AD RMS: Часть 2 – защита документов(Исправлено)

от автора

в

Windows Rights Management Services Client на текущий момент имеет второй пакет обновлений и загружается в зависимости от архитектуры вашей системы.

Клиент управления правами Microsoft Windows (SP2) x86

Клиент управления правами Microsoft Windows (SP2) x64

Клиент управления правами Microsoft Windows (SP2) IA64

Поскольку я использую Windows 7, то хлопоты с установкойRMS-клиента меня обошли стороной. Свой клиентский компьютер я включил в домен,предварительно настроив сеть следующим образом: IP- 192.168.0.3; Маска –255.255.255.0; DNS – 192.168.0.1

Для экспериментов мне понадобится несколько учетных записей,каждая из которых обязана иметь заполненный атрибут «электронный ящик».

Поэтому я создал новое организационное подразделение Accounts и пять учетных записей с прописанными эл. адресами. В моей сети отсутствует Exchange-сервер, посему были прописаны адреса почты, хранящейся у провайдера. Прошу заметить, что все учетные записи имеют полномочия обыкновенных доменных пользователей.

Перед тем как перейти к защите документов, мы должны выполнить еще одно действие – добавить узел adrms.itband.ru (а мы помним, что это имя нашего rms-кластера) в список узлов Местной Интрасети клиентских браузеров IE 8. Зачем это делается? Когда клиент пытается защитить документ,он обращается по протоколу https к кластеру AD RMS, и если узел кластера не вписан в местную интрасеть, у пользователя повторно запрашивается имя и пароль. Нам это естественно не нужно.

Чтобы максимально автоматизировать процесс добавления,создаем групповую политику «IE Security Zone» и прицепляем ее к организационному подразделению Accounts.

В этой политике разворачиваем: Конфигурацию Пользователя–> Административные Шаблоны –> Компоненты Windows –> Internet Explorer–> Панель Управления браузером –> Вкладка Безопасности –> Список назначений зоны безопасности для веб-сайтов.

Включим данный параметр и прописываем для узла adrms.itband.ru значение равное единице. (1) – это код зоны Местной Интрасети, о других кодах можно прочитать в справке, идущей вместе с параметром политики.

Создав политику, применяем ее на клиенте, путем запуска команды gpupdate /force и проверяем результат. В настройках IE8 на клиенте имя нашего кластера должно быть в Местной Интрасети.

Теперь все готово для проверки RMS. Выполняем вход наWindows 7 от имени учетной записи Bgatesи создаем тестовый документ Word 2007.Как только он будет готов, выбираем в меню опцию «Подготовить»–> «Ограниченный доступ».Если данной опции вы не видите, значит на вашей рабочей станции стоит младший выпуск офиса и вам стоит еще раз вернуться к первой части статьи и посмотреть,с помощью каких выпусков можно защищать документы.

При первой попытке защитить документ ваш компьютер запустит процедуру настройки, и, если у вас все предварительные шаги выполнены правильно, то результатом будет вывод окна ограничения прав.

Начнем с простого, разрешим только «Чтение» и только одной учетной записи Sbalmer, прописав в поле чтение его электронный адрес. Сохраняем документ в доступное учетной записи Sbalmer место и выполняем под ней вход.

Открыв тот же самый документ под пользователем Sbalmer, видим появившееся предупреждение об ограничение доступа к данному документу. Пытаемся изменить,сохранить, скопировать и видим, что сделать этого не удается. Тем кто думает,что клавиша Print Screen спасет отцов «русской демократии»сразу отвечу: не спасет! Print Screenне работает. И вам остается либо смириться с данными правами, либо запросить дополнительные разрешения у автора документа, отослав ему письмо по электронной почте.

Может возникнуть вопрос: что же увидит человек, у которого вообще нет прав на данный документ?А увидит он сообщение о невозможности открыть файл, по причине отсутствия полномочий. И предложение эти права запросить. Учтите, что в NTFS разрешения на данный документ могут быть хоть Full, но это никак не поможет получить доступ к его содержимому.

Снова заходим под учетной записью Bgates и открываем «Ограничение разрешений»,только теперь с дополнительными параметрами. Из появившихся любопытных прав:разрешить Печать содержимого и ограничить срок жизни документа. Если по печати все понятно, то срок действия документа рассмотрим подробней.

Срок действия документа указывает, как долго будут действовать установленные ограничения.По окончанию срока жизни доступ к документу сможет получить только пользователь, имеющий «Полный Доступ».

Все остальные получают сообщение об истечении срока разрешений. Звучит красиво, но я столкнулся с некоторыми трудностями.

Трудность первая: запоздалая реакция. Мною был создан документ и установлены разрешения со сроком до 12октября. После чего я открыл документ 12 октября в 00:08 и с удивлением обнаружил, что он по-прежнему доступен. Поскольку это был час ночи, продолжать изыскания не хотелось. Утром же вернувшись к этому документ снова, я получил сообщение об истекшем сроке разрешений, т.е. права сработали.

Трудность вторая: странное поле. Открывая защищенный документ можно увидеть свои права, в том числе и до какого числа они действительны. Мне на данный момент не ясно, что значит «Срок действия разрешений 60 дней», указанный выше. Логически я понимаю,что там должно быть количество дней до часа Х. (На картинке 16 октября). Откуда взялись 60 дней?

Вывод. Со сроком действия разрешений нужно разбираться и разбираться, если кто прояснит ситуацию, я буду очень благодарен.

И еще одна капля дегтя. Все свои эксперименты я провожу в виртуальной среде, каждая виртуальная машина имеет по 1.5 Gb оперативной памяти и находится на личном жестком диске. Когда я открываю защищенный документ, либо защищаю новый, время на открытие или защиту документа иногда превышает 45–50 секунд. И это при условии,что между компьютерами нет медленных каналов. Я допускаю, что это особенности виртуализации, но очень похоже на тормоза «by design». Пока вывода сделать не могу,но если это норма, сотрудники будут «не рады» однозначно.

Важно понять следующее:

1. Разрешения можно давать как пользователям, так и любым группам Безопасности. Главное, чтобы эти группы имели заполненный атрибут «эл.ящик». Соответственно, разрешения будут действовать на членов этой группы.

2. Большинство пользователей не будет разбираться с расширенными разрешениями, поэтому наша цель – свести их клики к минимуму.

Давайте сформируем примитивную задачу: Bgates является начальником ИТ-отдела и ежедневно распространяет среди своих сотрудников документы. Он хочет чтобы ИТ-сотрудники имели одно право – на чтение этих документов. Все остальные не могли бы даже открыть его приказы.

В тоже время в отделе есть ИТ-менеджер Sbalmer, который имеет высокую степень доверия и должен на некоторые документы иметь полные права.

Для решения этой задачи создаем две группы безопасности: IT full и IT Read.


Комментарии

Добавить комментарий

Больше на ITMSFT Group

Оформите подписку, чтобы продолжить чтение и получить доступ к полному архиву.

Читать дальше