內部 SharePoint 安全性和與 AD RMS 相容性

Pav Cherny

可在程式碼下載： ChernySharePoint2009_04.exe(846 個 KB)

內容

與使用原則的資訊安全性
AD RMS SharePoint 整合
AD RMS 原則設定覆寫
AD RMS 保護，與 AD RMS 保護
文件的保護之外，SharePoint 環境
強制執行唯讀使用權限
結論

組織目前維持 SharePoint，包括各種財務的資料與可識別個人身份的資訊，以及保護資訊可能會一項挑戰的敏感性和機密性資訊的龐大的數量。 使用多達 15 萬美元每犯規的罰金，與內容的儲存和保護法規也 SOX)、 HIPAA、 GLBA，和 ISO 27000 + 不符的成本是高的。 因此是重要檢閱，並適當地，使用 SharePoint 法規遵循功能，以及強制 (執行) 在 SharePoint 環境之外的使用原則，並提供相容性的說明文件。

好消息是 Windows SharePoint Services (WSS) 3.0 可讓您達成透過資訊版權管理 (IRM) Framework 的相容性的。 藉由包含利用 IRM) 架構和與 Active Directory 權限 Management Services (AD RMS) 的整合的 Microsoft Office 文件保護裝置的 Microsoft Office SharePoint Server (MOSS) 2007 會更進一步。

不過，很容易 stumble 透過 IRM Framework 實作詳細資料。 不甚至 Microsoft 取得它正確所有時間： 網路廣播，標題為 ＜ 管理和保障安全 SharePoint 2007 的最佳實務」 您可以自動化，並移動至文件庫的檔案 ； AD RMS-啟用文件程式庫的內容保護是相同使用 Microsoft Office Word 時, 強制執行 AD RMS 加密和 AD RMS 原則會遵循文件位置這份文件會宣告。

但實際上是更複雜。 misunderstanding.IRM Framework 可能會導致無效的安全性解決方案及客戶的組織在不符因此是很重要，讓它直接。

在這個的資料行中，我檢閱 AD RMS，以強調設計和實作 SharePoint 為基礎的安全性和相容性的方案時，您必須考慮的問題與 SharePoint 的整合。 先，我討論本身的 AD RMS 與 SharePoint 整合，與 AD RMS，差異並我顯示第一個的手在測試環境與 AD RMS 的 SharePoint 整合隆 l 需要記憶體安全的 SharePoint 環境中。

這說明，一旦我會著重特定可用性問題，您可以在您的安全性和相容性解決方案和文件位址。 我假設您已經部署 AD RMS 及 MOSS。 部署在實際執行環境中很涵蓋在 「 AD RMS 部署，與 Microsoft Office SharePoint Server 2007 的逐步指南." 沒有任何項目，將，除了此測試環境的某些工作表。

在下一個的欄中，我將介紹 AD RMS pre-production 階層架構中的部署 Microsoft Office 2007 和 MOSS 2007，因為這並不包括 WSS SDK 或 AD RMS SDK 中的。 這是一個有趣的練習和深層的深入到 IRM Framework 架構一個好機會。

現在，但是，讓我們著重一般安全性、 相容性和可用性層面，因此也不包含在 SharePoint 文件中。 4 月發行的 TechNet Magazine [小幫手] 資料會包含工作表]、 [已編譯的工具和 [原始程式碼。 為永遠，小幫手] 的內容會是用於僅圖和測試用，而是無法用來在實際執行環境中。

與使用原則的資訊安全性

不介紹 AD RMS 簡報完成，不需技術的驚人文件保護功能包括停用的複本的示範，並列印選項]、 [文件到期和 [等等。 不常發生人，但是，這些不實際的安全性功能。

當您看到停用的列印命令時，對邏輯來推斷使用者無法執行列印，以競爭？ 當您聽到的使用者就無法轉寄文件，並未經授權的人員，甚至無法開啟文件，它不遵循的未經授權的洩漏受到保護的文件中的資訊嗎？

否，可惜，沒有。 您必須 outlaw 所有虛擬化 」 和 「 遠端的桌上型電腦技術 」、 「 協力廠商的螢幕擷取的解決方案 」、 「 電話的儲存格的攝影機和其他這類工具，讓使用者取得文件的列印、 轉寄，及檢視文件的到期日] 以外的用途的影像。 (就需要快速進行在 [圖 2 ，包含受保護的文件的螢幕擷取畫面)。 或許您也應該 outlaw 所有的 Windows 架構的攜帶型電腦和 Windows Mobile 裝置讓使用者開啟受保護的文件，並將它們顯示在任何位置的未授權檢視器。

很明顯地，這些文件保護 」 功能不會協助強制資訊的安全性雖然他們可以協助使用原則，實作例如以降低風險的員工營運根據過時的資訊，從過期的文件。 數位版權管理 (DRM) 可能已原本有關防止使用者，讓合法的擁有者可以 monetize 智慧財產，但是今天清楚地向法規符合性的強制移動此技術，建立不合法的複本。

AD RMS 的不用說會超出只加密，使用進階加密標準 (AES) 和電子 Codebook (ECB) 破解密碼的內容中強制使用原則。 會加密內容，AD RMS 產生金對稱 128 位元 AES 內容鑰，會再使用金公開金鑰加密從 AD RMS 伺服器的伺服器共享憑證 (SLC) 取得的。

當您安裝在您的 Active Directory 樹系的 AD RMS，您名稱產生，SLC 及伺服器的加密金鑰。 AD RMS 會再將加密內容與在指定的文件保護 」 設定搭配金鑰嵌入中發行 (也稱為的發行授權) 的 AD RMS 然後簽署使用從他或她用戶端共享憑證 (CLC) 的擁有者的私密金鑰的授權。 在 CLC — 建立使用者啟動處理序的使用者第一次建立的 AD RMS 保護的文件時 — 定義在使用者的權限，才能發佈內容。 AD RMS-啟用應用程式，然後連接發行授權至加密的內容，然後在內容受到保護。 AD RMS 保護的檔案中內容的片段的排列方式，取決於應用程式。 圖 1 ] 說明的 AD RMS 附加元件，Internet Explorer，容器格式如 AD RMS SDK 中所述。

[圖 1 的 AD 中的複合檔案 (Compound File) 的二進位檔的受 RMS 保護文件的格式 (CFBF)： 結構

任何想要存取內容的使用者必須開啟受保護的檔案，擷取帶正負號的發行授權]，] 和 [上載 AD RMS 伺服器以下載也稱為 [的使用者授權 (EUL) 的文件使用授權 (UL) 的使用者的權限帳戶憑證 (RAC) 以及此授權。 RAC 會識別使用者電子郵件位址或安全性識別碼，並將它包含使用者的加密金鑰，使用安全性處理序憑證 (SPC) 中所指定的本機電腦的機器金鑰加密。 從 AD RMS 伺服器傳回 「 UL 會包含內容索引鍵，使用使用者的公開金鑰加密伺服器取得從使用者的 RAC。 使用者可以現在解密此內容的金鑰，他或她的私密 RAC 金鑰，並再最後解密受保護的檔案內容。

您可以看到有涉及這個程序的機碼、 授權和憑證的許多。 應用程式也可以加入 [UL 至受保護的檔案，讓使用者不必再次從 AD RMS 伺服器中, 擷取，UL，但您可以變更這個行為，在 AD RMS 的原則設定。 您可以指定使用者必須取得新的 UL，當他開啟文件，或，讓使用者必須取得新的 UL 目前到期時，您可以在 UL 為定義在有效期間。 取得所有詳細資料簽出， AD RMS SDK. 即使您是開發人員的絕佳的資訊來源。

SharePoint 的安全性架構設計人員和系統管理員，有至少三個重要的事實，才能從 AD RMS 實作詳細資料。 先，AD RMS 保護在用戶端對端，文件會 (請注意，我不需 SharePoint 整合，與 AD RMS 談論這裡，AD RMS) 的位置，意義保護會維持與文件。 所以您可以將 「 Windows BitLocker 磁碟機上的 AD RMS 保護] 檔案或未加密的磁碟機上您可以放置該檔案共用上每個人讀取存取，您可以上載至 SharePoint 文件庫，可以傳送到的未授權的收件者您的組織外部但內容仍可以保護端對端，從另一端使用使用者其中一端，文件擁有者。

第二個，解密的 AD RMS 保護的文件會需要的使用者在 UL 從取得您的 AD RMS 伺服器至少一次。 藉由記錄 AD RMS 伺服器上所有的授權活動，您可以確實地追蹤使用者開啟文件並，甚至更重要使用者嘗試存取失敗。

記錄會是 AD RMS，Windows Server 2008 的新功能，而且因為您可以建立以.NET 為基礎的安全性分析師的工具和 SQL Server 報告技術自動處理這項資訊供鑑識很真的很酷。 不用說您也可以看到所有的要求和直接在 AD RMS 的管理主控台中的憑證資訊。

最後，和這看似明顯但還是非常重要 AD RMS 基礎文件保護依賴加密。 如果您不加密文件，您無法強制使用資訊安全性。 如果您建立工具，解密受保護的文件，並將它儲存在未加密的格式時，您就會中斷 AD RMS 端到端安全性。

誰是告訴未經授權的使用者無法取得的未加密的複本？ Microsoft 會對這降低，藉由要求開發人員簽署與 Microsoft 在實際執行授權合約，以取得實際執行的憑證。 在實際執行的憑證簽署的 AD RMS 實際執行的憑證階層的 AD RMS 應用程式。 它會指定除了其他功用外，模組系統可以載入應用程式保護記憶體中的加密的資料的處理序空間。 它會作用。 Microsoft 會指出 AD RMS 的安全性永遠不會已洩漏。

AD RMS SharePoint 整合

與牢記這些事實，讓我們方法與 AD RMS 的 SharePoint 整合。 首先是，並 Microsoft 說明中所有相關的產品說明文件片段 AD RMS-啟用文件程式庫儲存內容的項目未加密。 所以，沒有大量加密當您將項目移至的 AD RMS-啟用文件庫。 更重要的是由於項目是未加密，有是 AD RMS 保護，並在 SharePoint 環境中的沒有 [安全性] 取得。

SharePoint 的系統管理員和使用者可能認為 AD RMS 端到端安全性存在，但 SharePoint 整合，與 AD RMS 完全會根據 SharePoint 的安全性。 根據為 「 資訊版權管理在 Windows SharePoint Services 概觀「 在 WSS 3.0 SDK，Microsoft 選擇不儲存加密、 權限管理的格式，因為以客戶要求的項目。

請看一下 [圖 2] 。 它說明 IRM Framework 架構的不安全的 SharePoint 環境允許未經授權的使用者直接存取內容資料庫中。 重點是整合式的文件保護裝置套用 AD RMS 保護動態下載文件，以透過 SharePoint 時)。 這表示您已察覺為 AD RMS 保護文件的未受保護內容的項目。 當您上載變更時，不過，SharePoint) 會移除 AD RMS 保護。

[圖 2 An AD RMS 保護文件即，事實上，非 AD RMS 保護的內容項目

很重要的您請確定解密這是與您的安全性和相容性需求的一致。 只是試想一個案例，您裝載機密的人力資源文件 AD RMS-啟用文件程式庫失敗，通知 「 人力資源部門的所有 SQL Server 和 SharePoint 伺服器系統管理員隻 C，以及人力資源部門以外的任何 SharePoint 項 o 人員有限制存取未加密的表單中，內容的項目。 不要忽略了這個問題，在您的解決方案設計和您的相容性說明文件。 舉例來說，您可能部署不同的 SQL Server 執行個體和由內部人力資源系統管理員所維護的 SharePoint 伺服陣列。

設計安全性和相容性解決方案時, 請 SharePoint 整合，與 AD RMS 不不需要以保護您的 SharePoint 環境中所述的注意， . 如果您不要保護您的安全性帳戶及密碼，如果您部署未經驗證的程式碼問題來源，或甚至在您的 SharePoint 伺服器上中啟用 [伺服器端指令碼，然後的 IRM Framework 」 和 「 AD RMS 整合不會儲存您當未經授權的人取得存取在內容的項目，如所述 1 月的資料行標題為 「 SharePoint 安全性帳戶 」。

簽出 4 月小幫手 」 資料，包括兩個 Web 組件和工作表中，示範如何有問題的網頁組件可以呈現所有您安全性和相容性解決方案無效。 一個網頁組件下載文件適當的方式使用 SharePoint 物件模型，並其他 [網頁組件會藉由存取應用程式集區帳戶安全性內容中，直接在 SharePoint 內容資料庫的捷徑。

您可以檢查第二個 Web 組件會提供在不論 SharePoint 的使用權限和 AD RMS 設定網站集合中所有文件庫的完整存取使用者。 所以，確定您 SharePoint 的開發人員不中斷規則和使用快速鍵 ； 不直接對內容的資料庫的程式保留問題這麼離開您的實際執行伺服器的元件。

AD RMS 原則設定覆寫

另一個重要的問題，您必須處理在相容性解決方案和文件中是 AD RMS-啟用文件程式庫的內容保護無法與相同使用 Microsoft Office Word 外部的文件庫時。 簽出 [圖 3 ] 和 [工作表標題為 「 指定 AD RMS 權限在內部和外部文件庫的 Microsoft Office Word 」 的同一系列文件內容。

[圖 3] 文件庫 ’s 原則覆寫的擁有者 ’s 原則 。

在工作表，示範了 AD RMS 原則設定] 和 [文件的擁有者所指定的使用者授權，不會保留 AD RMS-啟用文件程式庫。 這是事實上，讓擁有者的原則定義不符合文件到 SharePoint 環境 SharePoint 解密文件上載的結果時。 在您下次使用者下載的文件 SharePoint 會套用 AD RMS 原則設定為文件庫和使用者的權限，如 [圖 3 ] 所示，SharePoint 中的定義。

請注意這個問題主要會影響網站管理員因為 SharePoint 授與只具有管理權限權限的使用者修改 AD RMS) 權限，文件的權限。 網站成員不屬於這個分類中。 不過，很令人混淆的站台系統管理員，而它可能導致無意間公開機密的資訊，錯誤 SharePoint 使用者。 當使用 AD RMS-啟用文件程式庫，請確定您的站台系統管理員，並管理員瞭解的並未保留 AD RMS 文件設定，在他們的 Office 應用程式中變更。 如 [.IRM Framework 的轉譯的詳細資料 SharePoint 到 AD RMS 的文件權限的使用權限請參閱主題 」 資訊版權管理在 Windows SharePoint Services 概觀「 在 WSS SDK。

AD RMS 保護，與 AD RMS 保護

原則覆寫的問題很難就能因為根本原因是在 SharePoint 環境之外所建立的 AD RMS 保護文件] 和 [SharePoint 環境中建立一個 miniscule 差異，網站管理員 」 和 「 管理員所說明的。 前者保留其原則即使當您上載這些插入 AD RMS-啟用文件程式庫，但後者不。 AD RMS 端到端安全性可防止 SharePoint 解密之外，SharePoint 環境建立的文件。

[圖 4 Verifying 應用程式集區帳戶具有 「 完全控制

在上載的解密，站台的應用程式集區帳戶必須是完整控制權限文件的擁有者。 SharePoint 會加入文件範本，當您按一下新的按鈕，AD RMS-啟用文件程式庫時，您下載此應用程式集區的帳戶。 您可以在文件的擁有者，確認應用程式集區帳戶具有完整的控制項。 只顯示進階 AD RMS 選項，按一下的更多的選項] 按鈕，在權限] 對話方塊中，文件在 Word 2007 的如 [圖 4 ] 所示。

而且，不要忘記，就是在您的相容性文件中文件的權限的使用者清單並不會反映 SharePoint 中的內容項目的使用權限的使用者清單。 SharePoint 會授與只有目前使用者和網站的應用程式集區帳戶 AD RMS 的下載的文件使用權限。

優點是，SharePoint 使用者無法共用這份文件，與其他 SharePoint 環境以外的任何人。 缺點是文件擁有者可能不正確地假設 AD RMS 保護是比實際更嚴格的。 在 [圖 4 ] 的範例，請 SPAdmin] 和 [ITUser 可以存取文件，但之文件的權限，不要洩露這項事實。 幸好，只有站台系統管理員，並管理員，可以檢視文件的使用權限]。 不要網站成員，並無法檢視文件的使用權限的使用者清單。

文件的保護之外，SharePoint 環境

它可能需要一些時間才能取得使用 SharePoint 會將網站的使用權限，對應至 AD RMS 文件的使用權限的方式，但可能立即欣賞的一部分是您無法開啟文件下載從 AD RMS-啟用應用程式集區帳戶的識別之下的程式庫]。 是相當驚人。

在 [圖 4 ，這是 WssDefaultSite 帳戶。 帳戶有完整的控制項的權限，而且仍然，它也無法開啟文件中。 所以，未經授權的人可能猜到，在登入名稱帳戶及密碼，應用程式集區，但只要您防止內容資料庫的直接連線，並強制透過 SharePoint 的所有文件存取，以便 SharePoint 可以套用 AD RMS 保護，內容仍保持為圖解 [圖 5 ] 中無法存取。

[圖 5 ： 應用程式集區的帳戶] 無法開啟 AD 受 RMS 保護的文件 。

查看小幫手] 的工作表 「 檢查安全性內容的項目的 AD RMS 啟用文件庫 」。 它會說明如何使用 GetDocument 工具也包含在小幫手] 內容。 GetDocument.exe 會使用 FrontPage 的 RPC，透過 Author.dll，來下載文件到，類似於 Microsoft Office Word 的使用者的桌面。 工具會示範 SharePoint 套用 AD RMS 保護，無論哪一個方法您可以下載文件 (並它使它更容易指定的每個文件下載的不同的帳戶資訊)。

應用程式集區帳戶無法開啟的文件，即使該帳戶擁有 「 完全控制 」 權限因為應用程式集區帳戶沒有電子郵件地址。 如果您使用 Microsoft Exchange Server 時，您最可能的使用者帳戶會有有效的電子郵件地址，和如果您不使用 Exchange Server，您必須設定您的使用者的郵件屬性，以手動方式或使用類似 Ldifde.exe 的工具 ； 應用程式集區帳戶不需要電子郵件的啟用，但是。

套用在伺服器上的 AD RMS 保護時，SharePoint 會使用應用程式集區帳戶的安全性識別項。 AD RMS 用戶端應用程式，從另一方面來說，例如 Word 2007，使用郵件屬性使用者與 AD RMS 權限產生關聯。 如果有任何的郵件屬性然後沒有符合項目，將授與 AD RMS 權限的然後在帳戶無法開啟的文件。

強制執行唯讀使用權限

無法共用 SharePoint 環境外部的文件會提供更大控制共同作業處理程序的工作流程設計工具。 更多的 compelling 不過，是能夠強制執行在 SharePoint 環境之外的唯讀文件權限。

移出方塊，SharePoint 防止網站訪客和其他使用者只檢視清單項目使用權限，無法上載文件，但您無法防止這些使用者修改在文件和透過其他方式，如電子郵件散發這些下載。 SharePoint 的整合與 AD RMS 會關閉這個間隔。 現在，使用者只能檢視清單項目權限取得 AD RMS 的讀取權限，但這不包括複製或編輯文件內容如 [圖 6 ] 所示的使用權限。 什麼是要是唯讀還是唯讀內和 SharePoint 外部 ！

[圖 6 ： AD RMS 保護的文件會保持唯讀之後下載 。

這似乎是 AD RMS SharePoint 整合的最大好處之一，因為它可讓您實作 Managed 的儲存機制的未定案文件時。 降低企業風險討論 ！ 提供法律部門的編輯清單項目的使用權限，和確保，沒有 Bogus、 操作，可以將公司檢視清單項目中的使用權限 SharePoint 和您的其餘部分，或過時的 boilerplates 飛周圍公司中。 只要別忘了，讓員工可以列印合約文件，文件會列印在 AD RMS 相關的程式庫設定所允許。

結論

SharePoint 的整合與 AD RMS 會是一有用的項功能，可讓您擴充安全性和法規符合性解決方案，遠超過您的 SharePoint 環境周邊設備的範圍。 利用這項技術，您可以在下載之後強制文件的使用原則和資訊安全性。 但是，請務必記住 AD RMS 整合與 IRM Framework 不要增加您的 SharePoint 環境中的安全性。 會保持一定要套用正確的 SharePoint 的存取控制，保護安全性帳戶 ； 正確地設定應用程式集區、 內容資料庫、 SQL Server 執行個體及 SharePoint 伺服器，並保持有問題的元件] 和 [未經驗證的程式碼從您的實際執行伺服器。

.IRM Framework 絕對是值得評估。 沒有資料的疑問您會注意到粗略的邊緣和目前的實作某些限制，但問題做不說話對技術 ； 而，它們反白這項技術的位址的需求和機會大型欄位。 Microsoft 說多個細微性和控制項，未來的 AD RMS 版本會提供這當然會影響與 SharePoint 整合以及。

會是很棒，能夠更多控制的使用權限的對應。 將會很有用有到期日，相對為下載的日期。 會是不錯的可以分別設定每個個別的文件庫的文件保護裝置。 將會有幫助結合文件剖析器文件保護裝置，讓您可以停用解密的文件同時保留 [索引] 和 [屬性升級功能。 希望清單長，但目前的實作一定是在正確的方向和引人入勝的組織而言，使用 SharePoint，並在必須遵守法規的涵蓋內容的儲存和保護的步驟。

唯一的問題，是組織無法獲益從 AD RMS 整合，現成的因為 Microsoft Office 文件的保護裝置只包含在 MOSS 2007 的 WSS 3.0。 不過請不要絕望 ！ 在下一個的欄我會告訴您如何擴充以達到根據 IRM 的架構和 AD RMS 的 Office 文件保護的 WSS 3.0]，而且不需要開發人員的技術。 我將說明您在資訊和攻擊，此技術的部署如果您要開發您自己的 AD RMS 基礎 Office 和 SharePoint 解決方案或只編譯解決方案，其他開發人員提供您免費的釋放以解決安全性和相容性需求，WSS 3.0 和 MOSS 2007 內建的標準功能就很有用在 pre-production 環境。 密切注意 ！

Pav Cherny 是 IT 專業人員和作者，專精於 Microsoft 技術，協同作業的整合的通訊)。 他的出版物包含著重於 IT 作業] 及 [系統管理白皮書、 產品的手冊和書籍。 Pav 會是總裁的 Biblioso Corporation，公司的專長於 Managed 文件和當地語系化的服務。