Управление правами на доступ к данным

  • Статья

Область применения: Exchange Server 2013 г.

Ежедневно информационные работники используют электронную почту для обмена конфиденциальной информацией, такой как финансовые отчеты и данные, юридические контракты, конфиденциальная информация о продукте, отчеты о продажах и прогнозы, конкурентный анализ, исследовательская и патентная информация, а также информация о клиентах и сотрудниках. Так как теперь пользователи могут получать доступ к электронной почте практически из любого места, почтовые ящики преобразуются в репозитории, содержащие большие объемы потенциально конфиденциальной информации. Таким образом, утечка информации представляет серьезную угрозу для организаций. Чтобы предотвратить утечку информации, Microsoft Exchange Server 2013 включает функции управления правами на доступ к данным (IRM), которые обеспечивают постоянную защиту сообщений электронной почты и вложений в сети и в автономном режиме.

Понятие утечки информации

Утечка потенциально конфиденциальной информации может быть дорогостоящим для организации и иметь широкое влияние на организацию и ее бизнес, сотрудников, клиентов и партнеров. Местные и отраслевые правила все чаще регулируют хранение, передачу и защиту определенных типов информации. Чтобы избежать нарушения применимых правил, организации должны защитить себя от преднамеренной, случайной или случайной утечки информации.

Ниже приведены некоторые последствия утечки информации:

  • Финансовый ущерб. В зависимости от размера, отрасли и местных нормативных актов утечка информации может привести к финансовым последствиям из-за потери бизнеса или из-за штрафов и штрафов, налагаемых судами или контролирующими органами. Публичные компании также могут потерять рыночную капитализацию из-за негативного освещения в средствах массовой информации.

  • Ущерб имиджу и авторитету: утечка информации может нанести ущерб имиджу организации и доверию к клиентам. Кроме того, в зависимости от характера общения утечка сообщений электронной почты может стать источником смущения для отправителя и организации.

  • Потеря конкурентного преимущества: одной из самых серьезных угроз от утечки информации является потеря конкурентного преимущества в бизнесе. Раскрытие стратегических планов или раскрытие информации о слиянии и приобретении может привести к потере доходов или рыночной капитализации. Другие угрозы включают потерю исследовательской информации, аналитических данных и другой интеллектуальной собственности.

Традиционные решения для защиты от утечки информации

Хотя традиционные решения для утечки информации могут защитить первоначальный доступ к данным, они часто не обеспечивают постоянную защиту. В следующей таблице перечислены некоторые традиционные решения и их ограничения.

Традиционные решения

Решение Описание Ограничения
Протокол TLS TLS — это стандартный интернет-протокол, используемый для защиты связи по сети с помощью шифрования. В среде обмена сообщениями протокол TLS используется для защиты обмена данными между сервером и клиентом и сервером.

По умолчанию Exchange 2010 использует TLS для всех внутренних сообщений. Оппортунистический ПРОТОКОЛ TLS также включен по умолчанию для сеансов с внешними узлами. Exchange сначала пытается использовать шифрование TLS для сеанса, но если tls-подключение не удается установить с целевым сервером, Exchange использует SMTP. Вы также можете настроить безопасность домена, чтобы применять протокол Mutual TLS для сеансов с внешними организациями.		 Протокол TLS обеспечивает защиту сеанса SMTP только между двумя узлами SMTP. Другими словами, TLS защищает данные при передаче, но не обеспечивает защиту на уровне сообщений или данных в местах хранения. Если сообщения не шифруются с помощью другого метода, сообщения в почтовых ящиках отправителя и получателей остаются без защиты. Для электронной почты, отправляемой за пределы организации, можно требовать tls только для первого прыжка. После того как удаленный узел SMTP за пределами организации получит сообщение, он может ретранслировать его на другой узел SMTP через незашифрованный сеанс. Так как TLS — это технология транспортного уровня, он не может обеспечить контроль над тем, что получатель делает с сообщением.
Шифрование электронной почты Для шифрования сообщений пользователи могут использовать различные технологии, например S/MIME. Пользователи сами решают, необходимо ли шифровать сообщение. Шифрование подразумевает дополнительные расходы на развертывание инфраструктуры открытых ключей (PKI) и сопутствующие затраты на управление сертификатами для пользователей и защиту закрытых ключей. После расшифровки сообщения действия получателя с информацией не контролируются. Расшифрованная информация может быть скопирована, распечатана или переслана. По умолчанию сохраненные вложения не защищены.

Ваша организация не может получить доступ к сообщениям, зашифрованным с помощью таких технологий, как S/MIME. Организация не может проверять содержимое сообщений и поэтому не может применять политики обмена сообщениями, проверять сообщения на наличие вирусов или вредоносного содержимого или предпринимать другие действия, требующие доступа к содержимому.

И наконец, традиционные решения часто не позволяют применять единые политики обмена сообщениями для предотвращения утечки информации. Например, пользователь отправляет сообщение, содержащее конфиденциальную информацию, и помечает его как Конфиденциальное иНе пересылать. После доставки сообщения получателю отправитель или организация больше не имеют контроля над информацией. Получатель может умышленно или непреднамеренно пересылать сообщение (используя такие функции, как правила автоматической пересылки) во внешние учетные записи электронной почты, подвергая вашу организацию значительным рискам утечки информации.

IRM в Exchange 2013

В Exchange 2013 функции IRM можно использовать для применения постоянной защиты сообщений и вложений. IRM использует службы Active Directory Rights Management Services (AD RMS), технологию защиты информации в Windows Server 2008 и более поздних версиях. С помощью функций IRM в Exchange 2013 ваша организация и пользователи могут контролировать права получателей электронной почты. IRM также помогает разрешать или ограничивать действия получателей, такие как пересылка сообщения другим получателям, печать сообщения или вложения, извлечение сообщения или содержимого вложения путем копирования и вставки. Защита IRM может быть применена пользователями в Microsoft Outlook или Microsoft Office Outlook Web App, либо она может быть основана на политиках обмена сообщениями вашей организации и применяться с помощью правил защиты транспорта или правил защиты Outlook. В отличие от других решений по шифрованию электронной почты, IRM также позволяет вашей организации расшифровать защищенное содержимое для обеспечения соответствия политике.

AD RMS использует сертификаты и лицензии на основе XrML для сертификации компьютеров и пользователей, а также для защиты содержимого. Если такое содержимое, как документ или сообщение, защищено с помощью AD RMS, прикрепляется лицензия XrML, содержащая права, которые имеют авторизованные пользователи к содержимому. Чтобы получить доступ к содержимому, защищенному IRM, приложения с поддержкой AD RMS должны получить лицензию на использование для авторизованного пользователя из кластера AD RMS.

Примечание.

В Exchange 2013 агент предварительной лицензии присоединяет лицензию на использование к сообщениям, защищенным с помощью кластера AD RMS в вашей организации. Дополнительные сведения см. в разделе Prelicensing далее в этом разделе.

Приложения, используемые для создания содержимого, должны быть с поддержкой RMS, чтобы применять постоянную защиту к содержимому с помощью AD RMS. Приложения Microsoft Office, такие как Word, Excel, PowerPoint и Outlook, поддерживают RMS и могут использоваться для создания и использования защищенного содержимого.

IRM помогает выполнять следующие действия.

  • предотвратить пересылку, изменение, печать, отправку по факсу, сохранение и копирование уполномоченными получателями содержимого, защищенного службой IRM;
  • обеспечить для вложений в поддерживаемых форматах такой же уровень защиты, что и для сообщения;
  • поддерживать функцию управления сроком действия сообщений и вложений с защитой IRM, которая не позволяет просматривать их по истечении указанного периода;
  • Запретить копирование содержимого, защищенного IRM, с помощью средства ножницы в Microsoft Windows.

Однако IRM не может предотвратить копирование сведений с помощью следующих методов:

  • Сторонние программы для захвата экрана
  • Использование устройств обработки изображений, таких как камеры, для фотографирования содержимого, защищенного IRM, отображаемого на экране
  • Пользователи, запоминающие или вручную расшифровывая информацию

Дополнительные сведения о AD RMS см. в статье Службы Active Directory Rights Management Services.

Шаблоны политик прав AD RMS

AD RMS использует шаблоны политик прав на основе XrML, чтобы разрешить совместимым приложениям с поддержкой IRM применять согласованные политики защиты. В системе Windows Server 2008 и ее более поздних версиях на сервере AD RMS доступна веб-служба, которую можно использовать для перечисления и получения шаблонов. Сервер Exchange 2013 поставляется вместе с шаблоном "Не пересылать". Когда к сообщению применяется шаблон "Не пересылать", расшифровывать это сообщение могут только получатели, являющиеся его адресатами. Получатели не могут переслать сообщение, скопировать из него содержимое или распечатать. Вы можете создать дополнительные шаблоны RMS на сервере AD RMS в организации в соответствии с требованиями к защите IRM.

Защита IRM применяется путем применения шаблона политики прав AD RMS. С помощью шаблонов политик можно управлять разрешениями, которые получатели имеют на сообщение. Такие действия, как ответ, ответ всем, пересылка, извлечение информации из сообщения, сохранение сообщения или печать сообщения, можно контролировать, применяя к сообщению соответствующий шаблон политики прав.

Дополнительные сведения о шаблонах политик прав см. в статье Рекомендации по шаблонам политики AD RMS.

Дополнительные сведения о создании шаблонов политик прав AD RMS см. в статье Пошаговое руководство по развертыванию шаблонов политики прав AD RMS.

Применение защиты IRM к сообщениям

В Exchange 2010 защита IRM может применяться к сообщениям с помощью следующих методов:

  • Пользователи Outlook вручную. Пользователи Outlook могут защищать сообщения с помощью IRM с помощью доступных им шаблонов политики прав AD RMS. В этом процессе используется функция IRM в Outlook, а не Exchange. Однако вы можете использовать Exchange для доступа к сообщениям и выполнять действия (например, применение правил транспорта) для принудительного применения политики обмена сообщениями в организации. Дополнительные сведения об использовании IRM в Outlook см. в статье Общие сведения об IRM для сообщений электронной почты.

  • Вручную Outlook Web App пользователей. При включении IRM в Outlook Web App пользователи могут защищать сообщения, отправляемые ими, и просматривать полученные сообщения с защитой IRM. В Exchange 2013 с накопительным пакетом обновления 1 (CU1) пользователи Outlook Web App также могут просматривать защищенные IRM вложения с помощью Web-Ready просмотра документов. Дополнительные сведения об IRM в Outlook Web App см. в разделе Управление правами на доступ к данным в Outlook Web App.

  • Вручную для пользователей Windows Mobile и Exchange ActiveSync устройств. В выпуске для производства (RTM) версии Exchange 2010 пользователи устройств Windows Mobile могут просматривать и создавать сообщения, защищенные IRM. Для этого пользователи должны подключить поддерживаемые устройства Windows Mobile к компьютеру и активировать их для IRM. В Exchange 2010 с пакетом обновления 1 (SP1) можно включить IRM в Microsoft Exchange ActiveSync, чтобы разрешить пользователям Exchange ActiveSync устройств (включая устройства Windows Mobile) просматривать, отвечать на них, пересылать и создавать защищенные IRM сообщения. Дополнительные сведения об IRM в Exchange ActiveSync см. в разделе Управление правами на доступ к данным в Exchange ActiveSync.

  • Автоматически в Outlook 2010 и более поздних версиях. Вы можете создать правила защиты Outlook для автоматической защиты сообщений с правами на доступ к данным в Outlook 2010 и более поздних версиях. Правила защиты Outlook автоматически развертываются на клиентах Outlook 2010, а защита IRM применяется Outlook 2010, когда пользователь создает сообщение. Дополнительные сведения о правилах защиты Outlook см. в разделе Правила защиты Outlook.

  • Автоматически на серверах почтовых ящиков. Вы можете создать правила защиты транспорта для автоматической защиты сообщений IRM на серверах почтовых ящиков Exchange 2013. Дополнительные сведения о правилах защиты транспорта см. в разделе Правила защиты транспорта.

    Примечание.

    Защита IRM не применяется к сообщениям, которые уже защищены IRM. Например, если пользователь IRM защищает сообщение в Outlook или Outlook Web App, защита IRM не применяется к сообщению с помощью правила защиты транспорта.

Сценарии для защиты IRM

Сценарии защиты IRM описаны в следующей таблице.

Отправка сообщений, защищенных IRM Поддерживается Требования
В том же локальном развертывании Exchange 2013 Да Требования см. в разделе Требования IRM далее в этом разделе.
Между разными лесами в локальном развертывании Да Требования см. в разделе Настройка AD RMS для интеграции с Exchange Server 2010 в нескольких лесах.
Между локальным развертыванием Exchange 2013 и облачной организацией Exchange Да
  • Используйте локальный сервер AD RMS.
  • Экспортируйте доверенный домен публикации с локального сервера AD RMS.
  • Импортируйте доверенный домен публикации в облачную организацию.
Внешним получателям Нет Exchange 2010 не включает решение для отправки сообщений, защищенных IRM, внешним получателям в не федеративной организации. AD RMS предлагает решения, использующие политики доверия. Вы можете настроить политику доверия между кластером AD RMS и учетной записью Майкрософт (прежнее название — Windows Live ID). Для сообщений, отправляемых между двумя организациями, можно создать федеративное доверие между двумя лесами Active Directory с помощью службы федерации Active Directory (AD FS) (AD FS). Дополнительные сведения см. в статье Общие сведения о политиках доверия AD RMS.

Расшифровка защищенных IRM сообщений для принудительного применения политик обмена сообщениями

Чтобы применить политики обмена сообщениями и обеспечить соответствие нормативным требованиям, необходимо иметь доступ к содержимому зашифрованных сообщений. Чтобы выполнить требования к обнаружению электронных данных из-за судебного разбирательства, аудита нормативных требований или внутренних расследований, вы также должны иметь возможность выполнять поиск зашифрованных сообщений. Чтобы помочь в выполнении этих задач, Exchange 2013 включает следующие функции IRM:

  • Расшифровка транспорта. Чтобы применить политики обмена сообщениями, агенты транспорта, такие как агент правил транспорта, должны иметь доступ к содержимому сообщений. Расшифровка транспорта позволяет агентам транспорта, установленным на серверах Exchange 2013, получать доступ к содержимому сообщений. Дополнительные сведения см. в разделе Расшифровка транспорта.

  • Журнал расшифровка отчетов. В соответствии с требованиями к соответствию или бизнес-требованиям организации могут использовать ведение журнала для сохранения содержимого сообщений. Агент журналирования создает отчет журнала для сообщений, подлежащих логированию, и включает метаданные о сообщении в отчет. Исходное сообщение прикрепляется к отчету журнала. Если сообщение в отчете журнала защищено IRM, расшифровка отчета журнала прикрепляет к отчету журнала копию сообщения с открытым текстом. Дополнительные сведения см. в разделе расшифровка отчетов Журнал.

  • Расшифровка IRM для поиска Exchange. Благодаря расшифровке IRM для поиска Exchange поиск Exchange может индексировать содержимое в сообщениях, защищенных IRM. Когда диспетчер обнаружения выполняет поиск In-Place обнаружения электронных данных, в результатах поиска возвращаются защищенные IRM-сообщения, которые были проиндексированы. Дополнительные сведения см. в статье Обнаружение электронных данных на месте.

    Примечание.

    В Exchange 2010 с пакетом обновления 1 (SP1) и более поздних версий члены группы ролей "Управление обнаружением" могут получать доступ к защищенным IRM сообщениям, возвращенным поиском обнаружения и размещенным в почтовом ящике обнаружения. Чтобы включить эту функцию, используйте параметр EDiscoverySuperUserEnabled с командлетом Set-IRMConfiguration . Дополнительные сведения см. в статье Настройка IRM для поиска Exchange и In-Place обнаружения электронных данных.

Чтобы включить эти функции расшифровки, серверы Exchange должны иметь доступ к сообщению. Это достигается путем добавления почтового ящика федерации, системного почтового ящика, созданного программой установки Exchange, в группу суперпользователей на сервере AD RMS. Дополнительные сведения см. в разделе Добавление федеративного почтового ящика в группу суперпользователей службы управления правами Active Directory.

Предварительная лицензирования

Чтобы просмотреть защищенные IRM сообщения и вложения, Exchange 2013 автоматически присоединяет предварительную лицензию к защищенным сообщениям. Это предотвращает повторные поездки клиента на сервер AD RMS для получения лицензии на использование и позволяет просматривать сообщения и вложения, защищенные IRM, в автономном режиме. Предварительная лицензизация также позволяет просматривать сообщения, защищенные IRM, в Outlook Web App. При включении функций IRM предварительное лицензирование включается по умолчанию.

Агенты управления правами на доступ к данным

В Exchange 2013 функции IRM включены с помощью агентов транспорта в транспортной службе на серверах почтовых ящиков. Агенты IRM устанавливаются программой установки Exchange на сервере почтовых ящиков. Вы не можете управлять агентами IRM с помощью задач управления для агентов транспорта.

Примечание.

В Exchange 2013 агенты IRM являются встроенными агентами. Встроенные агенты не включены в список агентов, возвращаемых командлетом Get-TransportAgent. Дополнительные сведения см. в разделе Агенты транспорта.

В следующей таблице перечислены агенты IRM, реализованные в транспортной службе на серверах почтовых ящиков.

Агенты IRM в транспортной службе на серверах почтовых ящиков

Агент Событие Функция
Агент расшифровки RMS OnEndOfData (SMTP) и OnSubmittedMessage Расшифровывает сообщения, чтобы разрешить доступ к агентам транспорта.
Агент правил транспорта OnRoutedMessage Помечает сообщения, соответствующие условиям правила в правиле защиты транспорта, для защиты IRM агентом шифрования RMS.
Агент шифрования RMS OnRoutedMessage Применяет защиту IRM к сообщениям, помеченным агентом правил транспорта, и повторно шифрует расшифрованные сообщения транспорта.
Агент предварительной лицензий OnRoutedMessage Присоединяет предварительную лицензию к сообщениям, защищенным службой IRM.
Агент расшифровки отчетов Журнал OnCategorizedMessage Расшифровывает защищенные IRM сообщения, присоединенные к отчетам журнала, и внедряет версии cleartext вместе с исходными зашифрованными сообщениями.

Дополнительные сведения об агентах транспорта см. в разделе Транспортные агенты.

Требования к управлению правами на доступ к данным

Чтобы реализовать IRM в организации Exchange 2013, развертывание должно соответствовать требованиям, описанным в следующей таблице.

Сервер Требования
Кластер AD RMS
  • Операционная система: Windows Server 2012, требуется Windows Server 2008 R2 или Windows Server 2008 с пакетом обновления 2 (SP2) с ролью служб управления правами Active Directory в Windows Server 2008.
  • Точка подключения службы. Приложения с поддержкой Exchange 2010 и AD RMS используют точку подключения службы, зарегистрированную в Active Directory, для обнаружения кластера и URL-адресов AD RMS. AD RMS позволяет зарегистрировать точку подключения службы из программы установки AD RMS. Если учетная запись, используемая для настройки AD RMS, не входит в группу безопасности администраторов предприятия, регистрация точки подключения службы может быть выполнена после завершения установки. Существует только одна точка подключения службы для AD RMS в лесу Active Directory.
  • Разрешения. Разрешения на чтение и выполнение конвейера сертификации сервера AD RMS (ServerCertification.asmx файл на серверах AD RMS) должны быть назначены следующим:
    • Группа серверов Exchange Server или отдельные серверы Exchange
    • Группа служб AD RMS на серверах AD RMS

    По умолчанию файл ServerCertification.asmx находится в папке \inetpub\wwwroot\_wmcs\certification\ на серверах AD RMS. Дополнительные сведения см. в разделе Установка разрешений для конвейера сертификации сервера AD RMS.

  • Суперпользователей AD RMS. Чтобы включить расшифровку транспорта, расшифровку отчетов журнала, IRM в Outlook Web App и IRM для поиска Exchange, необходимо добавить почтовый ящик федерации, системный почтовый ящик, созданный программой установки Exchange 2013, в группу суперпользователей в кластере AD RMS. Дополнительные сведения см. в разделе Добавление федеративного почтового ящика в группу суперпользователей службы управления правами Active Directory.
Exchange
Outlook
  • Пользователи могут защищать сообщения с помощью IRM в Outlook. Начиная с Outlook 2003 поддерживаются шаблоны AD RMS для сообщений, защищающих IRM.
  • Правила защиты Outlook — это функция Exchange 2010 и Outlook 2010. Предыдущие версии Outlook не поддерживают эту функцию.
Exchange ActiveSync
  • Устройства, поддерживающие протокол Exchange ActiveSync версии 14.1, включая устройства Windows Mobile, могут поддерживать IRM в Exchange ActiveSync. Мобильное почтовое приложение на устройстве должно поддерживать тег RightsManagementInformation, определенный в протоколе Exchange ActiveSync версии 14.1. В Exchange 2013 IRM в Exchange ActiveSync позволяет пользователям с поддерживаемыми устройствами просматривать, отвечать на сообщения, пересылать и создавать сообщения, защищенные IRM, без необходимости подключать устройство к компьютеру и активировать его для IRM. Дополнительные сведения см. в разделе Управление правами на доступ к данным в Exchange ActiveSync.

Примечание.

КластерAD RMS — это термин, используемый для развертывания AD RMS в организации, включая развертывание на одном сервере. AD RMS — это веб-служба. Для этого не требуется настраивать отказоустойчивый кластер Windows Server. Для обеспечения высокого уровня доступности и балансировки нагрузки можно развернуть несколько серверов AD RMS в кластере и использовать балансировку сетевой нагрузки.

Важно!

В рабочей среде установка AD RMS и Exchange на одном сервере не поддерживается.

Функции Exchange 2013 IRM поддерживают форматы файлов Microsoft Office. Вы можете расширить защиту IRM на другие форматы файлов, развернув пользовательские средства защиты. Дополнительные сведения о настраиваемых предохранителях см. в разделе Information Protection и управление партнерами в Центре партнеров Майкрософт.

Настройка и тестирование управления правами на доступ к данным

Для настройки функций IRM в Exchange 2013 необходимо использовать командную консоль Exchange. Чтобы настроить отдельные функции управления правами на доступ к данным, используйте командлет Set-IRMConfiguration. Вы можете включить или отключить IRM для внутренних сообщений, расшифровки транспорта, расшифровки отчетов журнала, поиска Exchange и Outlook Web App. Дополнительные сведения о настройке функций IRM см. в разделе Процедуры управления правами на доступ к данным.

После настройки сервера Exchange 2013 можно использовать командлет Test-IRMConfiguration для выполнения комплексных тестов развертывания IRM. Эти тесты полезны для проверки функциональности IRM сразу после начальной настройки IRM и на постоянной основе. Командлет выполняет следующие тесты:

  • Проверяет конфигурацию IRM для организации Exchange 2013.
  • Проверяет сервер службы AD RMS на предмет сведений о версии и исправлениях.
  • Проверяет, можно ли активировать сервер Exchange Server для RMS, получая сертификат учетной записи прав (RAC) и сертификат лицензиара клиента.
  • Получает шаблоны политики прав службы AD RMS с сервера службы AD RMS.
  • Проверяет способность указанного отправителя отправлять сообщения, защищенные службой IRM.
  • Получает для указанного получателя лицензию на использование суперпользователя.
  • Получает для указанного получателя предварительную лицензию.

Расширение Rights Management с соединителем Rights Management

Соединитель Microsoft Rights Management (соединитель RMS) — это необязательное приложение, которое повышает защиту данных для сервера Exchange 2013 за счет использования облачных служб Microsoft Rights Management. После установки соединителя RMS он обеспечивает непрерывную защиту данных на протяжении всего срока действия информации. Так как эти службы можно настроить, можно определить необходимый уровень защиты. Например, можно ограничить доступ к сообщениям электронной почты для определенных пользователей или задать права только на просмотр для определенных сообщений.

Дополнительные сведения о соединителе RMS и его установке см. в разделе Соединитель Управления правами.