Служба Управления правами (RMS) в Exchange 2003 (Часть 1)

Мы рады приветствовать Сантоша Сиваряна в нашем авторском коллективе, так как он представляет свою первую статью для читателей MSExchange.ru. Цель этой статьи объяснить детали технологии Службы Управления Правами (Rights Management Service, RMS), а также какие выгоды она может принести вашей организации.

Службы Управления Правами (RMS) является добавлением во многих приложениях, использующих RMS. В этой статье я в основном сосредоточусь на объяснение того, как мы можем использовать технологии RMS с Exchange 2003, и какие мы можем извлечь плюсы из RMS технологии для улучшения безопасности электронной почты. Эта статья разбита на 2 части. В первой части я расскажу об архитектуре RMS и опишу процедуру ее установки. Во второй части я сфокусируюсь на интеграции RMS с Exchange 2003/Outlook 2003. Я не буду детально описывать архитектуру RMS, так как все детали вы может найти на следующем сайте Microsoft  http://www.microsoft.com/windowsserver2003/technologies/rightsmgmt/default.mspx

Обзор RMS технологии

Службы Управления Правами (RMS) это технология, используемая для защиты чувствительной информации и для обеспечения безопасности внутренней информации. Автор документа может использовать технологию RMS, чтобы ограничить доступ к файлу или электронному письму несколькими пользователями из всеобщего списка адресов (Global Address List). Этот список тех, кому разрешен доступ, встраивается в документ или электронное письмо. Когда кто-нибудь пытается открыть документ, защищенный RMS, клиент RMS отправляет запрос на RMS сервер для подтверждения того, что пользователь имеет право доступа. Только пользователи, занесенные в встроенный список разрешения доступа, смогут открыть файл. Неавторизованные пользователи получат сообщение об отказе доступа, и информация об этом будет занесена в SQL базу данных.

Компоненты RMS

RMS технология в основном обеспечивается RMS сервером и RMS клиентом. RMS сервер – это компьютер, на котором запущенна Служба Управления Правами (Rights Management Service). RMS может быть установлен на Windows Server 2003 Standard, Enterprise, Web или Datacenter. Основная задача RMS сервера – обеспечивать сертификацию и подтверждения доступа клиентов. RMS сервер требует наличие SQL или MSDE базы данных.

RMS технология очень сильно зависит от Active Directory. Для того, чтобы вы могли использовать RMS технологию в своей организации вам потребуется как минимум Windows 200- Active Directory с SP3. Когда автор пытается добавить пользователя в список тех, кому разрешен доступ, используется Всеобщий список адресов (Global Address List) для того, чтобы найти учетную запись соответствующего пользователя. Эта информация также хранится в Active Directory. Также в Active Directory требуется наличие списка пользователей, кому разрешено пользоваться почтой, для того чтобы давать разрешение использовать документ посредством RMS технологии.

Программное обеспечение для RMS сервера можно загрузить со следующего ресурса:
http://www.microsoft.com/downloads/details.aspx?FamilyId=8EF6D80A-6A9C-4FB9-AB51-790980816FFE&displaylang=en

RMS клиент – это клиентская честь программы, необходимая для создания и просмотра защищенных документов и электронных писем. Программное обеспечение для RMS клиента может быть загружено со следующего ресурса:  
http://www.microsoft.com/downloads/details.aspx?FamilyId=A154648C-881A-41DA-8455-042D7033372B&displaylang=en

Программное обеспечение RMS клиента может быть развернуто посредством Групповой Политики (Group Policy), SMS или иного другого из существующих приложений для развертывания. RMS используется только с приложениями, поддерживающих RMS технологию. Microsoft Office Professional 2003 поддерживает RMS технологию.  Существуют Rights Management аддоны (RMA) для Internet Explorer версии 5.5 или более поздних, но вы не сможете создавать защищенные документы в Internet Explorer. RMA можно загрузить по следующей ссылке:
http://www.microsoft.com/downloads/details.aspx?FamilyId=B48F920B-5AF0-46B4-994F-2F62582CC86F&displaylang=en

Также вы можете загрузить SDK для RMS по следующей ссылке:
http://www.microsoft.com/downloads/details.aspx?FamilyId=3C918424-40E6-4CB9-BCBD-E89686F036A3&displaylang=en

В следующей секции я объясню подробно, как провести установку и настройку RMS сервера, а также регистрацию Точки Соединения Службы (Service Connection Point, SCP) в Active Directory и установку RMS клиента.

Установка RMS сервера

Моя лаборатория состоит из Active Directory 2003 Domain, Exchange 2003 Server, SQL Server 2000, Windows 2003 на сервере и Windows XP на рабочей станции с MS Office 2003 Professional. Я буду использовать сервер с Windows 2003 как RMS сервер. Для установки RMS необходимо иметь APS.Net, Message Queuing и IIS. Удостоверьтесь что у вас они есть.

1. Скачайте инсталляционный файл RMS
   http://www.microsoft.com/downloads/details.aspx?FamilyId=8EF6D80A-6A9C-4FB9-AB51-790980816FFE&displaylang=en
2. Нажмите дважды по файлу WindowsRightsManagementServicesSP1-KB839178-Server-ENU.exe
3. Нажмите Next в окне Welcome
4. Выберите Agree и щелкните Next в окне License Agreement
5. Выберите, куда вы хотите установить программу в окне Select Installation Folder
6. Нажмите  Install в окне Confirm Installation
7. Щелкните Close в окне Installation Complete. 

Если вы откроете Enterpise manager, вы можете  подтвердить установку базы данных и конфигурацию на SQL сервере. Во время установки RMS создаст на SQL сервере 3 базы данных (базу данных настроек, базу Directory Services и базу логов).

Также во время установки RMS создает группу пользователей на локальном компьютере, которая называется RMS Service Group. Позже, когда вы настроите RMS на сервере, учетная запись RMS службы будет добавлена RMS Service Group.

Настройка RMS Сервера

Заходите в Start -> All Programs -> Windows RMS и нажимаете Windows RMS Installation.  По умолчанию администраторский порт 5720. 

1. Под секцией the Provisioning and Administration нажмите ссылку Provision RMS on this Web site
2. В секции Configuration database введите информацию о SQL сервере (локальном или удаленном)
3. В секции RMS service account введите имя и пароль учетной записи RMS службы.  Учетная запись RMS службы не может быть в том же домене, что и учетная запись, которая использовалась для установки RMS.
4. Введите URL в секции Cluster URL. По умолчанию URL http://servername/WMCS. 
5. В секции Private key Protection and enrollment, выберите подходящий метод программного и аппаратного шифрования. У себя я выбрал для использования доступный по умолчанию программный ключ RMS. Введите пароль в обоих полях для ввода пароля. По умолчанию имя локального RMS сервера Server licensor certificate name.
6. Введите контактную информацию о администраторе в колонку Administrative Contact
7. В Server Internet Connectivity выберите опцию Online  - automatically obtain a certificate over the network.

Заметка:
Если ваш RMS сервер не подсоединен к Интернету Вы можете выбрать опцию Offline - manually obtain a certificate after provisioning.

8. Нажмите Submit. 

Отобразится следующая веб страница со статусом выполнения процесса Server Licensor Certificate:

10. Проверьте и убедитесь, что нету никаких ошибок. 

Если вы выбрали опцию Offline - manually obtain a certificate after provisioning в секции Server Internet Connectivity то,

1. Откройте веб-страницу Windows RMS Administration (Зайдите в Start->All Programs ->Windows RMS).
2. Под секцией Provisioning and Administration нажмите ссылку RMS on this web site.
3. Нажмите кнопку Enroll.
4. Нажмите кнопку Export и сохраните файл на локальный жесткий диск.
5. Копируйте экспортированный сертификационный XML файл на подсоединенную к Интернет машину и зайдите с нее по следующей ссылке:
   https://activation.drm.microsoft.com/OfflineEnroll/Enrollment.aspx

Скачайте сертификационный файл ServerCert.XML и копируйте его обратно на RMS сервер. 

6. Откройте снова страницу Windows RMS Administration на RMS сервере.
7. Под секцией Provisioning and Administration нажмите ссылку RMS on this web site.
8. Нажмите кнопку Enroll.
9. Нажмите Browse, выберите ServerCert.XML  нажмите Import.
10. Нажмите OK и удостоверьтесь, что нету никаких ошибок. 

Точка соединения службы RMS (RMS Service Connection Point)

Регистрация Точки соединения службы (SCP) – это не автоматический процесс. Когда вы откроете страничку администратора, Вы увидите предупреждающее сообщение “RMS did not detect the service connection point in Active Directory”.  Следующий шаг – вручную зарегистрировать точку подключения службы  (SCP) в Active Directory. 

1. Откройте веб страницу RMS Administration (Зайдите Start -> All Programs -> Windows RMS)
2. Нажмите Register URL.  Вы должны быть корпоративным администратором, чтобы зарегистрировать SCP в Active Directory. Этот процесс займет у вас несколько минут. 
3. Следующая веб старица будет отображена со статусом процесса регистрации SCP.

Подтверждение SCP регистрации в Active Directory

1. Зайдите в котроллер доменов (Domain Controller) и откройте редактор ADSI edit (убедитесь, что на вашем компьютере установлены утилиты поддержки)
2. Расширьте контейнер Configuration, затем растяните Services и нажмите Right Management Services, убедитесь, что под ней находится папка SCP.  Если вы зайдете в Свойства папки SCP, то там вы увидите все зарегистрированные атрибуты.

Установка программного обеспечения RMS клиента

RMS клиент требует активацию. С SP1 клиентская машина для активации больше не требует соединения с Microsoft сервером. Служба активации генерирует уникальное поле и машинный сертификат, подтверждающий, что серверная машина позволяет использовать RMS. Клиентская активация происходит во время первого использования RMS любым пользователем на этой машине. Не требуется никаких других шагов для активации программного обеспечения RMS клиента.

Установим программное обеспечение для RMS клиента:

1. Скачайте файл для установки по следующей ссылке:
   http://www.microsoft.com/downloads/details.aspx?FamilyId=A154648C-881A-41DA-8455-042D7033372B&displaylang=en
2. Дважды нажмите для запуска на файл WindowsRightsManagementServicesSP1-KB839178-Client-ENU.exe.
3. Нажмите Next в окне Welcome.
4. Выберите Agree и нажмите Next в окне License Agreement
5. Выберите путь, куда будете инсталлировать в окне Select Installation Folder
6. Нажмите Install в окне Confirm Installation
7. Нажмите Close в окне Installation Complete 

Для подтверждения установки Lockbox зайдите в папку C:\Windows\System32 и убедитесь что файл secproc.dll существует.  Lockbox это компонент RMS клиента.  Он отвечает за аутентификацию и правильность использования документов, защищенных с помощью RMS.

Когда вы откроете приложение в Office 2003 professional, вы увидите новый значок в меню Permission, который называется Restrict Permission As.. и новую иконку в  панели инструментов ().

Надеюсь, что эта статья принесла вам понимание что такое RMS технология и как провести процесс установки. В следующей части я объясню детали интеграции RMS с электронной почтой. Если у Вас есть какие-нибудь вопросы, касающиеся материалов статьи, пожалуйста напишите мне их на мой электронный ящик.