2012年1月18日 星期三

架設 Active Directory Rights Management Services (AD RMS)保護企業內部資料

Active Directory Rights Management Services(AD RMS)可以持續使用原則來保護企業內的文件,不管文件移到企業內的何處,存取原則都和資訊保存在一起,讓沒有權限的使用者無法讀取、複製、編輯或是列印保護的文件檔案,另一方面,AD RMS也可以限制電子郵件收件者無法轉寄郵件,簡言之,使用 AD RMS 將可以確保整個企業資訊環境下,需要保護的資訊絕對不會被未經授權者執行未經權的動作。

安裝 AD RMS準備條件

安裝 AD RMS 角色需要一些準備條件,符合安裝的條件如下表說明:

Active Directory目錄服務 AD RMS必需要Active Directory目錄服務環境下運作,所以安裝AD RMS的機器必需是網域內的成員伺服器
Active Directory憑證服務 架設好一部 Active Directory 企業憑證授權單位(Enterprise CA),用以發行AD RMS所需的使用者憑證和電腦憑證。
AD RMS 服務帳戶 預先建立一個網域使用者帳戶以做為 AD RMS的服務帳戶,而這個服務帳戶與安裝AD RMS的帳戶不能是相同帳戶
AD RMS 安裝帳戶 預先建立好第二個A網域使用者帳戶以便用來安裝AD RMS,此帳戶必需加入本機 Administrators群組成員以及Enterprise Admins群組的成員
SQL Server 最好先建立一部 SQL 2005的伺服器,而且AD RMS的服務帳戶在資料庫上必須具有 system admin的角色,將來所有需要保護的文件資訊將會儲放在SQL資料庫中。如果無法預先準備一部 SQL伺服器,也可以使用內建的Internal Database,不過Internal Database無法支援遠端連線,所以如果使用Internal Database就無法架設第二部RMS伺服器,所以除非測試用途或小型網路環境,否則並不建議使用。 此外,如果打算使用SQL Server則安裝的使用者帳戶必須是系統管理員資料庫角色成員或具有同等權限
支援 AD RMS應用程式的用戶端 使用者需使用可支援AD RMS的應用程式才可以建立、編織或設定需要保護的文件檔案。Microsoft Office System - Word, Excel, PowerPoint, Outlook應是最常見和典型的AD RMS所使用的應用軟體。

下圖說明了一個最基本的AD RMS 環境架構。

adrms_arch

安裝 AD RMS步驟與說明

當您已經準備好了Active Directory目錄服務,企業類型憑證授權單位,SQL 2005版本以上伺服器(選擇性)後,就可以開始在一部已加入網域的Windows Server 2008 R2成員伺服器上開始進行安裝動作:

  1. 啟動『伺服器管理員』,按一下【新增角色】,並在出現的【新增角色精靈程式】上選取【Active Directory Rights Management Services 】角色,畫面將會出現要新增【Active Directory Rights Management Services 所需的角色服務與功能嗎?】對話方塊,請按【新增所需的角色服務】按鈕,然後再按【下一步】繼續。
    adrms2
  2. 接下來,為了簡化緣故,並不整合識別身分同盟功能,所以只核選【Active Directory Rights Management Server】服務。
    adrms3
  3. 接下來,您需要建立或加入AD RMS叢集。 
    所謂AD RMS 叢集乃是執行 AD RMS 的單一伺服器,或是共同分擔 AD RMS 用戶端所提出之 AD RMS 發行和授權要求的一組伺服器。
    AD RMS叢集有兩種類型:
    根叢集(root cluster):根叢集會處理所有的憑證和授權要求,Active Directory 樹系中的第一部 AD RMS 伺服器必需是根叢集。
    僅授權叢集(Licensing-only clusters):在複雜環境中,除了根叢集之外,還可以建立僅授權叢集,僅授權叢集只會處理授權要求。
    在此由於是樹系內的第一部AD RMS,所以只能選擇建立AD RMS叢集。
    adrms4
  4. 選擇使用Internal Database或是SQL Server (需SQL 2005版以上),這個AD RMS 資料庫伺服器將會儲存設定、記錄和目錄服務資訊,以供 AD RMS 使用。 在本例由於是測試環境,所以直接接受預設的Windows Internal Database。不過如果是企業組織直正應用的RMS線上系統,則建議採用SQL Server,因為微軟的Internal Database並不支援遠端連線能力,使用Internal Database將令您無法在AD RMS叢集內加入第二部伺服器。
    adrms5
  5. 請輸入用來啟動AD RMS服務的服務帳戶名稱與密碼,而此網域使用者服務帳戶不能夠是安裝AD RMS的同一個帳戶。
    adrms6
  6. 設定AD RMS金鑰儲存方式,接受預設的【使用AD RMS集中管理的金鑰儲存】選項,然後在次頁指定叢集金鑰密碼,當日後需要新增其它AD RMS至此叢集時,就需要這個密碼,而AD RMS也將利用叢集金鑰來簽署所發放的憑證與授權。
    adrms7
    adrms8
  7. 接下來,選擇IIS的預設的網站做為預設的叢集網站,然後按【下一步】繼續。
    adrms9
  8. 選擇AD RMS叢集的連線類型(建議使用SSL加密連線類型)並輸入完整的連線FQDN,然後再按一下【驗證】按鈕。
    adrms10
  9. 若使用SSL加密連線方式,接下來需要選取SSL所使用的伺服器憑證,建議事先申請並下載一個合格有效的SSL憑證以便可以直接加以選取,基於安全性理由,並不建議使用自我簽署的憑證。
    adrms11
  10. AD RMS叢集內的第一部伺服器需要自動建立一個伺服器授權人憑證(Server Licensor Certificate;SLC)以便可以對用戶端發放憑證與授權,而日後加入此叢集的其它AD RMS伺服器也將會共用這個SLC憑證,所以您需要替此SLC提供一個可以識別的名稱,在此您可以直接接受預設的授權人憑證名稱。
    adrms12
  11. 接下來,您需要將此部AD RMS伺服器的服務連接點在Active Directory目錄上登錄,以讓用戶端可以經由Active Directory目錄服務查詢到此部伺服器,所以請立即登錄AD RMS服務連線點(SCP)。
    adrms13
  12. 最後於IIS簡介後,直接接受預設所選擇的IIS角色服務後,然後確認所有選項無誤之後,即可按【安裝】以開始執行安裝AD RMS角色及相關服務。
    adrms14
     
  13. 一旦安裝完成,提示您必需重新登入後才能開始管理AD RMS。

    adrms15

用戶端使用 AD RMS

一旦企業網路架設AD RMS後,企業組織內的使用者用戶如何透過它來保護文件檔案,本節將示範使用者 david撰寫後的文件,希望只能夠讓mary二人可以閱讀其內容,但將限制無法變更、複製與列印此文件,整個AD RMS的測試工作分成三個階段。

  1. 使用者david 使用Office設定其文件保護工作並將其存放在共用資料夾內。
  2. 使用者mary登入網域存取文件 (驗證授權和非授權動作)
  3. 利用第三個使用者登入網域,確認其無法存取文件。
使用者若要利用AD RMS來發行和讀取受保護的文件,其Active Directory使用者物件的電子郵件屬性不能為空白,如果公司Active Directory樹系內已經部署了Microsoft Exchange Server,則此電子郵件屬性應已自動填入了正確的Exchange信箱郵件位址而不成問題,但若您並沒有架設Exchnage Server,則您需要替使用者物件手動填入電子郵件屬性。
adrmsuser

使用者david 使用Microsoft Word 2010設定其文件保護工作並將其存放在共用資料夾內

  1. 為了使用受權限保護的文件內容,您必須先將 AD RMS 叢集的 URL 網止新增至「近端內部網路」安全性區域。(您需要將所有使用受權限保護內容的使用者,新增 AD RMS 叢集 URL 至「近端內部網路」安全性區域,一個較簡便的方式是透過群組原則來強制設定)
    adrms_client1
  2. 請利用任何一部網域內的Windows 7電腦,以網域使用者帳戶david的身份登入網域。
  3. 請啟動Microsoft Word 2010 程式。 
  4. 選取【檔案】功能表內的【資訊—>保護文件—>依人員限制權限—>限制存取】選項。
    adrms_client2
  5. 於【權限】對話方塊上,勾選【限制此文件的權限】,並依序按【讀取】與【變更】按鈕以新增允許閱讀和更改此文件的使用者,然後按【其他選項】按鈕。
    adrms_client3
  6. 其它權限包括了是否可以列印、可否複製、是否有文件到期日、是否需以程式存取文件內容等。一旦按【確定】完成權限指定後,您可以在【保護文件】按鈕右側看到權限字樣。
    adrms_client4

    adrms_client5
  7. 接下來,請在【檔案】功能表內,選取【另存新檔】並將其儲存到使用者可以存取的共用資料夾。
    adrms_client6
  8. 日後,如果需要變更權限,則可由文件上頭的黃色橫幅中的【變更權限】按鈕來重新變更使用者存取限制。
    adrms_client7

 

使用者mary使用Microsoft Word 2010存取受保護的文件

  1. mary登入網路
  2. 啟動Microsoft Word 2010
  3. 利用UNC方式(\\srv1\docs)開啟共用資料夾內保護的文件,您將會看到如下的對話方塊,提示將連接至AD RMS伺服器以驗證使用者資訊,請按【確定】按鈕繼續。
    adrms_client8
  4. 一旦通過驗證,就會看到如下的文件,由Word的文件視窗中可以知道是一份受保護的文件,使用者可以按一下黃色橫幅內的【檢視權限】按鈕以了解您所擁有的權限,在此對話方塊內,您也可以變更並利用其它使用者身份來存取文件,若有必畏也可以傳送電子郵件的方式來要求文件授權者給予其它必要的權限。
    adrms_client9
    另一方面,由於本帳戶mary只能夠單純的閱讀文件而已,所以Word的複製、剪下和列印功能均會呈現灰色而無法使用,當然也無法編輯或變更文件
    adrms_client10 

使用未經任何授權使用者帳戶存取保護的文件

若有任何未經授權的使用者企圖存取此一保護的文件檔案,將會出現如下圖所示的錯誤。

adrms_client11