Управление правами на доступ к данным в Exchange Server

Статья
04/04/2023

Каждый день люди используют электронную почту для обмена конфиденциальными отчетами и информацией. Так как электронная почта доступна практически где угодно, почтовые ящики превратились в хранилища большого количества потенциально конфиденциальной информации. Таким образом, утечка информации представляет серьезную угрозу для организаций. Чтобы предотвратить утечку информации, Exchange Server включает функции управления правами на доступ к данным (IRM), которые обеспечивают постоянную защиту сообщений электронной почты и вложений в сети и в автономном режиме. Эти функции IRM по сути остались такими же, какими были в Exchange 2013.

Понятие утечки информации

Утечка информации — это раскрытие конфиденциальной информации неавторизованным пользователям. Утечка информации может дорого стоить организации и иметь масштабные последствия для бизнеса, сотрудников, клиентов и партнеров. Чтобы не нарушать действующие нормы, организациям необходимо защитить себя от случайной или преднамеренной утечки информации.

Ниже приведены некоторые последствия, к которым может привести утечка информации.

Финансовый ущерб. Организация может понести потерю бизнеса, штрафы или негативное освещение в средствах массовой информации.
Ущерб имиджу и авторитету. Утечка сообщений электронной почты может стать источником смущения для отправителя и организации.
Потеря конкурентного преимущества: это одно из самых серьезных последствий. Раскрытие стратегических планов хозяйственной деятельности или слияний и поглощений может привести к снижению доходов или рыночной капитализации компании. Среди других угроз для конкурентного преимущества можно выделить потерю данных исследований, аналитических данных и другой интеллектуальной собственности.

Традиционные решения для защиты от утечки информации

Традиционные решения для защиты от утечки информации могут предотвратить доступ к данным на начальном этапе, но часто они не обеспечивают постоянную защиту. В следующей таблице описаны некоторые традиционные решения.

Решение	Описание	Ограничения
Протокол TLS	TLS — это стандартный интернет-протокол, используемый для шифрования сетевых соединений. В среде обмена сообщениями протокол TLS используется для шифрования соединений "сервер-сервер" и "клиент-сервер". По умолчанию Exchange использует TLS для всех внутренних передач сообщений. STARTTLS также включен по умолчанию для сеансов SMTP с внешними узлами (сначала выполняется попытка шифрования TLS, но если оно недоступно, разрешается незашифрованное соединение). Вы также можете настроить безопасность домена, чтобы применять протокол Mutual TLS для сеансов с внешними организациями.	Протокол TLS обеспечивает защиту сеанса SMTP только между двумя узлами SMTP. Другими словами, TLS защищает данные при передаче, но не обеспечивает защиту на уровне сообщений или данных в местах хранения. Сообщения в почтовых ящиках отправителей и получателей остаются незащищенными, если они не шифруются другим методом. Запрашивать шифрование по протоколу TLS можно только для первого прыжка электронной почты, отправляемой за пределы организации. После того как сообщение получит удаленный узел SMTP, он может передать его на другой узел SMTP по незашифрованному соединению. Так как протокол TLS это технология транспортного уровня, используемая в потоке обработки почты, он не может контролировать действия получателя с сообщением.
Шифрование сообщений	Для шифрования сообщений пользователи могут использовать различные технологии, например S/MIME.	Пользователи сами решают, необходимо ли шифровать сообщение. Шифрование подразумевает дополнительные расходы на развертывание инфраструктуры открытых ключей (PKI) и сопутствующие затраты на управление сертификатами для пользователей и защиту закрытых ключей. После расшифровки сообщения действия получателя с информацией не контролируются. Расшифрованная информация может быть скопирована, распечатана или переслана. По умолчанию сохраненные вложения не защищены. Серверы обмена сообщениями не могут открывать и проверять сообщения, зашифрованные с помощью протокола S/MIME. Поэтому они не могу применять политики обмена сообщениями, проверять сообщения на вирусы и выполнять другие действия, для которых необходим доступ к содержимому сообщений.

Решение

Описание

Ограничения

Протокол TLS

TLS — это стандартный интернет-протокол, используемый для шифрования сетевых соединений. В среде обмена сообщениями протокол TLS используется для шифрования соединений "сервер-сервер" и "клиент-сервер".

По умолчанию Exchange использует TLS для всех внутренних передач сообщений. STARTTLS также включен по умолчанию для сеансов SMTP с внешними узлами (сначала выполняется попытка шифрования TLS, но если оно недоступно, разрешается незашифрованное соединение). Вы также можете настроить безопасность домена, чтобы применять протокол Mutual TLS для сеансов с внешними организациями.

Протокол TLS обеспечивает защиту сеанса SMTP только между двумя узлами SMTP. Другими словами, TLS защищает данные при передаче, но не обеспечивает защиту на уровне сообщений или данных в местах хранения. Сообщения в почтовых ящиках отправителей и получателей остаются незащищенными, если они не шифруются другим методом.

Запрашивать шифрование по протоколу TLS можно только для первого прыжка электронной почты, отправляемой за пределы организации. После того как сообщение получит удаленный узел SMTP, он может передать его на другой узел SMTP по незашифрованному соединению.

Так как протокол TLS это технология транспортного уровня, используемая в потоке обработки почты, он не может контролировать действия получателя с сообщением.

Шифрование сообщений

Для шифрования сообщений пользователи могут использовать различные технологии, например S/MIME.

Пользователи сами решают, необходимо ли шифровать сообщение.

Шифрование подразумевает дополнительные расходы на развертывание инфраструктуры открытых ключей (PKI) и сопутствующие затраты на управление сертификатами для пользователей и защиту закрытых ключей.

После расшифровки сообщения действия получателя с информацией не контролируются. Расшифрованная информация может быть скопирована, распечатана или переслана. По умолчанию сохраненные вложения не защищены.

Серверы обмена сообщениями не могут открывать и проверять сообщения, зашифрованные с помощью протокола S/MIME. Поэтому они не могу применять политики обмена сообщениями, проверять сообщения на вирусы и выполнять другие действия, для которых необходим доступ к содержимому сообщений.

И наконец, традиционные решения часто не позволяют применять единые политики обмена сообщениями для предотвращения утечки информации. Например, пользователь помечает сообщение как Для служебного пользования и Не пересылать. После доставки получателю ни отправитель, ни организация больше не контролируют сообщение. Получатель может умышленно или случайно переслать сообщение (используя правила автоматической пересылки) на внешние учетные записи электронной почты, подвергая организацию существенному риску утечки информации.

IRM в Exchange

IRM в Exchange помогает:

предотвратить пересылку, изменение, печать, отправку по факсу, сохранение и копирование уполномоченными получателями содержимого, защищенного службой IRM;
обеспечить для вложений в поддерживаемых форматах такой же уровень защиты, что и для сообщения;
поддерживать функцию управления сроком действия сообщений и вложений с защитой IRM, которая не позволяет просматривать их по истечении указанного периода;
предотвратить копирование содержимого, защищенного службой IRM, с помощью средства "Ножницы" в Windows.

Однако IRM в Exchange не может предотвратить раскрытие информации следующими способами:

создание снимков экрана с помощью программ сторонних производителей;
фотографирование защищенного IRM содержимого, которое отображается на экране;
запоминание или переписывание информации пользователями.

IRM использует службы Active Directory Rights Management Services (AD RMS), технологию защиты информации в Windows Server, которая использует сертификаты и лицензии на основе XrML для сертификации компьютеров и пользователей, а также для защиты содержимого. Когда документ или сообщение защищено с помощью AD RMS, к нему прикрепляется лицензия XrML, содержащая права уполномоченных пользователей на содержимое. Чтобы получить доступ к защищенному IRM содержимому, приложения с поддержкой AD RMS должны получить лицензию на использование для уполномоченного пользователя с сервера AD RMS. Приложения Office, такие как Word, Excel, PowerPoint и Outlook, поддерживают RMS и могут использоваться для создания и использования защищенного содержимого.

Примечание.

Агент предварительной лицензии Exchange присоединяет лицензию на использование к сообщениям, защищенным сервером AD RMS в вашей организации. Дополнительные сведения см. в разделе Предварительное лицензирование далее в этой статье.

Дополнительные сведения о службах Active Directory Rights Management см. в статье Службы Active Directory Rights Management Services.

Шаблоны политик прав служб Active Directory Rights Management

Серверы AD RMS предоставляют веб-службу, используемую для перечисления и получения шаблонов политики прав на основе XrML, которые позволяют применять защиту IRM к сообщениям. Применяя соответствующий шаблон политики прав, вы указываете, разрешено ли получателю отвечать на сообщение, отвечать всем, пересылать его, извлекать из него информацию, сохранять или печатать.

По умолчанию Exchange поставляется с шаблоном "Не пересылать ". Если к сообщению применен этот шаблон, расшифровать его могут только пользователи, которым оно адресовано. Получатели не могут переслать сообщение, скопировать из него содержимое или распечатать. Вы можете создавать дополнительные шаблоны RMS на серверах AD RMS организации для своих нужд.

Дополнительные сведения о шаблонах политик прав см. в статье Рекомендации по шаблонам политики AD RMS.

Дополнительные сведения о создании шаблонов политик прав AD RMS см. в разделе Пошаговое руководство по развертыванию шаблонов политики прав AD RMS.

Применение защиты IRM к сообщениям

По умолчанию организация Exchange включает IRM, но чтобы применить защиту IRM к сообщениям, необходимо использовать один или несколько из следующих методов:

Вручную пользователями в Outlook. Пользователи могут защищать сообщения с помощью IRM в Outlook с помощью доступных им шаблонов политики прав AD RMS. Этот процесс использует функции IRM в Outlook, а не Exchange. Дополнительные сведения об использовании IRM в Outlook см. в статье Общие сведения об использовании IRM для сообщений электронной почты.
Вручную пользователями в Outlook в Интернете. Когда администратор включает IRM в Outlook в Интернете (ранее — Outlook Web App), пользователи могут защищать отправляемые ими сообщения с правами на доступ к данным и просматривать полученные сообщения с защитой IRM. Дополнительные сведения об IRM в Outlook в Интернете см. в статье Общие сведения об IRM в Outlook Web App.
Вручную пользователям в Exchange ActiveSync. Когда администратор включает IRM в Exchange ActiveSync пользователи могут просматривать, отвечать на сообщения, пересылать и создавать сообщения, защищенные IRM, на устройствах ActiveSync. Дополнительные сведения см. в статье Understanding Information Rights Management in Exchange ActiveSync.
Автоматически в Outlook. Администраторы могут создавать правила защиты Outlook для автоматической защиты сообщений с правами на доступ к данным. Правила защиты Outlook автоматически развертываются на клиентах Outlook, а защита IRM применяется Outlook, когда пользователь создает сообщение. Дополнительные сведения см. в статье Правила защиты Outlook.
Автоматически на серверах почтовых ящиков. Администраторы могут создавать правила потока обработки почты (также называемые правилами транспорта), чтобы автоматически защищать сообщения с правами на доступ к данным, которые соответствуют указанным условиям. Дополнительную информацию можно узнать в статье Understanding Transport Protection Rules.

Примечание.

Защита IRM не применяется к сообщениям, которые уже защищены IRM. Например, если пользователь IRM защищает сообщение в Outlook или Outlook в Интернете, правило защиты транспорта не будет применять защиту IRM к тому же сообщению.

Сценарии для защиты IRM

В этой таблице описаны сценарии отправки сообщений и указано, доступна ли защита IRM.

Сценарий	Поддерживается ли отправка сообщений с защитой IRM?	Требования
Отправка сообщений в одной локальной организации Exchange	Да	Сведения о требованиях см. в разделе Требования к IRM далее в этом разделе.
Отправка сообщений между различными лесами Active Directory в локальной организации.	Да	Требования см. в статье Настройка AD RMS для интеграции с Exchange Server 2010 в нескольких лесах.
Отправка сообщений между локальной организацией Exchange и Microsoft 365 или Office 365 организацией в гибридном развертывании.	Да	Дополнительные сведения см. в разделе IRM в гибридных развертываниях Exchange.
Отправка сообщений внешним получателям	Нет	Exchange не включает решение для отправки защищенных IRM сообщений внешним получателям в не федеративных организациях. Сведения о создании федеративного доверия между двумя лесами Active Directory с помощью службы федерации Active Directory (AD FS) (AD FS) см. в статье Общие сведения о политиках доверия AD RMS.

Расшифровка защищенных IRM сообщений для применения политик обмена сообщениями

Чтобы применить политики обмена сообщениями и обеспечить соответствие нормативным требованиям, Exchange требуется доступ к содержимому зашифрованных сообщений. В соответствии с требованиями по обнаружению электронных данных в связи с судебным разбирательством, нормативно-правовыми проверками или внутренними расследованиями специалист по аудиту также должен иметь возможность искать информацию в зашифрованных сообщениях. Чтобы помочь в выполнении этих задач, Exchange включает следующие функции расшифровки:

Расшифровка транспорта. Разрешает доступ к содержимому сообщений агентами транспорта, установленными на серверах Exchange. Дополнительные сведения см. в разделе Общие сведения о расшифровке транспорта.
Расшифровка отчетов журналов. Позволяет вести журналы уровня "Стандартный" или "Премиум" для сохранения в отчетах журнала чистого текста защищенных IRM сообщений. Дополнительные сведения см. в разделе Включение расшифровки отчетов журнала.
Расшифровка IRM для поиска Exchange. Позволяет поиску Exchange индексировать содержимое в сообщениях, защищенных IRM. Когда диспетчер обнаружения выполняет поиск In-Place eDiscovery, в результатах поиска возвращаются защищенные IRM сообщения, которые были проиндексированы. Дополнительные сведения см. в статье Настройка IRM для поиска Exchange и In-Place обнаружения электронных данных.

Чтобы включить эти функции расшифровки, необходимо добавить почтовый ящик федерации (системный почтовый ящик, созданный Exchange) в группу Суперпользователей на сервере AD RMS. Инструкции см. в статье Add the Federation Mailbox to the AD RMS Super Users Group.

Предварительная лицензирования

Чтобы разрешить авторизованным пользователям просматривать защищенные IRM сообщения и вложения, Exchange автоматически присоединяет предварительную лицензию к защищенным сообщениям. Это предотвращает многократное обращение клиента к серверу AD RMS за лицензией на использование и позволяет просматривать защищенные IRM сообщения в автономном режиме. Предварительная лицензизация также позволяет пользователям просматривать сообщения, защищенные IRM, в Outlook в Интернете. При включении функций IRM предварительное лицензирование включается по умолчанию.

Агенты управления правами на доступ к данным

Функции IRM используют встроенные агенты транспорта, существующие в транспортной службе на серверах почтовых ящиков. Большинство встроенных агентов транспорта невидимы и неуправляемы командлетами управления агентами транспорта в командной консоли Exchange (*-TransportAgent).

Встроенные агенты транспорта, связанные с IRM, описаны в этой таблице:

Имя агента	Управляемость	Событие SMTP или классификатора	Описание
Агент расшифровки отчетов журнала	Нет	OnCategorizedMessage	Предоставляет текстовую копию защищенных IRM сообщений, которые прикреплены к отчетам журнала.
Агент предварительного лицензирования	Нет	OnRoutedMessage	Присоединяет предварительную лицензию к сообщениям, защищенным службой IRM.
Агент расшифровки RMS	Нет	OnSubmittedMessage,	Расшифровывает защищенные IRM сообщения, чтобы предоставить доступ к их содержимому агентам транспорта.
Агент шифрования RMS	Нет	OnRoutedMessage	Применяет защиту IRM к сообщениям, помеченным агентом транспорта, и повторно шифрует расшифрованные сообщения транспорта.
Агент расшифровки протокола RMS	Нет	OnEndOfData	Расшифровывает защищенные IRM сообщения, чтобы предоставить доступ к их содержимому агентам транспорта.
Агент правил транспорта	Да	OnRoutedMessage	Помечает сообщения, соответствующие условиям в правиле защиты транспорта, для применения защиты IRM агентом шифрования RMS.

Дополнительные сведения об агентах транспорта см. в разделе Транспортные агенты в Exchange Server.

Требования к управлению правами на доступ к данным

По умолчанию организация Exchange включает IRM. Чтобы фактически реализовать IRM в Exchange Server организации, развертывание должно соответствовать требованиям, описанным в этой таблице.

Сервер	Требования
Кластер AD RMS	Кластер AD RMS — термин, использующийся для обозначения любого развертывания AD RMS, в том числе одного сервера AD RMS. AD RMS — это веб-служба, поэтому вам не нужно настраивать отказоустойчивый кластер Windows Server. Чтобы обеспечить высокий уровень доступности и балансировку нагрузки, в кластере можно развернуть несколько серверов AD RMS и использовать балансировку сетевой нагрузки (NLB). Точка подключения службы. Приложения с поддержкой AD RMS, такие как Exchange, используют точку подключения службы, зарегистрированную в Active Directory, для обнаружения кластера и URL-адресов AD RMS. В лесу Active Directory есть только одна точка подключения службы для AD RMS. Вы можете зарегистрировать точку подключения службы во время установки AD RMS или после нее. Разрешения. Разрешения на чтение и выполнение конвейера сертификации сервера AD RMS ( `ServerCertification.asmx` файл по адресу `\inetpub\wwwroot\_wmcs\certification\`) должны быть назначены следующим субъектам безопасности: Группа Exchange Servers или отдельные серверы Exchange. группа службы AD RMS на серверах AD RMS. Дополнительные сведения см. в разделе Установка разрешений для конвейера сертификации сервера AD RMS. Суперпользователей AD RMS. Чтобы включить расшифровку транспорта, расшифровку отчетов журнала, IRM в Outlook в Интернете и расшифровку IRM для поиска Exchange, необходимо добавить почтовый ящик федерации в группу суперпользователей на сервере AD RMS. Дополнительные сведения см. в разделе Добавление федеративного почтового ящика в группу суперпользователей службы управления правами Active Directory.
Exchange	Требуется Exchange 2010 или более поздней версии. В рабочей среде установка AD RMS и Exchange на одном сервере не поддерживается.
Outlook	Шаблоны AD RMS для защиты сообщений доступны в Outlook 2007 или более поздних версиях. Для правил защиты Outlook в Exchange требуется Outlook 2010 или более поздней версии.
Exchange ActiveSync	IRM доступен для мобильных приложений и устройств, поддерживающих протокол Exchange ActiveSync версии 14.1 или более поздней, а также включенный тег RightsManagementInformation (как представленный в Exchange 2010 с пакетом обновления 1). Пользователи с поддерживаемыми устройствами могут использовать ActiveSync для просмотра, ответа на сообщения, пересылки и создания сообщений, защищенных IRM, без подключения к компьютеру для активации устройства для IRM. Дополнительные сведения см. в статье Understanding Information Rights Management in Exchange ActiveSync.

Функции Exchange IRM поддерживают форматы файлов Office. Вы можете расширить защиту IRM на другие форматы файлов, развернув пользовательские средства защиты. Дополнительные сведения о пользовательских предохранителях найдите Information Protection и партнеры по управлению на странице поставщиков решений Майкрософт.

Настройка и проверка IRM

Для настройки функций IRM в Exchange используется командная консоль Exchange. Инструкции см. в статье Managing Rights Protection.

После установки и настройки сервера почтовых ящиков можно выполнить сквозные испытания развертывания IRM с помощью командлета Test-IRMConfiguration. Командлет выполняет следующие тесты:

Проверяет конфигурацию IRM для организации Exchange.
Проверяет сервер службы AD RMS на предмет сведений о версии и исправлениях.
Проверяет, можно ли активировать сервер Exchange Server для RMS, получая сертификат учетной записи прав (RAC) и сертификат лицензиара клиента.
Получает шаблоны политики прав службы AD RMS с сервера службы AD RMS.
Проверяет способность указанного отправителя отправлять сообщения, защищенные службой IRM.
Получает для указанного получателя лицензию на использование суперпользователя.
Получает для указанного получателя предварительную лицензию.

Дополнительные сведения см. в статье Test-IRMConfiguration.

Расширение Rights Management с соединителем Rights Management

Соединитель Azure Rights Management (соединитель RMS) — это необязательное приложение, которое повышает защиту данных для сервера Exchange, используя облачную службу Azure Rights Management (Azure RMS). После установки соединитель RMS обеспечивает постоянную защиту данных в течение всего срока существования информации. А так как эти службы можно настраивать, вы можете определить необходимый уровень защиты. Например, вы можете предоставить доступ к сообщениям электронной почты только заданным пользователям или установить для определенных сообщений права только на просмотр.

Дополнительные сведения о соединителе RMS и его установке см. в статье Развертывание соединителя Azure Rights Management.