Cómo configurar una zona de protección de datos confidenciales
Se aplica a: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007
Última modificación del tema: 2007-04-18
En este tema se explica cómo utilizar la Consola de administración de Exchange o el Shell de administración de Exchange para configurar una zona de protección de datos confidenciales en equipos que tienen instalado el servidor de transporte de concentradores.
Una zona de protección de datos confidenciales es una zona sin comunicación entre los distintos departamentos de una empresa u organización para evitar conflictos de interés que puedan dar lugar a la publicación no deseada de información confidencial. Puede utilizar Microsoft Exchange Server 2007 para configurar zonas de protección de datos confidenciales que cumplan las políticas de cumplimiento de la organización y las normativas y leyes aplicables a la organización.
Antes de empezar
Para crear una zona de protección de datos confidenciales, se utiliza el mismo procedimiento que para crear una regla de transporte nueva. Las acciones de la regla de transporte están disponibles en servidores de transporte de concentradores. Utilice estas acciones para evitar que se transmitan mensajes entre destinatarios individuales o grupos de destinatarios.
Cuando se crea una zona de protección de datos confidenciales nueva mediante una regla de transporte, se puede configurar condiciones y excepciones para controlar qué mensajes de correo electrónico bloqueará la zona de protección de datos confidenciales. Para obtener más información acerca de las reglas de transporte y de zonas de protección de datos confidenciales, consulte los siguientes temas:
Para llevar a cabo los siguientes procedimientos, la cuenta que utilice debe delegar lo siguiente:
- Función Administrador de la organización de Exchange
Para obtener más información acerca de los permisos, la delegación de funciones y los derechos necesarios para administrar Exchange Server 2007, consulte Consideraciones sobre permisos.
Por otra parte, antes de llevar a cabo estos procedimientos, debe conocer los requisitos siguientes:
Las reglas de transporte se deben probar primero en un entorno de prueba En este tema se describe cómo configurar una zona de protección de datos confidenciales. Para ello hay que crear o modificar reglas de transporte. Antes de modificar las reglas de transporte existentes o crear reglas de transporte nuevas en el entorno de producción, utilice un entorno de prueba para aprender a modificar las reglas de transporte existentes y a probarlas exhaustivamente. Los siguientes procedimientos no están pensados para ejecutarse en un entorno de producción sin modificación para que sean compatibles con su organización.
Los mensajes se deben enrutar a través de un servidor de transporte de concentradores para que se apliquen las reglas de transporte Para que las reglas de transporte se apliquen a mensajes de correo electrónico, debe existir una ruta que permita que el mensaje entre y salga de un servidor que aplique reglas de transporte. Además, el mensaje no debe estar sujeto a ninguna restricción de transporte configurada por el administrador que impida la entrega del mensaje. Si una restricción de transporte impide que se entregue un mensaje, el agente de reglas de transporte no podrá afectar a dicho mensaje. Por otra parte, los eventos del agente de reglas de transporte se registran.
Se debe definir un ámbito adecuado Las paredes éticas pueden bloquear todos los mensajes si no se define el ámbito adecuado. Cuando se crea una regla de transporte para imponer una zona de protección de datos confidenciales, se debe especificar condiciones para definir qué destinatarios y remitentes deben tener prohibido el envío de mensajes entre sí. Si no especifica ninguna condición, deberá especificar excepciones para limitar el ámbito de la regla de transporte. Si no especifica condiciones ni excepciones, la regla de transporte bloqueará todos los mensajes enviados entre destinatarios y remitentes en su organización.
Uso de la Consola de administración de Exchange para crear una zona de protección de datos confidenciales
Siga estos pasos en la Consola de administración de Exchange para crear una zona de protección de datos confidenciales en un servidor de transporte de concentradores.
Utilizar la Consola de administración de Exchange para crear una zona de protección de datos confidenciales en un servidor de transporte de concentradores
Abra la Consola de administración de Exchange en el servidor de transporte de concentradores.
En el árbol de la consola, haga clic en Configuración de la organización y, a continuación, en Transporte de concentradores.
En el panel de resultados, haga clic en la ficha Reglas de transporte y, seguidamente, en el panel de acciones, haga clic en Regla de transporte nueva….
En el campo Nombre, introduzca el nombre de la regla de transporte que impondrá la zona de protección de datos confidenciales.
Si tiene comentarios para esta regla, escríbalos en el campo Comentarios.
Si desea que la regla se cree en estado deshabilitado, desactive la casilla de comprobación Habilitada. En caso contrario, deje la casilla de comprobación Habilitada activa.
Haga clic en Siguiente.
En el cuadro Paso 1: seleccionar condiciones, seleccione todas las condiciones que desee aplicar a esta regla.
Nota
La condición entre miembros de dos listas de distribución es adecuada para reglas de transporte que imponen zonas de protección de datos confidenciales.
Si ha seleccionado condiciones en el paso anterior, en el cuadro Paso 2: editar la descripción de la regla (haga clic en un valor subrayado), haga clic en todas las palabras en azul subrayadas.
Al hacer clic en una palabra azul subrayada, se abre una ventana nueva en la que se le solicitan los valores que se van a aplicar a la condición. Seleccione los valores que desea aplicar o escríbalos manualmente. Si la ventana requiere que agregue valores manualmente a una lista, escriba un valor. A continuación, haga clic en Agregar. Repita este proceso hasta que haya introducido todos los valores y, a continuación, haga clic en Aceptar para cerrar la ventana.
Repita el paso anterior en todas las condiciones que seleccionó. Tras configurar todas las condiciones, haga clic en Siguiente.
En el cuadro Paso 1: seleccionar acciones, haga clic en enviar mensajes rechazados al remitente con código de estado mejorado. Esta acción de regla de transporte elimina el mensaje y envía un informe de no entrega (NDR) al remitente del mensaje.
En el cuadro Paso 2: editar la descripción de la regla (haga clic en un valor subrayado), siga estos pasos:
Haga clic en Entrega no autorizada, mensaje rechazado si desea modificar el texto predeterminado. En la nueva ventana que aparece, introduzca el texto nuevo que se debe visualizar en la sección Información de diagnóstico para administradores del NDR enviado al remitente del mensaje rechazado. Cuando haya terminado, haga clic en Aceptar para cerrar la ventana.
Haga clic en 5.7.1 si desea modificar el NDR enviado al remitente del mensaje rechazado. De forma predeterminada, se envía el NDR asociado con el código de notificación de estado de entrega (DSN) 5.7.1.
Cuando haya terminado, haga clic en Aceptar para cerrar la ventana.
Figura 1 Regla de transporte modificada
.gif "Crear una zona de protección de datos confidenciales con el Asistente para regla de transporte")
Para obtener más información acerca de los valores aceptados y cómo Exchange 2007 asocia un código de DSN a una regla de transporte, consulte Asociación de un mensaje de DSN con una regla de transporte.
Para obtener más información acerca de estas propiedades de acción, consulte Acciones de regla de transporte.
Si desea agregar más acciones, repita el paso anterior y seleccione las acciones de regla de transporte que desee aplicar. Tras configurar todas las acciones, haga clic en Siguiente.
En el cuadro Paso 1: seleccionar excepciones, seleccione todas las excepciones que desea que se apliquen a esta regla. No es necesario que seleccione ninguna excepción.
Si ha seleccionado excepciones en el paso anterior, en el cuadro Paso 2: editar la descripción de la regla (haga clic en un valor subrayado), haga clic en todas las palabras en azul subrayadas.
Al hacer clic en una palabra azul subrayada, se abre una ventana nueva que le solicita que seleccione los elementos que desea agregar o que escriba los valores manualmente. Cuando haya terminado, haga clic en Aceptar para cerrar la ventana.
Repita el paso anterior en todas las excepciones que seleccionó. Tras configurar todas las excepciones, haga clic en Siguiente.
Revise el Resumen de configuración. Si la configuración de la regla nueva le satisface, haga clic en Nuevo y, a continuación, en Finalizar.
Uso del Shell de administración de Exchange para crear una zona de protección de datos confidenciales
Para saber cómo utilizar el Shell de administración de Exchange para crear una regla de transporte que imponga una zona de protección de datos confidenciales, consulte el apartado "Uso del Shell de administración de Exchange para crear una regla de transporte" en Cómo crear nuevas reglas de transporte.
Control de los mensajes bloqueados por la zona de protección de datos confidenciales
El procedimiento siguiente explica cómo controlar la aplicación de una zona de protección de datos confidenciales. En este ejemplo, el predicado de la regla de transporte BetweenMemberof se utiliza para prohibir a los miembros del grupo de distribución Grupo de ventas y del grupo de distribución Grupo de corretaje que se comuniquen entre sí. El predicado de la regla de transporte BetweenMemberOf es adecuado para reglas de transporte que imponen zonas de protección de datos confidenciales. Para obtener más información acerca de los predicados de reglas de transporte, consulte Predicados de la regla de transporte (en inglés).
Usar el Shell de administración de Exchange para configurar el predicado de regla de transporte BetweenMemberOf
Ejecute los siguientes comandos:
$Condition = Get-TransportRulePredicate BetweenMemberOf $Condition.Addresses = @((Get-DistributionGroup "Brokerage Group")) $Condition.Addresses2 = @((Get-DistributionGroup "Sales Group"))
Configuración de la acción de la zona de protección de datos confidenciales
La acción de la regla de transporte RejectMessage se utiliza para bloquear mensajes enviados a un destinatario prohibido. Cuando se aplica la acción de la regla de transporte RejectMessage a un mensaje, se devuelve un NDR al remitente del mensaje y el mensaje es eliminado. Puede configurar el texto de información del usuario, el código DSN y el mensaje que se visualizan en la sección del administrador del NDR.
Utilizar el Shell de administración de Exchange para seleccionar la acción de la regla de transporte RejectMessage
Ejecute el siguiente comando:
$Action = Get-TransportRuleAction RejectMessage
Puede modificar el texto que se visualiza para el remitente en la sección Información de diagnóstico para administradores del NDR. Este texto puede aportar información útil que permita al administrador entender por qué ha sido rechazado el mensaje.
Utilizar el Shell de administración de Exchange para configurar el texto "Información de diagnóstico para administradores" que aparece en el NDR
Ejecute el siguiente comando:
$Action.RejectReason = "Sample reject reason"
También puede modificar el código DSN y el mensaje que se visualizan en la sección de información para el usuario del NDR si especifica un código DSN personalizado. Un código DSN personalizado está asociado con un mensaje DSN personalizado. Resulta útil especificar este código para poder remitir al usuario a un vínculo HTML con una política o normativa concreta. De forma predeterminada, se envía el NDR asociado con el código DSN 5.7.1.
Por ejemplo, si crea una zona de protección de datos confidenciales nueva y desea remitir a los usuarios a una política específica si su mensaje es rechazado, puede especificar un código DSN personalizado nuevo y no utilizado aún en la propiedad EnhancedStatusCode. Después de especificar un código DSN personalizado nuevo, utilice el cmdlet New-SystemMessage para crear el código DSN y especificar el texto que debería visualizarse cuando se haga referencia a dicho código DSN.
Para obtener más información acerca de los valores aceptados y cómo Exchange 2007 asocia un código de DSN a una regla de transporte, consulte Asociación de un mensaje de DSN con una regla de transporte.
Utilizar el Shell de administración de Exchange para configurar el texto de información del usuario en un NDR especificando un código DSN personalizado
Ejecute el siguiente comando:
$Action.EnhancedStatusCode = "5.7.228"
Para obtener más información acerca de estas propiedades de acción, consulte Acciones de regla de transporte.
Creación de una regla nueva de transporte de zona de protección de datos confidenciales
Después de configurar las condiciones, excepciones y acciones, cree la nueva regla de transporte que impone la zona de protección de datos confidenciales.
Utilizar el Shell de administración de Exchange para crear una regla de transporte nueva que imponga la zona de protección de datos confidenciales
Ejecute el siguiente comando:
New-TransportRule -Name "Sample Ethical Wall Transport Rule" -Condition @($Condition) -Action @($Action)
Configuración de una regla de transporte que impone una zona de protección de datos confidenciales
El ejemplo siguiente muestra cómo aplicar una regla de transporte que impone una zona de protección de datos confidenciales que bloquea mensajes enviados entre miembros del grupo de distribución Grupo de ventas y el grupo de distribución Grupo de corretaje. Una excepción permite que se envíen mensajes solamente si el remitente es miembro del grupo de distribución Grupo de ejecutivos.
Nota
Esta zona de protección de datos confidenciales hipotética utiliza un código DSN y un mensaje personalizados. El comando New-SystemMessage crea en este ejemplo el código DSN y el mensaje personalizados. Para obtener más información, vea Asociación de un mensaje de DSN con una regla de transporte (en inglés).
Utilizar el Shell de administración de Exchange para configurar la regla de transporte que impone la zona de protección de datos confidenciales
Ejecute los siguientes comandos:
$Condition = Get-TransportRulePredicate BetweenMemberOf $Condition.Addresses = @((Get-DistributionGroup "Sales Group")) $Condition.Addresses2 = @((Get-DistributionGroup "Brokerage Group")) $Exception = Get-TransportRulePredicate FromMemberOf $Exception.Addresses = @((Get-DistributionGroup "Executives Group")) $Action = Get-TransportRuleAction RejectMessage $Action.RejectReason = "Messages sent between members of the Sales Group and the Brokerage Group are prohibited." $Action.EnhancedStatusCode = "5.7.228" New-SystemMessage -DsnCode 5.7.228 -Internal $True -Language En -Text "A message was sent that violates company policy #123. For more information, please contact the Compliance department." New-TransportRule "Sales-Brokerage Ethical Wall" -Condition @($Condition) -Exception @($Exception) -Action @($Action)
Información adicional
Para obtener información detallada acerca de la sintaxis y los parámetros de los comandos, vea los siguientes temas (en inglés):
Para obtener más información acerca de las reglas de transporte, vea los siguientes temas (en inglés):