Gerenciamento de Direitos de Informação
Aplica-se a: Exchange Server 2013
Todos os dias, funcionários que lidam com informações usam emails para trocar informações importantes, como relatórios e dados financeiros, contratos, informações confidenciais de produtos, relatórios e projeções de vendas, análises da concorrência, informações de pesquisas e patentes e informações sobre clientes e empregados. Como as pessoas podem acessar seus emails de praticamente qualquer lugar, as caixas de correio se transformaram em repositórios contendo grandes quantidades de informações potencialmente confidenciais. Como resultado, o vazamento de informações pode ser uma séria ameaça para as organizações. Para evitar o vazamento de informações, o Microsoft Exchange Server 2013 inclui recursos de Gerenciamento de Direitos de Informação (IRM) que oferecem proteção persistente online e offline de mensagens e anexos de email.
O que é o vazamento de informações?
O vazamento de informações potencialmente confidenciais pode ser oneroso para uma organização e ter um amplo impacto na organização e em seus negócios, funcionários, clientes e parceiros. Regulamentos locais e industriais controlam, cada vez mais, como certos tipos de informações são armazenadas, transmitidas e protegidas. Para não violar as regulamentações aplicáveis, as organizações devem se proteger contra vazamentos intencionais, inadvertidos e acidentais de informações.
Estas são algumas conseqüências do vazamento de informações:
Danos financeiros: dependendo da dimensão, da indústria e dos regulamentos locais, a fuga de informação pode resultar num impacto financeiro devido à perda de negócios ou devido a multas e indemnizações punitivas impostas por tribunais ou autoridades reguladoras. As companhias de capital aberto também se arriscam a perder valor no mercado, devido à cobertura negativa na mídia.
Danos à imagem e credibilidade: a fuga de informações pode prejudicar a imagem e a credibilidade de uma organização junto dos clientes. Mais do que isso, dependendo da natureza das informações, os emails vazados podem ser uma fonte de embaraços para o remetente e a organização.
Perda de vantagem competitiva: uma das ameaças mais graves da fuga de informação é a perda de vantagem competitiva nos negócios. A divulgação de planos estratégicos ou de informações de fusão e aquisição pode potencialmente levar a perda de lucros ou capitalização no mercado. Outras ameaças incluem a perda de informações de pesquisa, dados analíticos e outra propriedade intelectual.
Soluções tradicionais para vazamento de informações
Apesar de as soluções tradicionais para vazamento de informações poderem proteger o acesso inicial a dados, elas frequentemente não oferecem proteção constante. A tabela a seguir lista algumas das soluções tradicionais e suas limitações.
Soluções tradicionais
| Solução | Descrição | Limitações |
|---|---|---|
| Transport Layer Security (TLS) | O TLS é um protocolo padrão da Internet utilizado para proteger as comunicações através de uma rede através de encriptação. Num ambiente de mensagens, o TLS é utilizado para proteger as comunicações servidor/servidor e cliente/servidor. Por predefinição, o Exchange 2010 utiliza o TLS para todas as transferências de mensagens internas. O TLS oportunista também está ativado por predefinição para sessões com anfitriões externos. O Exchange tenta primeiro utilizar a encriptação TLS para a sessão, mas se não for possível estabelecer uma ligação TLS com o servidor de destino, o Exchange utiliza SMTP. Também pode configurar a segurança do domínio para impor o TLS mútuo com organizações externas. |
O TLS protege apenas a sessão SMTP entre dois anfitriões SMTP. Por outras palavras, o TLS protege as informações em movimento e não fornece proteção ao nível da mensagem ou para informações inativas. A menos que as mensagens sejam encriptadas com outro método, as mensagens nas caixas de correio do remetente e dos destinatários permanecem desprotegidas. Para e-mails enviados fora da organização, só pode exigir TLS para o primeiro salto. Depois de um anfitrião SMTP remoto fora da sua organização receber a mensagem, pode reencaminhar para outro anfitrião SMTP numa sessão não encriptada. Uma vez que o TLS é uma tecnologia de camada de transporte, não pode fornecer controlo sobre o que o destinatário faz com a mensagem. |
| Encriptação de correio eletrónico | Os utilizadores podem utilizar tecnologias como S/MIME para encriptar mensagens. | Os utilizadores decidem se uma mensagem é encriptada. Existem custos adicionais de uma implementação de infraestrutura de chaves públicas (PKI), com a sobrecarga associada da gestão de certificados para os utilizadores e a proteção de chaves privadas. Após a desencriptação de uma mensagem, não existe controlo sobre o que o destinatário pode fazer com as informações. As informações desencriptadas podem ser copiadas, impressas ou reencaminhadas. Por predefinição, os anexos guardados não estão protegidos. As mensagens encriptadas através de tecnologias como S/MIME não podem ser acedidas pela sua organização. A organização não pode inspecionar o conteúdo da mensagem e, portanto, não pode impor políticas de mensagens, analisar mensagens de vírus ou conteúdo malicioso ou efetuar qualquer outra ação que exija o acesso ao conteúdo. |
Finalmente, as soluções tradicionais geralmente não têm as ferramentas de imposição que aplicam as políticas de mensagens uniformes para evitar o vazamento de informações. Por exemplo, um usuário envia uma mensagem contendo informações importantes e a marca como Confidencial da empresa e Não encaminhar. Após a mensagem ser entregue ao destinatário, o remetente ou a organização não tem mais controle sobre as informações. O destinatário pode encaminhar a mensagem, propositalmente ou não (usando recursos como regras de encaminhamento automático) para contas de email externas, expondo sua organização a grandes riscos de vazamento de informações.
IRM no Exchange 2013
No Exchange 2013, você pode usar os recursos de IRM para aplicar proteção persistente para as mensagens e anexos. O IRM usa o Active Directory Rights Management Services (AD RMS), uma tecnologia de proteção de informações do Windows Server 2008 e versões posteriores. Com os recursos de IRM no Exchange 2013, sua organização e seus usuários podem controlar os direitos que os destinatários têm para email. O IRM também ajuda a proteger ou restringir as ações do destinatário, como encaminhar uma mensagem para outros destinatários, imprimir uma mensagem ou anexo ou extrair conteúdo da mensagem ou do anexo via copiar-e-colar. A proteção IRM pode ser aplicada pelos utilizadores no Microsoft Outlook ou no Microsoft Office Outlook Web App ou pode ser baseada nas políticas de mensagens da sua organização e aplicada através de regras de proteção de transporte ou regras de proteção do Outlook. Ao contrário de outras soluções de criptografia de emails, o IRM também permite que a sua organização descriptografe conteúdo protegido, para impor a conformidade com as diretivas.
O AD RMS usa certificados e licenças baseados em XrML (eXtensible Rights Markup Language) para certificar computadores e usuários e para proteger conteúdo. Quando conteúdo, como um documento ou uma mensagem, é protegido com AD RMS, é anexada uma licença XrML contendo os direitos que os usuários autorizados têm para o conteúdo anexado. Para acessar o conteúdo protegido por IRM, os aplicativos habilitados para AD RMS devem conseguir uma licença de uso para o usuário autorizado do cluster AD RMS.
Observação
No Exchange 2013, o agente de pré-licenciamento anexa uma licença de uso a mensagens protegidas usando o cluster AD RMS na sua organização. Para mais informações, consulte Pré-licenciamento, posteriormente neste tópico.
Os aplicativos usados para criar conteúdo devem estar habilitados para RMS, para aplicar proteção persistente a conteúdos usando AD RMS. Aplicativos do Microsoft Office, como Word, Excel, PowerPoint e Outlook, são habilitados para RMS e podem ser usados para criar e consumir conteúdo protegido.
O IRM ajuda a fazer o seguinte:
- Evitar que um destinatário autorizado de conteúdo protegido por IRM encaminhe, modifique, imprima, envie por fax, salve ou copie-e-cole o conteúdo.
- Proteger os formatos de arquivos anexos suportados com o mesmo nível de proteção da mensagem.
- Suportar a expiração das mensagens e anexos protegidos por IRM, para que eles não possam mais ser exibidos após o período especificado.
- Evitar que conteúdo protegido por IRM seja copiado usando a Ferramenta de Captura no Microsoft Windows.
No entanto, o IRM não pode impedir que informações sejam copiadas usando estes métodos:
- Programas de captura de tela de terceiros
- Uso de dispositivos de imagem, como câmeras, para fotografar o conteúdo protegido por IRM exibido na tela
- Usuários lembrando ou transcrevendo manualmente as informações
Para mais informações sobre o AD RMS, consulte Active Directory Rights Management Services.
Modelos de políticas de direitos do AD RMS
O AD RMS usa modelos de diretiva de direitos baseados em XrML para permitir que aplicativos habilitados para IRM apliquem diretivas de proteção consistentes. No Windows Server 2008 e posteriores, o servidor do AD RMS expõe um servidor da Web que pode ser usado para enumerar e adquirir modelos. O Exchange 2013 vem com o modelo Não encaminhar. Quando o modelo Não Encaminhar é aplicado a uma mensagem, somente os destinatários da mensagem podem descriptografá-la. Os destinatários não podem encaminhar a mensagem, copiar conteúdo dela ou imprimi-la. Você pode criar mais modelos RMS no servidor do AD RMS, na sua organização, para cumprir os requisitos de proteção do IRM.
A proteção de IRM é aplicada, aplicando-se um modelo de diretiva de direitos do AD RMS. Usando modelos de diretiva, você pode controlar as permissões que os destinatários têm sobre uma mensagem. Ações como responder, responder a todos, encaminhar, extrair informações de uma mensagem, salvar uma mensagem ou imprimir uma mensagem podem ser controladas, aplicando-se o modelo de política de direitos apropriada à mensagem.
Para mais informações sobre modelos de políticas de direitos, consulte Considerações sobre Modelos de Políticas do AD RMS.
Para mais informações sobre criar modelos de políticas de direitos do AD RMS, consulte Guia Passo a Passo Criando e Implantando Modelos de Políticas de Direitos do Active Directory Rights Management Services.
Aplicar proteção IRM a mensagens
No Exchange 2010, a proteção IRM pode ser aplicada às mensagens através dos seguintes métodos:
Manualmente pelos utilizadores do Outlook: os seus utilizadores do Outlook podem proteger mensagens com IRM com os modelos de política de direitos do AD RMS disponíveis para os mesmos. Este processo utiliza a funcionalidade IRM no Outlook e não no Exchange. No entanto, pode utilizar o Exchange para aceder a mensagens e pode efetuar ações (como aplicar regras de transporte) para impor a política de mensagens da sua organização. Para obter mais informações sobre como utilizar a IRM no Outlook, consulte Introdução à IRM para mensagens de e-mail.
Manualmente pelos utilizadores do Outlook Web App: quando ativa a IRM no Outlook Web App, os utilizadores podem proteger mensagens protegidas por IRM que enviam e ver mensagens protegidas por IRM que recebem. Na Atualização Cumulativa 1 (CU1) do Exchange 2013, os usuários do Outlook Web App também podem exibir os anexos protegidos por IRM usando a Exibição de Documento Webready. Para obter mais informações sobre IRM no Outlook Web App, consulte Gerenciamento de direitos de informação no Outlook Web App.
Manualmente pelos utilizadores de dispositivos Windows Mobile e Exchange ActiveSync: na versão de fabrico (RTM) do Exchange 2010, os utilizadores de dispositivos Windows Mobile podem ver e criar mensagens protegidas por IRM. Isso requer que os usuários conectem seus dispositivos Windows Mobile com suporte a um computador e ative-os para IRM. No Exchange 2010 SP1, pode ativar a IRM no Microsoft Exchange ActiveSync para permitir que os utilizadores de dispositivos Exchange ActiveSync (incluindo dispositivos Windows Mobile) vejam, respondam, reencaminham e criem mensagens protegidas por IRM. Para obter mais informações sobre IRM no Exchange ActiveSync, consulte Gerenciamento de direitos de informação no Exchange ActiveSync.
Automaticamente no Outlook 2010 e posterior: pode criar regras de proteção do Outlook para proteger automaticamente mensagens com IRM no Outlook 2010 e posterior. As regras de proteção do Outlook são implantadas automaticamente para clientes do Outlook 2010, e a proteção de IRM é aplicada pelo Outlook 2010 quando o usuário compõe uma mensagem. Para mais informações sobre regras de proteção do Outlook, consulte Regras de proteção do Outlook.
Automaticamente nos servidores da Caixa de Correio: pode criar regras de proteção de transporte para proteger automaticamente mensagens com IRM nos servidores da Caixa de Correio do Exchange 2013. Para mais informações sobre regras de proteção de transporte, consulte Regras de proteção de transporte.
Observação
A proteção de IRM não é aplicada novamente a mensagens que já estão protegidas por IRM. Por exemplo, se um usuário proteger com IRM uma mensagem no Outlook ou Outlook Web App, a proteção com IRM não será aplicada à mensagem, com o uso de uma regra de proteção de transporte.
Cenários para proteção de IRM
Os cenários para proteção de IRM são descritos na tabela abaixo.
| Enviar mensagens protegidas por IRM | Com suporte | Requisitos |
|---|---|---|
| Na mesma implementação do Exchange 2013 no local | Sim | Para obter os requisitos, veja Requisitos de IRM mais adiante neste tópico. |
| Entre florestas diferentes numa implementação no local | Sim | Para obter os requisitos, veja Configuring AD RMS to Integrate with Exchange Server 2010 Across Multiple Forests (Configurar o AD RMS para Integrar com o Exchange Server 2010 em Várias Florestas). |
| Entre uma implementação do Exchange 2013 no local e uma organização do Exchange baseada na cloud | Sim |
|
| Para destinatários externos | Não | O Exchange 2010 não inclui uma solução para o envio de mensagens protegidas por IRM para destinatários externos numa organização não federada. O AD RMS oferece soluções com políticas de confiança. Pode configurar uma política de confiança entre o cluster do AD RMS e a conta Microsoft (anteriormente conhecida como Windows Live ID). Para mensagens enviadas entre duas organizações, pode criar uma confiança federada entre as duas florestas do Active Directory através dos Serviços de Federação do Active Directory (AD FS). Para saber mais, veja Compreender as Políticas de Confiança do AD RMS. |
Descriptografando mensagens protegidas com IRM para impor políticas de mensagens
Para impor diretivas de mensagens e para conformidade regulamentar, você deve poder acessar o conteúdo da mensagem criptografada. Para atender a requisitos de descoberta eletrônica devido a litígios, auditorias regulamentares ou investigações internas, você deverá ter a possibilidade de pesquisar mensagens criptografadas. Para ajudar com essas tarefas, o Exchange 2013 inclui os seguintes recursos do IRM:
Desencriptação de transporte: para aplicar políticas de mensagens, os agentes de transporte, como o agente das Regras de Transporte, devem ter acesso ao conteúdo da mensagem. As descriptografia de transporte permite que os agentes de transporte instalados nos servidores do Exchange 2013 acessem o conteúdo da mensagem. Para mais informações, consulte Descriptografia de transporte.
Desencriptação de relatórios de diários: para cumprir os requisitos de conformidade ou de negócio, as organizações podem utilizar o diário para preservar o conteúdo das mensagens. O agente de Registro no diário cria um relatório de registro no diário para mensagens sujeitas a esse registro e inclui metadados sobre a mensagem no relatório. A mensagem original é anexada ao relatório de registro no diário. Se a mensagem em um relatório de registro no diário for protegida com IRM, a descriptografia de relatório de registro no diário anexa uma cópia em texto simples da mensagem ao relatório de registro no diário. Para mais informações, consulte Criptografia do relatório de diário.
Desencriptação de IRM para a Pesquisa do Exchange: com a desencriptação de IRM para a Pesquisa do Exchange, a Pesquisa do Exchange pode indexar conteúdos em mensagens protegidas por IRM. Quando um gerenciador de descobertas executa uma pesquisa de Descoberta Eletrônica In-loco, as mensagens protegidas com IRM que tiverem sido indexadas são retornadas nos resultados da pesquisa. Para mais informações, consulte Descoberta eletrônica In-loco.
Observação
No Exchange 2010 SP1 e posterior, os membros do grupo de funções Gestão de Deteção podem aceder a mensagens protegidas por IRM devolvidas por uma pesquisa de deteção e residindo numa caixa de correio de deteção. Para ativar esta funcionalidade, utilize o parâmetro EDiscoverySuperUserEnabled com o cmdlet Set-IRMConfiguration . Para obter mais informações, consulte Configurar o IRM para descoberta eletrônica In-loco e de pesquisa do Exchange.
Para habilitar esses recursos de descriptografia, os servidores do Exchange devem ter acesso à mensagem. Isso é conseguido adicionando-se a caixa de correio de Federação, uma caixa de correio do sistema criada pela Configuração do Exchange, para o grupo de superusuários no servidor AD RMS. Para detalhes, consulte Adicionar a caixa de correio de Federação ao grupo de usuários do AD RMS Super.
Pré-licenciamento
Exibir mensagens e anexos protegidos com IRM, o Exchange 2013 automaticamente anexa uma pré-licença às mensagens protegidas. Isso evita que o cliente tenha que fazer repetidas viagens ao servidor do AD RMS para recuperar uma licença de uso e habilita a visualização offline de mensagens e anexos protegidos por IRM. O pré-licenciamento também permite que as mensagens protegidas por IRM sejam exibidas no Outlook Web App. Quando você ativa recursos do IRM, o pré-licenciamento é ativado por padrão.
Agentes IRM
No Exchange 2013, a funcionalidade do IRM é habilitada usando-se agentes de transporte no serviço de Transporte, nos servidores de Caixa de Correio. Os agentes do IRM são instalados pela Instalação do Exchange em um servidor de Caixa de Correio. Não é possível controlar agentes IRM usando as tarefas de gerenciamento de agentes de transporte.
Observação
No Exchange 2013, os agentes de IRM são agentes embutidos. Agentes integrados não estão incluídos na lista de agentes retornados pelo cmdlet Get-TransportAgent. Para mais informações, consulte Agentes de transporte.
A tabela a seguir lista os agentes IRM implementados no serviço de Transporte em servidores de Caixa de Correio.
Agentes irm no serviço transporte em servidores de Caixa de Correio
| Agente | Evento | Função |
|---|---|---|
| Agente de Desencriptação RMS | OnEndOfData (SMTP) e OnSubmittedMessage | Desencripta mensagens para permitir o acesso a agentes de transporte. |
| Agente de Regras de Transporte | OnRoutedMessage | Sinaliza mensagens que correspondem às condições das regras numa regra de proteção de transporte para serem protegidas por IRM pelo agente de Encriptação RMS. |
| Agente de Encriptação RMS | OnRoutedMessage | Aplica a proteção IRM às mensagens sinalizadas pelo agente das Regras de Transporte e encripta novamente as mensagens de transporte desencriptadas. |
| Agente de pré-licenciamento | OnRoutedMessage | Anexa uma prelicência a mensagens protegidas por IRM. |
| Agente de Desencriptação de Relatório de Diário | OnCategorizedMessage | Desencripta mensagens protegidas por IRM anexadas a relatórios de diários e incorpora versões cleartext juntamente com as mensagens encriptadas originais. |
Para mais informações sobre agentes de transporte, consulte Agentes de transporte.
Requisitos de IRM
Para implementar o IRM na sua organização do Exchange 2013, sua implantação deve atender aos requisitos descritos na seguinte tabela.
| Servidor | Requisitos |
|---|---|
| Cluster do AD RMS |
|
| Exchange |
|
| Outlook |
|
| Exchange ActiveSync |
|
Observação
O cluster do AD RMS é o termo utilizado para uma implementação do AD RMS numa organização, incluindo uma implementação de servidor único. O AD RMS é um serviço da web. Você não precisa configurar um cluster de failover do Windows Server. Para alta disponibilidade e equilíbrio de carga, você pode implantar vários servidores do AD RMS no cluster e usar Balanceamento de Carga de Rede.
Importante
Em um ambiente de produção, não é possível instalar o AD RMS e o Exchange no mesmo servidor.
O Exchange 2013 IRM tem suporte aos formatos de arquivo do Microsoft Office. Você pode estender a proteção IRM a outros formatos de arquivo implantando protetores personalizados. Para obter mais informações sobre protetores personalizados, consulte Information Protection and Control Partners (Parceiros de Proteção e Controlo de Informações) no Centro de Parceiros da Microsoft.
Configurando e testando o IRM
Você deve usar o Shell de Gerenciamento do Exchange para configurar os recursos de IRM no Exchange 2013. Para configurar recursos de IRM individuais, use o cmdlet Set-IRMConfiguration. Você pode habilitar ou desabilitar o IRM para mensagens internas, descriptografia de transporte, descriptografia de relatório do registro no diário, Pesquisa do Exchange e Outlook Web App. Para obter mais informações sobre como configurar funcionalidades de IRM, veja Procedimentos de Gestão de Direitos de Informação.
Depois de configurar um servidor do Exchange 2013, você poderá usar o cmdlet Test-IRMConfiguration para executar testes de ponta a ponta da sua implantação do IRM. Esses testes são úteis para verificar a funcionalidade do IRM imediatamente após a configuração inicial do IRM e também continuamente. O cmdlet executa os testes a seguir:
- Inspeciona a configuração do IRM para sua organização do Exchange 2013.
- Examina o servidor do AD RMS para obter informações de versão e hotfix.
- Verifica se um servidor do Exchange pode ser ativado por RMS, recuperando Certificados de Contas de Direitos (RAC) e um certificado de licenciante do cliente.
- Adquire modelos de política de direitos do AD RMS do servidor do AD RMS.
- Verifica se o remetente especificado pode enviar mensagens protegidas com IRM.
- Recupera uma licença de uso de superusuário para o destinatário especificado.
- Adquire uma pré-licença para o destinatário especificado.
Estenda o Gerenciamento de Direitos com o conector Rights Management.
O conector Microsoft Rights Management (conector RMS) é um aplicativo opcional que aumenta a proteção dos dados para o seu servidor do Exchange 2013 usando os serviços baseados na nuvem do Microsoft Rights Management. Ao instalar o conector RMS, o mesmo oferece proteção contínua dos dados durante o tempo de vida das informações e como estes serviços são personalizáveis, você pode definir o nível de proteção de que você precisa. Por exemplo, você pode limitar o acesso à mensagem de email para usuários específicos ou definir direitos somente de leitura para certas mensagens.
Para saber mais sobre o conector RMS e como instalá-lo, consulte Conector Rights Management.