Rights Management Services
Т.к информация сейчас имеет достаточно большое значение и на её защиту уделяется всё больше и больше сил и средств как компаний так и специалистов работающих в ней, то возникла необходимость тоже озадачиться сим вопросом.
Оговорюсь сразу — если вы решили что внедрение этой системы будет панацеей для защиты информации — то это заблуждение. Защита информации это целый комплекс мер как технических, так и административных.
Может быть когда будет время я опишу процесс внедрения системы DLP, которая тоже служит одним из этапов по защите информации в компании.
Да и еще, оговорюсь сразу — если у вас возникла мысль использовать AD RMS в защите персональных данных — то данная система должна пройти сертификацию в специальных гос.органах. Обрадую вас еще больше, так же как и все системы (включая Блокнот и Калькулятор), которые будут установлены на системах содержащих персональные данные попадающие под наш закон.
Статья будет разделена на несколько частей — в первой части я опишу установку и настройку AD RMS, во второй и последующей — практическую работу с шаблонами (установка, настройка, использование).
Я не буду описывать как разворачивать сервера и структуру каталогов, т.к в этом нет необходимости. Люди, читающие сию статью обладают определенными навыками и знаниями чтобы сделать это самостоятельно.
Опишу только требования предъявляемые для развертывания AD RMS:
- Развернута структура каталогов AD на базе Windows 2003 или выше (у меня 2008).
- Наличие сервера базы данных (опционально)
- Наличие сервера сертификатов (опционально)
- На клиентах (до версии Vista и выше) должен быть установлен компонент AD RMS Client
- На клиентах должен быть установлен Office 2007 Ultimate, Professional Plus, Enterprise если необходимо управлять разрешениями. Остальные версии поддерживают работу с защищенными документами, но без возможности изменения выставленных разрешений.
Ну вроде с формальностями закончили можно приступать к самой установки AD RMS (повторюсь — подразумевается что сетевая и доменная инфраструктура уже развернута и настроена).
Итак приступим:
Открываем консоль управления сервером и в Ролях выбираем нашу службу (рис.1)
Рис.1
Если у вас не установленны необходимые компоненты для AD RMS, то система сама предложить вам их доустановить (рис.2)
Рис.2
Далее, когда мы выберем добавить недостающие роли и сервисы система автоматически добавит необходимые и можно будет переходить к следующему шагу установки (рис.3)
Рис.3
На этом шаге мы можем выбрать какие компоненты AD RMS нам ставить (он является 2-х компонентным). Т.к. у нас нет компаний за пределами нашей сети и AD RMS будет использоваться только сотрудниками нашей компании, то службу федерации мы не будем разворачивать.
Далее, т.к у нас это первый экземпляр службы RMS в нашем домене, то выбираем создание нового кластера AD RMS (рис.4)
Рис.4
На следующем окне (рис.5), нам предложат указать место хранения базы конфигурации AD RMS и вариантов у нас несколько. Первый: «Использовать внутреннюю базу данных Windows», – с одной стороны плюс в том, что SQL становится не нужен, но недостаток заключается в невозможности впоследствии добавить к ферме дополнительные сервера. В данной статье я выбрал первый вариант, т.к служба уже развернута в боевом режиме, но на тот момент мне было не до создания скриншотов :). Кстати, при выборе варианта с MS SQL сервером — не забудьте проверить, что порты в Windows Firewall открыты для нормального доступа к серверу и валидации.
Рис.5
Далее указывает учетную запись, от имени которой будет работать служба AD RMS. При создании этой записи рекомендую сразу установить флажки , что пароль не устаревает и пользователь не может его поменять. Рис.6
Рис.6
На следующем шаге выбираем где у нас будут храниться ключи, которыми подписываються сертификаты, выдаваемые RMS. Моя личная рекомендация выбрать первый вариант (хранение в личном хранилище AD RMS). Это облегчит процесс администрирования, т.к все будет храниться центрально, но не локально.Рис.7
Рис.7
Далее вводим пароль, которым будет шифроваться ключ сервера. Рекомендую сделать этот пароль посложнее — из соображений безопастности и записать его. А бумажку положить в укромное место, т.е если понадобиться в дальнейшем добавлять еще RMS сервера — без него не обойтись. Рис.8
Рис.8
На следующем шаге выбираем на каком веб-сайте будет запущен сервис — я оставил как есть.Рис.9
Рис.9
Выбираем имя сервера и порт, по которому пользователи будут подключаться к AD RMS серверу. Т.к мы все же защищаем наши данные, то сделать это нужно по SSL. Оговрюсь сразу- для использования SSL соедедения необходимо иметь сертификат. Он может быть куплен у организации, которая на этом специализируется, или выдан внутренним центром сертификации. Выдавайте сертификат именно тому узлу, на котором у вас будет работать RMS — чтобы в дальнейшем пользователи не получали ошибку о несоответствии имени узла и сертификата. Рис.10
Рис.10
На следующем шаге выбираем наш сертификат. Откроется простой мастер импорта/экспорта сертификатов и мы его успешно устанавливаем. Если на данный момент нет сертификата, то можно это действие отложить и позднее его установить. Если не хочется вообще морочиться, то можно установить собственный сертификат AD RMS — но я не рекомендую этого делать, т.к это предназначено в основном для тестовой среды — и данный сертификат придется раздавать всем клиентам.Рис.11
Рис.11
Воодим имя кластера для подключения рис.12
Рис.12
На следующих 2-х шагах (рис. 13 и рис.14) выбираем необходимые компоненты IIS. По умолчанию, то что нужно службе AD RMS уже отмечено в «чекбоксе».
Рис.13
Рис.14
Ну и в завершении появляется итоговое окошко с описанием всех наших трудов и долгожданной кнопкой «Install» (рис.15) — и если все было сделанно правильно — через некоторое время мы получаем рабочий сервер AD RMS (рис.16).
рис.15
Ну вот, вроде и все. Это что касается по поводу разворачивания сервера AD RMS. В следующей статье я опишу дальнейшие шаги по внедрению AD RMS в структуру компании чтобы с ней могли полноценно работать пользователи.