Governance und Compliance mit dem neuen SharePoint 2016 – DLP im Compliance Center

Die Grundlagen für die neuen Governance und Compliance Funktionen haben wir bereits im ersten Beitrag vor wenigen Tagen „gelernt“ (DLP mit eDiscovery). Heute schauen wir uns daher den zweiten Punkt aus der Reihe an: das neue Compliance Center mit Fokus auf die „Data Lost prevention“ (DLP).

2. DLP im neuen Compliance Center

 Mit der eDoscovery im ersten Teil konnten wir bereits überprüfen, dass unsere SharePoint Suche die gwünschten Dokumente findet und die DLP-Filter die sensitiven Daten daraus erkennen. Ich empfehle, dass Sie bei der Anwendung neuer DLP Richtlinien zunächst immer die Regeln im eDiscovery testen, um so auch heraus zu finden, in welchen Bereichen bzw. auf welchen Site Collections entsprechende Regeln angewendet werden müssen. So können Sie gezielte Richtlinien für bestimmte Bereiche ausrollen. In unserem Beispiel setzen wir die Suche nach Kreditkarteninformationen auf unserer Accounting-Seite fort.

Um nun Compliance Richtlinien anzuwenden, müssen folgende Voraussetzungen erfüllt sein:

a)      Konfigurierte Search Service Application
b)      Beispieldatei mit Kreditkarteninformationen
c)      Crawl der entsprechenden Bereiche, wo die obigen Dateien liegen
d)      Outgoing Email ist konfiguriert (optional)
e)      Site Collection mit der Compliance Policy Center Vorlage

Die Punkte a) bis c) habe ich bereits im ersten Beitrag erläutert.

d) Outgoing Email ist konfiguriert (optional)
Dieser Punkt ist optional, aber zu empfehlen, um auch die sehr hilfreichen Email-Informationen zu erhalten, sollte man gegen eine angewendete DLP Richtlinien mit einem hochgeladenen Dokument verstoßen haben. Die Konfiguration für zu sendende Emails ist die gleiche, wie in SharePoint 2013: In der Central Administration navigieren Sie dafür in die „System Settings“ und finden dort in der Kategorie „E-Mail and Text Messages (SMS)“ den Link zu „Configure outgoing e-mail settings“.

Die Möglichkeit, nun auch Emails verschlüsselt zu versenden, ist eine Option, die neu in SharePoint 2016 hinzu gekommen ist. Die Konfiguration ist aber selbsterklärend, sodass wir darauf nicht weiter im Detail eingehen brauchen.

e) Site Collection mit der Compliance Policy Center Vorlage
Auch hier gibt es nichts besonderes zu beachten, also einfach erstellen und dann kann es auch schon losgehen.

Anlegen einer DLP Policy im Compliance Policy Center

Im Compliance Policy Center gibt es zwei Optionen. Die erste, nämlich Richtlinien für das Löschen von Inhalten, geht mehr in die Richtung Governance. Dieses Thema schauen wir uns im dritten Teil genauer an. Wir konzentrieren uns nun auf die Data Loss Prevention Richtlinien.

Für den ersten Teil eines erfolgreichen Compliance Managements, müssen wir uns zunächst DLP Richtlinien definieren, nach denen sensitive Informationen identifiziert werden sollen.

Der Vorgang ist dabei sehr ähnlich, wie zur eDiscovery. Wir vergeben der Richtlinie einen Namen, wählen eine Vorlage aus und legen fest, wie häufig mindestens ein Verstoß gegen die Vorlage (PCI Data Security Standard -> Credit Card Numbers) gefunden werden muss, damit entsprechende Dokumente als sensitiv eingestuft und entsprechende Aktionen vorgneommen werden sollen.

Neu sind dabei im Compliance Center die zusätzlichen Aktionen, die nun bei einem Fund ausgeführt werden können. Der Policy Tip ist ein Hinweis auf einen Verstoß. Er wird in der Objekt-Vorschau angezeigt, aber auch mit Office 2016 direkt im enstprechenden Client. Ein cooles Beispiel dazu finden Sie hier: Policy Tipps im Office Client basierend auf O365 Außerdem können wir aktiv die Datei blockieren, sodass sie Unbefugte nicht länger öffnen können. Nur noch der Anwender, der das Dokument als letztes geändert und damit den Verstoß erzeugt hat, sowie der Dokument-Besitzer und Site Administrator werden noch in der Lage sein, das Dokument zu sehen und zu ändern.

Anwenden von DLP Richtlinien auf Site Collections

Haben wir uns nun DLP Richtlinien definiert, so müssen diese im zweiten Teil auf Site Collections angewendet werden, die wir überwachen möchten. Diese haben wir ja bereits im eDiscovery identifiziert.

Im DLP Policy Center starten wir nun also mit einer neuen Zuweisung.

Im ersten Schritt suchen wir nach einer Site Collection und wählen diese dann aus.
Hinweis: Auch das Suchen und Auswählen von Site Collections basiert auf dem Suchindex! Haben Sie also gerade eine ganz frische Seite angelegt und wollen diese nun auf DLP Richtlinien anwenden, so werden Sie feststellen, dass SharePoint diese nicht findet. Warten Sie daher den nächsten Continous oder Incremental Crawl ab bzw. starten Sie einen Crawl manuell, um die Seite sofort für die Anwendung von DLP Richtlinien verfügbar zu machen.

Im zweiten Schritt weisen wir der gewählten Site Collection eine Richtlinien zu. In meinem Screenshot gibt es nur eine einzige Richtlinien, aber selbst wenn Sie mehrere Richtlinien auf eine Seite anwenden wollen, so müssen Sie viele einzelne 1-zu-1 Zuweisungen erstellen. Außerdem werden leider nur die Dokumente der Site Collection selbst analysiert, aber nicht die in einer Sub-Seiten. Ja, ich kann mir gut vorstellen, was Sie nun denken… *Ohne Worte* 😉

Ist dies erledigt, so haben wir unsere DLP Richtlinien erfolgreich angewendet und nun heißt es warten, bis die entsprechenden Timer Jobs die Verstöße in unseren Dokumenten finden. Diese laufen je nach Sensitivität der zu findenden Daten alle 15 Minuten oder bis hin zu alle 24 Stunden.

Ergebnis für Endanwender und Administratoren

Sind diese Jobs durchgelaufen und auch der Suchindex ist aktuell, so erhalten wir Policy Tipps an Dokumenten, die auf unsere DLP-Regel anschlagen. In meinem Beispiel sind das Dokumente, in den eine Kreditkartennummer inklusive Ablaufdatum gefunden wird. Ohne Ablaufdatum wird das Dokument übrigens nicht als sensibel entsprechend der Regel eingestuft. Werden mindestens fünf Kreditkartennummern gefunden, wird das Dokument direkt geblockt – zu sehen an dem kleinen roten Icon.

Die Policy Tipps sind je nach Verstoß rot oder gelb eingefärbt. Ist die Datei geblockt, dann hat nur noch der Site Collection Administrator bzw. Owner sowie der Mitarbeiter, der das Dokument als letztes bearbeitet hat Zugriff. Dies ist eine zusätzliche Sicherheitseben zu den SharePoint Berechtigungseben. Denn wir können zwar sehen, dass die Datei noch theoretisch mit „Lots of People“ geteilt ist, unter anderem mit „Everyone“ und allen Domain Nutzern, aber tatsächlich sieht z.B. mein Beispiel-Nutzer Aaron Painter die geblockten Dateien nicht mehr.

Sollte nun eine Datei fälschlicherweise blockiert oder mit einer Policy-Warnung versehen sein, so kann dies überschrieben werden, damit die Zusammenabeit nicht unter diesen Fehlern leidet. Der Administrator oder der entsprechende Endbenutzer (Besitzer oder Person, die als letztes editierte), hat dazu zwei Möglichkeiten, das Problem zu lösen

1. man editiert den entsprechenden Teil des Dokuments, der den Fund ausgelöst hat oder
2. man nutzt den Policy Tipp, um den Konflikt für dieses Dokument zu lösen. Microsoft möchte nämlich nicht, dass durch DLP Richtlinien die Zusammenarbeit plötzlich zusammenbricht. Dazu können wir nun a) diesen Fund als Fehler melden, also dass es gar keine sensitiven informationen im Dokument gibt oder b) den Konflikt überschreiben mit einer Begründung, dass zwar sensitive Informationen zu finden sind, aber dies für den Zweck des Dokuments erforderlich ist. Beispielsweise kann dies eine Rechnung mit Zahlungsoptionen, inklusive Kreditkarteninformationen sein.

Ist auf eine der beiden Varianten der Konflikt gelöst worden, so erhält der Anwender zunächst einen Dialog, dass die Aktion nun entsprechend ausgeführt wurde und auch das kleine „Stopp“-Symbol am Dokument verschwindet wieder.

Nachdem eine Richtlinie überschrieben wurde, wird das Dokument bei einem erneuten Scan nicht erneut indiziert, solange es nicht erneut modifiziert wurde.

*Hinweis: Mit dem September 2016 CU haben die DLP Policies endlich angefangen für SharePoint 2016 OnPremises Deployments zu laufen – HURRA! 🙂 Leider funktionieren aber die Email Notifications und das Audit Logging der gemachten Antworten beim Überschreiben einer Policiy noch nicht.

Denn per Email sollte uns SharePoint eine Mitteilung machen, dass ein Objekt mit dem Namen abc.docx gegen eine Unternehmensrichtlinie verstößt – die Richtlinie soll sogar angezeigt werden, damit kein Frust entsteht, sondern der Nutzer klar und deutlich darüber informiert wird, warum etwas mit seinem Dokument nicht stimmt. Per Link in der Mail soll man direkt zu dem Dokument gelangen und Änderungen vornehmen können.

Der Administrator, der bei einem Verstoß einer entsprechenden Regel informiert werden soll (siehe Einstellung oben: administrator@contoso.com), bekommt sogar noch detailliertere Informationen per Email:

• Fundort
• Titel
• Autor
• Person, die als letztes editierte
• Schweregrad
• Regel und Richtlinienname
• Was, wie oft und mit welcher Sicherheit gefunden wurde

Wir sind mit diesen neuen Features eindeutig auf dem richtigen Weg und ich informiere, sobald auch die noch unschönen Dinge bzw. die Notifications besser funktionieren.

Bis dahin „Happy SharePointing“!