Ваш компьютер не настроен для управления правами на доступ к данным irm outlook

Обновлено: 05.07.2024

  • Open with Desktop
  • View raw
  • Copy raw contents Copy raw contents Loading

Copy raw contents

Copy raw contents

Управление правами на доступ к данным

Применимо к: Exchange Server 2013

Содержание

Понятие утечки информации

Традиционные решения для защиты от утечки информации

IRM в Exchange 2013

Сценарии для защиты IRM

Агенты управления правами на доступ к данным

Требования к управлению правами на доступ к данным

Настройка и тестирование управления правами на доступ к данным

Расширение Rights Management с соединителем Rights Management

Понятие утечки информации

Утечка потенциально конфиденциальных сведений может привести к значительным издержкам организации и оказать существенное влияние на ее бизнес, сотрудников, клиентов и партнеров. Все большую роль в управлении способами хранения, передачи и защиты определенных типов информации играют местные и отраслевые нормативные требования. Чтобы избежать нарушения действующих норм, организациям необходимо обеспечить защиту от преднамеренной, неумышленной или случайной утечки информации.

Ниже приведены некоторые последствия, к которым может привести утечка информации.

Материальный ущерб В зависимости от размера организации, отрасли и местных нормативных требований, утечка информации может привести к финансовым последствиям в результате утраты деловых связей или выплаты штрафов, налагаемых судебными или регулирующими органами. Открытые акционерные компании также подвергаются риску потери рыночной капитализации в результате неблагоприятного освещения ситуации средствами массовой информации.

Потеря конкурентоспособности Потеря конкурентных преимуществ компании является одной из самых больших угроз утечки информации. Раскрытие стратегических планов или сведений о слияниях и приобретениях может привести к потери прибыли или рыночной капитализации. Среди других угроз можно выделить потерю данных исследований, аналитических данных и другой интеллектуальной собственности.

Понятие утечки информации

Традиционные решения для защиты от утечки информации

Несмотря на то что традиционные решения для защиты от утечки информации могут предотвратить начальный доступ к данным, они часто не обеспечивают постоянную защиту. В следующей таблице приведены некоторые традиционные решения и их ограничения.

Шифрование электронной почты

Понятие утечки информации

IRM в Exchange 2013

Приложения, используемые для создания содержимого, должны иметь поддержку службы RMS для обеспечения постоянной защиты содержимого с помощью AD RMS. Приложения Microsoft Office, такие как Word, Excel, PowerPoint и Outlook имеют поддержку RMS и могут использоваться для создания и потребления защищенного содержимого.

Служба IRM помогает:

предотвратить пересылку, изменение, печать, отправку по факсу, сохранение и копирование уполномоченными получателями содержимого, защищенного службой IRM;

предотвратить копирование содержимого, защищенного службой IRM, с помощью средства "Ножницы" в Windows.

Однако служба IRM не может предотвратить копирование сведений следующими методами:

создание снимков экрана с помощью программ сторонних производителей;

фотографирование содержимого, защищенного службой IRM, с экрана с помощью таких устройств, как камеры и фотоаппараты;

запоминание данных пользователем или их запись вручную.

Дополнительные сведения о службе AD RMS см. в статье Службы Active Directory Rights Management.

Шаблоны политики прав службы AD RMS

Дополнительные сведения о шаблонах политики прав см. в статье Особенности использования шаблонов политики AD RMS.

Дополнительные сведения о создании шаблонов политики прав AD RMS см. в статье Пошаговое руководство по развертыванию шаблонов политики прав AD RMS.

Понятие утечки информации

Понятие утечки информации

Сценарии для защиты IRM

Сценарии для защиты IRM описаны в следующей таблице.

Сценарии для защиты IRM

В одном локальном развертывании Exchange 2013

Сведения о требованиях см. в подразделе Требования к управлению правами на доступ к данным далее в этом разделе.

Между различными лесами в локальном развертывании

Между локальным развертыванием Exchange 2013 и организацией Exchange на основе облака

Используйте локальный сервер AD RMS.

Экспортируйте доверенный домен публикации с локального сервера AD RMS.

Импортируйте доверенный домен публикации в организацию на основе облака.

Понятие утечки информации

Понятие утечки информации

Понятие утечки информации

Агенты управления правами на доступ к данным

В Exchange 2013 функции защиты IRM включаются через агенты транспорта в службе транспорта на серверах почтовых ящиков. Агенты IRM устанавливаются программой установки Exchange на сервере почтовых ящиков. Управлять агентами IRM с помощью задач управления для агентов транспорта невозможно.

[!NOTE]
В системе Exchange 2013 агенты IRM являются встроенными агентами. Встроенные агенты не включаются в список агентов, возвращаемых командлетом Get-TransportAgent. Дополнительные сведения см. в разделе Агенты транспорта.

В следующей таблице перечислены агенты IRM, действующие в службе транспорта на серверах почтовых ящиков.

Агенты IRM в службе транспорта на серверах почтовых ящиков

Агент расшифровки RMS

OnEndOfData (SMTP) и OnSubmittedMessage

Агент правил транспорта

Агент шифрования RMS

Агент предварительного лицензирования

Агент расшифровки отчетов журнала

Дополнительные сведения об агентах транспорта см. в разделе Агенты транспорта.

Понятие утечки информации

Требования к управлению правами на доступ к данным

Для реализации управления правами на доступ к данным в организации Exchange 2013 развертывание должно соответствовать требованиям, описанным в следующей таблице.

Требования к управлению правами на доступ к данным

Операционная система Требуется Windows Server 2012, Windows Server 2008 R2 или Windows Server 2008 с пакетом обновления 2 (SP2) и исправлением роль служб управления правами Active Directory в Windows Server 2008.

Разрешения Разрешения на чтение и выполнение в конвейере сертификации сервера AD RMS (файл ServerCertification.asmx на серверах AD RMS) должны назначаться:

группе серверов Exchange или отдельным серверам Exchange;

группе службы AD RMS на серверах AD RMS.

По умолчанию файл ServerCertification.asmx расположен в папке \inetpub\wwwroot\_wmcs\certification\ на серверах AD RMS. Дополнительные сведения см. в статье Задание разрешений в конвейере сертификации сервера AD RMS.

Суперпользователи AD RMS. Для включения функций расшифровки транспорта и отчетов журнала, управления правами на доступ к данным в приложении Outlook Web App и в службе поиска Exchange необходимо добавить федеративный почтовый ящик, системный почтовый ящик, созданный при установке Exchange 2013, в группу суперпользователей в кластере AD RMS. Дополнительные сведения см. в разделе Добавление федеративного почтового ящика в группу суперпользователей службы управления правами Active Directory.

Требуется сервер Exchange 2010 или более поздней версии.

Правила защиты Outlook являются функцией Exchange 2010 и Outlook 2010. Предыдущие версии Outlook не поддерживают эту функцию.

[!NOTE]
Термин кластерAD RMS относится к развертыванию AD RMS в организации, в том числе к развертыванию одного сервера. Служба управления правами Active Directory является веб-службой. Установка отказоустойчивого кластера Windows Server не требуется. Чтобы обеспечить высокий уровень доступности и балансировку нагрузки, в кластере можно развернуть несколько серверов AD RMS и использовать балансировку сетевой нагрузки.

[!IMPORTANT]
В производственной среде установка службы AD RMS и сервера Exchange на одном сервере не поддерживается.

Функции управления правами на доступ к данным в Exchange 2013 поддерживают форматы файлов Microsoft Office. Можно распространить защиту IRM на файлы других форматов за счет развертывания пользовательских средств защиты. Дополнительные сведения см. в статье Независимые поставщики программных продуктов.

Понятие утечки информации

Настройка и тестирование управления правами на доступ к данным

После настройки сервера Exchange 2013 можно выполнить комплексную проверку развертывания управления правами на доступ к данным с помощью командлета Test-IRMConfiguration. Используемые тесты позволяют проверять функциональные возможности IRM сразу после первоначальной настройки IRM и на постоянной основе. Этот командлет выполняет следующие тесты.

Проверяет конфигурацию IRM для организации Exchange 2013.

Проверяет сервер AD RMS для получения сведений о версии и исправлениях.

Проверяет возможность активации сервера Exchange для службы управления правами путем получения сертификата учетной записи прав и клиентского сертификата лицензиара (CLC).

Получает шаблоны политики прав AD RMS с сервера AD RMS.

Получает для указанного получателя лицензию на использование суперпользователя.

Получает для указанного получателя предварительную лицензию.

Понятие утечки информации

Расширение Rights Management с соединителем Rights Management

Дополнительные сведения о соединителе RMS и его установке см. в статье Соединитель Rights Management.

Основные положения и определения
Управление правами (Microsoft® Windows® Rights Management, RM) – это новая технология принудительного использования политик для платформы Windows, которая обеспечивает более высокую степень защиты информации на уровне файлов. Эта технология усиливает имеющиеся решения защиты периметра информационной системы.

Служба управления правами (Windows Rights Management Services, RMS) представляет собой специальную службу Windows Server 2003, которая позволяет использовать RM-совместимые приложения, такие как Office 2003, для назначения и обязательной проверки прав, которые были определены для доступа к информации и ее использования.

Управление правами на доступ к данным (Information Rights Management, IRM) расширяет возможности использования технологии RM в Microsoft® Office 2003. Для использования IRM в Office 2003 необходимо наличие в организации работающей службы RMS на сервере Windows Server 2003. Если служба RMS не установлена в организации, то необходимо воспользоваться службой Microsoft.

IRM расширяет возможности основной технологии для платформы Microsoft Windows, которая называется Windows Rights Management. RM является технологией принудительного применения политик, которая используется приложениями для обеспечения защиты конфиденциальной и важной информации предприятия независимо от того, где эта информация используется. В соответствии с требованиями по улучшению защиты информации, выдвигаемыми потребителями, Microsoft разработала технологию RM в качестве расширяемой платформы, способной на интеграцию с приложениями сторонних производителей, а также с Office 2003.

Функциональные возможности IRM в Office 2003 можно задействовать двумя способами. Корпорация Microsoft предоставляет в распоряжение домашних пользователей, а также организаций, у которых не установлена их собственная служба Windows RMS на сервере Windows Server 2003, соответствующую Интернет-службу (в течение ограниченного времени). Используя имеющийся у них электронный паспорт для проверки подлинности в данной службе, такие пользователи могут использовать все основные возможности IRM для защиты своей важной информации. Другой способ заключается в настройке собственной службы RMS в вычислительной инфраструктуре организации, что позволяет организации получить полный контроль над использованием функциональных возможностей IRM в Office 2003.

Для того чтобы можно было рассмотреть все возможности технологии IRM, в данном документе предполагается, что в организации установлена служба RMS. После описания основных преимуществ использования технологии IRM в данном документе описываются особые случаи ее применения в приложениях Office 2003, рассматривается общая архитектура IRM, а также ее развертывание.

Для ИТ-менеджеров IRM предоставляет возможность принудительного применения используемых на предприятии политик с целью обеспечения конфиденциальности информации. В интересах управляющих высшего ранга и сотрудников безопасности использование этой технологии позволяет уменьшить риск попадания важной информации компании в руки посторонних лиц, независимо от того, произошло ли это случайно по неосмотрительности или это было сделано преднамеренно.

Использование технологии IRM в Office 2003
Основные функциональные возможности IRM в Office 2003 опираются на потенциал службы управления правами Windows Rights Management Services. Однако, IRM представляет собой полностью интегрированное в приложения Office 2003 решение, использующееся в качестве простого дополнения к тому процессу создания документов и совместной работы с ними, с которым пользователи уже знакомы.

Использование IRM
Технология защиты с помощью IRM разработана таким образом, чтобы ее можно было просто применять и в то же время, чтобы она была незаметна для конечных пользователей. Для защиты документов Office 2003 служащие действуют точно так же, как и в случае работы с обычной цифровой информацией. Использование IRM состоит из трех основных этапов:

• Создание.
Автор создает документ в приложении Office 2003, щелкает по кнопке Разрешения (Не распространять) (Permission), расположенной на панели инструментов, и указывает имена пользователей или групп, которым доступ к документу разрешен, а также определяет действия, которые они могут выполнять: редактирование, печать или только просмотр. В фоновом режиме приложение обращается к RMS-серверу для применения соответствующих ограничений к файлу.

• Использование.
Получатель открывает документ или файл так же, как он делал это ранее. Незаметно для пользователя приложение связывается с RMS-сервером для определения полномочий, которыми обладает получатель. RMS-сервер проверяет пользователя и в том случае, если у пользователя имеется достаточно прав на использования этого документа, выдает ему лицензию на использование. Приложение отображает файл и предоставляет пользователю возможность выполнять все действия, которые ему разрешены.

Использования технологии IRM в Excel 2003, Word 2003 и PowerPoint 2003
Как уже было отмечено ранее, при защите документов Office 2003 соответствующие права можно назначать либо для отдельно взятых пользователей, либо для групп (для использования разрешений на основе групп, которые можно было бы расширять, необходимо наличие Active Directory®). Каждому пользователю или группе могут быть предоставлены определенные полномочия, в соответствии с теми правами, которые определил для них владелец документа: право на Чтение (Read), Изменение (Change) или Полный доступ (Full Control). В соответствии с предоставленными получателю полномочиями IRM отключает ряд команд, чем обеспечивается принудительное введение необходимых ограничений. Кроме того, владельцы документов могут запрещать их печать, а также указывать дату окончания действия полномочий на работу с документом. После этой даты документ не будет удален, однако, открыть его сможет только владелец.

Поскольку другие компании могут установить другие сроки перехода на использование Office 2003, данная надстройка также будет играть важную роль при взаимодействии с этими деловыми партнерами. Компании, которые хотят использовать все преимущества создания защищенных документов с помощью IRM, уже могут перейти на использование Office 2003, зная, что пользователи с помощью этой надстройки смогут воспользоваться защищенными документами даже в том случае, если у них не установлен Office 2003.

Учтите, что с помощью этой надстройки можно открывать только те защищенные документы, в которых включено HTML-представление содержимого.

Обзор развертывания
В следующих разделах описываются основные условия развертывания, такие как требования к инфраструктуре.

Для использования IRM необходимо наличие:

• Службы управления правами (Windows Rights Management Services, RMS), запущенной на сервере под управлением Windows Server 2003.

• Обновления Rights Management Update для клиента Windows.

• Office 2003 или RM-совместимого приложения сторонних разработчиков.

Развертывание IRM
Основные шаги, необходимые для развертывания IRM в целях использования всех функциональных возможностей этой технологии в Office 2003, соответствуют тем трем требованиям, которые были указаны выше:

1. Подача заявки для сервера.
Сначала ИТ-менеджер должен «активировать» RMS-сервер.

2. Настройка клиентов Office 2003.
Затем на клиентских компьютерах ИТ-администратор должен установить обновление Rights Management Update.

3. Активация клиентского компьютера.
RMS-сервер выступает в роли посредника для каждого компьютера, загружая для них уникальный код с центрального сервера активации компьютеров. Это позволит пользователям, работающим на данном компьютере, создавать и использовать защищенные материалы.

4. Подача заявки для пользователя.
Служащие получают сертификат учетной записи от RMS-сервера (пройдя проверку подлинности NT или проверку подлинности паспорта). Это последний шаг, необходимый для дальнейшего создания и использования защищенной информации.

Служба IRM корпорации Microsoft
Некоторое ограниченное время Microsoft будет предоставлять возможность использования службы IRM для тех потребителей, у которых нет собственного сервера с установленной службой управления правами Windows Rights Management Services. При использовании данной службы пользователи смогут совместно использовать защищенные документы, используя для проверки подлинности паспорт Microsoft, вместо проверки в Active Directory. Учтите, что пользователи, которые используют данную службу, не смогут создавать особые шаблоны прав, такие как «Конфиденциальная информация компании» ("Company Confidential"), описанный ранее.

Заключение
В данном документе описывалась технология управления правами на доступ к данным (IRM), которая в Office 2003 использует все возможности службы управления правами (Windows Rights Management Services) Windows Server 2003.

Дополнительная информация
Для получения дополнительной информации посетите следующие веб-узлы:

Надстройка «Управление правами» для обозревателя Internet Explorer Rights Management Add-on for Internet Explorer (EN).

Для настройки IRM перейдите в центр администрирования Office 365 Admin Center на своем клиентском портале. Разверните слева настройки служб и выберите управление правами. На средней панели выберите управление, чтобы получить перенаправление на новую страницу с возможностью активного управления правами (см. экран 1).

Настройка IRM
Экран 1. Настройка IRM

В портале управления правами выберите activate, чтобы включить управление правами. Подробнее о дополнительных возможностях будет рассказано в следующей статье, в разделе об RMS.

Появится приглашение ввести учетные данные глобального администратора Office 365 (см. экран 2).

Запрос на учетные данные глобального администратора Office 365
Экран 2. Запрос на учетные данные глобального администратора Office 365

После подключения к WAAD необходимо ввести две команды PowerShell, чтобы завершить настройку IRM. Прежде всего, нужно указать место для обмена ключами в сети. Для этого выполните одну из следующих команд в зависимости от местонахождения клиента Office 365.

После того, как задано место для обмена ключами, необходимо импортировать доверенный домен публикации (TPD). Выполните следующую команду

Последний шаг требует активации внутренней лицензии IRM. Выполните команду:

Новое транспортное правило
Экран 3. Новое транспортное правило

Открытие зашифрованного вложения
Экран 6. Открытие зашифрованного вложения

Запрос одноразового пароля
Экран 7. Запрос одноразового пароля

Ввод одноразового пароля
Экран 8. Ввод одноразового пароля

Управление правами на доступ к данным Information Rights Management (IRM)

Порой в управлении правами на доступ к данным сложно разобраться из-за разнообразия возможных комбинаций. В данной статье речь идет об IRM в Exchange Online. Следует отметить, что как локальный экземпляр Active Directory, так и Azure Active Directory могут использоваться в целях установки RMS для IRM, но мы рассматриваем только установку IRM с Azure AD RMS.

Стандартная процедура настройки IRM в Exchange Online позволяет использовать три готовых шаблона.

Если эти шаблоны не полностью соответствуют нуждам компании, можно подключить локальный экземпляр AD RMS к клиенту Office 365 и использовать собственные шаблоны. Однако это трудоемкая настройка и здесь мы ее рассматривать не будем.

Процесс настройки IRM для клиента Exchange Online довольно прост. В портале Office 365 перейдите к Admin > Service Settings > Rights Management («Администратор» > «Параметры службы» > «Управление правами») и выберите Manage («Управление») на центральной панели мониторинга. Вы будете перенаправлены на веб-сайт Azure (повторный вход не требуется), где найдете панель мониторинга примерно такого вида, как на экране 9.

Настройка IRM для клиента Exchange Online
Экран 9. Настройка IRM для клиента Exchange Online

Прежде чем перейти к кнопке Advanced features («Дополнительные параметры»), следует выполнить два действия, необходимых для подготовки к работе стандартных шаблонов.

После подключения к WAAD нужно ввести две команды PowerShell для завершения настройки IRM. Сначала необходимо указать место для обмена ключами в сети. Для этого выполните одну из команд в зависимости от местонахождения клиента Office 365.

Следующий шаг после того, как задано место для обмена ключами — импортировать доверенный домен публикации (TPD). Выполните следующую команду

Последний шаг — активировать внутреннюю лицензию IRM. Выполните следующую команду

Правильность настроек можно проверить с помощью команды Test-IRMConfiguration на клиенте Exchange Online.

Теперь три стандартных шаблона готовы к использованию в Exchange Online. Их можно применять как из поддерживаемых версий Outlook, так и из OWA.

В следующей статье я расскажу о дополнительных возможностях, доступных с помощью кнопки Advanced features, и покажу, как создать собственные специализированные шаблоны IRM, не подключаясь к локальному экземпляру Active Directory.


Особенности

Прелесть службы управления правами на информацию заключается в том, что после того, как разрешения для файла были ограничены с его использованием, ограничения на доступ к файлу и его использование будут строго соблюдаться и будут всегда, так как разрешения содержатся в самом файле.

IRM может помочь организациям в реализации их корпоративной политики, регулирующей контроль и распространение конфиденциальной или частной информации. Microsoft Office позволяет организациям хранить конфиденциальную и секретную информацию при себе. Тем не менее, IRM не гарантирует, что Контент будет удален, украден или захвачен и передан вредоносными программами, такими как троянские программы, средства регистрации нажатий клавиш и некоторые типы шпионских программ.

Microsoft предоставляет бесплатную службу IRM, доступ к которой вы можете получить, используя свою учетную запись Microsoft или Windows Live ID. Конфиденциальные данные никогда не будут сохранены или отправлены в Microsoft. Ваши учетные данные и другая соответствующая информация отправляется в службу, но не сохраняется.

Используя IRM, вы можете защитить файлы Word, Excel и PowerPoint. В качестве примера, позвольте мне показать вам, как вы можете использовать IRM в PowerPoint. Нажмите на изображение, чтобы увидеть увеличенные версии.

Управление правами на информацию в PowerPoint

  • Откройте Microsoft PowerPoint
  • Нажмите на вкладку Файл, а затем на вкладку Информация.


  • Затем нажмите «Защитить презентацию» -> «Ограничить доступ пользователей» -> «Ограниченный доступ».



  • Выберите вариант «Да», после чего появится окно «Право Windows». Выберите соответствующий вариант.


  • После заполнения учетных данных вы должны увидеть окно Выбрать компьютер, введите .


  • Вскоре вы увидите последнее окно, в котором вас попросят добавить/удалить пользователей.


  • Теперь вам будет предложено установить разрешение для документа.


Нажмите OK, и все настройки будут сохранены.

Сообщите нам, как найти этот совет для ограничения доступа к вашим документам.

Читайте также: