Поиск на сайте: Расширенный поиск


Новые программы oszone.net Читать ленту новостей RSS
CheckBootSpeed - это диагностический пакет на основе скриптов PowerShell, создающий отчет о скорости загрузки Windows 7 ...
Вы когда-нибудь хотели создать установочный диск Windows, который бы автоматически установил систему, не задавая вопросо...
Если после установки Windows XP у вас перестала загружаться Windows Vista или Windows 7, вам необходимо восстановить заг...
Программа подготовки документов и ведения учетных и отчетных данных по командировкам. Используются формы, утвержденные п...
Red Button – это мощная утилита для оптимизации и очистки всех актуальных клиентских версий операционной системы Windows...
OSzone.net Microsoft Microsoft Office Office 2003 Защита информации в Microsoft Office 2003 с помощью служб RMS и IRM RSS

Защита информации в Microsoft Office 2003 с помощью служб RMS и IRM

Текущий рейтинг: 3.5 (проголосовало 14)
 Посетителей: 11759 | Просмотров: 17200 (сегодня 0)  Шрифт: - +

Требования к развертыванию IRM и RMS

RMS разработана таким образом, чтобы максимально задействовать возможности всей имеющейся инфраструктуры, используя службу каталогов Active Directory для поиска служб, а Windows NT® LAN Manager (NTLM) - для аутентификации. Благодаря гибкости системы аутентификации, Windows RMS может использовать смарт-карты и другие биометрические устройства, наряду с прочими альтернативными методами аутентификации, поддерживаемыми Windows. Для того чтобы запустить RMS, необходимо:

На уровне сервера:

1.

Наличие Windows Server 2003 с установленным серверным программным обеспечением RMS (Windows RMS является новой специальной службой для версий ОС Windows Server 2003 Standard, Enterprise, Web и Datacenter).

2.

Наличие IIS.

3.

Наличие службы каталогов Active Directory (организованной на базе ОС Windows Server 2000 или более поздней версии). Учетные записи Active Directory необходимы для получения и использования лицензий.

4.

Наличие базы данных для хранения параметров конфигурации (например, такой, как Microsoft SQL Server™).

На уровне рабочей станции:

1.

Установленное клиентское программное обеспечение RMS.

2.

Наличие RMS-совместимого приложения для создания и просмотра защищенных данных.

В состав Microsoft Office 2003 включены первые RMS-совместимые приложения, выпущенные корпорацией Microsoft.

Для создания или просмотра защищенных документов Microsoft Office таких, как электронные таблицы, презентации, а также сообщения электронной почты необходимо наличие пакета Microsoft Office 2003 версии Professional.

Другие версии Office 2003 позволяют пользователям просматривать и редактировать защищенные документы в том случае, если им были предоставлены соответствующие права автором этих документов. При этом они не могут создавать защищенные документы.

В Таблице 1 представлена минимальная аппаратная конфигурация, необходимая для развертывания RMS:

Таблица 1 – Требования к аппаратному обеспечению

Минимально необходимая конфигурация Рекомендуемая конфигурация
Компьютер с процессором Pentium III (800 МГц или выше). Двухпроцессорный компьютер с двумя процессорами Pentium 4 (1500 МГц или выше).
256 MБ ОЗУ. 512 MБ ОЗУ.
20 ГБ свободного дискового пространства. 40 ГБ свободного дискового пространства.
Одна сетевая карта. Одна сетевая карта.

В Таблице 2 указано необходимое для работы RMS программное обеспечение.

Таблица 2 – Требования к программному обеспечению

Компонент Требование
Операционная система Windows Server 2003 версии Standard, Enterprise, Web или Datacenter.
Ведение журнала Служба очереди сообщений (Message Queuing), входящая в состав Windows Server 2003 (ранее эта служба называлась MSMQ). Для поддержки ведения журнала необходимо наличие установленного сервера баз данных.
Веб-службы Службы IIS и веб-службы, предоставляемые семейством ОС Windows Server 2003. Должно быть разрешено использование ASP.NET.

В Таблице 3 указаны дополнительные элементы, необходимые для работы RMS, которые должны присутствовать в инфраструктуре.

Таблица 3 – Требования к инфраструктуре

Компонент Требование
Службы каталогов Active Directory, работающая в домене Windows 2000 SP3 или более поздней версии (это должен быть тот же домен, в котором установлена RMS). Все пользователи и группы, которые используют RMS для получения лицензий и публикации информации, должны иметь адрес электронной почты, определенный в Active Directory.
Сервер баз данных База данных, такая, как Microsoft SQL Server 2000 (версии Standard или Enterprise) с установленным третьим пакетом обновлений (SP3) или более поздним.
Или
Microsoft SQL Server Desktop Engine (MSDE) с установленным пакетом обновлений SP3, в случае развертывания одного сервера для тестирования или для других целей.

Наверх страницы

Развертывание IRM и RMS

Поскольку IRM является функциональным расширением RMS, развертывание IRM напрямую зависит от развертывания RMS. Как только будет установлена RMS, развертывание IRM выполняется простой установкой клиента управления правами на рабочей станции. Затем клиентский компьютер и служащий получают сертификат, разрешающий использование IRM.

Процесс развертывания как RMS, так и IRM состоит из выполнения следующих основных шагов:

1.

Соблюдение требований, выдвигаемых к аппаратному, программному обеспечению и инфраструктуре, описанных в разделе «Требования к развертыванию IRM и RMS».

2.

Получение и установка серверного программного обеспечения RMS.

3.

Подача заявки серверу для получения сертификата лицензиара (Windows RMS Licensor Certificate) от корпорации Microsoft. Этот сертификат является уникальным для каждой организации.

4.

Регистрация в Active Directory URL-адреса сервера.

5.

Развертывание клиентского программного обеспечения правления правами на всех компьютерах сотрудников, работающих с информацией. При этом, для автоматизации процесса развертывания можно использовать Microsoft Systems Management Server (SMS) или сценарии групповой политики.

1.

Во время установки клиентского программного обеспечения RMS происходит активация компьютеров. Во время этого процесса каждому компьютеру выдаются уникальные защищенные хранилища RMS, а также сертификаты компьютеров.

6.

Сертификация пользователей RMS. При попытке сотрудника использовать RMS (например, при использовании IRM в программах Microsoft Office 2003), происходит следующее:

1.

Компьютер получает сертификат, который активирует его и тем самым определяет его в качестве компьютера, способного создавать защищенные документы.

2.

Служащий, работающий за этим компьютером, получает сертификат, который устанавливает соответствие между служащим и его компьютером, а также позволяет создавать защищенные документы.

В последней части данного раздела, посвященного развертыванию, описывается настройка клиентских компьютеров для выполнения автономной публикации.

Стандартная топология системы RMS

Стандартная топология системы RMS представлена одним или несколькими физическими серверами, которые составляют корневую инсталляцию или кластер Windows RMS. Корневая инсталляция предоставляет службы сертификации и лицензирования. В случае широкомасштабного развертывания можно использовать несколько физических серверов, объединенных в один кластер и использующих один общий URL-адрес (как это показано ниже на Рисунке 9).

Рисунок 9 – Пример топологии RMS

Все запросы сертификатов и лицензий направляются к корневому кластеру, имеющему один общий URL-адрес, назначенный этой группе серверов. Имеется большое количество различных вариантов реализации виртуальной адресации, например такие, как служба циклического распределения DNS (round-robin DNS, RRDNS), служба балансировки нагрузки сети (Windows Load Balancing Service), аппаратные решения и т. д. Виртуальная адресация позволят равномерно распределять нагрузку по всем серверам, исключая зависимость стабильной работы от одного сервера, тем самым, повышая отказоустойчивость лицензирования и публикации.

Для хранения данных политики и своих конфигурационных данных Windows RMS использует такую базу данных, как Microsoft SQL Server 2000 с установленным третьим пакетом обновлений (Service Pack 3, SP3) или Microsoft SQL Server 2000 Desktop Engine (MSDE 2000) с пакетом обновлений SP3. Использование MSDE рекомендуется только при наличии конфигурации с одним сервером. База данных используется для хранения, совместного использования и получения конфигурационных и прочих данных. Для каждого кластера серверов RMS используется одна база данных конфигурации. База данных конфигурации и база данных журналов могут располагаться как на одном из физических серверов кластера, так и на отдельном удаленном SQL-сервере.

Основной процесс развертывания RMS для топологии, приведенной в этом примере, в функциональном плане ничем не отличается от развертывания RMS в случае, когда используется один сервер. Для большей ясности мы будем рассматривать процесс развертывания в случае использования одного сервера. Для получения дополнительной информации о выборе топологии, обратитесь к разделу Построение топологии (Topology designs) файла помощи.

Установка серверного программного обеспечения RMS

После того, как были соблюдены требования к аппаратному, программному обеспечению и инфраструктуре, необходимо выполнить всего два простых действия для установки серверного программного обеспечения RMS.

1.

Необходимо получить программное обеспечение RMS. Для этого обратитесь к веб-узлу http://www.microsoft.com/windowsserver2003/technologies/rightsmgmt/default.mspx.

2.

Необходимо установить серверное программное обеспечение RMS на корневой сервер.

В состав серверного программного обеспечения RMS включен файл помощи с детальной информацией по развертыванию RMS, что должно помочь при планировании развертывания и настройке RMS.

Серверы подачи заявок в системе RMS

В процессе установки RMS создается сайт глобального управления службой RMS (Windows RMS Global Administration site), с помощью которого администраторы могут настраивать серверы и службы системы RMS. К этому сайту можно получить доступ, нажав кнопку Пуск (Start), Программы (All Programs) и открыв Windows RMS.

Рекомендуется иметь только один веб-сайт на том сервере, которым Вы будете управлять и которому Вы будете подавать заявки с помощью RMS. На странице Глобальное администрирование (Global Administration) будут отображены все сайты сервера. Если имеется единственный RMS-сайт, добавленный по умолчанию, то щелчок мыши по пункту Подготовить службу управления правами на этом веб-узле (Provision RMS on this site) приведет к отображению страницы Подготовка (Provision), показанной ниже на Рисунке 10.

Рисунок 10 – Часть страницы Подготовка (Provision)

После внесения информации и нажатия на кнопку Отправить (Submit), RMS будет подготовлена. Во время этого процесса RMS определяет, является ли этот RMS-сервер первым в системе для того, чтобы установить корневой кластер Windows RMS. Сервер отсылает запрос на сертификат лицензиара сервера RMS в службу подачи заявки RMS (RMS Enrollment Service) веб-службы корпорации Microsoft. При подаче запроса применяется защита SSL (Secure Socket Layer). Служба RMS Enrollment Service выдает сертификат лицензиара RMS именно той организации, которая подала запрос.

Чтобы подать заявку для сервера, используя службу RMS Enrollment Service необходимо наличие, по крайней мере, одного сервера в каждой системе RMS. Все последующие серверы, добавляемые в корневой кластер, будут использовать тот же самый сертификат лицензиара RMS. Когда Вы добавляете новый сервер к имеющейся корневой инсталляции или кластеру серверов лицензирования, для нового сервера не выполняется явная подача заявки, поскольку он принимает настройки имеющейся конфигурации кластера.

Для получения пошаговых инструкций о том, каким образом необходимо выполнять подачу заявки для сервера, обратитесь к разделу Для подготовки первого корневого сервера сертификации (To provision the first root certification server) файла помощи RMS.

Регистрация URL-адреса сервера

Клиентам необходимо знать расположение RMS-сервера. Основной способ предоставления им такой информации заключается в регистрации URL-адреса сервера в качестве точки подключения в Active Directory. Для этого администратору необходимо открыть страницу Глобальное администрирование (Global Administration). После того, как была выполнена подготовка сервера (выполнена подача заявки), на этой странице будет отображена ссылка Администрировать службу управления правами на этом веб-узле (Administer RMS on this site). При щелчке по этой ссылке открывается главная страница администрирования, показанная ниже.

Рисунок 11 – Главная страница администрирования RMS

На главной странице администрирования необходимо щелкнуть по ссылке Точка подключения службы управления правами (RMS Service connection point), расположенной в области Глобальное администрирование для службы управления правами (Global Administration) и выбрать Зарегистрировать URL-адрес (Register URL). Это приведет к созданию в Active Directory записи, в которой будет содержаться URL-адрес RMS-сервера. В Active Directory никаких других изменений (например, изменение схемы) не вносится. По умолчанию клиенты будут использовать значения, опубликованные в Active Directory. В некоторых случаях (например, если имеется несколько сайтов или доменов) в организации необходимо указать клиентам использовать определенный сервер в качестве первичного RMS-сервера. Для некоторых клиентов необходимо добавить в реестр следующий параметр, производящий замену URL-адреса, указанного в Active Directory и используемого для подключения к серверу:

Имя: CorpCertificationServer

Тип: REG_SZ

Значение:

Настройка клиентских компьютеров

Каждый клиентский компьютер, работающий в системе RMS, необходимо настроить в качестве доверенного объекта системы RMS. Настройка клиентского компьютера состоит из проверки наличия клиентского компонента RMS и активации компьютера. После настройки компьютера все готово для использования RMS-совместимых приложений, публикации и использования защищенной информации.

Клиентское программное обеспечение RMS можно получить на веб-узле http://www.microsoft.com/downloads/search.aspx?displaylang=en (выполнив поиск по комбинации слов “Rights Management Client”).

Для того чтобы обеспечить установку клиентских компонентов на рабочих станциях, организации могут использовать стандартные средства развертывания приложений (например, Microsoft SMS). Также можно просто установить RMS-совместимое приложение, что приведет к подаче запроса в веб-узел обновлений Windows Update для получения компонента.

Сертификация пользователей RMS

В процессе сертификации создается сертификат управления правами учетной записи, устанавливающий взаимосвязь между учетной записью пользователя и определенным компьютером. Благодаря этому служащий, работающий с информацией, может получать и использовать защищенную информацию при работе за этим компьютером. Первый раз, когда служащий публикует защищенную информацию или пытается получить доступ к защищенной информации с клиентского компьютера, используемое им RMS-совместимое приложение подает запрос на сертификат учетной записи в корневую инсталляцию Windows RMS.

Корневая инсталляция Windows RMS проверяет подлинность пользователя с помощью средств аутентификации Windows и создает сертификат учетной записи, в который включена пара ключей (открытый/закрытый), основанных на информации об учетных данных служащего. Кроме того, закрытый ключ служащего шифруется с помощью открытого ключа сертификата клиентского компьютера и добавляется в сертификат учетной записи пользователя. После этого сертификат учетной записи выдается запросившему его приложению. Приложение хранит сертификат учетной записи на компьютере или устройстве, тем самым обеспечивается его доступность для последующей публикации или подачи запросов для получения лицензии на использование.

Поскольку для подачи запроса на сертификат учетной записи необходимо наличие сертификата клиентского компьютера, то сертификация пользователя выполняется после процесса активации компьютера. Служащему необходимо иметь сертификат учетной записи на каждом компьютере, который он использует. В случае, если служащий использует более одного компьютера, то для каждого компьютера выдается уникальный сертификат, но при этом пара ключей (открытый/закрытый), содержащаяся в сертификатах, будет одинаковой для данного пользователя.

Когда приложение запрашивает лицензию на использование, то в запрос включается сертификат учетной записи. Сервер лицензирования RMS использует открытый ключ сертификата учетной записи для шифрования симметричного ключа в лицензии на публикацию, который был изначально зашифрован с помощью открытого ключа сервера RMS. Благодаря этому только доверенные объекты могут получить доступ к лицензии на использование и использовать ее.

Подача клиентскими компьютерами заявки на выполнение автономной публикации

Клиентские компьютеры могут выполнять подачу заявки в корневую инсталляцию или серверу лицензирования для получения сертификата лицензиара клиента RMS. Этот сертификат позволяет служащим публиковать защищенную информацию в случаях, когда их компьютер не подключен к корпоративной сети. При этом подписание и выдача лицензий на публикацию, содержащих права и условия использования защищенной информации, опубликованной с этого компьютера, выполняет сам клиентский компьютер вместо сервера лицензирования.

В процессе локальной подачи заявки выполняются следующие шаги:

1.

Клиентский компьютер отправляет сертификат учетной записи служащего и запрос подачи заявки на сервер RMS.

2.

Сервер проверяет, позволяют ли настройки, заданные сетевым администратором, выполнять предварительную подачу заявок, а также проверяет, не содержится ли сертификат в списке исключений базы данных конфигурации.

3.

Сервер создает пару ключей (открытый/закрытый), чтобы предоставить служащему, подавшему запрос, право на выполнение автономной публикации. Сервер создает сертификат лицензиара клиента и добавляет в него открытый ключ. Затем сервер шифрует закрытый ключ с помощью открытого ключа сертификата учетной записи и добавляет его в сертификат.

4.

Корневая инсталляция выдает локальному компьютеру сертификат лицензиара клиента.

Наверх страницы

Управление окружением IRM/RMS

В разделах, рассматриваемых ранее, основное внимание уделялось тому, что необходимо сделать для настройки и запуска основных служб RMS и IRM. Однако после развертывания необходимо наличие эффективного использования и управления. Как и в случае с любым другим компонентом инфраструктуры, имеется несколько способов использования RMS и IRM потребителями, а также множество возможностей и настроек, которые необходимо применять в различных сценариях использования. Например, в некоторых случаях необходимо использовать политики доверия или политики исключения, а в других случаях это делать необязательно.

Ниже представлен обзор возможностей управления, доступных на странице администрирования службы управления правами (RMS Administration), показанной выше на Рисунке 11:

Создание политики доверия (Establish trust policies). Щелкните по этой ссылке, чтобы открыть веб-страницу Политики доверия (Trust policies), на которой Вы можете добавлять или удалять доверяемые домены пользователей и доверяемые домены публикации. Можно добавлять и удалять пользователей из списка исключений доверяемого домена пользователей. Вы можете экспортировать Ваш сертификат лицензиара сервера в файл для того, чтобы потом его импортировать в другой RMS-инсталляции.

Настройка шаблонов политики прав (Configure rights policy templates). Щелкните по этой ссылке, чтобы открыть веб-страницу Шаблоны политики прав (Rights policies templates), на которой Вы сможете создавать и изменять шаблоны политики прав для предприятия.

Настройка ведения журнала (Configure logging). Щелкните по этой ссылке, чтобы открыть веб-страницу Настройка регистрации (Logging settings), на которой Вы можете включать или отключать возможность ведения журнала, а также просматривать имя сервера и базы данных журналов.

Назначение URL-адреса кластера внешней сети (Specify the extranet cluster URL). Щелкните по этой ссылке, чтобы открыть веб-страницу Параметры URL-адреса кластера внешней сети (Extranet cluster URL settings), на которой Вы можете указать URL-адрес, который будет использоваться для получения доступа к серверам лицензирования и сертификации из внешней сети.

Наблюдение за количеством распространенных сертификатов учетных записей (Track the number of RMS account certificates distributed). Щелкните по этой ссылке, чтобы открыть веб-страницу Наблюдение за сертификатами учетных записей (RMS account certificate tracking), на которой Вы можете увидеть общее количество сертификатов учетных записей RMS, распространенных Вашим сервером сертификации. Вы можете использовать эту информацию для оценки необходимого количества клиентских лицензий доступа.

Управление параметрами безопасности (Manage security settings). Щелкните по этой ссылке, чтобы открыть веб-страницу Настройка безопасности (Security settings), на которой Вы можете добавить или удалить членов группы суперпользователей, имеющих полный контроль над всем лицензированным содержимым, а также можете сбросить пароль закрытого ключа.

Просмотр и настройка параметров сертификата учетной записи (View and configure account certificate settings). Щелкните по этой ссылке, чтобы открыть веб-страницу Параметры сертификации (Certification settings), на которой Вы можете определить срок действия сертификата, а также указать контактную информацию для связи с администратором.

Применение политик исключения (Enable exclusion policies). Щелкните по этой ссылке, чтобы открыть веб-страницу Политики исключения (Exclusion policies), на которой Вы можете применить политики исключения, основанные на версии защищенного хранилища RM или версии ОС Windows, а также на сертификатах учетных записей или приложениях.

Регистрация точки подключения службы управления правами (Register the service connection point). Щелкните по этой ссылке, чтобы открыть веб-страницу Точка подключения службы управления правами (Service Connection Point), на которой Вы можете зарегистрировать или отменить регистрацию точки подключения службы для Вашего кластера.

С помощью консоли MMC (Microsoft Management Console) администраторы могут выполнять и другие задачи, включая наблюдение за событиями и управление Active Directory, службами IIS и SQL-сервером.

В следующих разделах эти моменты описываются более подробно, что позволяет руководствоваться ими в случае необходимости в зависимости от нужд организации. Однако, вначале мы рассмотрим общие сценарии использования, позволяющие определить требования к конфигурации в зависимости от нужд организации.

Сценарии использования IRM/RMS

Сценарии использования представлены для того, чтобы облегчить понимание того, в каких случаях необходимо или рекомендуется изменить конфигурацию, используемую при базовом развертывании. Сценарии предоставляются в порядке нарастания сложности.

Базовый сценарий использования

Пусть в данном примере служащий использует возможности IRM в программе Microsoft Office Outlook® 2003. Он нажимает красную кнопку Разрешения (Permission) на панели инструментов и устанавливает необходимые права для доступа к своему сообщению электронной почты. Он указывает, что служащие в корпоративном домене могут открывать вложение, точно так же, как и сообщение электронной почты. Кроме того, для данного сообщения служащий указывает срок действия. Служащие открывают сообщение электронной почты, при этом Outlook незаметно для них применяет к вложению установленные для вложений права использования и обеспечивает защиту лицензии. После того, как установленный срок действия закончится, служащие не смогут открыть ни сообщение, ни вложение. Точно такой же принцип назначения прав используется и в других приложениях Office 2003.

Важными особенностями этого сценария является то, что:

1.

Все участвующие в этом процессе стороны находятся в одном домене.

2.

Все участвующие в этом процессе стороны используют Office Professional 2003.

3.

Служащий назначает параметры вручную (срок действия, кто имеет права и т. д.).

Для данного сценария достаточно наличия выполненного базового развертывания RMS и установленных клиентских компонентов. Кроме того, как для этого, так и для других сценариев администраторы могут выбирать, необходимо ли использовать шаблоны политики прав, списки отзыва или политики исключения. Тем не менее, использование данных возможностей не является необходимым условием для данных сценариев использования.

Примечание. Описываемые здесь сценарии можно также использовать в окружении служб терминалов. Ключевое отличие при этом будет скорее техническое, чем функциональное: служащие будут использовать IRM точно так же, даже при том, что их сертификаты использования будут находиться на том же физическом сервере (серверах).

Междоменный сценарий использования

При наличии той же самой модели использования, что была описана выше (служащий назначает права для документа или сообщения электронной почты и отправляет их) мы рассмотрим случай, когда у некоторых получателей нет учетных записей в домене.

В таком случае администратору необходимо применить политику доверия. Об этом рассказывалось ранее в разделе «Политики доверия».

Сценарий использования старых версий Office

Этот сценарий продолжает междоменный сценарий. Если служащие, имеющие учетные записи в доверенном партнерском домене используют предыдущие версии Office, то они все равно смогут использовать защищенную информацию, воспользовавшись надстройкой «Управление правами» (Rights Management Add-On) для Internet Explorer (при попытке открытия информации им будет это предложено). При этом администраторам не нужно будет выполнять никаких дополнительных настроек.

В рассмотренных сценариях указаны лишь возможные действия администраторов. В следующих разделах детально описываются все средства управления, а также приводятся руководства по их использованию.

Шаблоны политики прав

На сайте администрирования RMS-сервера администраторы могут создавать официальные шаблоны политики прав, удалять и вносить изменения в существующие шаблоны политики прав, а также определять положение шаблонов политик в системе RMS. Шаблоны могут включать в себя различные условия. Например, они могут определять особых получателей или группы Active Directory, определять срок действия лицензия на использование, то, как долго после публикации информации ею можно будет пользоваться, и даже определять собственные значения, являющиеся важными для определенного RMS-совместимого приложения.

С помощью шаблона также может определяться список отзыва (описан ранее в разделе «Списки отзыва»). В шаблоне указывается URL-ссылка на файл со списком, а также указывается количество дней, в течение которых список считается действительным. При запросе получателем лицензии на использование, основанную на шаблоне, истема проверяет списки отзыва перед тем, как предоставить служащему доступ к защищенным данным.

Шаблоны политики прав хранятся как в базе данных конфигурации, так и на общих сетевых ресурсах. Когда автор запрашивает лицензию на публикацию, RMS-совместимое приложение копирует шаблон политики прав из общего сетевого ресурса. Когда получатель запрашивает лицензию на использование, RMS-сервер лицензирования применяет шаблон политики прав, хранящийся в базе данных. Это гарантирует, что условия лицензии на использование всегда будут соответствовать самой последней версии шаблона.

Создание шаблонов

Для создания шаблона политики прав:

1.

В области Ссылки на страницы администрирования (Administration links) главной страницы администрирования щелкните по ссылке Шаблоны политики прав (Rights policy templates).

Рисунок 12 – Главная страница шаблонов политики прав

2.

Щелкните Добавить шаблон политики прав (Add a rights policy template).

3.

На странице Параметры шаблона политики прав (Rights policy template settings) Вы можете указать для шаблона все необходимые настройки, включая его название, необходимые разрешения для пользователей или групп (из списка рассылки), политики срока действия и т. д.

Рисунок 13 – Создание шаблона политики прав

4.

Нажмите кнопку Отправить (Submit).

Для получения дополнительной информации о создании шаблонов политики прав обратитесь к файлу помощи RMS.

Предоставление доступа к шаблонам с помощью групповой политики

После подготовки политик прав их необходимо разместить на совместно используемом ресурсе сервера, где ими смогут пользоваться все пользователи, или скопировать в локальную папку компьютера пользователя. Затем можно воспользоваться настройками политики IRM, определенными в шаблоне Office11.adm, для указания ресурса, на котором хранятся эти политики прав (как локально, так и на совместно используемом ресурсе сервера). После того, как пользователям будет предоставлен доступ к политикам прав и необходимые настройки групповой политики будут применены, в меню IRM Разрешения (Permissions) будут отражены доступные собственные политики прав.

Для получения дополнительной информации об использовании групповой политики с программами Office 2003 обратитесь в разделу «Работа политик» How Policies Work (EN) пакета Office Resource Kit.

Имеется возможность задействовать и распространить настройки политик, указанных в разделе Manage Restricted Permissions шаблона политики Office11.adm. Когда политика IRM Specify Permission Policy Path применяется и распространяется с помощью службы каталогов Microsoft Active Directory, IRM автоматически выявляет все доступные шаблоны, находящиеся в указанном месте. В RMS-совместимых приложениях Office 2003 будут отображаться имеющиеся собственные политики прав.

Записи IRM в системном реестре

Ниже указаны базовые элементы системного реестра, связанные с IRM. Для большинства из них имеются дублирующие их записи политик.

Указанные ниже два элемента системного реестра находятся в разделе HKLM\Software\Microsoft\Office\11.0\Common\DRM:

Имя: CorpLicenseServer

Тип: REG_SZ

Значение:

Установка этого значения позволяет администратору переопределить расположение сервера лицензирования службы управления правами, указанное в Active Directory.

Имя: CorpCertificationServer

Тип: REG_SZ

Значение:

Установка этого значения позволяет администратору переопределить расположение сервера управления правами, указанное в Active Directory.

Указанные ниже записи реестра расположены в разделе HKCU\Software\Microsoft\Office\11.0\Common\DRM:

Имя: Disable

Тип: DWORD

Значение: [ 0 | 1 ]

В случае, если данный параметр реестра имеет значение 1, то в пользовательском интерфейсе всех программ Office 2003 использование всех возможностей, связанных с управлением правами, отменяется. Использование данного параметра аналогично использованию политики Disable Information Rights Management User Interface.

Имя: DisablePassportCertification

Тип: DWORD

Значение: [ 0 | 1 ]

В случае, если данный параметр реестра имеет значение 1, пользователи не смогут открывать материалы, созданные под учетной записью, использующей паспорт при проверке подлинности. Использование данного параметра аналогично использованию политики Disable Microsoft Passport service for content with restricted permissions.

Имя:IncludeHTML

Тип: DWORD

Значение: [ 0 | 1 ]

В случае, если данный параметр реестра имеет значение 1, пользователи, у которых не установлены программы Office 2003, смогут просматривать защищенные материалы с помощью надстройки Управление правами (Rights Management) для обозревателя Internet Explorer. Использование данного параметра аналогично использованию политики Allow users with earlier versions of Office to read with browsers.

Имя: RequestPermissionURL

Тип: REG_SZ

Значение:

Используя данный параметр, администратор может указать источник, где пользователь может получить дополнительную информацию о предоставлении доступа к IRM-содержимому. Можно указать либо URL-ссылку, либо адрес электронной почты. Использование данного параметра аналогично применению политики Additional permissions request URL.

Имя: RequireConnection

Тип: DWORD

Значение: [ 0 | 1 ]

В случае, если данный параметр реестра имеет значение 1, любые попытки пользователя открыть документы, защищенные IRM-правами, приведут к принудительному подключению к сети Интернет или локальной сети для получения лицензии, подтвержденной либо паспортом, либо системой RMS. Использование данного параметра аналогично применению политики Always require users to connect to verify permission.

Имя: AutoExpandDLsEnable

Тип: DWORD

Значение: [ 0 | 1 ]

В случае, если данный параметр реестра имеет значение 1, то при выборе группы в диалоговом окне Разрешения (Permissions) пользователю далее придется выполнять действия отличные от стандартных. После выбора группы произойдет автоматическое расширение диалогового окна и будут отображены все члены выбранной группы. Использование данного параметра аналогично применению политики Always expand groups in Office when restricting permission for documents.

Имя: AdminTemplatePath

Тип: REG_SZ

Значение:

При наличии данного параметра программы Office 2003, использующие IRM, смогут проверить наличие шаблонов политики прав, расположенных в указанном месте. В случае их наличия, название каждого из шаблонов будет отображено в диалоговом окне Разрешения (Permission) (в меню Файл (File)). Использование данного параметра аналогично применению политики Specify Permission Policy Path.

Списки отзыва

Администраторы могут создавать списки отзыва, в которых они могут указать служащих, приложения, а также прочие доверенные объекты, которым дальнейший доступ к защищенной информации запрещен. Условие использования списка отзыва может определяться одним или более сертификатами, применяемыми при выдаче лицензий на публикацию и использование. RMS-совместимые клиентские приложения проверяют списки отзыва всякий раз, когда соответствующие условия определены, и в случае обнаружения доверенного объекта в списке отзыва, запрос лицензии отклоняется.

Любой сертификат может быть отозван. По умолчанию определено, что только тот объект, который выдал сертификат, может его отозвать. Таким образом, сертификат может быть отозван только списком отзыва, подписанным этим объектом. В качестве дополнительных параметров в сертификате также могут указываться:

Один объект или несколько, которые могут отозвать данный сертификат. В качестве объекта, который используется для отзыва, может выступать третья сторона.

Пустой открытый ключ в качестве ключа отзыва, из-за чего сертификат не сможет быть отозван.

Шаблонами политики прав могут также определяться условия использования списка отзыва. Например, организациям может понадобиться проверить списки отзыва для шаблонов, применяемых к важной для компании информации, и при этом не производить проверку списков отзыва для шаблонов, применяемых к менее важной информации. В целях еще большей защиты информации в шаблоне можно указать необходимый срок действия списка отзыва. Например, в шаблоне можно указать, что для того, чтобы можно было использовать данный список отзыва, он должен быть создан в течение последних 10 дней.

Список отзыва создается в виде обычного текстового файла формата XML с использованием языка написания XrML. При этом он подписан закрытым ключом с использованием утилиты, предоставляемой Windows RMS. После создания списка отзыва, его можно использовать для отзыва любого доверяемого объекта, открытый ключ которого соответствует использованному для подписания закрытому ключу. Файл помещают в место, доступное всем пользователям, которым он необходим. Например, можно указать URL-адрес, доступный как из сети Интернет, так и из внутренней корпоративной сети. Это обеспечивает возможность использование файла служащими, находящимися как в сети организации, так и за ее пределами. В случае, если имеются условия использования списка отзыва, но при этом невозможно обнаружить действующий список отзыва, то в доступе к защищенной информации будет отказано.

Организации могут указывать доверяемые объекты в списке отзыва в следующих случаях:

Если закрытый ключ стал известен или имеется подозрение, что он стал ненадежным.

Владелец ключа запрашивает его отзыв, хотя нет оснований сомневаться в его надежности.

Доверяемый объект больше недействителен (например, при увольнении служащего).

Обнаружена уязвимость в системе усиления безопасности (например, сертификат, который был выдан клиентскому компьютеру, стал ненадежным).

Понадобилась повторная сертификация из-за изменений в авторизации.

Создание списков отзыва и управление ими

Для отзыва необходимо создать список отзыва, представляющий собой XML-документ, при написании которого использовался язык XrML. В списке перечислены доверяемые объекты, для которых необходимо закрыть доступ к защищенной информации. При создании списков отзыва Вам необходимо их подписывать и указывать для них штамп времени с помощью средства Revocation List Signing, предоставляемого системой Windows RMS.

Поскольку при создании списков отзыва используется большое количество настроек, рекомендуем обратиться к разделу Creating revocation lists файла помощи RMS.

Политики исключения

С помощью консоли администратора (Administrator Console) Windows RMS администраторы могут назначать политики исключения отдельно для каждого сервера или кластера серверов системы RMS, чтобы предотвратить возможность выдачи этим сервером лицензий определенным доверенным объектам. Политики исключения препятствуют ставшим ненадежными доверенным объектам получать лицензии на использование от RMS-серверов. Тем не менее, в отличие от отзыва, исключение не делает недействительными доверенные объекты. Все существующие лицензии, связанные с исключенными доверенными объектами, остаются действительными, однако, на запрос, поступивший от этих объектов, новые лицензии не выдаются.

Администраторы могут исключать следующие доверяемые объекты:

Различные версии защищенных хранилищ RMS. Администратор может указать версию защищенного хранилища, для которой все запросы лицензий будут проверяться. В случае, если запрос был выполнен с компьютера, на котором установлена ранняя версия защищенного хранилища, он отклоняется. Исключенные защищенные хранилища также указываются в каждой лицензии на использование и вступают в силу только в том случае, если лицензия окажется в соответствующем защищенном хранилище. Указание этого условия в лицензии позволяет использовать политики исключения на компьютерах, которые могут не использоваться для подачи запроса лицензий на использование, но могут использоваться для дешифрования защищенной информации.

При применении организацией этой политики исключения служащие не смогут получать новые лицензии на использование до тех пор, пока они не произведут повторную активацию своих компьютеров. Тем не менее, для них сохраняется возможность обращаться к файлам, для доступа к которым ранее были выданы лицензии. Для того чтобы не нарушить привычный для пользователей рабочий процесс, администраторам следует развертывать новые защищенные хранилища в организации перед применением политик исключения. Затем можно использовать политики исключения в качестве средства принудительного обновления всех компьютеров, незатронутых новым развертыванием защищенных хранилищ.

Версии ОС Windows. ОС Windows 98 Second Edition и Windows Millennium не поддерживают NTLM-аутентификацию. Организации могут ограничить возможность клиентов этих ОС получать лицензии на использование.

Сертификаты учетной записи. В случае, если служащий является доверяемым объектом, но имеется подозрение, что ключи сертификата учетной записи служащего стали ненадежными, администратор может исключить открытый ключ сертификата этой учетной записи. Для этого исключенного открытого ключа новые лицензии на использования выдаваться не будут, поэтому необходимо выполнить повторную сертификацию служащего и выдать новый сертификат учетной записи с новой парой ключей. Этот новый сертификат учетной записи будет использоваться для всех следующих действий. Тем не менее, у служащего сохраняется исключенный сертификат учетной записи для доступа к защищенной информации, для которой ранее была выдана лицензия.

Приложения. Можно исключить возможность получения приложениями лицензии на использование. Администраторы могут указать версии приложений.

Создание политик исключения

На странице Политики исключения (Exclusion policies), доступ к которой осуществляется со страницы глобального администрирования (Global Administration) RMS-сервера, администраторы могут назначать политики для любого из четырех доверяемых объектов, перечисленных в предыдущем разделе.

Рисунок 14 – Страница политик исключения

Регистрация событий

Windows RMS устанавливает поддержку регистрации событий во время начального процесса установки системы RMS. Служба регистрации включена по умолчанию и запускается автоматически. База данных регистрации системы RMS создана на основе продукта SQL Server, который также используется для базы данных конфигурации, а в MSMQ создается очередь частных сообщений для передачи сообщений службы регистрации в базу данных.

Администраторы могут включать и отключать службу регистрации в любое время. Когда служба регистрации включена, она отсылает все данные о RMS-запросах в базу данных регистрации. Администраторы могут использовать SQL-сценарии для уменьшения объема передаваемой информации, благодаря чему будет сохраняться только определенная информация, необходимая организации. Система RMS регистрирует как успешно выполненные запросы на лицензии, так и запросы, которые завершились неудачно. С помощью журналов регистрации организации могут определить, какие служащие получали доступ к защищенной информации, а какие пытались получить к ней доступ, несмотря на то, что им доступ к ней запрещен.

Политики доверия

По умолчанию служба Windows RMS не обрабатывает запросы от пользователей, чьи сертификаты управления правами учетной записи (Rights management account certificates, RAC) были выданы другими инсталляциями Windows RMS. Тем не менее, Вы можете добавить домены пользователей в список доверяемых доменов пользователей, что позволит службе Windows RMS обрабатывать такие запросы.

Для каждого доверяемого домена Вы также можете указать (добавить или удалить) особых пользователей или группы пользователей. Кроме того, Вы можете удалить доверяемый домен пользователей, однако, Вы не сможете удалить кластер корневых сертификатов из доверяемых доменов пользователей для этого леса Active Directory. При развертывании каждый RMS-сервер (включая сервер корневых сертификатов) доверяет кластеру корневых сертификатов, расположенному в его собственном лесу.

Настройка политик доверия и управление ими

Для добавления доверяемого домена пользователя:

1.

Находясь на главной странице администрирования, щелкните Политики доверия (Trust policies).

Рисунок 15 – Страница политик доверия

2.

В области Доверенные домены пользователей (Trusted user domains) нажмите кнопку Обзор (Browse), найдите и щелкните дважды по сертификату лицензиара сервера того домена пользователя, который Вы хотите импортировать для установления отношений доверия, а затем нажмите кнопку Добавить (Add).

3.

Имя выбранного домена появится в списке Доверенные домены пользователей (Trusted user domains).

4.

Для указания того, какие почтовые домены в пределах доверенных доменов пользователей являются доверенными, щелкните по Доверенные домены (Trusted domains), расположенным рядом с именем сертификата в открывающемся списке окна Доверенные почтовые домены (Trusted e-mail domains).

5.

Выберите один из следующих параметров доверия:

Выберите параметр Доверять всем почтовым доменам (Trust all e-mail domains) для того, чтобы доверять всем учетным записям пользователей электронной почты, зарегистрированных на указанных доменах.

–или-

Выберите параметр Доверять только особым почтовым доменам (Trust only specified e-mail domains), а затем впишите имена доменов, которым необходимо доверять (например, example.com) и нажмите кнопку Добавить (Add). При этом указанный домен добавится в список Доверенные почтовые домены (Trusted e-mail domains). Для удаления домена из списка выберите имя домена и нажмите кнопку Удалить (Remove). Для каждого домена в списке представлены все его дочерние домены.

Для получения дополнительной информации по настройке политик доверия обратитесь файлу помощи службы RMS, который устанавливается во время установки серверного программного обеспечения RMS.

Наверх страницы

Заключение

Развертывание RMS, включая установку и сопровождение, на практике выполняется удивительно легко и просто. Как было указано в этом документе ранее, имеется ряд параметров, необходимых для обслуживания и управления, которые необходимо использовать после установки системы в случае, если это необходимо для имеющегося окружения.

Прочие вопросы обслуживания, которые не рассмотрены в данном документе, являются более общими и касаются, в основном, обслуживания баз данных RMS. Например, администраторам может понадобиться создать планы обслуживания баз данных для выполнения резервного копирования данных и журналов, проверки целостности базы данных и пересылки записей журнала соответственно. Для реализации этих действий Microsoft выбрала модель простого восстановления для служб каталогов и баз данных журнала. Модель полного восстановления в сочетании с пересылкой журнала транзакций была выбрана для базы данных конфигурации.

В целом, установка у клиентов программ Office 2003 и использование IRM является одной из самых простых задач по развертыванию на предприятии, с которыми когда-либо сталкивались администраторы. При этом преимущество очевидно: служащие могут начать использовать функциональные возможности IRM при совместной работе немедленно, прилагая для этого совсем незначительные усилия.

Наверх страницы

Дополнительная информация

Для получения дополнительной информации обратитесь к следующим веб-узлам:

Microsoft Office online

http://office.microsoft.com/home/default.aspx (EN)

Службы управления правами Windows (Windows Rights Management Services)

http://www.microsoft.com/windowsserver2003/technologies/rightsmgmt/default.mspx(EN)

Надстройка для обозревателя Internet Explorer «Управления правами» (Rights Management Add-on for Internet Explorer)

http://www.microsoft.com/windows/ie/downloads/addon/ (EN)

Инфраструктура открытого ключа (Public Key Infrastructure)

http://www.microsoft.com/windowsserver2003/technologies/pki/default.mspx (EN)

Поддержка продукта

Всесторонняя удобная поддержка службы Windows RMS предоставляется по телефону и через веб-узел корпорации Microsoft. Она доступна в США с 06.00 до 18.00 ежедневно. Также предоставляется круглосуточная поддержка 7 дней в неделю (24/7) в случае возникновения ситуаций, требующих срочного вмешательства. Подписчикам MSDN и потребителям предлагается ряд вариантов поддержки, среди которых получение поддержки с единоразовым платежом за каждое обращение, поддержка по телефону и Интернет-поддержка на основе фиксированной платы, которая включена в стоимость продукта, а также поддержка, осуществляемая удаленно аккредитованными специалистами.

Для получения поддержки посетите веб-узел http://support.microsoft.com/. Крупные организации, которым необходима прямая поддержка от Microsoft, могут заключить договор в рамках программы Microsoft Premier Support.

Для получения информации о международной поддержке щелкните по ссылке Международная поддержка (International Support) на веб-узле http://support.microsoft.com/.

Кроме того, в поставку RMS включено полное руководство по развертыванию, в котором есть расширенный раздел, посвященный устранениям неполадок.

Также доступна служба текстового телефона (TTY/TDD) корпорации Microsoft:

1.

Номер телефона в Вашингтоне: (425) 635-4948.

2.

Номер телефона для бесплатных звонков в пределах США: (800) 892-5234.

3.

Номер телефона в Канаде: (905) 568-9641.

4.

Для получения поддержки в других регионах свяжитесь с центром международной поддержки, указанным выше.

Примечание. Цены, условия и порядок оказания услуг в службах поддержки корпорации Microsoft могут изменяться без предупреждения.

Наверх страницы




Обсуждение статьи на форуме
Автор: Александр Пришляк aka Alexander_Grig  •  Иcточник: (переведено с англ.) Microsoft Technet  •  Опубликована: 20.11.2006
Нашли ошибку в тексте? Сообщите о ней автору: выделите мышкой и нажмите CTRL + ENTER
Теги:  


Оценить статью:
Вверх
Комментарии посетителей
Комментарии отключены. С вопросами по статьям обращайтесь в форум.