Главная > Active Directory > Microsoft University Online 2011 – Active Directory (Active Directory Rights Management Services)

Microsoft University Online 2011 – Active Directory (Active Directory Rights Management Services)

Сейчас каждая компания ведёт всю свою документацию в электронном виде, ведет переписку с клиентами и партнерами через электронную почту. Работая над любым проектом, пользователям необходимо обмениваться информацией и предоставлять общий доступ к рабочей информации, и как следствие существует опасность утечки. А как известно большая часть утечек информации, случайной или преднамеренной, происходит из-за без контрольного обмена информацией.

И поэтому в такой ситуации, становиться критически важным, иметь возможность разграничивать доступ к информации. Конечно же, можно использовать разграничение прав доступа на уровне файловой системы, но что же делать с той ситуацией когда пользователь преднамеренно компрометирует информацию. Ведь разграничивая доступ таким методом, мы защищаемся только на начальном уровне. Ведь получив доступ информации, человек получает полную свободу при выборе способа использования данной информации.

Как пример, пользователь получил письмо с какой-то конфиденциальной информацией, и отвечая на письмо включил в переписку человека которому доступ к данной информации запрещен. Или даже преднамеренно переслал информацию. Таких примеров существует очень много.

В разрешении данной ситуации нам на помощь приходит программный продукт компании MicrosoftActive Directory Rights Management Services, который предназначен для постоянной применения прав доступа к цифровой информации, и как следствие защита от несанкционированного использование её. С помощью данного сервиса можно описать права доступа и как пользователи могут использовать данную информацию, печатать, пересылать, редактировать. Кроме всего прочего вы можете задать время жизни данной цифровой информации.

Давайте рассмотрим, как это работает.

1) Автор информации запрашивает RAC-сертификат с парой ключей для последующей работы с RMS сервером и идентификации себя.

2) Автор назначает политику доступа (какой пользователь, какими привилегиями обладает) к электронному документу

3) Генерируется симметричный ключом и шифруется электронный документ. После чего этот симметричный ключ шифруется с помощью ключа полученного вместе с RAC-сертификатом, добавляется к политике доступа, и она передаётся на сервер. К файлу также добавляется политика доступа

4) Распространяет уже защищённый электронный документ.

5) Получатель, получив информацию, обращается на сервер для получения прав доступа, а также сертификата, с помощью которого он может расшифровать документ.

6) Пользователь получает доступ к информации (Приложение отвечает за соблюдение прав)

Вот таким способом можно разграничивать доступ к информации внутри компании. Разуметься есть возможность предоставление прав доступа к информации и пользователям не из организации. Для этого используются сервисы федераций.

Служба Active Directory Rights Management Services работает с Microsoft Office, SharePoint, Exchange. В случае работы с SharePoint и Exchange, шифрование информации инициируется самим сервисом. Для работы с AD RMS, выше перечисленных сервисов, необходимо включить необходимые функционал, и задать политики и условия применения.

В Exchange, это описание в каком случае применяется и какая именно политика на письмо, что в свою очередь помогает избежать утечки информации, из-за человеческой невнимательности.

В случае с SharePoint, мы можем накладывать политики на библиотеки, и при попадания документа в библиотеку, на него автоматически накладывается необходимая политика.

Теперь давайте перейдем к установке Установка Active Directory Rights Management Services. Active Directory Rights Management Services, очень проста, но как показала практика, иногда возникают вопросы. Для начала давайте разберемся что необходимо для работы Active Directory Rights Management Services.

Во первый нам необходимо что-бы у нас был развернут Active Directory Domain Services, также необходимо что-бы присутствовал SQL сервер, но если его нету то можно использовать Windows Internal Database но только в тестовой среде, так-как Windows Internal Database не поддерживает удалённое подключение и это исключает возможность создание кластера. Также необходимо создать учетную запись пользователя в домене без каких-либо дополнительных разрешений, которая будет использоваться в качестве учетной записи Active Directory Rights Management Services. Так как работа с RMS происходит по HTTP протоколу для обеспечения более высокого уровня безопасности необходимо использовать SSL сертификат, для шифрования данных. Сам SSL сертификат должен быть выписан на FQDN (Полное доменное имя) кластера и распространён среди всех серверов которые будут в RMS кластере.

Когда мы определились с тем как будет выглядеть наш RMS мы можем приступать к подготовке для его развертыванию. Для начала нам необходимо создать пользователя, без каких-либо дополнительных разрешений, в нашем домене. Для этого воспользуемся оснасткой Active Directory Users and Computers. Имя пользователя под которым будет работать RMS сервер в моём случае – RMSSvc

image_thumb86

Далее необходимо выписать сертификат для нашего Active Directory Domain Services кластера, для того чтобы можно было использовать HTTPS протокол для доступа к Active Directory Domain Services кластеру. Не желательно использовать само-подписанный сертификат, так как пройдётся распространять его среди всех пользователей. В моей инфраструктуре развернут центр сертификации, с помощью которого я и выписал сертификат на имя моего бедующего кластера.

image_thumb84

Далее необходимо внести изменения в DNS, а именно сделать запись для доступа к нашему RMS. В моём случае у меня один сервер который будет выполнять роль RMS сервера у которого IP адрес 192.168.32.33, и я внесу в DNS информацию о том что DNS имя "ADRMS.lab.local" ссылается на IP адрес 192.168.32.33

image_thumb85

Если у вас 2 и более сервера вам необходимо сделать идентичные записи, разница в которых будет только в IP адресах.

image_thumb83

Когда мы закончили подготовку для установки нашего RMS, мы можем смело переходить к установке самой роли Active Directory Domain Services. Для установки данной роли мы можем воспользоваться стандартными инструментами для установки ролей. В оснастке Server Manager выбираем Add Roles и в открывшемся окне ставим галочку напротив Active Directory Domain Services, далее подтверждаем установку необходимых дополнений.

image_thumb82

image_thumb81

После чего воспользуемся "волшебной" кнопкой Next. Далее нам необходимо будет выбрать Создание нового кластера или подключение к новому, так как мы устанавливаем первый RMS сервер, выбрать пункт для присоединения сервера к существующему кластеру будет неактивно

image_thumb80

На следующем шаге нам необходимо будет выбрать какую базу данных использовать. Я буду использовать Windows Internal Database за неимением MSSQL сервера в моей инфраструктуре, но хочу обратить внимание на то что если вы планируете использовать несколько серверов для предоставления услуг RMS, то вам нельзя использовать Windows Internal Database.

image_thumb105

Далее нам необходимо выбрать пользователя от имени которого будет работать Active Directory Domain Services. Для этого обязательно знать пароль пользователя, так как при задание пользователя необходимо будет ввести его пароль.

image_thumb110

После того как мы определили пользователя, нам необходимо выбрать где будет храниться ключ, который используется для подписи сертификатов и лицензий, а также для подключения дополнительных серверов в RMS кластер. Мы можем выбрать один из двух хранилищ, первый это централизованное хранилище, второй CSP хранилище. Разница в них заключается в том что в первом случае мы используем мы генерируем ключ, и защищаем его паролем, и он распространяется между серверами автоматически. Во втором случае прийдется распространять ключ в ручную. Если мы выберем использование централизованного хранилища, то нам необходимо ввести пароль, если второй то выбрать какой именно крипто провайдер использовать.

image_thumb136

Далее необходимо выбрать Веб сайт для кластера, а также его адрес. Когда мы выбираем адрес кластера, мы модем выбрать какой протокол мы будем использовать, HTTP или HTTPS. Так как мы сделали необходимую подготовку для использования HTTPS то мы выбираем использование HTTPS, которое выбрано по умолчанию.

image_thumb140

На следующем шаге мы должны выбрать SSL сертификат который будет использоваться для того чтобы работал наш кластер используя HTTPS, мы можем выбрать само-подписанный сертификат, или даже отложить этот шаг.

image_thumb123

До завершения установки осталось немного, на следующем шаге нам нужно будет придумать и ввести имя для более легко распознавания нами сертификата RMS кластера.

image_thumb130

И важный последний шаг в установке это регистрация SCP (Service Connection Point). На этом шаге вы можете зарегистрировать SCP для нашего Active Directory Rights Management Services, но если в силу тех или иных обстоятельств вы не хотите регистрировать Service Connection Point, то вы можете выбрать пункт, при выборе которого регистрация Service Connection Point не будет инициализирована, которую вам всё ровно нужно будет провести позднее. Оставшиеся шаги не являются важными при установке Active Directory Rights Management Services.

В данной статье вы на очно увидели, как просто устанавливается Active Directory Rights Management Services, были раскрыты важдые моменты, которые необходимо учесть во время развертывания Active Directory Rights Management Services.

Надеюсь, эта статья будет полезна вам при развертывание в свое инфраструктуре Active Directory Rights Management Services. Если у вас есть вопросы или какие-то замечания, просьба писать о них в комментариях.

Давайте перейдем к настройке Active Directory Rights Management Services. Для начала откроем консоль управления Active Directory Rights Management Services. Открыв консоль управления мы видим 6 разделов консоли, а именно Trusted Policies, Rights Policy Templates, Rights Account Certificate Policies, Exclusion Policies, Security Policies, Reports.

image_thumb14

Консоль управление Active Directory Rights Management Services

Давайте разберемся для чего необходим каждый из разделов в консоли управления.

Trusted Policies – предназначен для описания политик доверия, в нем вы можете включить политику доверия для пользователей который будут использовать для своей авторизации данные Live ID, а также политики доверия с другими доменами. Настраивая политику, вы можете указать конкретных пользователей, которым вы доверяете использование вашего Active Directory Rights Management Services.

Rights Policy Templates – используется для управления шаблонами политик которые применяться у цифровой информации для её зашиты. В этом разделе настраивается путь к размещению политик на файловой системе, создаются политики и проводятся прочие действия связанные с шаблонами политик.

Rights Account Certificate Policies – данный раздел используется для настройки политики сертификатов, на какой период выдаётся пользователю сертификат.

Exclusion Policies – задача этого раздела настроить политики исключение. Мы можем исключить пользователей, фактически запретить ему использовать Active Directory Rights Management Services. Запретить конкретным приложениям использования Active Directory Rights Management Services, а также определенные версии хранилища закрытых ключей пользователя которые используются в Active Directory Rights Management Services.

Security Policies – название этого раздела говорит само за себя. Основные настройки связанные с безопасностью кластера Active Directory Rights Management Services находятся здесь. Здесь можно поменять ключ кластера, включить группу супер пользователей, и разобрать кластер.

Reports – разе меться здесь находятся основные отчеты которые сформированы по умолчанию. Это отчет о количестве выданных лицензиций, отчет состояния кластера и отчет который должен помочь в "траблшутинге". Но это не значит что нельзя получить другие отчеты. Так как вы являетесь администратором Active Directory Rights Management Services то у вас есть доступ к базе денных, и по необходимости вы можете генерировать любые отчеты, ну или практически любые.

Разобравшись с основными разделами мы приступаем к созданию шаблонов политик политик которые будут применяться. Необходимо зайти в раздел Rights Policy Templates и в нем уже мы будем создавать наш шаблон политики.

image_thumb25

Окно задания имя политики

В начале нажимаем на кнопку Add, после чего в открывшемся окне нам необходимо задать название политики и её описание, также необходимо задать её язык, у одной политики может быть несколько названий, в зависимости от языка. После чего можно перейти к следующему шагу на котором мы выберем какие правила, и для каких пользователей будут установлены на цифровой документ при использовании данного шаблона.

image_thumb31

Окно добавления прав для пользователей

На следующем шаге задаётся время жизни цифровой информации, после которого он будет недоступен всем кроме хозяина. Мы можем указать когда именно заканчивается срок действия данного документа, указав дату, или указать через сколько дней после зашиты документ не будет доступен, а так же через сколько дней заканчивается срок жизни лицензии выданной для просмотра этого файла.

image_thumb46

Окно выбора окончания действия документа

В следующем шаге мы указываем дополнительные расширения для данной политики. Разрешить просмотр защищенного контента используя аддон для браузеров, при каждом доступе к файлу запрашивать ключ. А также можно задавать дополнительные параметры, которые могут понадобиться для ваших корпоративных приложений.

image_thumb50

Окно задачи дополнительных расширений

И на последнем шаге мы выбираем настройки где находиться список отзыва. Более подробно о создании этого списка в моих следующих статьях и вебкастах.

После того как мы создали шаблон политики нам необходимо создать точку распространения. Для этого создадим папку и предоставим к ней общий доступ со следующими правами – все аутентифицированные пользователи могут читать содержимое папки, а пользователь от имени которого работает Active Directory Rights Management Services, должен еще иметь право записи.

image_thumb63

Окно предоставления общего доступа к папке

После чего необходимо указать куда именно будет публиковать Active Directory Rights Management Services XML файлы с шаблонами политик. Для этого необходимо нажать правой кнопкой мыши на Rights Account Certificate Policies и выбрать Properties, и в открывшемся окне указать путь куда Active Directory Rights Management Services будет публиковать XML файлы с шаблонами политик.

image_thumb78

Окно Properties раздела Rights Account Certificate Policies

После чего необходимо создать групповую политику в которой указано где именно приложения Microsoft Office 2010 будут получать политики. Для начала, необходимо скачать с сайта Microsoft пакет с ADM файлами. Скачать их можно перейдя по ссылке http://www.microsoft.com/downloads/en/details.aspx?FamilyID=64B837B6-0AA0-4C07-BC34-BEC3990A7956&displaylang=en. После когда мы редактировать политику нам необходимо подключить файл который называется office14.adm. После чего необходимо изменить политику параметр находиться по пути User Policy –> Administrative Template –> Microsoft Office 2010 –> Manage Restricted Permissions –> Specify Permission Policy Path. Этим параметром задается путь где приложения Microsoft Office 2010 будут получать политики.

image_thumb86

Рубрики:Active Directory Метки:
  1. Комментариев нет.
  1. No trackbacks yet.

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход / Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход / Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход / Изменить )

Google+ photo

Для комментария используется ваша учётная запись Google+. Выход / Изменить )

Connecting to %s

%d такие блоггеры, как: