Главная Security, Windows, Без рубрики, Новое AD RMS: Часть 3 – Шаблоны
  • AD RMS: Часть 3 – Шаблоны

    template

    Продолжаем разговор об AD RMS, напомню, что в конце второй части я пришел к выводу о сложности установки разрешений на документы для обыкновенных пользователей и необходимости автоматизации этой задачи. В AD RMS существует такое понятие как “шаблон RMS” иначе говоря заготовка или шаблон прав, который может быть применен к любому документу. Что сильно облегчает жизнь, упрощая защиту документа до выбора необходимого шаблона. Самым сложным этапом внедрения шаблонов является планирование. И для начала я предлагаю ознакомиться с подходом к созданию шаблонов самого автора AD RMS, а именно корпорации Microsoft.

    Не буду изобретать велосипед и приведу перевод Артема Синицына информации от Microsoft в качестве примера реализации шаблонов.

    —————————————————————————————————————————–

    Для удобства работы пользователей и упрощения соответствия корпоративным политикам защиты электронных документов специалисты IT-отдела софтверного гиганта создали пять шаблонов политик AD RMS. Рассмотрим более подробно каждый шаблон из этой пятерки.

    Microsoft Confidential – в качестве участника безопасности в данном шаблоне выступает группа рассылки Microsoft All Staff, включающая в себя всех внутренних сотрудников компании Microsoft (full-time employees, FTE), всех контрактников и сотрудников вендоров. То есть за пределами компании Microsoft защищенная этим шаблоном информация будет недоступна, тогда как сотрудники компании будут иметь возможность полноценно работать с данными документами.

    Данный шаблон предоставляет группе, включающей всех сотрудников компании следующие права доступа:

    • View (Просмотр)
    • Save (Сохранить)
    • Edit (Редактирование)
    • Reply (Ответ)
    • Reply All (Ответ всем)
    • Forward (Перенаправление).

    Microsoft Confidential Read Only – в качестве участника безопасности в данном шаблоне выступает группа рассылки Microsoft All Staff, включающая в себя всех внутренних сотрудников компании Microsoft (FTE), всех контрактников и сотрудников вендоров. То есть за пределами компании Microsoft защищенная этим шаблоном информация будет недоступна, тогда как сотрудники компании будут иметь возможность просматривать данные документы (доступ только на чтение).

    Данный шаблон предоставляет группе, включающей всех сотрудников компании следующие права доступа:

    • View (Просмотр).

    Microsoft FTE Confidential – в качестве участника безопасности в данном шаблоне выступает группа рассылки Microsoft All FTE, включающая в себя только внутренних сотрудников компании Microsoft (full-time employees, FTE). То есть за пределами компании Microsoft, включая всех контрактников и сотрудников вендоров, защищенная этим шаблоном информация будет недоступна, тогда как внутренние сотрудники компании будут иметь возможность полноценно работать с данными документами.

    Данный шаблон предоставляет группе, включающей всех сотрудников компании следующие права доступа:

    • View (Просмотр)
    • Save (Сохранить)
    • Edit (Редактирование)
    • Reply (Ответ)
    • Reply All (Ответ всем)
    • Forward (Перенаправление).

    Microsoft FTE Confidential Read Only -в качестве участника безопасности в данном шаблоне выступает группа рассылки Microsoft All FTE, включающая в себя только внутренних сотрудников компании Microsoft (FTE). То есть за пределами компании Microsoft, включая всех контрактников и сотрудников вендоров, защищенная этим шаблоном информация будет недоступна, тогда как сотрудники компании будут иметь возможность просматривать данные документы (доступ только на чтение).

      Данный шаблон предоставляет группе, включающей всех сотрудников компании следующие права доступа:

    • View (Просмотр).

    Do Not Reply All – единственное назначение данного шаблона политик AD RMS – запретить пользователям использовать кнопку “Reply All (Ответить всем)”. Полагаю, многим из нас знакомы случаи, когда две секретарши возмущенно и довольно-таки нескромно обсуждают в почтовой переписке политику нового начальства. А эту переписку читает всё подразделение или, что хуже, вся компания, только лишь потому, что девушки нечаянно, или намеренно, нажали “Ответить всем”, вместо “Ответить” =) В общем, данный шаблон является просто незаменимым средством для предотвращения массовых почтовых рассылок.

    —————————————————————————————————————————–

    Теперь вернемся к нашим реалиям, если не забыли в конце второй части перед нами стояла задача обеспечить начальнику ИТ отдела Bgates возможность защищать свои документы, при этом  сотрудники его отдела должны иметь только одно право -  право на их чтение. А все остальные сотрудники компании не могли даже открыть их. Плюс к этому  ИТ менеджер Sbalmer, который имеет высокую степень доверия и должен на некоторые документы иметь полные права.

    Для этого мы создавали две группы безопасности:

        IT full – члены группы: bgates, sbalmer.

        IT Readчлены группы: bgates, sbalmer, sjobs, msussinovich, ltorvalds

     

    Порядок создания шаблона AD RMS будет следующим:

        1. Создать папку с общим доступом, которая будет хранить шаблоны

        2. Объяснить Office 2007, что шаблоны он должен брать из папки, созданной в п.1

        3. Включить сохранение создаваемых шаблонов в папку из п.1

        4. Создать два шаблона.

     

    Приступим к настройке шаблонов, для этого зайдем на наш AD RMS сервер и первым делом создадим папку общего доступа (я назову ее adrms-templates). Распространять шаблоны можно несколькими способами. Есть вариант доставлять шаблоны на клиента через Групповые политики, я же пойду другим путем и создам центральное хранилище шаблонов.

     

    Открывая доступ к папке я предлагаю дать следующие права:

        – Права общего доступа. Группе Все – Полный доступ.

        – Права NTFS. Учетной записи от которой работает служба AD RMS (у меня adrmssrv) даем права “Изменение”. А пользователю “bgates”, т.е тому кто с помощью  шаблонов будет защищать документы – “Чтение”.

    1-shara-perm 

    1-ntfs-perm

    Поясню, установленные разрешения. Учетная запись от которой работает служба AD RMS должна иметь право “Изменение”, чтобы при создании в оснастке “Active Directory Rights Management Services” нового шаблона он автоматически появлялся в папке  “adrms-templates”.  Если мы дадим чтение всем пользователям, то любой желающий сможет защищать документы этим шаблоном. Поскольку мы точно знаем, что защищать будет пользователь Bgates то и права на папку даем ему. При желании можно настроить видимость будущих шаблонов более гибко если использовать разрешения на XML файлы шаблонов вместо папки.

    Папку из которой будут распространяться шаблоны создали  и теперь надо каким то образом объяснить нашему пользователю Bgates откуда он должен брать шаблоны, в противном случае при попытке защитить документ,  Microsoft Office 2007 их просто не увидит.

    Указывать папку хранящую шаблоны мы будем с помощью Групповой политики, но для этого нам понадобится Административный шаблон управления Office 2007, который можно скачать  с сайта Microsoft. Добавляем этот шаблон в уже созданную во второй  части политику “IE Security Zone” и находим параметр “Specify Permission Policy Path”.

    10-templ

    11-templ

    Включаем параметр “Specify Permission Policy Path” и приписываем в нем путь к созданной в первой части статьи папке, будущем хранилище  шаблонов.  Напомню, что политика в который мы производим данные манипуляции была создана ранее и применяется ко всем пользователям ИТ отдела. При этом она также добавляет адрес нашего AD RMS сервера в местную интрасеть интернет эксплорера.

    3-templ-target

    Открываем оснастку “Active Directory Rights Management Services”  и разворачиваем “Шаблоны политики прав”. Сразу говорим куда наш RMS сервер должен сохранять копии будущих шаблонов, т.е включаем экспорт и прописываем сетевой путь к нашей папке. Теперь все готово создания самих шаблонов.

    4-templ

    Там же в разделе “Шаблоны политики прав” выбираем “Создание шаблона политики распределенных прав” и запускаем мастер. В нем прописываем Имя и назначения шаблона. По картинке видно, что этот шаблон прав будет давать разрешение на чтение. Нажимаем Далее.

    5-templ

    На следующем окне указываем, что право будет даваться группе “it-read”.  Эта группа имеет адрес электронной почты (обязательное условие), а ее членами являются все сотрудники ИТ отдела.  Из всевозможных прав устанавливаем только одну галку “Вид”. Нажимаем Готово и получаем первый созданный шаблон.

    6-templ

    Теперь для создания второго шаблона повторяем процедуру запуска мастера.  Указываем Имя шаблона “IT Full-Read” и краткое описание. Нажимаем Далее.

    7-templ

    Права второго шаблона несколько сложней. Мы также даем группе “it-read” право “Вид”, а второй строчкой добавляем группу “it-full” и присваиваем ей права “Полный доступ”. А значит все документы к которым будет применен этот шаблон пользователь “sbalmer” сможет редактировать, сохранять и.т.д. Но самое главное он сможет  снимать защиту, сделанную с помощью этого шаблона.

    8-templ

    После всех этих манипуляций вы увидите приблизительно такую картину. Два шаблона, даты когда они были созданы и в последний раз изменены. А также путь по которому они хранятся.

    13-templ

    Остается проверить работу шаблона в действии. Теперь при попытке пользователя Bgates защитить документ ему будет предоставлено два шаблона на выбор “IT Full + Read” и “IT Read”. Остальные сотрудники отдела естественно эти шаблоны видеть не будут, что никак не помешает им работать с документами, которые этими шаблонами защищены.

    Теперь сделаем несколько выводов:

    1. Если не задано обратное, человек защитивший документ с помощью AD RMS всегда имеет к нему неограниченный доступ. При этом неважно кто был автором этого документа и владельцем.

    2. Если пользователь входит в несколько групп и каждой группе даны свои права, то в результате сотрудник получит результирующие разрешения. Хороший пример sbalmer, он состоит в обоих группах, по одной получает чтение, по другой полный доступ. В результате при шаблоне “IT Full + Read” он работает с полным доступом.

    3. Право “Полный доступ” дает возможность снять защиту с документа, поэтому использовать его нужно очень осторожно, для полной свободы в редактировании файла “Полный доступ” не нужен.

    Надеюсь в общих чертах с шаблонами вы познакомились и при необходимости сможете их настроить. В следующей части поговорим о такой роли как “супер-пользователь” и других возможностях AD RMS.

     

    Илья Рудь

Комментарии

  1. А в чем смысл давать доступ к папке шаблонов конкретно учетке bgates, вместо domain users? Там есть что-то конфиденциальное, или другие пользователи не должны пользоватся RMS?

  2. >>А в чем смысл давать доступ к папке шаблонов конкретно вместо domain users?
    ————————————————

    Отвечаю: Смысл в том, чтобы никто кроме bgates не могу зашифровать документы этими шаблонами, более того, чтобы они их даже не видели. Просто путь к шаблонам прописывается не только через GPO, но и как вариант через реестр клиента.

  3. Я бы сделал через группы, тем более для инструкции лучше использовать best practices ,а не метод быстрого решения проблем.
    Но это так я так, занудствую. Спасибо за статью, следил за всеми частями с интересом. Жаль что тема пока не очень популярная 🙂

  4. Вы знаете, сделать можно несколькими путями. Главное, что когда читаешь возникают вопросы “а можно так или так”. Это важно.

    Следите дальше, будет прикручивание к Exchange и SharePoint. Я срыв покров не общеаю, но небольшие степ-бай-степы будут полезны тем кто не знает с чего начать.

  5. Илья, а теперь бонус. Предлагаю поставить тоже самое на Win2003 и описать переход 🙂 Так сказать, для завершонности темы 🙂

  6. Я пишу только о том, что интересно мне. Ну или большому числу читателей. Мне 2003-й перестал быть интересен сразу после выхода 2008-ого не говоря уже про 2008 R2. Так что я думаю это маловероятно.

    Но ты явно это сказал, потомучто делал и встретил какую то “пятую точку”, вот взял бы и поделился с народом у себя в блоге а заодно и здесь.

  7. Не, мне это еще предстояит 🙂
    И думаю очень многим, ибо у большинства всё-таки Win2003 до сих пор..

  8. Ты знаешь, я подумаю) Если случайно найду 5-7 лишних часов на 2003-й сервер)
    Спасибо за идею.

  9. Спасибо за статьи.
    Есть вопросы.
    1. Нигде не нашел внятного описания, для чего нужен машинный сертификат клиента в системе RMS.
    2. Имеем проблему. Есть шаблон, которым зашифрован пакет документов. Шаблон дает разные права доступа для разных групп. Так вот, удаление пользователя из группы с правами чтения не приводит к прекращению доступа для пользователя.

  10. Интересная тема, только вот задачку такую хитрую поставили, чтобы сами админы не имели доступа к шифрованным данным. Такое реализовать не получится? Я к тому что все равно можно добавить себя в группу у которой есть доступ и увидеть содержимое

  11. Илья, а подскажите, пожалуйста, как найти статьи по интеграции RMS с SharePoint и Exchange, которые вы здесь упоминаете. По тегу AD RMS не находятся, поиск тоже не помог мне…

  12. в дополнение к предыдущему вопросу – также скажу, что в упор не вижу 4й части о Супер Пользователе.
    Только я подошел к актуальноум для меня вопросу…
    Спасибо за ваши труды: кратко, четко, и по темею

  13. Доброго дня.
    Коллеги, столкнулся с багом или фичей: создаю кастомный шаблон, который разрешает reply, но запрещает forward. так вот, при нажатии reply никто не мешает мне заменить исходны адрес на любой другой (фактически делаю forward). С галочками поисграл, но пока не нашел как “засерить” поле “Кому” при ответи. Это возможно только при использовании встроенного шаблона “Не для пересылки”, но он запрещает вообще все, проме просмотра и реплая.
    Как побороть” спасибо