Общие сведения об управлении правами на доступ к данным

Применимо к: Exchange Server 2010

Последнее изменение раздела: 2010-02-01

Каждый день служащие, работающие с информацией, используют электронную почту для обмена конфиденциальными сведениями, такими как финансовые данные и отчеты, контракты, конфиденциальные сведения о продуктах, прогнозы объема реализации и отчеты о продажах, конкурентный анализ, исследовательская и патентная информация, а также данные о клиентах и сотрудниках. Поскольку в настоящее время люди могут получить доступ к своей электронной почте практически в любом месте, почтовые ящики превратились в хранилища, содержащие большое количество потенциально конфиденциальных сведений. Таким образом, утечка информации представляет серьезную угрозу для большинства организаций. Чтобы предотвратить утечку информации, сервер Exchange 2010 имеет функцию управления правами на доступ к данным (IRM), которая обеспечивает постоянную автономную и интернет-защиту сообщений электронной почты и их вложений.

Содержание

Понятие утечки информации

Традиционные решения для защиты от утечки информации

Управление правами на доступ к данным в Exchange 2010

Шаблоны политики прав службы AD RMS

Применение защиты IRM к сообщениям

Расшифровка сообщений, защищенных службой IRM, для обеспечения соблюдения политик обмена сообщениями

Предварительное лицензирование

Агенты управления правами на доступ к данным

Требования к управлению правами на доступ к данным

Настройка и тестирование управления правами на доступ к данным

Понятие утечки информации

Утечка потенциально конфиденциальных сведений может привести к значительным издержкам организации и существенно повлиять на ее бизнес, сотрудников, клиентов и партнеров. Кроме того, все большую роль в управлении способами хранения, передачи и защиты определенных типов информации играют местные и отраслевые нормативные требования. Чтобы избежать нарушения действующих норм, организациям необходимо обеспечить защиту от преднамеренной, неумышленной или случайной утечки информации.

Ниже приведены некоторые последствия, к которым может привести утечка информации.

• Материальный ущерб   В зависимости от объема информации, отрасли и местных нормативных требований, утечка информации может привести к финансовым последствиям в результате утраты деловых связей или выплаты штрафов, налагаемых судебными или регулирующими органами. Открытые акционерные компании также подвергаются риску потери рыночной капитализации в результате неблагоприятного освещения ситуации средствами массовой информации.
• Ущерб имиджу и репутации   Утечка информации может отрицательно повлиять на имидж и репутацию организации среди клиентов. Кроме того, в зависимости от характера общения утечка сообщений электронной почты может поставить отправителя и организацию в затруднительное положение.
• Потеря конкурентоспособности   Потеря конкурентных преимуществ компании является одной из самых больших угроз утечки информации. Раскрытие стратегических планов или сведений о слияниях и приобретениях может привести к потери прибыли или рыночной капитализации. Среди других угроз можно выделить потерю данных исследований, аналитических данных и другой интеллектуальной собственности.

Традиционные решения для защиты от утечки информации

Несмотря на то что традиционные решения для защиты от утечки информации могут предотвратить начальный доступ к данным, они часто не обеспечивают постоянную защиту. Например, в следующей таблице приведены некоторые традиционные решения и их ограничения

Решение	Описание	Ограничения
Протокол TLS	Протокол TLS является стандартным интернет-протоколом, используемым для обеспечения безопасной передачи данных через сеть путем их шифрования. В среде обмена сообщениями протокол TLS используется для защиты взаимодействий сервер-сервер и/или клиент-сервер. По умолчанию сервер Exchange 2010 использует TLS для всех внутренних передач сообщений. По умолчанию для сеансов с внешними узлами также включен гибкий TLS. Это означает, что сервер Exchange сначала попытается использовать для сеанса шифрование TLS, но если установить TLS-подключение к конечному серверу не удастся, сервер Exchange будет использовать протокол SMTP. Также можно настроить безопасность домена, чтобы для сеансов с внешними организациями использовался Mutual TLS. Дополнительные сведения см. в разделе Общие сведения о безопасности домена.	Протокол TLS обеспечивает защиту сеанса SMTP только между двумя узлами SMTP. Другими словами, он защищает данные при передаче. Он не обеспечивает защиту на уровне сообщений или данных в местах хранения. Сообщения в почтовых ящиках отправителей и получателей остаются незащищенными, если они не шифруются другим методом. Защита TLS сообщения, отправляемого за пределы организации, используется только для первого прыжка. Затем сообщение принимает удаленный узел SMTP за пределами организации, который может ретранслировать его на другой узел SMTP через незашифрованный сеанс. Поскольку протокол TLS представляет собой технологию защиты данных на транспортном уровне, он не может контролировать действия получателя с сообщением.
Шифрование электронной почты	Для шифрования сообщений пользователи могут использовать различные технологии, например S/MIME.	Пользователи самостоятельно решают, необходимо ли шифровать сообщение. Шифрование также накладывает дополнительную стоимость развертывания инфраструктуры открытых ключей (PKI) с сопутствующими затратами на управление сертификатами для пользователей и защиту закрытых ключей. Кроме того, действия получателя с информацией после расшифровки сообщения не контролируются. Расшифрованные данные можно скопировать, напечатать или переслать. По умолчанию сохраненные вложения не защищены. Организация не имеет доступа к сообщениям, зашифрованным с помощью таких технологий, как S/MIME. Поскольку организация не может проверять содержимое сообщения, она не может применять политики обмена сообщениями, проверять сообщения на наличие вирусов и вредоносного содержимого или предпринимать другие действия, для которых требуется доступ к содержимому.

И наконец, традиционные решения часто не имеют принудительных средств, которые применяют единые политики обмена сообщениями для предотвращения утечки информации. Например, пользователь отправляет сообщение, содержащее конфиденциальные данные, и помечает его как «Cлужебное, конфиденциально» и «НЕ ПЕРЕСЫЛАТЬ». Однако после доставки сообщения получателю ни отправитель, ни организация больше не могут управлять содержащейся в нем информацией. Получатель может умышленно или непреднамеренно переслать сообщение (с помощью таких функций, как правила автоматической пересылки) на внешние учетные записи электронной почты, подвергая организацию существенному риску утечки информации.

Управление правами на доступ к данным в Exchange 2010

Сервер Exchange 2010 имеет функции управления доступом к данным (IRM) для обеспечения постоянной защиты сообщений и вложений. Для управления правами IRM используются службы управления правами Active Directory (AD RMS), технология защиты данных в Windows Server 2008. Благодаря функциям IRM сервера Exchange 2010 организация и пользователи могут управлять правами получателей на действия с сообщениями электронной почты. C помощью IRM можно разрешить или запретить получателю пересылать сообщение другим получателям, печатать сообщение или вложения, а также копировать текст сообщения или вложений. Защиту IRM могут применять пользователи приложений Microsoft Outlook или Outlook Web App, или она может основываться на политиках обмена сообщениями организации и применяться с помощью правил защиты транспорта или правил защиты Outlook. В отличие от других решений шифрования электронной почты, IRM также позволяет организации расшифровывать содержимое в целях обеспечения соблюдения требований политики.

Для сертификации компьютеров и пользователей и защиты содержимого служба AD RMS использует сертификаты и лицензии на основе eXtensible Rights Markup Language (XrML). Когда содержимое, документ или сообщение, защищены с помощью службы AD RMS, к нему прикрепляется лицензия XrML, содержащая права уполномоченных пользователей на содержимое. Чтобы получить доступ к содержимому, защищенному службой IRM, приложения с поддержкой AD RMS должны получить лицензию на использование для уполномоченных пользователей из кластера AD RMS.

Примечание.
В сервере Exchange 2010 агент предварительного лицензирования прикрепляет к сообщению, защищенному с помощью кластера AD RMS в организации, лицензию на использование. Дополнительные сведения см. в подразделе Предварительное лицензирование далее в этом разделе.

Приложения, используемые для создания содержимого, должны иметь поддержку службы RMS для обеспечения постоянной защиты содержимого с помощью AD RMS. Приложения Microsoft Office, такие как Microsoft Word, Microsoft Excel и Microsoft PowerPoint имеют поддержку RMS и могут использоваться для создания защищенного содержимого.

Служба IRM помогает:

• предотвратить пересылку, изменение, печать, отправку по факсу, сохранение и копирование уполномоченными получателями содержимого, защищенного службой IRM;
• обеспечить для вложений в поддерживаемых форматах такой же уровень защиты, что и для сообщения;
• поддерживать функцию управления сроком действия сообщений и вложений с защитой IRM, которая не позволяет просматривать их по истечении указанного периода;
• предотвратить копирование содержимого, защищенного службой IRM, с помощью инструмента «Ножницы» в Windows.

Однако служба IRM не может предотвратить копирование сведений следующими методами:

• создание снимков экрана с помощью программ сторонних производителей;
• фотографирование содержимого, защищенного службой IRM, с экрана с помощью таких устройств, как камеры и фотоаппараты;
• запоминание данных пользователем или их запись вручную.

Дополнительные сведения о службе AD RMS см. в разделе Службы управления правами Active Directory.

Шаблоны политики прав службы AD RMS

Служба AD RMS использует шаблоны политики прав на основе XrML, чтобы совместимые приложения с поддержкой IRM могли применять согласованные политики защиты. В Windows Server 2008 сервер AD RMS предоставляет веб-службу для нумерации и получения шаблонов. Сервер Exchange 2010 поставляется с шаблоном «Не пересылать». Если к сообщению применен шаблон «Не пересылать», расшифровать сообщение могут только получатели, которым оно адресовано. Получатели не смогут переслать сообщение другому лицу, скопировать текст содержимого или напечатать его. Можно также создать дополнительные шаблоны RMS на сервере AD RMS в организации в соответствии с требованиями защиты IRM.

Защита IRM применяется путем применения шаблона политики прав AD RMS. C помощью шаблонов политики можно управлять разрешениями, которые имеют получатели в отношении сообщений. Такими действиями, как ответить, ответить всем, переслать, извлечь сведения из сообщения, сохранить сообщение или напечатать можно управлять, применив соответствующий шаблон политики прав к сообщению.

Дополнительные сведения о шаблонах политики прав см. в статье Особенности использования шаблонов политики прав AD RMS.

Дополнительные сведения о создании шаблонов политики прав AD RMS см. в статье Пошаговое руководство по развертыванию шаблонов политики прав AD RMS.

Применение защиты IRM к сообщениям

В сервере Exchange 2010 применить защиту IRM к сообщениям можно на следующих этапах.

1. Вручную пользователями Outlook   Пользователи приложения Outlook могут применить защиту IRM к сообщениям с помощью доступных шаблонов политики прав AD RMS. При этом используется функция IRM приложения Outlook, а не сервера Exchange. Однако с помощью сервера Exchange можно получить доступ к сообщениям и предпринять действия (например, применить правила транспорта) для применения политики обмена сообщениями, действующей в организации. Дополнительные сведения об использовании функции IRM в приложении Outlook см. в статье Вводные сведения об использовании службы IRM для сообщений электронной почты.
2. Вручную пользователями Outlook Web App   При включении службы IRM в приложении Outlook Web App пользователи могут защищать с помощью IRM отправляемые сообщения и просматривать получаемые сообщения, защищенные службой IRM. Дополнительные сведения о функции IRM в приложении Outlook Web App см. в разделе Общие сведения об управлении правами на доступ к данным в Outlook Web App.
3. Автоматически в Outlook 2010   В Outlook 2010 можно создать правила для автоматической защиты сообщений с помощью службы IRM. Правила защиты Outlook автоматически разворачиваются на клиентах Outlook 2010, которые применяют защиту IRM при написании сообщения пользователем. Дополнительные сведения о правилах защиты Outlook см. в разделе Общие сведения о правилах защиты Outlook.
4. Автоматически на транспортных серверах-концентраторах   Для автоматической защиты сообщений с помощью службы IRM на транспортных серверах концентраторах Exchange 2010 можно создать правила защиты транспорта. Дополнительные сведения о правилах защиты транспорта см. в разделе Общие сведения о правилах защиты транспорта.

   Примечание.
   Защита IRM не применяется к сообщениям, которые уже защищены посредством службы IRM. Например, если сообщение защищено пользователем в приложении Outlook или Outlook Web App, защита IRM с использованием правил защиты транспорта к нему применяться не будет.

Поддерживаемые сценарии для защиты IRM

В Exchange 2010 защита IRM поддерживается в следующих случаях.

Сценарий	Поддержка защиты IRM
Сообщения, отправленные пользователям почтовых ящиков внутри организации Exchange	Да
Сообщения, отправленные в группы рассылки внутри организации	Да Примечание. Если группа рассылки включает получателей за пределами организации Exchange см. пункт «Сообщения, отправленные получателям за пределами организации».
Сообщения, отправленные получателям за пределами организации	Нет Примечание. Сервер Exchange 2010 не содержит решение для отправки сообщений, защищенных службой IRM, внешним получателям. Служба AD RMS предлагает решения на основе политик доверия. Политику доверия можно настроить между кластером AD RMS и идентификатором Windows Live ID. Для сообщений, отправляемых между двумя организациями, можно создать федеративное доверие между двух лесов Active Directory с помощью служб федерации Active Directory (AD FS). Дополнительные сведения см. статье Общие сведения о политиках доверия службы AD RMS.
Сообщения, отправленные в группы или списки рассылки за пределами организации Exchange	Нет Примечание. Внешнее расширение списка рассылки или группы рассылки не происходит внутри организации Exchange. Сообщения с защитой IRM, отправленные во внешние группы рассылки, содержат лицензию для группы, но не для участников группы. Участники группы не смогут получить доступ к сообщению.

Расшифровка сообщений, защищенных службой IRM, для обеспечения соблюдения политик обмена сообщениями

Чтобы обеспечить соблюдение политик обмена сообщениями и соответствие нормативным требованиям, необходимо иметь доступ к содержимому зашифрованного сообщения. Кроме того, для соблюдения требований к электронному обнаружению в связи с судебным разбирательством, ревизией или внутренним расследованием, пользователю также должна быть доступна функция поиска в зашифрованных сообщениях. Для осуществления этих задач сервер Exchange 2010 включает следующие функции IRM.

1. Расшифровка транспорта   Для применения политик обмена сообщениями агенты транспорта, такие как агент правил транспорта, должны иметь доступ к содержимому сообщений. Расшифровка транспорта позволяет агентам транспорта, установленным на серверах Exchange Server 2010, получать доступ к содержимому сообщений. Дополнительные сведения см. в разделе Общие сведения о расшифровке транспорта.
2. Расшифровка отчета журнала   Чтобы обеспечить соблюдение требований компании или нормативных требований, организации могут использовать функцию ведения журнала для хранения содержимого сообщений. Для сообщений, подлежащих регистрации в журнале, агент ведения журнала создает отчет журнала, в котором содержатся метаданные сообщения. Исходное сообщение присоединяется к отчету журнала. Если сообщение в отчете журнала защищено службой IRM, то функция расшифровки отчета журнала присоединяет к отчету копию сообщения в текстовом формате. Дополнительные сведения см. в разделе Общие сведения о расшифровке отчета журнала.
3. Расшифровка IRM для службы поиска Exchange   Благодаря функции расшифровки IRM служба поиска Exchange может выполнять индексацию содержимого сообщений с защитой IRM. Если диспетчером обнаружения используется поиск в нескольких почтовых ящиках, то в результатах поиска будут возвращены сообщения с защитой IRM, которые были проиндексированы. Дополнительные сведения см. в разделе Общие сведения о подсистеме поиска Exchange. Дополнительные сведения о функции поиска по нескольким почтовым ящикам см. в разделе Общие сведения о поиске по нескольким почтовым ящикам.

Для включения этих функций расшифровки серверы Exchange должны иметь доступ к сообщениям. Для этого необходимо добавить почтовый ящик федеративной доставки, системный почтовый ящик, созданный программой установки Exchange, в группу суперпользователей на сервере AD RMS. Дополнительные сведения см. в разделе Добавление почтового ящика федеративной доставки в группу суперпользователей службы управления правами Active Directory.

Предварительное лицензирование

Для просмотра сообщений и вложений с защитой IRM сервер Exchange 2010 автоматически присоединяет к ним предварительную лицензию. Это предотвращает многократное обращение клиента к серверу AD RMS для получения лицензии на использование, а также позволяет просматривать сообщения и вложения с защитой IRM в автономном режиме. Предварительное лицензирование также позволяет просматривать сообщения, защищенные службой IRM, в приложении Outlook Web App. При включении функций защиты IRM предварительное лицензирование включается по умолчанию.

Агенты управления правами на доступ к данным

В системе Exchange 2010 функции защиты IRM включаются на транспортных серверах-концентраторах с помощью агентов транспорта. Агенты IRM устанавливаются программой установки Exchange на транспортном сервере-концентраторе. Управлять агентами IRM с помощью задач управления для агентов транспорта невозможно.

Примечание.
В Exchange 2010 агенты IRM являются встроенными агентами. Встроенные агенты не включаются в список агентов, возвращаемых командлетом Get-TransportAgent. Дополнительные сведения см. в разделе Общие сведения об агентах транспорта.

В следующей таблице перечислены агенты IRM, действующие на транспортных серверах-концентраторах.

Агент	Событие	Функция
Агент расшифровки RMS	OnEndOfData (SMTP) и OnSubmittedMessage	Расшифровывает сообщения, чтобы разрешить доступ к агентам транспорта.
Агент правил транспорта	OnRoutedMessage	Помечает сообщения, соответствующие условиям правила зашиты транспорта, для применения защиты IRM агентом шифрования RMS.
Агент шифрования RMS	OnRoutedMessage	Применяет защиту IRM к сообщениям, помеченным агентом правил транспорта, и зашифровывает расшифрованные сообщения транспорта.
Агент предварительного лицензирования	OnRoutedMessage	Присоединяет предварительную лицензию к сообщениям с защитой IRM.
Агент расшифровки отчетов журнала	OnCategorizedMessage	Расшифровывает сообщения с защитой IRM, присоединенные к отчетам журнала, и присоединяет к исходным зашифрованным сообщениям копии в текстовом формате.

Дополнительные сведения об агентах транспорта см. в разделе Общие сведения об агентах транспорта.

Требования к управлению правами на доступ к данным

Для реализации управления правами на доступ к данным в организации Exchange 2010 развертывание должно соответствовать следующим требованиям.

Сервер	Требования
Кластер AD RMS	Windows Server 2008 R2 Windows Server 2008 с пакетом обновления 2 (SP2) со следующими исправлениями. Точка подключения службы (SCP)   Сервер Exchange 2010 и приложения с поддержкой AD RMS используют точку подключения службы, зарегистрированную в Active Directory, для обнаружения кластера AD RMS и URL-адресов. Служба AD RMS позволяет регистрировать точку подключения службы в программе установки AD RMS. Если при установке AD RMS используется учетная запись, которая не является участником группы безопасности «Администраторы предприятия», регистрацию точки подключения службы можно выполнить после завершения установки. В лесу Active Directory существует только одна точка подключения службы AD RMS. Разрешения   Группа серверов Exchange Server или отдельные серверы Exchange должны иметь разрешения на чтение и выполнение в конвейере сертификации сервера AD RMS (путь по умолчанию на серверах AD RMS: \inetpub\wwwroot\_wmcs\certification\ServerCertification.asmx). Суперпользователи AD RMS   Для включения функций расшифровки транспорта и отчетов журнала, функций защиты IRM в приложении Outlook Web App и использования IRM для службы поиска Exchange, необходимо добавить почтовый ящик федеративной доставки, системный почтовый ящик, созданный при установке Exchange 2010, в группу суперпользователей на кластере AD RMS. Дополнительные сведения см. в разделе Добавление почтового ящика федеративной доставки в группу суперпользователей службы управления правами Active Directory.
Exchange Server	Exchange Server 2010 Рекомендуется: данное исправление для .Net Framework 2.0 с пакетом обновления 2 (SP2)
Outlook	Пользователи могут применить защиту IRM к сообщениям в приложении Outlook. Приложение Outlook 2003 и более поздние версии поддерживают использование шаблонов AD RMS для применения защиты IRM к сообщениям. Правила защиты Outlook являются функцией сервера Exchange 2010 и приложения Outlook 2010. Предыдущие версии Outlook не поддерживают эту функцию.
Windows Mobile	Windows Mobile 6.0 или более поздней версии Для включения функции управления правами на доступ к данным на устройстве с Windows Mobile необходимо подключить устройство к компьютеру под управлением Windows 7, Windows Vista или Windows XP, а затем активировать ее с помощью центра устройств Windows Mobile или Exchange ActiveSync. Чтобы активировать службу IRM, компьютер, к которому подключено устройство, должен иметь доступ к контроллерам домена Active Directory для поиска кластера AD RMS в организации. Дополнительные сведения см. в статье Общие сведения об управлении правами на доступ к данным. На кластере AD RMS необходимо включить сертификацию мобильных устройств. Дополнительные сведения см. в статье Включение сертификации мобильных устройств.

Примечание.
Термин кластер AD RMS относится к развертыванию AD RMS в организации, включая развертывание одного сервера. Служба управления правами AD является веб-службой. Установка отказоустойчивого кластера Windows Server 2008 не требуется. Чтобы обеспечить высокий уровень доступности и балансировку нагрузки, в кластере можно развернуть несколько серверов AD RMS и использовать балансировку сетевой нагрузки.

Важно!

В производственной среде установка службы AD RMS и сервера Exchange на одном сервере не поддерживается.

Настройка и тестирование управления правами на доступ к данным

Настройка функций IRM в Exchange 2010 выполняется в командной консоли. Чтобы настроить отдельные функции IRM, используйте командлет Set-IRMConfiguration. Для внутренних сообщений можно включить или отключить защиту IRM, включить или отключить расшифровку транспорта, расшифровку отчетов журнала, функцию IRM для службы поиска Exchange и IRM в Outlook Web App. Дополнительные сведения о настройке функций IRM см. в разделе Управление защитой прав.

После настройки сервера Exchange 2010 можно выполнить комплексную проверку развертывания IRM с помощью командлета Test-IRMConfiguration. Используемые тесты позволяют проверить функциональные возможности IRM сразу после первоначальной настройки IRM на постоянной основе. Этот командлет выполняет следующие тесты.

• Проверяет конфигурацию IRM для организации Exchange 2010
• Проверяет сервер AD RMS для получения сведений о версии и исправлениях
• Проверяет возможность активации сервера Exchange для RMS путем получения сертификата учетной записи прав и клиентского сертификата лицензиара (CLC)
• Получает шаблоны политики прав AD RMS от сервера AD RMS
• Проверяет, что указанный отправитель может отправлять сообщения с защитой IRM
• Получает для указанного получателя лицензию на использование суперпользователя
• Получает для указанного получателя предварительную лицензию