Главная Security, Windows, Новое AD RMS: Часть 2 — Защита документов
  • AD RMS: Часть 2 — Защита документов

    2525

    В первой части мы развернули серверную часть Active Directory Rights Management Services и теперь пришло время пустить ее в ход. С помощью RMS мы будем защищать стандартные форматы документов, создаваемые пакетом Microsoft Office 2007.  В ходе дальнейших экспериментов нам понадобится клиентская ОС, для этих целей я установил Windows 7 с Enterprise версией офиса на борту. Напоминаю, что все ОС моложе Windows Vista SP1 требуют установки специального RMS клиента, скачиваемого с сайта Microsoft.

    Windows Rights Management Services Client на текущий момент имеет второй пакет обновлений и загружается в зависимости от архитектуры вашей системы.

    Клиент управления правами Microsoft Windows (SP2) x86

    Клиент управления правами Microsoft Windows (SP2) x64

    Клиент управления правами Microsoft Windows (SP2) IA64

    Поскольку я использую Windows 7, то хлопоты с установкой RMS клиента меня обошли стороной. Свой клиентский компьютер я включил в домен, предварительно настроив сеть следующим образом: IP- 192.168.0.3, Маска – 255.255.255.0, DNS – 192.168.0.1

    Для экспериментов мне понадобится несколько учетных записей, каждая из которых обязана иметь заполненный атрибут электронный ящик.

    ад4

    Поэтому я создал новое организационное подразделение Accounts и пять учетных записей с прописанными эл. адресами. В моей сети отсутствует Exchange сервер, посему были прописаны адреса почты, хранящейся у провайдера. Прошу заметить, что все учетные записи имеют полномочия обыкновенных доменных пользователей.

    Перед тем как  перейти к защите документов, мы должны выполнить еще одно действие – добавить узел adrms.itband.ru (а мы помним, что это имя нашего rms кластера) в список узлов Местной Интрасети клиентских браузеров IE 8.  Зачем это делается? Когда клиент пытается защитить документ он обращается по протоколу https  к кластеру AD RMS, и если узел кластера не вписан в местную интрасеть, у пользователя повторно запрашивает имя и пароль. Нам это естественно не нужно.

    Чтобы максимально автоматизировать  процесс добавления, создаем групповую политику “IE Security Zone” и прицепляем ее к организационному подразделению Accounts.

    ад8

    В этой политике разворачиваем: Конфигурацию Пользователя –> Административные Шаблоны –> Компоненты Windows  –> Internet Explorer  –>  Панель Управления браузером  –> Вкладка Безопасности   –> Список назначений зоны безопасности для веб-сайтов.

    ад9

    Включим данный параметр и прописываем для узла adrms.itband.ru  значение равное единице.  (1) это код зоны Местной Интрасети,  о других кодах можно прочитать в справке, идущей вместе с параметром политики.

    ад10

    Создав политику, применяем ее на клиенте, путем запуска команды gpupdate /force  и проверяем результат. В настройках IE8  клиента имя нашего кластера должно быть в Местной Интрасети.

    ад11

    Теперь все готово для проверки RMS. Выполняем вход на Windows 7 от имени учетной записи Bgates и создаем тестовый документ Word 2007.  Как только он будет готов выбираем в меню опцию “Подготовить” –> “Ограниченный доступ”. Если данной опции вы не видите, значит на вашей рабочей станции стоит младший выпуск офиса и вам стоит еще раз вернуться к первой части статьи и посмотреть с помощью каких выпусков можно защищать документы.

    ад1

    При первой попытке защитить документ ваш компьютер запустит процедуру настройки и если у вас все предварительные шаги выполнены правильно, то результатом будет вывод окна ограничения прав.

    ад12

    Начнем с простого, разрешим только “Чтение” и только одной учетной записи Sbalmer, прописав в поле чтение его электронный адрес. Сохраняем документ в доступное учетке Sbalmer  место и выполняем под ней вход.

    ад13

    Открыв тот же самый документ под пользователем Sbalmer видим появившееся предупреждение об ограничение доступа к данному документу. Пытаемся изменить, сохранить, скопировать и видим, что сделать этого не удастся. Тем кто думает, что клавиша Print Screen спасет отцов “русской демократии” сразу отвечу: Не спасет! Print Screen  не работает. И вам остается либо смириться с данными правами, либо запросить дополнительные разрешения у автора документа, отослав ему письмо по электронной почте.

    ад3

    Может возникнуть вопрос: Что же увидит человек, у которого вообще нет прав на данный документ?. А увидит  он сообщение о невозможности открыть файл, по причине отсутствия полномочий. И предложение эти права запросить. Учтите, что NTFS разрешения на данный документ могут быть хоть Full, но это никак не поможет получить доступ к содержимому.

    ад18

    Снова заходим под учетной записью Bgates  и открываем “Ограничение разрешений”, только теперь с дополнительными параметрами. Из появившихся любопытных прав: Разрешить  Печать содержимого и ограничить срок жизни документа. Если по печати все понятно, то срок действия документа рассмотрим подробней.

    Срок действия документа указывает, как долго будут действовать установленные ограничения. По окончанию срока жизни доступ к документ сможет получить только пользователь имеющий “Полный Доступ”.

    ад2

    Все остальные получают сообщение о истечении срока разрешений. Звучит красиво, но я столкнулся с некоторыми трудностями.

    Трудность первая: запоздалая реакция. Мною был создан документ и установлены разрешения со сроком до 12 октября. После чего я открыл документ 12 октября в 00:08 и с удивлением обнаружил, что по-прежнему доступен. Поскольку это был час ночи, продолжать изыскания не хотелось. Утром же вернувшись к этому документ снова, я получил сообщение о истекшем сроке разрешений, т.е права сработали.

    ад

    Трудность вторая: странное поле. Открывая защищенный документ можно увидеть свои права, в том числе и до какого числа они действительны. Мне на данный момент не ясно, что значит “Срок действия разрешений 60 дней” указанные выше. Логически я понимаю, что там должно быть количество дней до часа Х. (На картинке 16 октября). Откуда взялись 60 дней??

    Вывод: Со сроком действия разрешений нужно разбираться и разбираться, если кто прояснит ситуация, я буду очень благодарен.

    И еще одна капля дегтя: Все свои эксперименты я провожу в виртуальной среде, каждая виртуальная  машина имеет по 1.5 Gb оперативной памяти и находится на личном жестком диске. Когда я открываю  защищенный документ либо защищаю новый, время на открытие или защиту документа иногда превышает 45-50 секунд. И это при условии, что между компьютерами нет медленных каналов. Я допускаю, что это особенности виртуализации, но очень похоже на тормоза “by design”. Пока вывод сделать не могу, но если это норма сотрудники будут “не рады”  однозначно.

    Важно понять следующее:

    1. Разрешения можно давать как пользователям так и любым группам Безопасности. Главное чтобы эти группы имели заполненный атрибут эл. ящик. Соответственно разрешения будут действовать на членов этой группы.

    2. Большинство пользователей не будет разбираться с расширенными разрешениями, поэтому наша цель свести их клики к минимуму.

    Давайте сформируем примитивную задачу задачу: Bgates  является начальником ИТ отдела и ежедневно распространяет среди своих сотрудников документы. Он хочет чтобы ИТ сотрудники имели одно право -  право на чтение этих документов. Все остальные не могли даже открыть его приказы.

    В тоже время в отделе есть ИТ менеджер Sbalmer, который имеет высокую степень доверия и должен на некоторые документы иметь полные права.

    Для решения этой задачи создаем две группы безопасности: IT full и IT Read.

    ад5

    В IT Read у нас входят все пять членов отдела: bgates, sbalmer, sjobs, msussinovich, ltorvalds. 

    В IT full только: bgates, sbalmer.

    Естественно, что каждая из групп имеет электронный адрес. Как быть дальше? Все очень просто – создать шаблоны прав, которые впоследствии сотрудник (в нашей ситуации начальник отдела bgates) будет выбирать при защите документов. Но об этом мы поговорим в третьей части серии статей по Active Directory Rights Management Services.

     

    Илья Рудь

Комментарии

  1. Общался с человеком, который внедрял AD RMS, говорит, что задержка при открытии 1-2 секунды. Странно почему у меня 30.

  2. 1-2 секунды? такое возможно, наверное, только если до этого открывал док и закэшировалось...в остальном некая тормознутость присутствует несмотря на сервера/каналы до них

  3. изюбр, у вас сколько? всреднем

  4. Да, программы захвата области экрана валятся при попытке заскринить защищенный документ. Даже если окно документа полностью перекрыто другими окнами 🙂

  5. Поделитесь кто нибудь данными, какая задержка при открытии документов у вас.

  6. Ну не знаю, у меня RMS-ом закрыты все документы в СЭД на Sharepoint. Время открытия обычного и защищенного практически не отличается.

    Секунд 10 проходит только первое обращение к серверу RMS после загрузки клиента. Ну это особенности работы механизма.

    Вот сейчас спецально проверил — открыл новый док, поставил защиту,сохранил. Открыл. Всё без задержек.

  7. Илья, самые интересные вопросы не освещены:

    Откуда у клиентов берутся ключи, где они хранятся, как защищены?

    Почему необходим емайл адрес?

    Какая и где в РМС используется криптографическая защита? А какая часть реализованна чисто програмно (сказано только про принтскрины) ?

    Что будет если пользователь потеряет компьютер?

    ну и т.д.

  8. Знаете когда я закончу эту серию на том уровне на каком она есть, я планирую написать статью о логике работы AD RMS для тех кому ее нужно понимать прежде чем делать.

    Но пока то, о чем вы пишите в голове не сложилось в пазл. Поэтому это будет но ближе к НГ.

  9. Это у вас внедрение планируется? Или просто для себя изучаете?

    В любом случае, тема интересна, буду ждать статьи 🙂

  10. Я сейчас MCT и уже три года все внедрения за редкими исключениями на домашнем Hyper-V)) Думаю в перспективе чуть чуть изменить ситуацию, но это совершенно другая история.)

  11. скажите пожалуйста, а использовать буферы,кеши,выгрузку содержимого ram во время чтения документа кто-нибудь пробовал?!

  12. В буфер скопировать насколько я знаю не даст. А про чтение RAM и кэша (кэша чего кстати?), ну если у вас пользователи могут себе такое позволить, то вам уже даже не к хирургу, а прямиком к паталогоанатому надо 🙂

  13. Илья, а есть ограничения по использованию RMS по выпускам Office 2007?

    В смысле, все версии (STD,Prof и т.п.) поддерживают этот функционал или только определенные?

  14. С первой статьи кусочек:

    «С версиями Microsoft Office также есть определенный нюанс, так Office 2007 Ultimate, Professional Plus, Enterprise дают возможность защищать документы и пользоваться защищенными. В то время как более дешевые выпуски допускают только работу с уже защищенными файлами.»

  15. Простите, а можно как-то автоматизировать защиту уже имеющегося архива документов?

    Или придется каждый документ открывать?

  16. Есть спец тулза которая автоматом шаблоны применяет к группе документов. Вечером найду название добавлю в комент.

  17. Да, тулза то есть (bulk обработчик), но почему-то docX документы не может обработать

  18. Есть еще один вопрос:

    Есть задача: позволить пользователям (некоторым) пользуясь ноутбуками работать с защищенными RMS документами, т.е. использовать кэш

    (С этой задачей все ОК)

    Но:

    также есть задача «изъятие документов из обращения»

    Причем вроде как хотелось бы просто исключить пользователя из группы доступа и получить желаемый результат, но нет толи кэширование ключей, толи еще что, но пользователь спокойно получает доступ к документу

    Что нужно сделать для получения эффекта не через трое суток?

  19. Все таки остался вопрос: как называется утилита для защиты имеющейся группы документов.

    Вручную защищать 3-4 сотни существующих документов — мартышкин труд.

  20. Все таки остался вопрос: как называется утилита для защиты имеющейся группы документов.

    Вручную защищать 3-4 сотни существующих докум

  21. спасибо, нашел. AD RMS Bulk Protection Tool

    blogs.technet.com/b/secur...ection-tool.aspx

  22. Ищу прогу которая позволяет работать с фотографиями и изображениями с использование AD RMS

Опубликовать

Я не робот.