Опубликовано: 1 декабря 2003 г.
Microsoft Office 2003
Официальный технический документ
Аннотация.
Служба управления правами на доступ к данным (Information Rights Management, IRM) представляет собой технологию, обеспечивающую стойкую защиту информации на уровне файлов, которая помогает защитить секретную информацию и цифровые данные, являющиеся интеллектуальной собственностью, от несанкционированного использования. Служба IRM позволяет задействовать все возможности службы управления правами (Rights Management Services, RMS) Microsoft® Windows®, используемой в Window Server™ 2003, в обозревателе Microsoft Internet Explorer и во всех версиях Microsoft Office 2003. В данном документе представлен обзор преимуществ данной технологии IRM, а также рассмотрены аспекты ее развертывания и внедрения.
Для получения самой последней информации посетите веб-узел http://office.microsoft.com/home/default.aspx
На этой странице
Основные понятия
Служба управления правами (Microsoft® Windows® Rights Management Services, RMS) ОС Windows Server™ 2003 представляет собой технологию защиты информации, которая используется с такими RMS-совместимыми приложениями, как Microsoft Office 2003. RMS обеспечивает защиту цифровой информации от ее неправомочного использования независимо от того, где и как она используется: автономно или в закрытой брандмауэром сети, или за пределами этой сети. Комбинируя возможности Windows Server 2003, средств разработки и промышленных технологий безопасности (включая шифрование, сертификаты на основе языка XrML (eXtensible rights Markup Language) и проверку подлинности), RMS расширяет стратегию защиты предприятия, используя для защиты информации стойкие политики, которые остаются с информацией независимо от того, где она используется.
Служба управления правами на доступ к данным (Information Rights Management, IRM) расширяет возможности использования службы RMS в приложениях Microsoft Office 2003, а также в обозревателе Microsoft Internet Explorer. Служащие, работающие с информацией, теперь могут указывать тех, кому разрешено использовать документ. Также они могут определять действия, которые разрешено производить с документом. Например, они могут предоставить права на открытие, внесение изменений, печать, пересылку документа, а также на выполнение ряда других действий. Организации могут создавать собственные шаблоны политик использования, например, шаблон «Конфиденциально – только для чтения», который можно применять непосредственно к финансовым отчетам, спецификациям продукции, информации о заказчике, сообщениям электронной почты и прочим важным документам.
Общая информация
Необходимой составляющей концепции защищенных информационных систем (Trustworthy Computing) является наличие технологии, способной надежно защитить содержимое и сохранить конфиденциальность частной информации, представленной в цифровом виде. Служба IRM, используемая в Microsoft Office, предоставляет в распоряжение организаций и их сотрудников, работающих с информацией, механизм, с помощью которого они могут обеспечить защиту важной информации.
В данном документе описывается использование службы RMS в инфраструктуре организации, ее поддержка службы IRM, а также расширение возможностей защиты информации в Microsoft Office 2003. Целью данного документа является предоставление единого источника информации, позволяющего понять задачи, связанные с защитой информации посредством использования служб IRM и RMS, а также обозначить пути их решения. Хотя информация, представленная в разделах данного документа, не может считаться всесторонне описывающей данный материал, ее вполне достаточно для того, чтобы обеспечить развертывание обычной конфигурации и ее управление. Кроме того, в документе приводятся ссылки на соответствующие разделы файлов помощи RMS и на те разделы веб-сайта RMS, которые содержат более полную информацию по рассматриваемым вопросам. Указанные источники предоставляют значительно больше информации по данной теме. Например, там перечислены преимущества использования RMS и IRM для бизнеса, описана архитектура и возможности топологии, а также представлена прочая информация, которую необходимо учитывать при планировании развертывания.
Обзор служб IRM и RMS
RMS представляет собой средство защиты информации ОС Windows, работающее с RMS-совместимыми приложениями и обеспечивающее защиту конфиденциальной и важной информации от ее несанкционированного использования независимо от того, где эта информация находится. В целях соответствия требованиям потребителей к улучшению защиты данных, Microsoft разработала службу RMS таким образом, что она позволяет использовать возможности ОС Windows Server 2003, средств разработчиков, а также промышленных технологий защиты (включая шифрование, использование сертификатов на основе XrML и проверку подлинности). Такой подход позволяет организациям создавать надежные решения защиты информации. Для получения дополнительной информации о значении и преимуществах IRM и RMS обратитесь к веб-узлу RMS http://www.microsoft.com/windowsserver2003/technologies/rightsmgmt/default.mspx.
IRM позволяет использовать возможности защиты информации, предоставляемые службой RMS, на настольных компьютерах. IRM представляет собой стойкую технологию защиты данных на уровне файлов, которая позволяет служащим, работающим с информацией, определять права доступа к документам или сообщениям электронной почты, а также защищать информацию, являющуюся интеллектуальной собственностью и представленную в цифровом виде, от несанкционированной печати, пересылки или копирования. Обратите внимание, что IRM и функция защиты документа, имеющаяся в Microsoft Office Word 2003, – это разные вещи. Функция защиты документа позволяет служащим, работающим с информацией, устанавливать ограничения на форматирование документа, а также предоставлять определенным пользователям и группам права на редактирование определенных частей документа.
Защита, обеспечиваемая технологией IRM, неразрывно связана с файлом. Как только Вы защитили документ или сообщение электронной почты с помощью технологии IRM, установленные для него права использования принудительно применяются независимо от того, где этот документ используется (даже если он используется за пределами сети организации). Для того чтобы ознакомиться с возможностями совместного использования IRM и RMS, обратитесь к документу Управление правами на доступ к данным в Microsoft Office 2003 Information Rights Management in Microsoft Office 2003.
Как только служащему, работающему с информацией, предоставляется право использования файла, при открытии этого файла вступают в силу соответствующие права на использование или ограничения (например, запрет на копирование) с помощью прикладного интерфейса пользователя (UI) и модели объектов. Однако, IRM не является средством безопасности; как и другие политики, эти ограничения не могут предотвратить все возможности неправильного использования.
Наиболее распространенные случаи использования IRM и RMS
С помощью IRM можно защитить информацию в различных ситуациях. Наиболее часто пользователи задействуют возможности IRM в Office 2003 в двух случаях:
Защита сообщений электронной почты. Электронная почта используется в качестве основного способа обмена информацией в организации и за ее пределами. Сотрудники используют электронную почту для связи с членами рабочей группы, других групп, потребителями и поставщиками. Торговые агенты, занимающихся продажей на местах, используют электронную почту для связи с корпоративным офисом с целью согласования новых ценовых политик и обновлений продукции. Исполнительные менеджеры используют электронную почту для обмена информацией в пределах организации. Сообщения электронной почты можно просматривать автономно в самолете или в отеле, что позволяет сотруднику, находящемуся за пределами офиса, очень просто изучать и составлять документы.
Однако именно из-за такой простоты обмена данными и увеличивается риск утечки информации. Сообщения электронной почты, содержащие конфиденциальную информацию (например, план выпуска новой продукции или сведения о готовящемся слиянии компаний) могут быть легко отосланы (даже просто случайно) конкуренту, поставщику или в средства массовой информации. Негативные последствия, к которым могут привести подобные утечки информации, могут включать в себя потерю преимущества над конкурентами, снижение дохода, а также потерю доверия потребителей к выпускаемой продукции. Использование защиты электронной почты на основе прав использования позволяет избежать утечек информации, предотвращая случайную пересылку сообщений. Также это исключает возможность возникновения ситуации, при которой злоумышленник может сослаться на незнание правил организации. Ниже на Рисунке 1 представлено сообщение электронной почты, защищенное с помощью шаблона «Не пересылать» (Do Not Forward). Получатели этого сообщения электронной почты не смогут переслать его, а также скопировать или распечатать его содержимое.
Рисунок 1 – Защита сообщения электронной почты с помощью шаблона «Не пересылать» (Do Not Forward) службы IRM
Защита документов. Огромный объем информации, создаваемой и используемой служащими, содержится в документах, созданных с помощью программ повседневного использования на настольных компьютерах. Менеджеры, сотрудники отдела продаж, отдела кадров, отдела разработки и исследования продукции используют программы из комплекта Office 2003 для создания финансовых прогнозов, планирования продаж, доходов, жизненного цикла товара и оценки работы подчиненных, а также для написания результатов исследований – для работы со всей той информацией, которая может представлять угрозу компании в том случае, если она попадет в чужие руки. IRM предоставляет в распоряжение сотрудников, работающих с информацией, средство, позволяющее при использовании программ, входящих в состав Office 2003, устанавливать защиту в виде прав доступа к важной информации, а также определять тех, кому разрешено открывать документ или вносить в него изменения в течение заданного периода времени.
Для того чтобы применить защиту IRM, необходимо воспользоваться кнопкой, расположенной на панели инструментов, как это показано ниже на Рисунке 2:
Рисунок 2 – Кнопка Не распространять (Разрешения) (Permission), присутствующая в программах Office 2003
В случае, если служба RMS была развернута на предприятии, то при нажатии на эту кнопку откроется диалоговое окно Разрешения (Permission), показанное на Рисунке 3:
Рисунок 3 – Диалоговое окно Разрешения (Permission), в котором указаны пользователи и назначены им права
Главное окно определения полномочий позволяет Вам быстро и просто предоставить разным пользователям права на чтение (Read) и внесение изменений (Change). При этом для определения пользователей используется адрес их электронной почты, который хранится в Active Directory, но также можно использовать и список рассылки. Кроме того, можно указывать внешние адреса в том случае, если в организации используется политика доверия, в которой они указаны. При нажатии на кнопку Дополнительные параметры (More Options) откроется диалоговое окно, представленное на Рисунке 4.
Рисунок 4 – Диалоговое окно Дополнительные параметры (More options)
С помощью первого дополнительного параметра можно установить срок истечения действия прав на использование документа. После указания даты те пользователи, у кого срок действия полномочий истек, не смогут открыть документ. Кроме указания срока действия прав в диалоговом окне Дополнительные параметры (More Options) авторы документов могут выборочно предоставить остальным служащим права на печать, копирование, а также на открытие документа программно. По умолчанию в поле Дополнительные параметры (Additional settings) указан адрес электронной почты автора документа, благодаря чему получатели могут обращаться к нему за получением дополнительных прав на использование данного документа (ниже на Рисунке 5 изображена ссылка Идет запрос дополнительных разрешений... (Request additional permissions)). Также автор документа может разрешить или запретить пользователям более ранних версий Office открывать документ для чтения. Наконец, автор документа может потребовать выполнять подключение при каждом открытии документа. При этом по умолчанию для проверки полномочий получателям необходимо подключаться с данного компьютера к RMS-серверу только один раз.
Когда пользователь Victoria, которой предоставлены права на чтение документа (см. Рисунок 4), получает документ и открывает его, Word 2003 устанавливает соединение с корпоративным RMS-сервером, на котором выполняется проверка ее прав. В случае подтверждения наличия прав на чтение документа, он будет открыт (если же обнаружится, что у нее нет соответствующих прав, то документ открыт не будет). После открытия документа она не может копировать, печатать или изменять его. Она может просмотреть имеющиеся собственные права на работу с данным документом, щелкнув в области задач:
Рисунок 5 – Просмотр разрешений на работу с защищенным файлом
В случае применения IRM права на использование информации всегда сохраняются вместе с ней даже в том случае, если эта информация используется за пределами сети. Это означает, что права на использование будут применяться к защищенной информации даже в том случае, если сотрудник открывает сообщение электронной почты или документ автономно или когда он предварительно сохранил его на диске.
Технический обзор IRM и RMS
На стороне сервера Windows RMS управляет функциями лицензирования, активации компьютеров, подачи заявок и администрирования. В своей работе RMS использует службу каталогов Windows Server Active Directory® (ОС Windows Server 2000 или более поздней), а также базу данных SQL, например, Microsoft SQL Server™ для хранения параметров конфигурации.
Для создания или просмотра защищенного содержимого на стороне рабочей станции требуется наличие RMS-совместимой программы. В Microsoft Office 2003 включены первые RMS-совместимые программы, разработанные корпорацией Microsoft. Для создания или просмотра защищенных документов, электронных таблиц, презентаций и сообщений электронной почты необходимо наличие Microsoft Office Professional 2003. При использовании других версий Office 2003 получатели защищенных документов могут только работать с ними (но не создавать их) в случае, если автор документа предоставил им соответствующие для этого права. Надстройка Управление правами (Rights Management Add-on, RMA) для обозревателя Internet Explorer позволяет сотрудникам просматривать защищенную информацию даже в том случае, если у них не установлен Microsoft Office 2003.
Архитектура IRM и RMS
RMS представляет собой управляемую веб-службу, которая использует ASP.NET, протокол запроса/ответа HTTP SOAP и язык XrML, что позволяет организациям создавать и развертывать собственные решения защиты информации. Благодаря высокой масштабируемости, гибкой топологии, простоте администрирования и использования, служба RMS позволяет удовлетворить все потребности любой организации в защите информации.
Основой технологии Windows RMS являются политики постоянного использования (известные так же, как права и условия использования). Авторы информации могут применять политики постоянного использования на уровне файлов. После того, как автор (владелец) применит эти политики к файлу, они будут действовать постоянно. Это будет происходить даже в том случае, если файл был перемещен за пределы корпоративной сети.
Система RMS обеспечивает принудительное применение постоянных политик благодаря установке следующих необходимых для этого элементов:
• | Доверяемые объекты. Организации могут определять объекты, включая индивидуальных пользователей, групп служащих, компьютеры или приложения, которые будут считаться доверяемыми участниками системы RMS. Определяя доверяемые объекты, система RMS может обеспечить защиту информации, предоставляя к ней доступ только участникам, должным образом прошедшим проверку подлинности. |
• | Права и условия использования. Организации и индивидуальные пользователи могут назначать права и условия использования, определяя тем самым, какие действия доверяемые объекты могут совершать над защищенной информацией. Примером указанных прав может служить разрешение на просмотр, копирование, печать, сохранение, хранение, пересылку и изменение. С помощью прав на использование также можно определять, когда истекает срок действия этих разрешений, а также каким приложениям и объектам (не являющимся доверяемыми) запрещено пользоваться защищенной информацией. |
• | Шифрование. Шифрование представляет собой процесс, при котором данные защищаются с помощью электронных ключей. Система RMS шифрует информацию, предоставляя к ней доступ только при условии, что была успешно выполнена проверка подлинности доверяемых объектов и принудительно были применены определенные политики использования. После того, как информация заблокирована, только доверяемые объекты, имеющие права на использование информации, при соблюдении определенных условий (если такие имеются) могут разблокировать или дешифровать информацию и воспользоваться предоставленными им правами на использование. |
Основы функционирования RMS
Технология Windows RMS, которая использует как серверные, так и клиентские компоненты, предоставляет следующие возможности:
• | Создание защищенных файлов и контейнеров. Служащие, работающие с информацией, указанные в качестве доверяемых объектов в системе RMS, могут легко и просто создавать и управлять защищенными файлами, используя для этих целей знакомые им программы и средства разработки, в которые включена возможность использования технологии Windows RMS. Например, используя знакомые им панели инструментов приложений, сотрудники могут назначать права и условия использования такой информации, как сообщения электронной почты и документы. Кроме того, RMS-совместимые приложения могут использовать официально принятые и и централизовано назначаемые шаблоны политики прав, тем самым помогая сотрудникам эффективно применять предварительно определенные в организации политики использования. |
• | Лицензирование и распространение защищенной информации. Сертификаты, основанные на языке XrML и выпускаемые системой RMS, идентифицируют доверяемые объекты, которые могут публиковать защищенную информацию. Пользователи, указанные в качестве доверяемых объектов в системе RMS, могут назначать права и условия использования информации, которую им необходимо защитить. Этими политиками использования определяется круг лиц, которые могут получать доступ к информации и использовать ее. В процессе, который выполняется незаметно для служащих, работающих с информацией, система RMS проверяет подлинность доверяемых объектов и выдает лицензии на публикацию, в которых содержатся права и условия использования, определенные автором информации. Информация шифруется с помощью электронных ключей, получаемых из приложений или из основанных на XrML сертификатов доверяемых объектов. После того, как информация будет защищена с помощью этого механизма, ее смогут разблокировать и использовать только те доверяемые объекты, которые определены в лицензиях на публикацию. Служащие могут передавать защищенную информацию своими коллегами в своей организации или внешним доверяемым пользователям, предоставляя им эту информацию по электронной почте, открывая доступ к ней для совместного использования на сервере или перенося на дискете. |
• | Получение лицензий на дешифрование защищенной информации и принудительное применение политик использования. Пользователи, которые являются доверяемыми объектами, могут открывать защищенную информацию с помощью доверяемых клиентов. В качестве таких клиентов выступают RMS-совместимые компьютеры и приложения, которые приводят в действие политики использования, позволяя служащим просматривать защищенную информацию и работать с ней. RMS-сервер, у которого есть открытый ключ, использованный при шифровании информации, незаметно для получателя проверяет его учетные данные и выдает лицензию на использование, в которой содержаться права и условия использования, определенные в лицензии на публикацию. Информация дешифруется с помощью электронных ключей, получаемых из лицензий на использование и основанных на XrML сертификатов доверяемых объектов. Права и условия использования затем принудительно проверяются RMS-совместимым приложением. Они являются постоянными и принудительно применяются к информации независимо от того, где она используется в дальнейшем. |
Компоненты RMS
Наряду с пакетом средств разработки (Software Development Kit, SDK) технология RMS включает в себя следующее программное обеспечение:
• | Серверное программное обеспечение Windows RMS представлено веб-службой Windows Server 2003, которая управляет сертификацией доверяемых объектов на основе XrML, лицензированием защищенной информации, подачей заявок для серверов и пользователей, а также выполняет административные функции. |
• | Клиентское программное обеспечение Windows Rights Management представлено группой интерфейсов прикладного программирования Windows API, которые облегчают процесс активации компьютеров и позволяют RMS-совместимым приложениям работать с RMS-сервером для предоставления лицензий на публикацию и использования защищенной информации. |
• | Пакет SDK для серверного и клиентского компонентов включает в себя документацию и примеры программного кода, которые позволяют разработчикам программного обеспечения настраивать окружение Windows RMS-сервера, а также создавать RMS-совместимые приложения. |
Серверное программное обеспечение RMS
Основой технологии Windows RMS является серверный компонент, который управляет сертификацией доверяемых объектов, лицензированием защищенной информации, подачей заявок и предварительной подачей заявок (sub-enrollment) для серверов и пользователей, а также выполняющий административные функции. Серверное программное обеспечение облегчает прохождение шагов по настройке, которые позволяют доверяемым объектам использовать защищенную информацию. Ниже указаны возможности, обеспечиваемые серверной частью RMS:
• | Настройка доверяемых объектов. Технология Windows RMS предоставляет средства для установки и настройки серверов, клиентских компьютеров и учетных записей пользователей в роли доверяемых объектов системы RMS. При этом выполняется:
| ||||||||||
• | Лицензии на публикацию, которыми определяются права и условия использования. Доверяемые объекты могут использовать простые средства, включенные в состав RMS-совместимых приложений, для назначения особых прав и условий использования их информации, согласованными с политиками деятельности их организации. Права и условия использования указаны в опубликованных лицензиях, в которых перечислены авторизованные служащие, которым разрешен доступ к информации, а также определен порядок использования информации и предоставление ее для совместной работы. Для назначения прав и условий использования служба RMS использует язык XrML (eXtensible rights Markup Language) версии 1.2.1, основанный на языке XML. | ||||||||||
• | Лицензии на использование, определяющие принудительное применение прав и условий использования. Каждый доверяемый объект, выступающий в роли получателя защищенной информации, при попытке ее открытия запрашивает и получает от RMS-сервера лицензию на использование, причем это выполняется незаметно для получателя. Лицензия на использование предоставляется авторизованным получателям, определяя для них права и условия использования информации. RMS-совместимые приложения используют возможности технологии Windows RMS для чтения информации, обработки и принудительного применения прав и условий использования, определенных в лицензии на использование. | ||||||||||
• | Шифрование и ключи. Защищенная информация всегда зашифрована. RMS-совместимые приложения используют симметричные ключи для шифрования информации. Все RMS-серверы, клиентские компьютеры и учетные записи пользователей имеют пару RSA ключей (открытый и закрытый ключи) размером 1024-бит. Windows RMS использует открытый и закрытый ключи для шифрования симметричного ключа, хранящегося в публикуемых и используемых лицензиях, а также для подписания лицензий и сертификатов на основе XrML, используемых для управления правами, что позволяет предоставлять доступ только доверяемым объектам. | ||||||||||
• | Шаблоны политики прав. Администраторы могут создавать и распространять официальные шаблоны политики прав, назначая определенным служащим права и условия использования. Для получения более подробной информации обратитесь к разделу «Использование шаблонов политики прав». Использование шаблонов в организации позволяет управлять информацией, приводя ее к упорядоченному иерархическому виду. Например, для служащих организации можно создать шаблоны политики прав, указав в них различные права и условия использования конфиденциальной информации компании, засекреченных и частных данных. Эти шаблоны могут использоваться RMS-совместимыми приложениями, что позволяет служащим легко и последовательно применять к информации предопределенные политики. | ||||||||||
• | Списки отзыва. Администраторы могут создавать и распространять списки отзыва, в которых указываются доверяемые объекты, ставшие ненадежными, из-за чего они были удалены из системы RMS и стали недействительными (к доверяемым объектам относятся индивидуальные пользователи, группы пользователей, компьютеры или программы, которые являются доверенными участниками системы RMS). Список отзыва, распространяемый в организации, позволяет сделать недействительными определенные компьютеры или учетные записи пользователей. Например, в случае увольнения работника все связанные с ним доверяемые объекты могут быть добавлены в список отзыва, из-за чего они больше не будут использоваться в операциях, связанных с RMS. | ||||||||||
• | Политики исключения. На стороне сервера администраторы могут применять политики исключения. Эти политики позволяют запретить обработку запросов лицензий, которые основаны на идентификаторе пользователя (учетных данных, используемых для входа в Windows, или паспорте .NET), сертификате, определяющего права учетной записи, или на версии защищенного хранилища, управляющего правами. Политики исключения запрещают обработку новых запросов лицензий, подаваемых ненадежными доверяемыми объектами, но в отличие от отзыва, политики исключения не делают недействительными доверяемые объекты. Администраторы также могут применить политику исключения к потенциально опасным или ненадежным приложениям, благодаря чему исключается возможность расшифровки защищенной информации этими приложениями. | ||||||||||
• | Ведение журнала. Администраторы могут отслеживать и проверять использование защищенной информации в пределах организации. RMS обеспечивает поддержку ведения журнала, благодаря чему в организации имеется запись действий, связанных с использованием RMS, включая записи о выдаче или запрете выдачи лицензий на публикацию и использование. |
Пакет средств разработки для RMS
Для службы Windows RMS имеется пакет разработчика Windows RMS SDK (Software Development Kit). В этот пакет включен набор средств, документация, а также примеры программного кода, которые позволяют организациям настраивать Windows RMS. В пакет SDK включены интерфейсы протокола SOAP (simple object access protocol), которые позволяют разработчикам создавать компоненты различного назначения, например, для:
• | Применения в реальном времени политик использования Windows RMS к любым данным. |
• | Выдачи лицензий получателям информации перед фактическим распространением защищенной информации (это называется также предварительным лицензированием). |
• | Очереди последующей обработки, использующей очередь сообщений MSMQ (Microsoft Message Queue), предоставляющей возможность ведения журнала, проверки, наблюдения, а также выполнения прочих административных функций. Эти интерфейсы и службы предоставляют средства контроля, интеграции и расширения Windows RMS. |
Пакет SDK для RMS-клиентов
Технология Windows RMS предоставляет пакет SDK (Software Development Kit) для RMS-клиентов. В пакет SDK включен набор средств, документация, а также примеры программного кода, которые позволяют разработчикам создавать RMS-совместимые приложения. Используя пакет SDK и сопутствующие клиентские интерфейсы прикладного программирования (API), разработчики могут создавать доверяемые клиентские приложения, способные лицензировать, публиковать и использовать защищенную информацию.
В пакет SDK для RMS-клиентов включены следующие компоненты:
• | Свободно распространяемый модуль, с помощью которого осуществляется реализация клиентских интерфейсов. |
• | Сопутствующие файлы заголовка, необходимые для разработки. |
• | Подключаемые библиотеки. |
• | Средства разработки подписанных манифестов, необходимых RMS-совместимым приложениям для загрузки модулей, с помощью которых осуществляется реализация клиентских интерфейсов. |
Клиентское программное обеспечение RMS
На каждом клиентском компьютере RMS-системы должен быть установлен клиент управления правами Windows (Windows Rights Management, WRM). Этот клиентский компонент, необходимый для использования RMS-совместимых приложений, представляет собой группу интерфейсов прикладного программирования Windows Rights Management API, которые можно предварительно установить или загрузить с сайта Windows Update. Клиент WRM также используется во время процесса активации компьютера.
Компоненты IRM
В Office 2003 включены первые RMS-совместимые приложения. Кроме того, приложения Office 2003 расширяют возможности RMS.
Принцип работы RMS/IRM
Для защиты данных с помощью Windows RMS служащим не нужно предпринимать никаких особых действий. Они работают точно так же, как и с обычной информацией.
Ниже на Рисунке 7 показан механизм работы RMS при публикации и использовании защищенной информации пользователями.
Рисунок 7 – Публикация и использование защищенной информации
В процессе публикации и использования информации выполняются следующие шаги (пронумерованные выше на рисунке):
1. | Перед тем, как авторы смогут защитить свой документ, им необходимо подать заявку в систему RMS и получить на свой компьютер защищенное хранилище, RAC и сертификат издателя клиента. |
2. | Используя RMS-совместимое приложение (например, Office Professional 2003), автор создает файл и устанавливает для него права и условия использования. |
3. | После этого приложение шифрует файл с помощью симметричного ключа, который в свою очередь шифруется с помощью открытого ключа RMS-сервера автора. После чего ключ добавляется в лицензию на публикацию, которая в свою очередь добавляется в файл. Только RMS-сервер автора может выдавать лицензии для дешифрования файла. Ниже на Рисунке 8 показано, из чего состоит защищенный файл Office 2003.  Рисунок 8 – Содержимое защищенного файла |
4. | Автор распространяет файл. |
5. | Пользователь получает защищенный файл обычным способом и открывает его с помощью RMS-совместимого приложения или обозревателя. В случае, если на компьютере или устройстве получателя нет сертификата учетной записи, то сертификат будет выдан (при этом предполагается, что у получателя есть доступ к корневому RMS-серверу и имеется учетная запись на предприятии). |
6. | Приложение запрашивает лицензию на использование у сервера, который выдал лицензию на публикацию защищенных данных. В запрос включен сертификат учетной записи получателя (в котором содержится открытый ключ получателя) и лицензия на публикацию (содержащей симметричный ключ, с помощью которого шифровался файл). В лицензии на публикацию, выданной сертификатом лицензиара клиента, содержится URL-адрес сервера, который выдал сертификат. В этом случае запрос лицензии на использование направляется RMS-серверу, который выдал сертификат лицензиара клиента, а не компьютеру, выдавшему лицензию на публикацию. |
7. | RMS-сервер лицензирования проверяет имя пользователя, подтверждает подлинность получателя и создает лицензию на использование. Во время это процесса сервер дешифрует симметричный ключ с помощью закрытого ключа сервера, повторно шифрует его с помощью открытого ключа получателя и добавляет его в лицензию на использование. Кроме того, сервер добавляет в лицензию на использование такие соответствующие условия, как срок истечения, исключение определенных приложений или операционных систем. После этого только тот пользователь, кому предназначена эта информация, сможет дешифровать симметричный ключ, тем самым, дешифруя защищенный файл. |
8. | После завершения проверки подлинности сервер лицензирования возвращает лицензию на использование клиентскому компьютеру получателя. |
9. | После получения лицензии на использование приложение проверяет как лицензию, так и сертификат учетной записи получателя для определения того, имеется ли в доверительной цепочке сертификат, который необходимо проверить в списке отзыва. Если такой имеется, то приложение проверяет наличие локальной копии списка отзыва, срок действия которого еще не истек. В случае необходимости приложение получает копию действующего списка отзыва и после этого соблюдает все условия отзыва, которые применены в данном случае. Если нет ни одного условия отзыва, которое бы блокировало доступ к файлу, приложение предоставляет данные пользователю, после чего он может с ними работать в соответствии с теми правами, которые были ему предоставлены. |
Требования к развертыванию IRM и RMS
RMS разработана таким образом, чтобы максимально задействовать возможности всей имеющейся инфраструктуры, используя службу каталогов Active Directory для поиска служб, а Windows NT® LAN Manager (NTLM) - для аутентификации. Благодаря гибкости системы аутентификации, Windows RMS может использовать смарт-карты и другие биометрические устройства, наряду с прочими альтернативными методами аутентификации, поддерживаемыми Windows. Для того чтобы запустить RMS, необходимо:
На уровне сервера:
1. | Наличие Windows Server 2003 с установленным серверным программным обеспечением RMS (Windows RMS является новой специальной службой для версий ОС Windows Server 2003 Standard, Enterprise, Web и Datacenter). |
2. | Наличие IIS. |
3. | Наличие службы каталогов Active Directory (организованной на базе ОС Windows Server 2000 или более поздней версии). Учетные записи Active Directory необходимы для получения и использования лицензий. |
4. | Наличие базы данных для хранения параметров конфигурации (например, такой, как Microsoft SQL Server™). |
На уровне рабочей станции:
1. | Установленное клиентское программное обеспечение RMS. | ||||||
2. | Наличие RMS-совместимого приложения для создания и просмотра защищенных данных.
|
В Таблице 1 представлена минимальная аппаратная конфигурация, необходимая для развертывания RMS:
Таблица 1 – Требования к аппаратному обеспечению
| Минимально необходимая конфигурация | Рекомендуемая конфигурация |
| Компьютер с процессором Pentium III (800 МГц или выше). | Двухпроцессорный компьютер с двумя процессорами Pentium 4 (1500 МГц или выше). |
| 256 MБ ОЗУ. | 512 MБ ОЗУ. |
| 20 ГБ свободного дискового пространства. | 40 ГБ свободного дискового пространства. |
| Одна сетевая карта. | Одна сетевая карта. |
В Таблице 2 указано необходимое для работы RMS программное обеспечение.
Таблица 2 – Требования к программному обеспечению
| Компонент | Требование |
| Операционная система | Windows Server 2003 версии Standard, Enterprise, Web или Datacenter. |
| Ведение журнала | Служба очереди сообщений (Message Queuing), входящая в состав Windows Server 2003 (ранее эта служба называлась MSMQ). Для поддержки ведения журнала необходимо наличие установленного сервера баз данных. |
| Веб-службы | Службы IIS и веб-службы, предоставляемые семейством ОС Windows Server 2003. Должно быть разрешено использование ASP.NET. |
В Таблице 3 указаны дополнительные элементы, необходимые для работы RMS, которые должны присутствовать в инфраструктуре.
Таблица 3 – Требования к инфраструктуре
| Компонент | Требование |
| Службы каталогов | Active Directory, работающая в домене Windows 2000 SP3 или более поздней версии (это должен быть тот же домен, в котором установлена RMS). Все пользователи и группы, которые используют RMS для получения лицензий и публикации информации, должны иметь адрес электронной почты, определенный в Active Directory. |
| Сервер баз данных | База данных, такая, как Microsoft SQL Server 2000 (версии Standard или Enterprise) с установленным третьим пакетом обновлений (SP3) или более поздним. Или Microsoft SQL Server Desktop Engine (MSDE) с установленным пакетом обновлений SP3, в случае развертывания одного сервера для тестирования или для других целей. |
Развертывание IRM и RMS
Поскольку IRM является функциональным расширением RMS, развертывание IRM напрямую зависит от развертывания RMS. Как только будет установлена RMS, развертывание IRM выполняется простой установкой клиента управления правами на рабочей станции. Затем клиентский компьютер и служащий получают сертификат, разрешающий использование IRM.
Процесс развертывания как RMS, так и IRM состоит из выполнения следующих основных шагов:
1. | Соблюдение требований, выдвигаемых к аппаратному, программному обеспечению и инфраструктуре, описанных в разделе «Требования к развертыванию IRM и RMS». | ||||
2. | Получение и установка серверного программного обеспечения RMS. | ||||
3. | Подача заявки серверу для получения сертификата лицензиара (Windows RMS Licensor Certificate) от корпорации Microsoft. Этот сертификат является уникальным для каждой организации. | ||||
4. | Регистрация в Active Directory URL-адреса сервера. | ||||
5. | Развертывание клиентского программного обеспечения правления правами на всех компьютерах сотрудников, работающих с информацией. При этом, для автоматизации процесса развертывания можно использовать Microsoft Systems Management Server (SMS) или сценарии групповой политики.
| ||||
6. | Сертификация пользователей RMS. При попытке сотрудника использовать RMS (например, при использовании IRM в программах Microsoft Office 2003), происходит следующее:
|
В последней части данного раздела, посвященного развертыванию, описывается настройка клиентских компьютеров для выполнения автономной публикации.
Стандартная топология системы RMS
Стандартная топология системы RMS представлена одним или несколькими физическими серверами, которые составляют корневую инсталляцию или кластер Windows RMS. Корневая инсталляция предоставляет службы сертификации и лицензирования. В случае широкомасштабного развертывания можно использовать несколько физических серверов, объединенных в один кластер и использующих один общий URL-адрес (как это показано ниже на Рисунке 9).
Рисунок 9 – Пример топологии RMS
Все запросы сертификатов и лицензий направляются к корневому кластеру, имеющему один общий URL-адрес, назначенный этой группе серверов. Имеется большое количество различных вариантов реализации виртуальной адресации, например такие, как служба циклического распределения DNS (round-robin DNS, RRDNS), служба балансировки нагрузки сети (Windows Load Balancing Service), аппаратные решения и т. д. Виртуальная адресация позволят равномерно распределять нагрузку по всем серверам, исключая зависимость стабильной работы от одного сервера, тем самым, повышая отказоустойчивость лицензирования и публикации.
Для хранения данных политики и своих конфигурационных данных Windows RMS использует такую базу данных, как Microsoft SQL Server 2000 с установленным третьим пакетом обновлений (Service Pack 3, SP3) или Microsoft SQL Server 2000 Desktop Engine (MSDE 2000) с пакетом обновлений SP3. Использование MSDE рекомендуется только при наличии конфигурации с одним сервером. База данных используется для хранения, совместного использования и получения конфигурационных и прочих данных. Для каждого кластера серверов RMS используется одна база данных конфигурации. База данных конфигурации и база данных журналов могут располагаться как на одном из физических серверов кластера, так и на отдельном удаленном SQL-сервере.
Основной процесс развертывания RMS для топологии, приведенной в этом примере, в функциональном плане ничем не отличается от развертывания RMS в случае, когда используется один сервер. Для большей ясности мы будем рассматривать процесс развертывания в случае использования одного сервера. Для получения дополнительной информации о выборе топологии, обратитесь к разделу Построение топологии (Topology designs) файла помощи.
Установка серверного программного обеспечения RMS
После того, как были соблюдены требования к аппаратному, программному обеспечению и инфраструктуре, необходимо выполнить всего два простых действия для установки серверного программного обеспечения RMS.
1. | Необходимо получить программное обеспечение RMS. Для этого обратитесь к веб-узлу http://www.microsoft.com/windowsserver2003/technologies/rightsmgmt/default.mspx. | ||
2. | Необходимо установить серверное программное обеспечение RMS на корневой сервер.
|
Серверы подачи заявок в системе RMS
В процессе установки RMS создается сайт глобального управления службой RMS (Windows RMS Global Administration site), с помощью которого администраторы могут настраивать серверы и службы системы RMS. К этому сайту можно получить доступ, нажав кнопку Пуск (Start), Программы (All Programs) и открыв Windows RMS.
Рекомендуется иметь только один веб-сайт на том сервере, которым Вы будете управлять и которому Вы будете подавать заявки с помощью RMS. На странице Глобальное администрирование (Global Administration) будут отображены все сайты сервера. Если имеется единственный RMS-сайт, добавленный по умолчанию, то щелчок мыши по пункту Подготовить службу управления правами на этом веб-узле (Provision RMS on this site) приведет к отображению страницы Подготовка (Provision), показанной ниже на Рисунке 10.
Рисунок 10 – Часть страницы Подготовка (Provision)
После внесения информации и нажатия на кнопку Отправить (Submit), RMS будет подготовлена. Во время этого процесса RMS определяет, является ли этот RMS-сервер первым в системе для того, чтобы установить корневой кластер Windows RMS. Сервер отсылает запрос на сертификат лицензиара сервера RMS в службу подачи заявки RMS (RMS Enrollment Service) веб-службы корпорации Microsoft. При подаче запроса применяется защита SSL (Secure Socket Layer). Служба RMS Enrollment Service выдает сертификат лицензиара RMS именно той организации, которая подала запрос.
Чтобы подать заявку для сервера, используя службу RMS Enrollment Service необходимо наличие, по крайней мере, одного сервера в каждой системе RMS. Все последующие серверы, добавляемые в корневой кластер, будут использовать тот же самый сертификат лицензиара RMS. Когда Вы добавляете новый сервер к имеющейся корневой инсталляции или кластеру серверов лицензирования, для нового сервера не выполняется явная подача заявки, поскольку он принимает настройки имеющейся конфигурации кластера.
Для получения пошаговых инструкций о том, каким образом необходимо выполнять подачу заявки для сервера, обратитесь к разделу Для подготовки первого корневого сервера сертификации (To provision the first root certification server) файла помощи RMS.
Регистрация URL-адреса сервера
Клиентам необходимо знать расположение RMS-сервера. Основной способ предоставления им такой информации заключается в регистрации URL-адреса сервера в качестве точки подключения в Active Directory. Для этого администратору необходимо открыть страницу Глобальное администрирование (Global Administration). После того, как была выполнена подготовка сервера (выполнена подача заявки), на этой странице будет отображена ссылка Администрировать службу управления правами на этом веб-узле (Administer RMS on this site). При щелчке по этой ссылке открывается главная страница администрирования, показанная ниже.
Рисунок 11 – Главная страница администрирования RMS
На главной странице администрирования необходимо щелкнуть по ссылке Точка подключения службы управления правами (RMS Service connection point), расположенной в области Глобальное администрирование для службы управления правами (Global Administration) и выбрать Зарегистрировать URL-адрес (Register URL). Это приведет к созданию в Active Directory записи, в которой будет содержаться URL-адрес RMS-сервера. В Active Directory никаких других изменений (например, изменение схемы) не вносится. По умолчанию клиенты будут использовать значения, опубликованные в Active Directory. В некоторых случаях (например, если имеется несколько сайтов или доменов) в организации необходимо указать клиентам использовать определенный сервер в качестве первичного RMS-сервера. Для некоторых клиентов необходимо добавить в реестр следующий параметр, производящий замену URL-адреса, указанного в Active Directory и используемого для подключения к серверу:
Имя: CorpCertificationServer
Тип: REG_SZ
Значение:
Настройка клиентских компьютеров
Каждый клиентский компьютер, работающий в системе RMS, необходимо настроить в качестве доверенного объекта системы RMS. Настройка клиентского компьютера состоит из проверки наличия клиентского компонента RMS и активации компьютера. После настройки компьютера все готово для использования RMS-совместимых приложений, публикации и использования защищенной информации.
Клиентское программное обеспечение RMS можно получить на веб-узле http://www.microsoft.com/downloads/search.aspx?displaylang=en (выполнив поиск по комбинации слов “Rights Management Client”).
Для того чтобы обеспечить установку клиентских компонентов на рабочих станциях, организации могут использовать стандартные средства развертывания приложений (например, Microsoft SMS). Также можно просто установить RMS-совместимое приложение, что приведет к подаче запроса в веб-узел обновлений Windows Update для получения компонента.
Сертификация пользователей RMS
В процессе сертификации создается сертификат управления правами учетной записи, устанавливающий взаимосвязь между учетной записью пользователя и определенным компьютером. Благодаря этому служащий, работающий с информацией, может получать и использовать защищенную информацию при работе за этим компьютером. Первый раз, когда служащий публикует защищенную информацию или пытается получить доступ к защищенной информации с клиентского компьютера, используемое им RMS-совместимое приложение подает запрос на сертификат учетной записи в корневую инсталляцию Windows RMS.
Корневая инсталляция Windows RMS проверяет подлинность пользователя с помощью средств аутентификации Windows и создает сертификат учетной записи, в который включена пара ключей (открытый/закрытый), основанных на информации об учетных данных служащего. Кроме того, закрытый ключ служащего шифруется с помощью открытого ключа сертификата клиентского компьютера и добавляется в сертификат учетной записи пользователя. После этого сертификат учетной записи выдается запросившему его приложению. Приложение хранит сертификат учетной записи на компьютере или устройстве, тем самым обеспечивается его доступность для последующей публикации или подачи запросов для получения лицензии на использование.
Поскольку для подачи запроса на сертификат учетной записи необходимо наличие сертификата клиентского компьютера, то сертификация пользователя выполняется после процесса активации компьютера. Служащему необходимо иметь сертификат учетной записи на каждом компьютере, который он использует. В случае, если служащий использует более одного компьютера, то для каждого компьютера выдается уникальный сертификат, но при этом пара ключей (открытый/закрытый), содержащаяся в сертификатах, будет одинаковой для данного пользователя.
Когда приложение запрашивает лицензию на использование, то в запрос включается сертификат учетной записи. Сервер лицензирования RMS использует открытый ключ сертификата учетной записи для шифрования симметричного ключа в лицензии на публикацию, который был изначально зашифрован с помощью открытого ключа сервера RMS. Благодаря этому только доверенные объекты могут получить доступ к лицензии на использование и использовать ее.
Подача клиентскими компьютерами заявки на выполнение автономной публикации
Клиентские компьютеры могут выполнять подачу заявки в корневую инсталляцию или серверу лицензирования для получения сертификата лицензиара клиента RMS. Этот сертификат позволяет служащим публиковать защищенную информацию в случаях, когда их компьютер не подключен к корпоративной сети. При этом подписание и выдача лицензий на публикацию, содержащих права и условия использования защищенной информации, опубликованной с этого компьютера, выполняет сам клиентский компьютер вместо сервера лицензирования.
В процессе локальной подачи заявки выполняются следующие шаги:
1. | Клиентский компьютер отправляет сертификат учетной записи служащего и запрос подачи заявки на сервер RMS. |
2. | Сервер проверяет, позволяют ли настройки, заданные сетевым администратором, выполнять предварительную подачу заявок, а также проверяет, не содержится ли сертификат в списке исключений базы данных конфигурации. |
3. | Сервер создает пару ключей (открытый/закрытый), чтобы предоставить служащему, подавшему запрос, право на выполнение автономной публикации. Сервер создает сертификат лицензиара клиента и добавляет в него открытый ключ. Затем сервер шифрует закрытый ключ с помощью открытого ключа сертификата учетной записи и добавляет его в сертификат. |
4. | Корневая инсталляция выдает локальному компьютеру сертификат лицензиара клиента. |
Управление окружением IRM/RMS
В разделах, рассматриваемых ранее, основное внимание уделялось тому, что необходимо сделать для настройки и запуска основных служб RMS и IRM. Однако после развертывания необходимо наличие эффективного использования и управления. Как и в случае с любым другим компонентом инфраструктуры, имеется несколько способов использования RMS и IRM потребителями, а также множество возможностей и настроек, которые необходимо применять в различных сценариях использования. Например, в некоторых случаях необходимо использовать политики доверия или политики исключения, а в других случаях это делать необязательно.
Ниже представлен обзор возможностей управления, доступных на странице администрирования службы управления правами (RMS Administration), показанной выше на Рисунке 11:
• | Создание политики доверия (Establish trust policies). Щелкните по этой ссылке, чтобы открыть веб-страницу Политики доверия (Trust policies), на которой Вы можете добавлять или удалять доверяемые домены пользователей и доверяемые домены публикации. Можно добавлять и удалять пользователей из списка исключений доверяемого домена пользователей. Вы можете экспортировать Ваш сертификат лицензиара сервера в файл для того, чтобы потом его импортировать в другой RMS-инсталляции. |
• | Настройка шаблонов политики прав (Configure rights policy templates). Щелкните по этой ссылке, чтобы открыть веб-страницу Шаблоны политики прав (Rights policies templates), на которой Вы сможете создавать и изменять шаблоны политики прав для предприятия. |
• | Настройка ведения журнала (Configure logging). Щелкните по этой ссылке, чтобы открыть веб-страницу Настройка регистрации (Logging settings), на которой Вы можете включать или отключать возможность ведения журнала, а также просматривать имя сервера и базы данных журналов. |
• | Назначение URL-адреса кластера внешней сети (Specify the extranet cluster URL). Щелкните по этой ссылке, чтобы открыть веб-страницу Параметры URL-адреса кластера внешней сети (Extranet cluster URL settings), на которой Вы можете указать URL-адрес, который будет использоваться для получения доступа к серверам лицензирования и сертификации из внешней сети. |
• | Наблюдение за количеством распространенных сертификатов учетных записей (Track the number of RMS account certificates distributed). Щелкните по этой ссылке, чтобы открыть веб-страницу Наблюдение за сертификатами учетных записей (RMS account certificate tracking), на которой Вы можете увидеть общее количество сертификатов учетных записей RMS, распространенных Вашим сервером сертификации. Вы можете использовать эту информацию для оценки необходимого количества клиентских лицензий доступа. |
• | Управление параметрами безопасности (Manage security settings). Щелкните по этой ссылке, чтобы открыть веб-страницу Настройка безопасности (Security settings), на которой Вы можете добавить или удалить членов группы суперпользователей, имеющих полный контроль над всем лицензированным содержимым, а также можете сбросить пароль закрытого ключа. |
• | Просмотр и настройка параметров сертификата учетной записи (View and configure account certificate settings). Щелкните по этой ссылке, чтобы открыть веб-страницу Параметры сертификации (Certification settings), на которой Вы можете определить срок действия сертификата, а также указать контактную информацию для связи с администратором. |
• | Применение политик исключения (Enable exclusion policies). Щелкните по этой ссылке, чтобы открыть веб-страницу Политики исключения (Exclusion policies), на которой Вы можете применить политики исключения, основанные на версии защищенного хранилища RM или версии ОС Windows, а также на сертификатах учетных записей или приложениях. |
• | Регистрация точки подключения службы управления правами (Register the service connection point). Щелкните по этой ссылке, чтобы открыть веб-страницу Точка подключения службы управления правами (Service Connection Point), на которой Вы можете зарегистрировать или отменить регистрацию точки подключения службы для Вашего кластера. |
С помощью консоли MMC (Microsoft Management Console) администраторы могут выполнять и другие задачи, включая наблюдение за событиями и управление Active Directory, службами IIS и SQL-сервером.
В следующих разделах эти моменты описываются более подробно, что позволяет руководствоваться ими в случае необходимости в зависимости от нужд организации. Однако, вначале мы рассмотрим общие сценарии использования, позволяющие определить требования к конфигурации в зависимости от нужд организации.
Сценарии использования IRM/RMS
Сценарии использования представлены для того, чтобы облегчить понимание того, в каких случаях необходимо или рекомендуется изменить конфигурацию, используемую при базовом развертывании. Сценарии предоставляются в порядке нарастания сложности.
Базовый сценарий использования
Пусть в данном примере служащий использует возможности IRM в программе Microsoft Office Outlook® 2003. Он нажимает красную кнопку Разрешения (Permission) на панели инструментов и устанавливает необходимые права для доступа к своему сообщению электронной почты. Он указывает, что служащие в корпоративном домене могут открывать вложение, точно так же, как и сообщение электронной почты. Кроме того, для данного сообщения служащий указывает срок действия. Служащие открывают сообщение электронной почты, при этом Outlook незаметно для них применяет к вложению установленные для вложений права использования и обеспечивает защиту лицензии. После того, как установленный срок действия закончится, служащие не смогут открыть ни сообщение, ни вложение. Точно такой же принцип назначения прав используется и в других приложениях Office 2003.
Важными особенностями этого сценария является то, что:
1. | Все участвующие в этом процессе стороны находятся в одном домене. |
2. | Все участвующие в этом процессе стороны используют Office Professional 2003. |
3. | Служащий назначает параметры вручную (срок действия, кто имеет права и т. д.). |
Для данного сценария достаточно наличия выполненного базового развертывания RMS и установленных клиентских компонентов. Кроме того, как для этого, так и для других сценариев администраторы могут выбирать, необходимо ли использовать шаблоны политики прав, списки отзыва или политики исключения. Тем не менее, использование данных возможностей не является необходимым условием для данных сценариев использования.
Примечание. Описываемые здесь сценарии можно также использовать в окружении служб терминалов. Ключевое отличие при этом будет скорее техническое, чем функциональное: служащие будут использовать IRM точно так же, даже при том, что их сертификаты использования будут находиться на том же физическом сервере (серверах).
Междоменный сценарий использования
При наличии той же самой модели использования, что была описана выше (служащий назначает права для документа или сообщения электронной почты и отправляет их) мы рассмотрим случай, когда у некоторых получателей нет учетных записей в домене.
В таком случае администратору необходимо применить политику доверия. Об этом рассказывалось ранее в разделе «Политики доверия».
Сценарий использования старых версий Office
Этот сценарий продолжает междоменный сценарий. Если служащие, имеющие учетные записи в доверенном партнерском домене используют предыдущие версии Office, то они все равно смогут использовать защищенную информацию, воспользовавшись надстройкой «Управление правами» (Rights Management Add-On) для Internet Explorer (при попытке открытия информации им будет это предложено). При этом администраторам не нужно будет выполнять никаких дополнительных настроек.
В рассмотренных сценариях указаны лишь возможные действия администраторов. В следующих разделах детально описываются все средства управления, а также приводятся руководства по их использованию.
Шаблоны политики прав
На сайте администрирования RMS-сервера администраторы могут создавать официальные шаблоны политики прав, удалять и вносить изменения в существующие шаблоны политики прав, а также определять положение шаблонов политик в системе RMS. Шаблоны могут включать в себя различные условия. Например, они могут определять особых получателей или группы Active Directory, определять срок действия лицензия на использование, то, как долго после публикации информации ею можно будет пользоваться, и даже определять собственные значения, являющиеся важными для определенного RMS-совместимого приложения.
С помощью шаблона также может определяться список отзыва (описан ранее в разделе «Списки отзыва»). В шаблоне указывается URL-ссылка на файл со списком, а также указывается количество дней, в течение которых список считается действительным. При запросе получателем лицензии на использование, основанную на шаблоне, истема проверяет списки отзыва перед тем, как предоставить служащему доступ к защищенным данным.
Шаблоны политики прав хранятся как в базе данных конфигурации, так и на общих сетевых ресурсах. Когда автор запрашивает лицензию на публикацию, RMS-совместимое приложение копирует шаблон политики прав из общего сетевого ресурса. Когда получатель запрашивает лицензию на использование, RMS-сервер лицензирования применяет шаблон политики прав, хранящийся в базе данных. Это гарантирует, что условия лицензии на использование всегда будут соответствовать самой последней версии шаблона.
Создание шаблонов
Для создания шаблона политики прав:
1. | В области Ссылки на страницы администрирования (Administration links) главной страницы администрирования щелкните по ссылке Шаблоны политики прав (Rights policy templates).  Рисунок 12 – Главная страница шаблонов политики прав |
2. | Щелкните Добавить шаблон политики прав (Add a rights policy template). |
3. | На странице Параметры шаблона политики прав (Rights policy template settings) Вы можете указать для шаблона все необходимые настройки, включая его название, необходимые разрешения для пользователей или групп (из списка рассылки), политики срока действия и т. д.  Рисунок 13 – Создание шаблона политики прав |
4. | Нажмите кнопку Отправить (Submit). |
Для получения дополнительной информации о создании шаблонов политики прав обратитесь к файлу помощи RMS.
Предоставление доступа к шаблонам с помощью групповой политики
После подготовки политик прав их необходимо разместить на совместно используемом ресурсе сервера, где ими смогут пользоваться все пользователи, или скопировать в локальную папку компьютера пользователя. Затем можно воспользоваться настройками политики IRM, определенными в шаблоне Office11.adm, для указания ресурса, на котором хранятся эти политики прав (как локально, так и на совместно используемом ресурсе сервера). После того, как пользователям будет предоставлен доступ к политикам прав и необходимые настройки групповой политики будут применены, в меню IRM Разрешения (Permissions) будут отражены доступные собственные политики прав.
Для получения дополнительной информации об использовании групповой политики с программами Office 2003 обратитесь в разделу «Работа политик» How Policies Work (EN) пакета Office Resource Kit.
Имеется возможность задействовать и распространить настройки политик, указанных в разделе Manage Restricted Permissions шаблона политики Office11.adm. Когда политика IRM Specify Permission Policy Path применяется и распространяется с помощью службы каталогов Microsoft Active Directory, IRM автоматически выявляет все доступные шаблоны, находящиеся в указанном месте. В RMS-совместимых приложениях Office 2003 будут отображаться имеющиеся собственные политики прав.
Записи IRM в системном реестре
Ниже указаны базовые элементы системного реестра, связанные с IRM. Для большинства из них имеются дублирующие их записи политик.
Указанные ниже два элемента системного реестра находятся в разделе HKLM\Software\Microsoft\Office\11.0\Common\DRM:
Имя: CorpLicenseServer
Тип: REG_SZ
Значение:
Установка этого значения позволяет администратору переопределить расположение сервера лицензирования службы управления правами, указанное в Active Directory.
Имя: CorpCertificationServer
Тип: REG_SZ
Значение:
Установка этого значения позволяет администратору переопределить расположение сервера управления правами, указанное в Active Directory.
Указанные ниже записи реестра расположены в разделе HKCU\Software\Microsoft\Office\11.0\Common\DRM:
Имя: Disable
Тип: DWORD
Значение: [ 0 | 1 ]
В случае, если данный параметр реестра имеет значение 1, то в пользовательском интерфейсе всех программ Office 2003 использование всех возможностей, связанных с управлением правами, отменяется. Использование данного параметра аналогично использованию политики Disable Information Rights Management User Interface.
Имя: DisablePassportCertification
Тип: DWORD
Значение: [ 0 | 1 ]
В случае, если данный параметр реестра имеет значение 1, пользователи не смогут открывать материалы, созданные под учетной записью, использующей паспорт при проверке подлинности. Использование данного параметра аналогично использованию политики Disable Microsoft Passport service for content with restricted permissions.
Имя:IncludeHTML
Тип: DWORD
Значение: [ 0 | 1 ]
В случае, если данный параметр реестра имеет значение 1, пользователи, у которых не установлены программы Office 2003, смогут просматривать защищенные материалы с помощью надстройки Управление правами (Rights Management) для обозревателя Internet Explorer. Использование данного параметра аналогично использованию политики Allow users with earlier versions of Office to read with browsers.
Имя: RequestPermissionURL
Тип: REG_SZ
Значение:
Используя данный параметр, администратор может указать источник, где пользователь может получить дополнительную информацию о предоставлении доступа к IRM-содержимому. Можно указать либо URL-ссылку, либо адрес электронной почты. Использование данного параметра аналогично применению политики Additional permissions request URL.
Имя: RequireConnection
Тип: DWORD
Значение: [ 0 | 1 ]
В случае, если данный параметр реестра имеет значение 1, любые попытки пользователя открыть документы, защищенные IRM-правами, приведут к принудительному подключению к сети Интернет или локальной сети для получения лицензии, подтвержденной либо паспортом, либо системой RMS. Использование данного параметра аналогично применению политики Always require users to connect to verify permission.
Имя: AutoExpandDLsEnable
Тип: DWORD
Значение: [ 0 | 1 ]
В случае, если данный параметр реестра имеет значение 1, то при выборе группы в диалоговом окне Разрешения (Permissions) пользователю далее придется выполнять действия отличные от стандартных. После выбора группы произойдет автоматическое расширение диалогового окна и будут отображены все члены выбранной группы. Использование данного параметра аналогично применению политики Always expand groups in Office when restricting permission for documents.
Имя: AdminTemplatePath
Тип: REG_SZ
Значение:
При наличии данного параметра программы Office 2003, использующие IRM, смогут проверить наличие шаблонов политики прав, расположенных в указанном месте. В случае их наличия, название каждого из шаблонов будет отображено в диалоговом окне Разрешения (Permission) (в меню Файл (File)). Использование данного параметра аналогично применению политики Specify Permission Policy Path.
Списки отзыва
Администраторы могут создавать списки отзыва, в которых они могут указать служащих, приложения, а также прочие доверенные объекты, которым дальнейший доступ к защищенной информации запрещен. Условие использования списка отзыва может определяться одним или более сертификатами, применяемыми при выдаче лицензий на публикацию и использование. RMS-совместимые клиентские приложения проверяют списки отзыва всякий раз, когда соответствующие условия определены, и в случае обнаружения доверенного объекта в списке отзыва, запрос лицензии отклоняется.
Любой сертификат может быть отозван. По умолчанию определено, что только тот объект, который выдал сертификат, может его отозвать. Таким образом, сертификат может быть отозван только списком отзыва, подписанным этим объектом. В качестве дополнительных параметров в сертификате также могут указываться:
• | Один объект или несколько, которые могут отозвать данный сертификат. В качестве объекта, который используется для отзыва, может выступать третья сторона. |
• | Пустой открытый ключ в качестве ключа отзыва, из-за чего сертификат не сможет быть отозван. |
Шаблонами политики прав могут также определяться условия использования списка отзыва. Например, организациям может понадобиться проверить списки отзыва для шаблонов, применяемых к важной для компании информации, и при этом не производить проверку списков отзыва для шаблонов, применяемых к менее важной информации. В целях еще большей защиты информации в шаблоне можно указать необходимый срок действия списка отзыва. Например, в шаблоне можно указать, что для того, чтобы можно было использовать данный список отзыва, он должен быть создан в течение последних 10 дней.
Список отзыва создается в виде обычного текстового файла формата XML с использованием языка написания XrML. При этом он подписан закрытым ключом с использованием утилиты, предоставляемой Windows RMS. После создания списка отзыва, его можно использовать для отзыва любого доверяемого объекта, открытый ключ которого соответствует использованному для подписания закрытому ключу. Файл помещают в место, доступное всем пользователям, которым он необходим. Например, можно указать URL-адрес, доступный как из сети Интернет, так и из внутренней корпоративной сети. Это обеспечивает возможность использование файла служащими, находящимися как в сети организации, так и за ее пределами. В случае, если имеются условия использования списка отзыва, но при этом невозможно обнаружить действующий список отзыва, то в доступе к защищенной информации будет отказано.
Организации могут указывать доверяемые объекты в списке отзыва в следующих случаях:
• | Если закрытый ключ стал известен или имеется подозрение, что он стал ненадежным. |
• | Владелец ключа запрашивает его отзыв, хотя нет оснований сомневаться в его надежности. |
• | Доверяемый объект больше недействителен (например, при увольнении служащего). |
• | Обнаружена уязвимость в системе усиления безопасности (например, сертификат, который был выдан клиентскому компьютеру, стал ненадежным). |
• | Понадобилась повторная сертификация из-за изменений в авторизации. |
Создание списков отзыва и управление ими
Для отзыва необходимо создать список отзыва, представляющий собой XML-документ, при написании которого использовался язык XrML. В списке перечислены доверяемые объекты, для которых необходимо закрыть доступ к защищенной информации. При создании списков отзыва Вам необходимо их подписывать и указывать для них штамп времени с помощью средства Revocation List Signing, предоставляемого системой Windows RMS.
Поскольку при создании списков отзыва используется большое количество настроек, рекомендуем обратиться к разделу Creating revocation lists файла помощи RMS.
Политики исключения
С помощью консоли администратора (Administrator Console) Windows RMS администраторы могут назначать политики исключения отдельно для каждого сервера или кластера серверов системы RMS, чтобы предотвратить возможность выдачи этим сервером лицензий определенным доверенным объектам. Политики исключения препятствуют ставшим ненадежными доверенным объектам получать лицензии на использование от RMS-серверов. Тем не менее, в отличие от отзыва, исключение не делает недействительными доверенные объекты. Все существующие лицензии, связанные с исключенными доверенными объектами, остаются действительными, однако, на запрос, поступивший от этих объектов, новые лицензии не выдаются.
Администраторы могут исключать следующие доверяемые объекты:
• | Различные версии защищенных хранилищ RMS. Администратор может указать версию защищенного хранилища, для которой все запросы лицензий будут проверяться. В случае, если запрос был выполнен с компьютера, на котором установлена ранняя версия защищенного хранилища, он отклоняется. Исключенные защищенные хранилища также указываются в каждой лицензии на использование и вступают в силу только в том случае, если лицензия окажется в соответствующем защищенном хранилище. Указание этого условия в лицензии позволяет использовать политики исключения на компьютерах, которые могут не использоваться для подачи запроса лицензий на использование, но могут использоваться для дешифрования защищенной информации. При применении организацией этой политики исключения служащие не смогут получать новые лицензии на использование до тех пор, пока они не произведут повторную активацию своих компьютеров. Тем не менее, для них сохраняется возможность обращаться к файлам, для доступа к которым ранее были выданы лицензии. Для того чтобы не нарушить привычный для пользователей рабочий процесс, администраторам следует развертывать новые защищенные хранилища в организации перед применением политик исключения. Затем можно использовать политики исключения в качестве средства принудительного обновления всех компьютеров, незатронутых новым развертыванием защищенных хранилищ. |
• | Версии ОС Windows. ОС Windows 98 Second Edition и Windows Millennium не поддерживают NTLM-аутентификацию. Организации могут ограничить возможность клиентов этих ОС получать лицензии на использование. |
• | Сертификаты учетной записи. В случае, если служащий является доверяемым объектом, но имеется подозрение, что ключи сертификата учетной записи служащего стали ненадежными, администратор может исключить открытый ключ сертификата этой учетной записи. Для этого исключенного открытого ключа новые лицензии на использования выдаваться не будут, поэтому необходимо выполнить повторную сертификацию служащего и выдать новый сертификат учетной записи с новой парой ключей. Этот новый сертификат учетной записи будет использоваться для всех следующих действий. Тем не менее, у служащего сохраняется исключенный сертификат учетной записи для доступа к защищенной информации, для которой ранее была выдана лицензия. |
• | Приложения. Можно исключить возможность получения приложениями лицензии на использование. Администраторы могут указать версии приложений. |
Создание политик исключения
На странице Политики исключения (Exclusion policies), доступ к которой осуществляется со страницы глобального администрирования (Global Administration) RMS-сервера, администраторы могут назначать политики для любого из четырех доверяемых объектов, перечисленных в предыдущем разделе.
Рисунок 14 – Страница политик исключения
Регистрация событий
Windows RMS устанавливает поддержку регистрации событий во время начального процесса установки системы RMS. Служба регистрации включена по умолчанию и запускается автоматически. База данных регистрации системы RMS создана на основе продукта SQL Server, который также используется для базы данных конфигурации, а в MSMQ создается очередь частных сообщений для передачи сообщений службы регистрации в базу данных.
Администраторы могут включать и отключать службу регистрации в любое время. Когда служба регистрации включена, она отсылает все данные о RMS-запросах в базу данных регистрации. Администраторы могут использовать SQL-сценарии для уменьшения объема передаваемой информации, благодаря чему будет сохраняться только определенная информация, необходимая организации. Система RMS регистрирует как успешно выполненные запросы на лицензии, так и запросы, которые завершились неудачно. С помощью журналов регистрации организации могут определить, какие служащие получали доступ к защищенной информации, а какие пытались получить к ней доступ, несмотря на то, что им доступ к ней запрещен.
Политики доверия
По умолчанию служба Windows RMS не обрабатывает запросы от пользователей, чьи сертификаты управления правами учетной записи (Rights management account certificates, RAC) были выданы другими инсталляциями Windows RMS. Тем не менее, Вы можете добавить домены пользователей в список доверяемых доменов пользователей, что позволит службе Windows RMS обрабатывать такие запросы.
Для каждого доверяемого домена Вы также можете указать (добавить или удалить) особых пользователей или группы пользователей. Кроме того, Вы можете удалить доверяемый домен пользователей, однако, Вы не сможете удалить кластер корневых сертификатов из доверяемых доменов пользователей для этого леса Active Directory. При развертывании каждый RMS-сервер (включая сервер корневых сертификатов) доверяет кластеру корневых сертификатов, расположенному в его собственном лесу.
Настройка политик доверия и управление ими
Для добавления доверяемого домена пользователя:
1. | Находясь на главной странице администрирования, щелкните Политики доверия (Trust policies).  Рисунок 15 – Страница политик доверия |
2. | В области Доверенные домены пользователей (Trusted user domains) нажмите кнопку Обзор (Browse), найдите и щелкните дважды по сертификату лицензиара сервера того домена пользователя, который Вы хотите импортировать для установления отношений доверия, а затем нажмите кнопку Добавить (Add). |
3. | Имя выбранного домена появится в списке Доверенные домены пользователей (Trusted user domains). |
4. | Для указания того, какие почтовые домены в пределах доверенных доменов пользователей являются доверенными, щелкните по Доверенные домены (Trusted domains), расположенным рядом с именем сертификата в открывающемся списке окна Доверенные почтовые домены (Trusted e-mail domains). |
5. | Выберите один из следующих параметров доверия: Выберите параметр Доверять всем почтовым доменам (Trust all e-mail domains) для того, чтобы доверять всем учетным записям пользователей электронной почты, зарегистрированных на указанных доменах. –или- Выберите параметр Доверять только особым почтовым доменам (Trust only specified e-mail domains), а затем впишите имена доменов, которым необходимо доверять (например, example.com) и нажмите кнопку Добавить (Add). При этом указанный домен добавится в список Доверенные почтовые домены (Trusted e-mail domains). Для удаления домена из списка выберите имя домена и нажмите кнопку Удалить (Remove). Для каждого домена в списке представлены все его дочерние домены. |
Для получения дополнительной информации по настройке политик доверия обратитесь файлу помощи службы RMS, который устанавливается во время установки серверного программного обеспечения RMS.
Заключение
Развертывание RMS, включая установку и сопровождение, на практике выполняется удивительно легко и просто. Как было указано в этом документе ранее, имеется ряд параметров, необходимых для обслуживания и управления, которые необходимо использовать после установки системы в случае, если это необходимо для имеющегося окружения.
Прочие вопросы обслуживания, которые не рассмотрены в данном документе, являются более общими и касаются, в основном, обслуживания баз данных RMS. Например, администраторам может понадобиться создать планы обслуживания баз данных для выполнения резервного копирования данных и журналов, проверки целостности базы данных и пересылки записей журнала соответственно. Для реализации этих действий Microsoft выбрала модель простого восстановления для служб каталогов и баз данных журнала. Модель полного восстановления в сочетании с пересылкой журнала транзакций была выбрана для базы данных конфигурации.
В целом, установка у клиентов программ Office 2003 и использование IRM является одной из самых простых задач по развертыванию на предприятии, с которыми когда-либо сталкивались администраторы. При этом преимущество очевидно: служащие могут начать использовать функциональные возможности IRM при совместной работе немедленно, прилагая для этого совсем незначительные усилия.
Дополнительная информация
Для получения дополнительной информации обратитесь к следующим веб-узлам:
Microsoft Office online
http://office.microsoft.com/home/default.aspx (EN)
Службы управления правами Windows (Windows Rights Management Services)
http://www.microsoft.com/windowsserver2003/technologies/rightsmgmt/default.mspx(EN)
Надстройка для обозревателя Internet Explorer «Управления правами» (Rights Management Add-on for Internet Explorer)
http://www.microsoft.com/windows/ie/downloads/addon/ (EN)
Инфраструктура открытого ключа (Public Key Infrastructure)
http://www.microsoft.com/windowsserver2003/technologies/pki/default.mspx (EN)
Поддержка продукта
Всесторонняя удобная поддержка службы Windows RMS предоставляется по телефону и через веб-узел корпорации Microsoft. Она доступна в США с 06.00 до 18.00 ежедневно. Также предоставляется круглосуточная поддержка 7 дней в неделю (24/7) в случае возникновения ситуаций, требующих срочного вмешательства. Подписчикам MSDN и потребителям предлагается ряд вариантов поддержки, среди которых получение поддержки с единоразовым платежом за каждое обращение, поддержка по телефону и Интернет-поддержка на основе фиксированной платы, которая включена в стоимость продукта, а также поддержка, осуществляемая удаленно аккредитованными специалистами.
Для получения поддержки посетите веб-узел http://support.microsoft.com/. Крупные организации, которым необходима прямая поддержка от Microsoft, могут заключить договор в рамках программы Microsoft Premier Support.
Для получения информации о международной поддержке щелкните по ссылке Международная поддержка (International Support) на веб-узле http://support.microsoft.com/.
Кроме того, в поставку RMS включено полное руководство по развертыванию, в котором есть расширенный раздел, посвященный устранениям неполадок.
Также доступна служба текстового телефона (TTY/TDD) корпорации Microsoft:
1. | Номер телефона в Вашингтоне: (425) 635-4948. |
2. | Номер телефона для бесплатных звонков в пределах США: (800) 892-5234. |
3. | Номер телефона в Канаде: (905) 568-9641. |
4. | Для получения поддержки в других регионах свяжитесь с центром международной поддержки, указанным выше. |
Примечание. Цены, условия и порядок оказания услуг в службах поддержки корпорации Microsoft могут изменяться без предупреждения.
Обсуждение статьи на форуме