Scan, detecteer en beveilig de kroonjuwelen op uw serveromgeving met Azure Information Protection Scanner

Loading Likes...

In mijn vorige blog heb ik toegelicht hoe je kroonjuwelen binnen de organisatie kan beschermen met Azure Information Protection (AIP). Zoals uitgelegd kan je een policy handmatig instellen in Office via de AIP toolbar. Bij het gebruik van een EMS+S E5 licentie kunnen documenten automatisch herkend worden op vooraf gedefinieerde kenmerken. Op het moment dat je een document opslaat waar gevoelige informatie in staat zal het document, ongeacht waar je het opslaat, automatisch gelabeld worden. Voor beide acties is er interactie nodig vanuit de eindgebruiker. Het automatisch detecteren vindt namelijk pas plaats bij het opslaan van het document.

Sinds kort heeft Microsoft de Azure Information Protection Scanner (AIPS) gelanceerd. Hiermee is het mogelijk in datalocaties te scannen naar bestaande AIP policys die we eerder in Azure aangemaakt hebben. Het scannen kan op een lokale map, een UNC pad of een SharePoint Server (OnPremise). Hier is dus geen interactie nodig vanuit de eindgebruiker, want het document wordt automatisch gescand, herkend en gelabeld door de server.


 

Technische implementatie

Azure Information Protection scanner overview

Vereisten:

  • Microsoft EM+S E5 licentie.
  • Minimaal één policy in Azure Information Protection waarbij automatisch detecteren ingeschakeld is en de policy afgedwongen word.

Windows Server-computer om de scanner-service uit te voeren:

  • Windows 2012 R2 / Windows 2016
  • 4-processors
  • 4 GB RAM
  • SQL 2012 minimum Express/standaard/Enterprise
  • Service account

Voorbereidingen

Start met het downloaden van de setup op: https://www.microsoft.com/en-us/download/details.aspx?id=53018.

Mocht je geen SQL server actief hebben, installeer dan ook SQL Express: https://www.microsoft.com/nl-nl/sql-server/sql-server-editions-express

Web API key aanmaken in Azure Active Directory

We starten met het aanmaken van een API key die we later nodig gaan hebben tijdens het installeren van de tool.

  1. Log in op de Azure portal met een beheerder
  2. Open Azure Active Directory > App Registrations
  3. Klik op New application Registration
    1. Name: AIPOnBehalfOf
    2. Application Type: Web app /API
    3. Sign-on URL: http://localhost
    4. Klik op opslaan
  4. Open de net aangemaakte app en kopieer de waarde Application ID. Deze variable hebben we nodig als WebAPPID voor later.
  5. Klik op Settings en klik op Required Permissions
  6. Klik boven in op Grant Permissions en klik op YES
  7. We gaan terug naar de Settings en klik op Keys
  8. Maak een KEY aan met een willekeurige omschrijving en een duur. Sla de KEY goed op, want die krijg je hierna niet meer te zien
  9. De KEY hebben we straks nodig voor de WebAPPKEY
  10. We gaan terug naar de App registrations en maken opnieuw een nieuwe app aan
    1. Name: AIPClient
    2. Application Type: Native
    3. Sign-on URL: http://localhost
    4. klik op opslaan
  11. Open de net aangemaakte app en kopieer de waarde Application ID. Deze variable hebben we nodig als NativeAppID
  12. Klik op Settings en Require Permissions
  13. Klik op Add en kies voor select an API
  14. Zoek naar: AIPOnBehalfOf en selecteer deze
  15. Selecteer bij Select Permission de AIPOnBehalfOF aan en klik op Done
  16. We zijn hier nu klaar

Azure Information Protection Scanner installeren op server

  1. Log in op de server en maak een service account aan met admin rechten, welke ook gesynchroniseerd word met Office365
  2. Log in op de server met het service account
  3. Installeer de setup van de Azure Information Protection Scanner die we eerder gedownload hebben
  4. Start een Powershell sessie op als administrator
  5. Install-AIPScanner -SqlServerInstance <database name>
  6. Voorbeelden:
    1. Voor een standaardexemplaar: Install-AIPScanner -SqlServerInstance SQLSERVER1
    2. Voor een benoemd exemplaar: Install-AIPScanner -SqlServerInstance SQLSERVER1\AIPSCANNER
    3. Voor SQL Server Express: Install-AIPScanner -SqlServerInstance SQLSERVER1\SQLEXPRESS
  7. Vul bij de authenticatie de gegevens van het service account in
  8. Controleer of de service wordt nu geïnstalleerd met behulp van Systeembeheer > Services. De service hoeft nog niet gestart te worden.

    De geïnstalleerde service heet Azure Information Protection Scanner en is geconfigureerd om te worden uitgevoerd met behulp van de scanner-serviceaccount dat u hebt gemaakt.

  9. Nu u de scanner hebt geïnstalleerd, gaan we een token aanmaken tussen de server en Azure. Daarvoor gebruiken we het volgende commando en gebruiken we de variable die we boven in aangemaakt hebben
  10. Set-AIPAuthentication -webAppId <ID of the “Web app / API” application> -webAppKey <key value generated in the “Web app / API” application> -nativeAppId <ID of the “Native” application >
  11. Bij het inlog prompt vul opnieuw de gegevens in van het service account. Je krijgt hierna het volgende scherm:
  12. Accepteer dit
  13. We zijn nu klaar om een data store te selecteren welke we willen gaan scannen.

Data stores toevoegen of verwijderen

Data stores zijn plekken waar we de scan willen laten plaatsvinden. In dit voorbeeld gaan we uit van een locatie map op de server, maar je kan hier ook een SharePoint server of UNC pad scannen.

  1. Vanuit de file server starten we wederom Powershell onder het service account en geven we het volgende commando:
  2. Add-AIPScannerRepository -Path <path> bijvoorbeeld:
    Add-AIPScannerRepository -Path D:\Shares\documenten
  3. Herhaal dit voor alle data stores die je wilt toevoegen. Je kan met Get-AIPScannerRepository kijken welke je toegevoegd hebt. Verwijderen kan met: Remove-AIPScannerRepository -Path <Path>

Start een discovery scan

Met een Discovery scan gaan we kijken of de Services goed werkt en of de juiste labels gevonden worden. De labels worden hierbij nog niet op het document gezet, maar we krijgen al wel een rapportage waarin we kunnen zien of alles goed werkt.

  1. Start de service Azure Information Protection Scanner op de server
  2. Wacht tot de scanner afgerond is en de services vanzelf weer stopt. Je kan dit in de eventlog terug vinden onder Application and Services ID 911
  3. Je kan de rapportage openen in: %localappdata%\Microsoft\MSIP\Scanner\Reports waar een CSV bestand staat met de resultaten
  4. Controleer of je het gewenste resultaat hebt en herhaal stap 1 tot 3. Voordat je opnieuw begint voer je het volgende commando uit:
  5. Set-AIPScannerConfiguration -Schedule OneTime

Een voorbeeld van een rapport:

Scan started at: 2018-03-09 14:02:32Z
Scan ended at: 2018-03-09 14:02:32Z
Scan duration: 0 days, 0 hours, 0 minutes, 1 seconds
Scan mode: Enforce

Scanned files:9

Actions:
Labeled:0
Protected:0
Remove Protection:0

Skipped due to – No match:0
Skipped due to – Not supported:2
Skipped due to – Already Labeled:0
Skipped due to – Already scanned:5
Skipped due to – Require Justification:0
Skipped due to – Unknown reason:0

Failed:2

Configureer de scanner om classificaties aan bestanden toe te wijzen

Standaard scant de services alleen op het moment dat je hem handmatig start als Reporting_only mode. We gaan nu instellen dat we de scan continue willen laten lopen in active mode.

  1. Vanuit de file server starten we wederom Powershell onder het service account en geven we het volgende commando:
  2. Set-AIPScannerConfiguration -ScanMode Enforce -Schedule Continuous

Meer opties en instellingen: https://docs.microsoft.com/en-us/powershell/module/azureinformationprotection/Set-AIPScannerConfiguration?view=azureipps

Conclusie

Alle documenten die opgeslagen staan worden nu gescand en automatisch gelabeld als ze voldoen aan een policy vanuit AIP. Ook nieuwe documenten worden direct gescand en gelabeld.

 

Leave a Reply

Your email address will not be published. Required fields are marked *