection settings
  6. Klik op de knop activate, sluit dit venster nog niet af.

Beleid aanmaken in Azure

  1. In dit venster klikken we verder op Advanced Features (of log in op portal.azure.com en open Azure Information Protection).
  2. De beheerders portaal van Azure verschijnt en we zien daar drie verschillende policies.
  3. Een policy is een set aan labels die we toe kunnen wijzen aan gebruikers.

All – Cross policy view

Hier staan alle labels die aangemaakt zijn in de verschillende policies over de gehele organisatie.

Global Policy

Dit is een globale policy met labels die beschikbaar zijn voor de gehele organisatie.

Scoped Policies

Dit zijn policies met labels die toegewezen zijn aan een groep van mensen.

We gaan een Scoped Policy aanmaken, omdat dit beleid voor een specifieke groep mensen van toepassing is.

  1. Zorg dat de Scoped Policies in beeld zijn en klik op Add a new policy.
  2. Vul een naam in voor de policy en eventueel een beschrijving (bijvoorbeeld: Directie).
  3. Selecteer een gebruiker of groep die we toe willen wijzen (druk na het kiezen op select en OK).
  4. Standaard worden de algemene labels uit de Global Policy al weergegeven. We willen nu een specifieke label maken voor de groep Directie.
  5. Klik op Add a new label:
    1. Schakel de label in, geef de label een naam en omschrijving.
    2. Kies een kleur voor de label.
    3. Kies wat voor rechten het documen met dit label krijgt:
      1. Not configured : er worden geen rechten aangepast of toegedeeld.
      2. Protect: Er zijn verschillende mogelijkheden om rechten in te stellen. Omdat er veel instellingen beschikbaar zijn ga ik hier later in deze blog verder op in.
      3. Remove protection: Alle rechten worden weg gehaald (niemand heeft meer toegang).
    4. Wij kiezen nu voor Not configured.
    5. Kies of je het document wilt kernmerken met een header, footer en watermark.
    6. Indien je gebruik maakt van de EM+S E5 licentie kan je dit label automatisch laten toepassen als er een conditie gedetecteerd is. Omdat we graag willen dat dit label automatisch een BSN nummer herkend gaan we dit instellen. We kiezen dus voor Add a new condition:
      1. Het BSN nummer is een standaard conditie binnen Microsoft, we kunnen dus direct zoeken op BSN.
      2. Selecteer Netherlands Citizen’s Service (BSN) Number en geef op hoe vaak er een BSN nummer voor moet komen om in aanmerking te komen.
      3. Druk bovenin op Save.
    7. Je kan de tekst nog aanpassen die zichtbaar moet worden op het moment dat de tekst herkend word.
    8. We zijn nu klaar en klikken boven in op Save. We hebben nu een label aangemaakt.
  6. Omdat we al redelijk wat ingesteld hebben is het verstandig de policy tussendoor op te slaan. Druk dus bovenin op Save.
  7. Het is mogelijk een label standaard in te stellen. Als je namelijk bij de volgende optie kiest om alle documenten te labelen krijgen alle documenten deze label.
  8. We laten deze optie nu op Off staan.
  9. De volgende optie kan je aanzetten als je wilt dat gebruikers een reden moeten opgeven als de standaard label aangepast word.
  10. We laten deze optie nu op Off staan.
  11. Met de volgende optie kan je een e-mail automatisch laten labelen als de bijlage al gelabeld is. Daar in zijn 3 keuzes:
    1. Off = Helemaal uit
    2. Automatisch = altijd
    3. Recommended = beveel de gebruiker aan.
    4. Wij stellen deze nu in op Recommended zodat de gebruiker zelf de keuze krijgt.
  12. De volgende optie kan je kiezen of de bar in de office apps zichtbaar mag zijn of niet (vereist een client installatie op de computer).
  13. De volgende optie kan de knop Do not forward toevoegen in Outlook.
  14. De volgende optie kan de custom permissions optie toevoegen in Outlook.
  15. Met de laatste optie kan je een website opgeven waar gebruikers meer informatie kunnen ophalen over het beleid.
  16. Sla het beleid opnieuw op door bovenin op Save te klikken.

Het beleid hebben we nu aangemaakt, maar het moet nog gepubliceerd worden in de organisatie. Dit doe je door op Publish te klikken bovenin de toolbar.

Protection instellen op een label

Zoals boven bij punt 5.3.2 zijn er meerdere mogelijkheden om rechten in te stellen op een document.

We gaan ze even doornemen. We krijgen eerst twee opties: Azure (cloud key) en HYOK (ADRMS).

Azure (Cloud Key)

Als we keizen voor Azure krijgen we drie opties te zien:

  1. Set Permissions
  2. Set user defined Permisions
  3. Select a predefined template

1> Bij Set Permissions krijgen we de volgende opties:

  • We kunnen we een statische groep aan mensen rechten geven.
  • We kunnen bepalen hoelang de rechten actief moeten blijven.
  • We kunnen bepalen of het document Offline beschikbaar mag zijn en hoelang het bestand zonder internet verbinding geopend mag worden.

2> Bij Set user defined Permissions krijgen we de volgende opties:

  • In een e-mail bericht activeren dat de email niet doorgestuurd mag worden.
  • In Word, Excel, Powerpoint en de verkenner een popup weergeven met specifieke rechten per gebruiker.

3> bij Select a predefined template krijgen we de volgende opties:

  • Selecteer een template. Een template is eigenlijk een eerder aangemaakte label. Stel je voor dat je al een label aangemaakt hebt met specifieke rechten, kan je deze hier opnieuw selecteren.

HYOK (ADRMS)

Met Hold Your Own Key kan je een eigen Active Directory Rights Management server gebruiken. Dit gaat nu iets te ver voor deze blog. Info is te vinden op: https://cloudblogs.microsoft.com/enterprisemobility/2016/08/10/azure-information-protection-with-hyok-hold-your-own-key/

 

Een beveiligd bestand volgen / intrekken

  1. Log in als een gebruiker op https://portal.azurerms.com.
  2. Je krijgt een overzicht te zien met alle bestanden die door deze gebruiker beveiligd zijn.
  3. Selecteer een willekeurig bestand.
  4. Je krijgt een aantal opties te zien voor dit document. Zo kan je bijvoorbeeld rechten van een bepaald persoon intrekken.
  5. Onderaan de pagina staat een knop om het document voor iedereen in te trekken.

Je kan zelfs zien waar het document geopend is, ook als de gebruiker niet gemachtigd was (zie nummer 1 in Breda):

Een gedetecteerd bestand in Office

In het onderstaande screenshot zie je een melding verschijnen waar de gebruiker de keuze krijgt het document te beveiligen. Hij kan dit Nu wijzigen of negeren. De beheerder kan er ook voor kiezen dit af te dwingen en de gebruiker geen keuze te geven.

Een gedetecteerde email in Outlook

In Outlook wordt de e-mail automatisch gekenmerkt op het moment dat je de e-mail verstuurd hebt. Je ziet dit in de verzonden items door het verboden icoon voor de e-mail. Als je de verzonden e-mail opent zie je welk beleid toegepast is. De bijlage’s zullen ook gekenmerkt worden met dit beleid.

Een document handmatig kenmerken

In dit scenario gaan we er vanuit dat het document automatisch herkend word. Om gebruik te kunnen maken van deze functionaliteit is een EM+S E5 licentie vereist.

Met de EM+S E3 licentie is het ook mogelijk documenten te kenmerken, maar hier moet het handmatig te geselecteerd worden. Dit kan met de Information Protection toolbar. Met de toolbar ziet de gebruiker alle beschikbare policies en kan zelf een policy kiezen om toe te passen.

 Downloads

Azure Information Protection toolbar: https://www.microsoft.com/en-us/download/details.aspx?id=53018

Azure Information Protection viewer (included in de toolbar software): https://www.microsoft.com/en-us/download/details.aspx?id=54536&WT.mc_id=rss_alldownloads_all

One Reply to “Beveilig de kroonjuwelen van de organisatie”

  1. Er is een probleem bekend met een Surface Pro i.c.m. externe schermen dat de toolbar los komt te staan van de Office applicatie. Dit kan men als volgt oplossen:

    This is a know DDPI issue .
    You can either upgrade to latest Azure Information protection latest preview available in this link
    https://www.microsoft.com/en-us/download/details.aspx?id=53018
    Or disable the DDPI support in office apps till our next GA release
    To prevent the Azure Information Protection bar displaying outside Office applications for these Office versions, enable legacy support for monitors. To configure the Office applications: File > Options > General > User Interface options:
    If you see the option When using multiple displays is set to Optimize for best appearance, select Optimize for compatibility (application restart required) instead.
    If you see that the option Use best settings for my display is selected, remove this selection.

Leave a Reply

Your email address will not be published. Required fields are marked *