У цій статті ми покажемо як розгорнути і задіяти для захисту контенту службу Active Directory Right Management Services (ADRMS) на базі Windows Server 2012 R2 в організація масштабу small і middle-size.

В першу чергу коротко нагадаємо про те, що таке служба AD RMS і навіщо вона потрібна. служба Служби управління правами Active Directory – одна із стандартних ролей Windows Server, що дозволяє організувати захист призначених для користувача даних від несанкціонованого використання. Захист інформації реалізується за рахунок шифрування і підписування документів, причому власник документа або файлу може сам визначити, яким користувачам можна відкривати, редагувати, роздруковувати, пересилати та виконувати інші операції з захищеною інформацією. Потрібно розуміти, що захист документів за допомогою ADRMS можливо тільки в додатках, розроблених з урахуванням цієї служби (AD RMS-enabled applications). Завдяки AD RMS можна забезпечити захист конфіденційних даних як всередині, так і за межами корпоративної мережі.

Кілька важливих вимоги, які потрібно врахувати при плануванні і розгортанні рішення AD RMS:

  • Бажано використовувати виділений сервер AD RMS. Не рекомендується поєднувати роль AD RMS з роллю контролера домену, сервера Exchange, SharePoint Server або центру сертифікації (CA)
  • У користувачів AD повинен бути заповнений атрибут email
  • На комп’ютерах користувачів RMS сервер повинен бути доданий в зону довірених сайтів IE (Trusted Sites). Найпростіше це зробити за допомогою групової політики.

Перш ніж приступити безпосередньо до розгортання ADRMS, потрібно виконати ряд підготовчих кроків. В першу чергу необхідно створити в Active Directory окрему сервісну запис для ADRMS з безстроковим паролем, наприклад з ім’ям svc-adrms (для служби ADRMS можна створити і особливу керовану обліковий запис AD – типу gMSA).

Службова обліковий запис svc-adrms

У DNS-зоні створимо окрему ресурсну запис, що вказує на AD RMS сервер. Припустимо його ім’я буде – adrms.

cname запис adrms в dns

Приступимо до встановлення ролі ADRMS на сервері з Windows Server 2012 R2. Відкрийте консоль Serve Manager і встановіть роль Служба управління правами Active Directory (Тут все просто – просто погоджуйтеся з настройками і залежностями за замовчуванням).

Установка ролі Active Directory Rights Management Service в windows server 2012 r2

Після того, як установка ролі ADRMS і супутніх їй ролей і функцій закінчиться, щоб перейти в режим настройки ролі ADRMS, клацніть по посиланню Виконайте додаткову конфігурацію.

виконати додаткову настройку adrms

У майстра настройки виберемо, що ми створюємо новий кореневий кластер AD RMS (Створіть новий кореневий кластер AD RMS).

новий кореневий кластер AD RMS

За базу даних RMS будемо використовувати внутрішню базу даних Windows (Використовуйте внутрішню базу даних Windows на цьому сервері).

Порада. Детальніше про WID. В продуктивної середовищі рекомендується для розміщення БД RMS рекомендується використовувати окремий інстанси Microsoft SQL Server. Пов’язано це з тим, що внутрішня база Windows не підтримує віддалені підключення, а це означає, що така архітектура AD RMS НЕ буде масштабується.

База даних ad rms

Потім вкажемо створену раніше сервісну обліковий запис (svc-adrms), який використовується криптографічний алгоритм, метод зберігання ключа кластера RMS і його пароль.

службова обліковий запис adrmsкриптографический алгоритм adrmsсховище ключів rmsПароль кластера ad rms

Залишилося поставити веб-адрес кластера AD RMS, до якого будуть звертатися RMS-клієнти (рекомендується використовувати захищене SSL з’єднання).

SSL адреса кластера rms

Чи не закривайте майстер настройки AD RMS!

Наступний етап – установка SSL-сертифіката на сайт IIS. Сертифікат може бути самоподпісаним (надалі його потрібно буде додати в довірені на всіх клієнтах), або виданими корпоративним / зовнішній центр сертифікації (CA). Сформуємо сертифікат за допомогою вже наявного корпоративного CA. Для цього відкрийте консоль IIS Manager (inetmgr) І перейдіть в розділ Server Certificates. У правому стовпчику клацніть по посиланню Створити сертифікат домену (Створити сертифікат домену).

Створити новий сертифікат IIS

Згенеруйте новий сертифікат за допомогою майстра і прив’яжіть його до сервера IIS.

ssl сертифікат у IIS

Поверніться у вікно настройки ролі AD RMS і виберіть сертифікат, який планується використовувати для шифрування трафіку AD RMS.

Вкажіть сертифікат adrms

Відзначте, що точку SCP потрібно зареєструвати в AD негайно (Зареєструйте SCP зараз).

Примітка. Для реєстрації точки SCP в Active Directory потрібно володіти правами Enterprise Admins.

Зарегістрірвать точку rms scp

Порада. Щоб упевнитися, що точка виявлення AD RMS – SCP (Service Connection Point) зареєструвалася в Active Directory, потрібно відкрити консоль dssite.msc. Потім перейдті в розділ Services -> RightManagementServices, в правій панелі відкрити властивості SCP. Переконайтеся що значення атрибута distinguishedName має такий вигляд: CN = SCP, CN = RightsManagementServices, CN = Services, CN = Configuration, DC = company, DC = co

На цьому процес установки ролі AD RMS закінчений. Завершіть поточний сеанс (logoff), і перезалогіньтесь на сервер.

Запустіть консоль ADRMS.

консоль Служби управління правами Active Directory

Для прикладу створимо новий шаблон політики RMS. Припустимо ми хочемо створити шаблон RMS, що дозволяє власнику документа дозволити всім перегляд захищених цим шаблоном листів без прав редагування / пересилання. Для цього перейдемо в розділ Шаблони політики щодо прав і клацнемо по кнопці Створіть шаблон політики розподілених прав.

натиснувши кнопку Додати, Додамо мови, підтримувані цим шаблоном і ім’я політики для кожного з мов.

Створимо політику RMS

Далі вкажемо, що все (Будь-хто) Можуть переглядати (Переглянути) Вміст захищеного автором документа. Політика доступу до захищених даних RMS

Далі вкажемо, що термін закінчення дії політики захисту не обмежений (Ніколи не закінчується). Термін дії політики rms чи не закінчується

На наступному кроці вкажемо, що для захищеного вмісту можна переглядати в браузері за допомогою розширень IE (Дозвольте користувачам переглядати захищений вміст за допомогою надбудови браузера). включити rms в браузерних розширеннях

Протестуємо створений шаблон RMS в Веб-програма Outlook, Для чого створимо нове порожній лист, у властивостях якого потрібно клацнути по кнопці Встановити дозволи. У випадаючому меню виберіть ім’я шаблону (Перегляд електронної пошти-Onl-для всіх). Новий лист в outlook web access

поштовий клієнт - обмежений доступ до листа за допомогою RMS

Примітка. Якщо список шаблонів RMS відкривається з помилкою, або створені шаблони відсутні, перевірте що адреса сайту AD RMS відноситься до зони Local Intranet / Trusted zone, а поточний користувач може авторизуватися на IIS сервера RMS.

Відправимо лист, захищене RMS, іншому користувачеві. rms захищене від змін і пересилання листа

Тепер подивимося як виглядає захищене лист в ящику одержувача.

Одержувач не може переслати захищене adrms лист

Як ми бачимо, кнопки Відповісти та Переслати недоступні, а в інформаційній панелі вказано використовуваний шаблон захисту документа і його власник.

Отже, в цій статті ми описали, як швидко розгорнути і задіяти службу AD RMS в рамках невеликої організації. Відзначимо, що до планування розгортання RMS в компаніях середнього і великого розміру потрібно підійти більш ретельно, тому що непродумана структура цієї системи може в майбутньому викликати ряд нерозв’язних проблем.

Leave a Reply

Your email address will not be published. Required fields are marked *