В первой части мы развернули серверную часть Active Directory Rights Management Services и теперь пришло время пустить ее в ход. С помощью RMS мы будем защищать стандартные форматы документов, создаваемые пакетом Microsoft Office 2007. В ходе дальнейших экспериментов нам понадобится клиентская ОС, для этих целей я установил Windows 7 с Enterprise версией офиса на борту. Напоминаю, что все ОС моложе Windows Vista SP1 требуют установки специального RMS клиента, скачиваемого с сайта Microsoft.
Windows Rights Management Services Client на текущий момент имеет второй пакет обновлений и загружается в зависимости от архитектуры вашей системы.
Клиент управления правами Microsoft Windows (SP2) x86
Клиент управления правами Microsoft Windows (SP2) x64
Клиент управления правами Microsoft Windows (SP2) IA64
Поскольку я использую Windows 7, то хлопоты с установкой RMS клиента меня обошли стороной. Свой клиентский компьютер я включил в домен, предварительно настроив сеть следующим образом: IP- 192.168.0.3, Маска – 255.255.255.0, DNS – 192.168.0.1
Для экспериментов мне понадобится несколько учетных записей, каждая из которых обязана иметь заполненный атрибут электронный ящик.
Поэтому я создал новое организационное подразделение Accounts и пять учетных записей с прописанными эл. адресами. В моей сети отсутствует Exchange сервер, посему были прописаны адреса почты, хранящейся у провайдера. Прошу заметить, что все учетные записи имеют полномочия обыкновенных доменных пользователей.
Перед тем как перейти к защите документов, мы должны выполнить еще одно действие – добавить узел adrms.itband.ru (а мы помним, что это имя нашего rms кластера) в список узлов Местной Интрасети клиентских браузеров IE 8. Зачем это делается? Когда клиент пытается защитить документ он обращается по протоколу https к кластеру AD RMS, и если узел кластера не вписан в местную интрасеть, у пользователя повторно запрашивает имя и пароль. Нам это естественно не нужно.
Чтобы максимально автоматизировать процесс добавления, создаем групповую политику “IE Security Zone” и прицепляем ее к организационному подразделению Accounts.
В этой политике разворачиваем: Конфигурацию Пользователя –> Административные Шаблоны –> Компоненты Windows –> Internet Explorer –> Панель Управления браузером –> Вкладка Безопасности –> Список назначений зоны безопасности для веб-сайтов.
Включим данный параметр и прописываем для узла adrms.itband.ru значение равное единице. (1) это код зоны Местной Интрасети, о других кодах можно прочитать в справке, идущей вместе с параметром политики.
Создав политику, применяем ее на клиенте, путем запуска команды gpupdate /force и проверяем результат. В настройках IE8 клиента имя нашего кластера должно быть в Местной Интрасети.
Теперь все готово для проверки RMS. Выполняем вход на Windows 7 от имени учетной записи Bgates и создаем тестовый документ Word 2007. Как только он будет готов выбираем в меню опцию “Подготовить” –> “Ограниченный доступ”. Если данной опции вы не видите, значит на вашей рабочей станции стоит младший выпуск офиса и вам стоит еще раз вернуться к первой части статьи и посмотреть с помощью каких выпусков можно защищать документы.
При первой попытке защитить документ ваш компьютер запустит процедуру настройки и если у вас все предварительные шаги выполнены правильно, то результатом будет вывод окна ограничения прав.
Начнем с простого, разрешим только “Чтение” и только одной учетной записи Sbalmer, прописав в поле чтение его электронный адрес. Сохраняем документ в доступное учетке Sbalmer место и выполняем под ней вход.
Открыв тот же самый документ под пользователем Sbalmer видим появившееся предупреждение об ограничение доступа к данному документу. Пытаемся изменить, сохранить, скопировать и видим, что сделать этого не удастся. Тем кто думает, что клавиша Print Screen спасет отцов “русской демократии” сразу отвечу: Не спасет! Print Screen не работает. И вам остается либо смириться с данными правами, либо запросить дополнительные разрешения у автора документа, отослав ему письмо по электронной почте.
Может возникнуть вопрос: Что же увидит человек, у которого вообще нет прав на данный документ?. А увидит он сообщение о невозможности открыть файл, по причине отсутствия полномочий. И предложение эти права запросить. Учтите, что NTFS разрешения на данный документ могут быть хоть Full, но это никак не поможет получить доступ к содержимому.
Снова заходим под учетной записью Bgates и открываем “Ограничение разрешений”, только теперь с дополнительными параметрами. Из появившихся любопытных прав: Разрешить Печать содержимого и ограничить срок жизни документа. Если по печати все понятно, то срок действия документа рассмотрим подробней.
Срок действия документа указывает, как долго будут действовать установленные ограничения. По окончанию срока жизни доступ к документ сможет получить только пользователь имеющий “Полный Доступ”.
Все остальные получают сообщение о истечении срока разрешений. Звучит красиво, но я столкнулся с некоторыми трудностями.
Трудность первая: запоздалая реакция. Мною был создан документ и установлены разрешения со сроком до 12 октября. После чего я открыл документ 12 октября в 00:08 и с удивлением обнаружил, что по-прежнему доступен. Поскольку это был час ночи, продолжать изыскания не хотелось. Утром же вернувшись к этому документ снова, я получил сообщение о истекшем сроке разрешений, т.е права сработали.
Трудность вторая: странное поле. Открывая защищенный документ можно увидеть свои права, в том числе и до какого числа они действительны. Мне на данный момент не ясно, что значит “Срок действия разрешений 60 дней” указанные выше. Логически я понимаю, что там должно быть количество дней до часа Х. (На картинке 16 октября). Откуда взялись 60 дней??
Вывод: Со сроком действия разрешений нужно разбираться и разбираться, если кто прояснит ситуация, я буду очень благодарен.
И еще одна капля дегтя: Все свои эксперименты я провожу в виртуальной среде, каждая виртуальная машина имеет по 1.5 Gb оперативной памяти и находится на личном жестком диске. Когда я открываю защищенный документ либо защищаю новый, время на открытие или защиту документа иногда превышает 45-50 секунд. И это при условии, что между компьютерами нет медленных каналов. Я допускаю, что это особенности виртуализации, но очень похоже на тормоза “by design”. Пока вывод сделать не могу, но если это норма сотрудники будут “не рады” однозначно.
Важно понять следующее:
1. Разрешения можно давать как пользователям так и любым группам Безопасности. Главное чтобы эти группы имели заполненный атрибут эл. ящик. Соответственно разрешения будут действовать на членов этой группы.
2. Большинство пользователей не будет разбираться с расширенными разрешениями, поэтому наша цель свести их клики к минимуму.
Давайте сформируем примитивную задачу задачу: Bgates является начальником ИТ отдела и ежедневно распространяет среди своих сотрудников документы. Он хочет чтобы ИТ сотрудники имели одно право – право на чтение этих документов. Все остальные не могли даже открыть его приказы.
В тоже время в отделе есть ИТ менеджер Sbalmer, который имеет высокую степень доверия и должен на некоторые документы иметь полные права.
Для решения этой задачи создаем две группы безопасности: IT full и IT Read.
В IT Read у нас входят все пять членов отдела: bgates, sbalmer, sjobs, msussinovich, ltorvalds.
В IT full только: bgates, sbalmer.
Естественно, что каждая из групп имеет электронный адрес. Как быть дальше? Все очень просто – создать шаблоны прав, которые впоследствии сотрудник (в нашей ситуации начальник отдела bgates) будет выбирать при защите документов. Но об этом мы поговорим в третьей части серии статей по Active Directory Rights Management Services.
Илья Рудь
Общался с человеком, который внедрял AD RMS, говорит, что задержка при открытии 1-2 секунды. Странно почему у меня 30.
1-2 секунды? такое возможно, наверное, только если до этого открывал док и закэшировалось…в остальном некая тормознутость присутствует несмотря на сервера/каналы до них
изюбр, у вас сколько? всреднем
Да, программы захвата области экрана валятся при попытке заскринить защищенный документ. Даже если окно документа полностью перекрыто другими окнами 🙂
Поделитесь кто нибудь данными, какая задержка при открытии документов у вас.
Ну не знаю, у меня RMS-ом закрыты все документы в СЭД на Sharepoint. Время открытия обычного и защищенного практически не отличается.
Секунд 10 проходит только первое обращение к серверу RMS после загрузки клиента. Ну это особенности работы механизма.
Вот сейчас спецально проверил – открыл новый док, поставил защиту,сохранил. Открыл. Всё без задержек.
Илья, самые интересные вопросы не освещены:
Откуда у клиентов берутся ключи, где они хранятся, как защищены?
Почему необходим емайл адрес?
Какая и где в РМС используется криптографическая защита? А какая часть реализованна чисто програмно (сказано только про принтскрины) ?
Что будет если пользователь потеряет компьютер?
ну и т.д.
Знаете когда я закончу эту серию на том уровне на каком она есть, я планирую написать статью о логике работы AD RMS для тех кому ее нужно понимать прежде чем делать.
Но пока то, о чем вы пишите в голове не сложилось в пазл. Поэтому это будет но ближе к НГ.
Это у вас внедрение планируется? Или просто для себя изучаете?
В любом случае, тема интересна, буду ждать статьи 🙂
Я сейчас MCT и уже три года все внедрения за редкими исключениями на домашнем Hyper-V)) Думаю в перспективе чуть чуть изменить ситуацию, но это совершенно другая история.)
скажите пожалуйста, а использовать буферы,кеши,выгрузку содержимого ram во время чтения документа кто-нибудь пробовал?!
В буфер скопировать насколько я знаю не даст. А про чтение RAM и кэша (кэша чего кстати?), ну если у вас пользователи могут себе такое позволить, то вам уже даже не к хирургу, а прямиком к паталогоанатому надо 🙂
Илья, а есть ограничения по использованию RMS по выпускам Office 2007?
В смысле, все версии (STD,Prof и т.п.) поддерживают этот функционал или только определенные?
С первой статьи кусочек:
“С версиями Microsoft Office также есть определенный нюанс, так Office 2007 Ultimate, Professional Plus, Enterprise дают возможность защищать документы и пользоваться защищенными. В то время как более дешевые выпуски допускают только работу с уже защищенными файлами.”
Простите, а можно как-то автоматизировать защиту уже имеющегося архива документов?
Или придется каждый документ открывать?
Есть спец тулза которая автоматом шаблоны применяет к группе документов. Вечером найду название добавлю в комент.
Да, тулза то есть (bulk обработчик), но почему-то docX документы не может обработать
Есть еще один вопрос:
Есть задача: позволить пользователям (некоторым) пользуясь ноутбуками работать с защищенными RMS документами, т.е. использовать кэш
(С этой задачей все ОК)
Но:
также есть задача “изъятие документов из обращения”
Причем вроде как хотелось бы просто исключить пользователя из группы доступа и получить желаемый результат, но нет толи кэширование ключей, толи еще что, но пользователь спокойно получает доступ к документу
Что нужно сделать для получения эффекта не через трое суток?
Все таки остался вопрос: как называется утилита для защиты имеющейся группы документов.
Вручную защищать 3-4 сотни существующих документов – мартышкин труд.
Все таки остался вопрос: как называется утилита для защиты имеющейся группы документов.
Вручную защищать 3-4 сотни существующих докум
спасибо, нашел. AD RMS Bulk Protection Tool
http://blogs.technet.com/b/securityrus/archive/2009/10/31/ad-rms-bulk-protection-tool.aspx
Ищу прогу которая позволяет работать с фотографиями и изображениями с использование AD RMS