Noções Básicas Sobre Regras de Proteção de Transporte

Aplica-se a: Exchange Server 2010

Tópico modificado em: 2010-01-21

Cada vez mais, as mensagens e anexos de email contém informações críticas de negócios, como especificações de produto, documentos de estratégia de negócios e dados financeiros, ou informações de identificação pessoal (PII), como detalhes de contato, números da previdência social, de cartão de crédito ou registros de empregados. Há várias regulamentações específicas para setores e locais, em várias partes do mundo, que controlam a coleta, armazenamento e divulgação de PII.

Para ajudar a proteger informações confidenciais, as organizações criam diretivas de mensagem que oferecem diretrizes para manipular essas informações. No Exchange Server 2010, você pode usar as regras de proteção de transporte para implementar essas diretivas de mensagem, inspecionando o conteúdo da mensagem, criptografando o conteúdo confidencial de email e usando gerenciamento de direitos para controlar o acesso ao conteúdo.

Procurando tarefas de gerenciamento relacionadas a gerenciar IRM? Consulte Gerenciando Proteção de Direitos.

Regras de proteção de transporte e AD RMS

As regras de proteção de transporte permitem que você use regras de transporte para mensagens protegidas por IRM, aplicando um modelo de diretiva de direitos do Active Directory Rights Management Services (AD RMS).

Dica

O AD RMS é uma tecnologia de proteção de informações que funciona com aplicativos e clientes habilitados para Gerenciamento de Direitos de Informação (RMS), para proteger informações confidenciais online e offline. Para usar proteção IRM em uma implantação do Exchange no local, o Exchange 2010 exige uma implantação no local do AD RMS do sistema operacional Windows Server 2008.

O AD RMS usa modelos de diretiva baseados em XML para permitir que aplicativos habilitados para IRM apliquem diretivas de proteção consistentes. No Windows Server 2008, o servidor do AD RMS expõe um servido da Web que pode ser usado para enumerar e adquirir modelos. O Exchange 2010 vem com o modelo Não encaminhar.

Quando o modelo Não Encaminhar é aplicado a uma mensagem, somente os destinatários da mensagem podem descriptografá-la. Os destinatários não podem encaminhar a mensagem para mais ninguém, copiar conteúdo dela ou imprimi-la.

Mais modelos de RMS podem ser criados na implantação do AD RMS no local, para cumprir os requisitos de proteção de direitos na sua organização.

Importante

Se um modelo de diretiva de direitos for removido do servidor AD RMS, você deverá modificar quaisquer regras de proteção de transporte que usam o modelo removido. Se uma regra de proteção de transporte continuar a suar um modelo de diretiva de direitos que foi removida, o servidor AD RMS não irá conseguir a licença para o conteúdo de qualquer um dos destinatários e um relatório de notificação de falha na entrega (NDR) será entregue ao remetente.
No Windows Server 2008, os modelos de diretiva de direitos podem ser arquivados em vez de excluídos. Os modelos arquivados ainda podem ser usados para licenciar conteúdo, mas, quando você cria ou modifica uma regra de proteção de transporte, esse modelos não são incluídos na lista de modelos.

Para mais informações sobre criar modelos do AD RMS, consulte Guia Passo a Passo Criando e Implantando Modelos de Diretiva de Direitos do Active Directory Rights Management Services.

Proteção automática usando regras de proteção de transporte

As mensagens contendo informações críticas de negócios ou PII podem ser identificadas, usando-se uma combinação de condições de regras de transporte, incluindo expressões regulares para identificar padrões de texto, como números da previdência social. As organizações exigem diferentes níveis de proteção para informações confidenciais. Algumas informações podem ser restritas a funcionários, prestadores de serviço ou parceiros, enquanto outras informações podem ser restritas a empregados da própria firma. O nível desejado de proteção pode ser aplicada a mensagens, aplicando-se um modelo de diretiva de direitos apropriado. Por exemplo, os usuários podem marcar as mensagens ou anexos de email como Confidencial da Empresa. Conforme a figura a seguir, você pode criar uma regra de proteção de transporte para inspecionar o conteúdo da mensagem, procurando as mensagens "Confidencial da Empresa" protegendo automaticamente a mensagem com IRM.

Criar uma regra de proteção de transporte

Para mais informações sobre como criar regras de transporte para impor a proteção de direitos, consulte Criar uma regra de proteção de transporte.

Proteção persistente de anexos de email

Os usuários podem mandar informações críticas de negócios e PII em anexos de email, usando formatos de arquivo comuns do Microsoft Office, como Microsoft Office Word, Excel e PowerPoint. Todos esses formatos de arquivo suportam proteção persistente via IRM, e você pode garantir que as informações críticas de negócios e PII nesses documentos estejam protegidas adequadamente. As regras de proteção de transporte aplicam a mesma proteção a mensagens e anexos de email nos formatos de arquivo suportados.

Agente de Criptografia e agente de Regras de Transporte

Quando você usa regras de proteção de transporte para proteger mensagens com IRM, com base em condições de regras, o agente de Regras de Transporte, no servidor de Transporte de Hub, inspeciona as mensagens. Se você cumprir todas as condições e nenhuma das exceções, ele marca a mensagem como protegida por IRM. O agente de Criptografia, uma agente de transporte interno que aciona o evento OnRoutedMessage, realmente aplica a proteção IRM à mensagem. O agente de Criptografia age sobre as mensagens somente se o IRM estiver habilitado para mensagens internas. Para mais informações sobre habilitar o IRM, consulte Habilitar ou Desabilitar IRM para Mensagens Internas.

Quando o serviço de transporte é reiniciado e processa a primeira mensagem que requer criptografia IRM, o agente de Criptografia deve estar habilitado para entrar em contato com um servidor do AD RMS na organização. Para as mensagens subsequentes, o agente não precisa entrar em contato com o servidor do AD RMS. Se houver uma falha para criptografar uma mensagem devido a condições transitórias, o Exchange recupera a mensagem três vezes, em intervalos de 10 minutos. Após três tentativas, se a mensagem não puder ser criptografada, ela não será entregue aos destinatários. Uma notificação de falha na entrega será enviada ao remetente. Nós recomendamos que você planeje sua implantação do AD RMS para alta disponibilidade, para garantir que o fluxo de mensagens não seja impactado.

Ao planejar usar regras de proteção de transporte, você deve considerar o tipo de informação que você deseja proteger e planejar adequadamente a criação de regras de transporte. No Exchange 2010, as regras de transporte têm um grande número de predicados que permitem que você inspecione o conteúdo da mensagem, incluindo anexos suportados, cabeçalhos da mensagem, endereços de remetente e destinatário, atributos do Active Directory, como departamento, associação ao grupo de distribuição e relações de gerenciamento do remetente com os destinatários. Para mais detalhes sobre ações de regras de transporte disponíveis no Exchange 2010, consulte Predicados de regra de transporte.

Você também deve considerar o tráfico de mensagens na sua organização e o número de mensagens que serão protegidas usando as regras de proteção de transporte. Aplicar proteção IRM a um grande número de mensagens requer mais recursos no servidor de Transporte de Hub. Além disso, proteger um grande número de mensagens ou todas as mensagens também afeta a experiência do cliente, particularmente no caso de usuários do Microsoft Outlook.