Rights Management Services

Т.к информация сейчас имеет достаточно большое значение и на её защиту уделяется всё больше и больше сил и средств как компаний так и специалистов работающих в ней, то возникла необходимость тоже озадачиться сим вопросом.

Оговорюсь сразу — если вы решили что внедрение этой системы будет панацеей для защиты информации — то это заблуждение.  Защита информации это целый комплекс мер как технических, так и административных.

Может быть когда будет время я опишу процесс внедрения системы DLP, которая тоже служит одним из этапов по защите информации в компании.

Да и еще, оговорюсь сразу — если у вас возникла мысль использовать AD RMS в защите персональных данных — то данная система должна пройти сертификацию в специальных гос.органах. Обрадую вас еще больше, так же  как и все системы (включая Блокнот и Калькулятор), которые будут установлены на системах содержащих персональные данные попадающие под наш закон.

Статья будет разделена на несколько частей — в первой части я опишу установку и настройку AD RMS, во второй и последующей — практическую работу с шаблонами (установка, настройка, использование).
Я не буду описывать как разворачивать сервера и структуру каталогов, т.к в этом нет необходимости. Люди, читающие сию статью обладают определенными навыками и знаниями чтобы сделать это самостоятельно.
Опишу только требования предъявляемые для развертывания  AD RMS:

  1. Развернута структура каталогов AD  на базе Windows 2003 или выше (у меня 2008).
  2. Наличие сервера базы данных (опционально)
  3. Наличие сервера сертификатов (опционально)
  4. На клиентах (до версии Vista и выше) должен быть установлен компонент AD RMS Client
  5. На клиентах должен быть установлен Office 2007 Ultimate, Professional Plus, Enterprise если необходимо управлять разрешениями. Остальные версии поддерживают работу с защищенными документами, но без возможности изменения выставленных разрешений.

Ну вроде с формальностями закончили можно приступать к самой установки AD RMS (повторюсь — подразумевается что сетевая и доменная  инфраструктура уже развернута и настроена).

Итак приступим:

Открываем консоль управления сервером и в Ролях выбираем нашу службу (рис.1)

Установка AD RMS

Рис.1

Если у вас не установленны необходимые компоненты для AD RMS, то система сама предложить вам их доустановить (рис.2)

Необходимые службы

Рис.2

Далее, когда мы выберем добавить недостающие роли и сервисы система автоматически добавит необходимые и можно будет переходить к следующему шагу установки (рис.3)

Рис.3

На этом шаге мы можем выбрать какие компоненты AD RMS нам ставить (он является 2-х компонентным). Т.к. у нас нет  компаний за пределами нашей сети и AD RMS будет использоваться только сотрудниками нашей компании, то службу федерации мы не будем разворачивать.

Далее, т.к у нас это первый экземпляр  службы RMS  в нашем домене, то выбираем создание нового кластера AD RMS (рис.4)

Создание нового кластера AD RMS

Рис.4

На следующем окне (рис.5), нам предложат указать место хранения базы конфигурации AD RMS и вариантов у нас несколько. Первый: «Использовать внутреннюю базу данных Windows», – с одной стороны плюс в том, что SQL становится не нужен, но недостаток заключается в невозможности впоследствии добавить к ферме дополнительные сервера.  В данной статье я выбрал первый вариант, т.к служба уже развернута в боевом режиме, но на тот момент мне было не до создания скриншотов :). Кстати, при выборе варианта с MS SQL сервером — не забудьте проверить, что порты в Windows Firewall открыты для нормального доступа к серверу и валидации.

Создание базы RMS

Рис.5

Далее указывает учетную запись, от имени которой будет работать служба AD RMS. При создании этой записи рекомендую сразу установить флажки , что пароль не устаревает и пользователь не может его поменять. Рис.6

Учетная запись службы AD RMS

Рис.6

На следующем шаге выбираем где у нас будут храниться ключи, которыми подписываються сертификаты, выдаваемые RMS. Моя личная рекомендация выбрать первый вариант (хранение в личном хранилище AD RMS). Это облегчит процесс администрирования, т.к все будет храниться центрально, но не локально.Рис.7

Хранилище ключей AD RMS

Рис.7

Далее вводим пароль, которым будет шифроваться ключ сервера. Рекомендую сделать этот пароль посложнее — из соображений безопастности и записать его. А бумажку положить в укромное место, т.е если понадобиться в дальнейшем добавлять еще RMS сервера — без него не обойтись. Рис.8

Пароль ключа шифрования

Рис.8

На следующем шаге выбираем на каком веб-сайте будет запущен сервис — я оставил как есть.Рис.9

Сайт AD RMS

Рис.9

Выбираем имя сервера и порт, по которому пользователи будут подключаться к AD RMS серверу. Т.к мы все же защищаем наши данные, то сделать это нужно по SSL. Оговрюсь сразу- для использования SSL соедедения необходимо иметь сертификат. Он может быть куплен у организации, которая на этом специализируется, или выдан внутренним центром сертификации. Выдавайте сертификат именно тому узлу, на котором у вас будет работать RMS — чтобы в дальнейшем пользователи не получали ошибку о несоответствии имени узла и сертификата. Рис.10

SSL соединение AD RMS

Рис.10

На следующем шаге выбираем наш сертификат. Откроется простой мастер импорта/экспорта сертификатов и мы его успешно устанавливаем. Если на данный момент нет сертификата, то можно это действие отложить и позднее его установить. Если не хочется вообще морочиться, то можно установить собственный сертификат AD RMS — но я не рекомендую этого делать, т.к это предназначено в основном для тестовой среды — и данный сертификат придется раздавать всем клиентам.Рис.11

Сертификат для AD RMS

Рис.11

Воодим имя кластера для подключения рис.12

Имя кластера AD RMS

Рис.12

На следующих 2-х шагах (рис. 13 и рис.14) выбираем необходимые компоненты IIS. По умолчанию, то что нужно службе AD RMS уже отмечено в «чекбоксе».

Выбор IIS компонентов для AD RMS

Рис.13

Рис.14

Ну и в завершении появляется итоговое окошко с описанием всех наших трудов и долгожданной кнопкой «Install» (рис.15) — и если все было сделанно правильно — через некоторое время мы получаем рабочий сервер AD RMS (рис.16).

Завершающий шаг установки

рис.15

Сервер AD RMS

Ну вот, вроде и все. Это что касается по поводу разворачивания сервера AD RMS. В следующей статье я опишу дальнейшие шаги по внедрению AD RMS в структуру компании чтобы с ней могли полноценно работать пользователи.

Leave a Reply

*

Dansette

Рейтинг@Mail.ru Яндекс.Метрика