Vysvětlení restrikcí pro používání
Důležité
Verze sady MICROSOFT Rights Management Service SDK vydané před březnem 2020 jsou zastaralé; aplikace používající starší verze musí být aktualizovány tak, aby používaly verzi z března 2020. Úplné podrobnosti najdete v oznámení o vyřazení.
Pro sadu MICROSOFT Rights Management Service SDK se neplánují žádná další vylepšení. Důrazně doporučujeme přijmout sadu Microsoft Information Protection SDK pro klasifikaci, označování a služby ochrany.
Všechny aplikace s povolenou službou RMS musí vynucovat omezení použití. Omezení použití je podmínka, která vede k tomu, že se uživatel pokusí provést akci (např. tisk dokumentu), ale zásady RMS pro tento dokument jim neudělují oprávnění nebo právo k provedení této akce (např. tisk).
Dotaz na oprávnění uživatele pro dokument lze zadat pomocí funkce IpcAccessCheck.
Návrhy produktů s omezením použití
Seznamte se se standardními právy služby RMS
Úplnou sadu práv služby RMS, která vaše aplikace může vynutit, najdete v části Referenční informace k omezení využití.
Všimněte si, že je možné vytvářet pro konkrétní situace aplikacemi definovaná práva, která jdou nad rámec standardních práv RMS.
Určete body vynucení omezení využití
Bod vynucení omezení využití je místo v toku řízení aplikace, kde potřebujete vynutit omezení použití. Téma Referenční informace k omezení využití obsahuje několik příkladů běžných bodů vynucení.
Vyhodnoťte vlastní aplikaci a zjistěte, které body vynucení omezení využití pro ni platí.
Vaše aplikace nemusí potřebovat všechny body vynucení popsané v tématu Referenční informace k omezení využití. Pokud například vaše aplikace neumožňuje uživatelům tisknout obsah, nemusí zkontrolovat správné IPC_GENERIC_PRINT .
Aktualizujte kód a proveďte kontrolu přístupu u každého bodu vynucení
Informace o tom, jak vynutit konkrétní práva, najdete v části Referenční informace k omezení využití.
Referenční informace k omezení využití
Omezení použití definují následující konstanty.
U každého uživatelského práva uvedeného ve sloupci s právy AD RMS jsou: popis, bod vynucení a navrhované metody pro vynucení.
| Právo AD RMS / popis | Způsob vynucení |
|---|---|
| IPC_GENERIC_ALL Uděluje uživateli všechna práva. Běžné body vynucení: Žádné |
Tato práva se využívají systémem a obecně platí, že by neměla být zaškrtnuta přímo. IpcAccessCheck pomocí těchto práv určuje, jestli se mají uživateli udělit další práva jako v následujícím příkladu. /* fAccessGranted is set to TRUE if either the IPC_GENERIC_WRITE or the IPC_GENERIC_ALL right is granted */ IpcAccessCheck(hKey, IPC_GENERIC_WRITE, &fAccessGranted); |
| IPC_GENERIC_READ Práva ke čtení obsahu dokumentu Běžné body vynucení: Načtení dokumentu |
Nenačítat ani neprezentovat obsah dokumentu |
| IPC_GENERIC_WRITE Práva k úpravám obsahu dokumentu Běžné body vynucení: Úpravy dokumentu |
Nastavte všechny ovládací prvky uživatelského rozhraní, které je možné použít k úpravě obsahu dokumentu, jako neupravovatelné. Zakažte všechny položky nabídky, které aktivují změny dokumentu. Upravit>Příklady vyjmout, upravit>vložení a vložení jsou typické. Zakažte všechny položky místní nabídky, které aktivují změny dokumentu. |
| Žádná práva AD RMS Bez popisu Běžné body vynucení: Uložení |
Zakažte nabídkuUložitsoubor>. Poznámka: Tato práva neřídí nastavení možnosti Soubor>Uložit jako, protože její použití neznamená změnu původního dokumentu. Zakažte všechny klávesové zkratky, které je možné použít k aktivaci uložení (například Ctrl+S). Tip: Osvědčeným postupem je aktualizovat si základní kód Soubor>Uložit tak, aby se uložení nezdařilo, pokud uživatel nemá tato práva. Jde o bezpečnostní opatření pro případ, že byste zapomněli na některý z mechanismů uživatelského prostředí, který je možné použít k aktivaci uložení. |
| IPC_GENERIC_EXTRACT Práva k extrahování obsahu z chráněného formátu a jeho následné uložení do nechráněného formátu. Běžné body vynucení: Kopírování do schránky |
Zakažte nabídku Upravit>kopii . Zakažte nabídku Upravitvyjmout>. Zakažte možnost Kopírovat a Vyjmout ve všech místních nabídkách. Zakažte všechny klávesové zkratky, které je možné použít k aktivaci kopírování (například Ctrl+C nebo Ctrl+X). Aktualizujte obslužné rutiny zprávy okna pro WM_CUT tak, aby se odmítl pokus o kopírování dat, pokud uživatel nemá tato práva. Pokud okno používá výchozí obslužnou rutinu zpráv systému Windows, vytvořte podtřídu tohoto okna a zadejte svoje vlastní obslužné rutiny pro WM_COPY a WM_CUT. |
| Žádná práva AD RMS Bez popisu Běžné body vynucení: Uložení jako |
Ve svém dialogovém okně Uložit jako zakažte všechny formáty souborů, jejichž výsledkem by bylo to, že by se dokument uložil bez ochrany RMS. |
| Žádná práva AD RMS Bez popisu Běžné body vynucení: Alt+PrtScn |
Volejte IpcProtectWindow pro každé okno, které vykresluje obsah dokumentu. |
| IPC_GENERIC_EXPORT Práva k extrahování obsahu z chráněného formátu a jeho následné uložení do jiného formátu chráněného službou AD RMS. Běžné body vynucení: Uložení jako |
Ve svém dialogovém okně Uložit jako zakažte možnost ukládání do jiných formátů souborů. Tip: Osvědčeným postupem je aktualizovat si základní kód Soubor>Uložit jako tak, aby se uložení nezdařilo, pokud uživatel nemá tato práva a pokusí se daný soubor uložit do jiného formátu. Jde o bezpečnostní opatření pro případ, že byste zapomněli na některý z mechanismů uživatelského prostředí, který je možné použít k aktivaci uložení pomocí příkazu Uložit jako. |
| IPC_GENERIC_PRINT Práva k vytištění obsahu dokumentu Běžné body vynucení: Tisk |
Zakažte nabídku Tisk souborů>. Zakažte všechny klávesové zkratky, které by bylo možné použít k aktivaci tisku (například Ctrl+P). Zakažte položky místní nabídky, které by bylo možné použít k aktivaci tisku. Tip: Osvědčeným postupem je aktualizovat si základní kód Soubor>Tisk tak, aby se uložení nezdařilo, pokud uživatel nemá tato práva. Jde o bezpečnostní opatření pro případ, že byste zapomněli na některý z mechanismů uživatelského prostředí, který je možné použít k aktivaci tisku. |
| IPC_GENERIC_COMMENT Některé aplikace podporují možnost přidávat komentáře a poznámky k dokumentu bez aktualizace základního obsahu dokumentu. Tato práva udělují uživatelům přístup k této možnosti. Běžné body vynucení: Zkontrolovat > komentář k vložení Zkontrolovat > komentář k odstranění |
Zakažte všechny položky nabídky, které je možné použít k úpravám komentářů nebo poznámek k dokumentu. Recenzi>Příklady jsou vložení komentáře a revize>komentáře k odstranění. Zakažte všechny klávesové zkratky, které by mohly aktivovat úpravy komentářů k dokumentu. Poznámka: Výchozí implementace vyžaduje jak práva IPC_GENERIC_COMMENT, tak také práva IPC_GENERIC_WRITE, aby bylo možné do souboru uložit nové komentáře. Do aplikací je možné přidat podporu pro případ, kdy jsou udělena práva IPC_GENERIC_COMMENT, ale nejsou udělena práva IPC_GENERIC_WRITE. V takovém případě je povoleno umožnit ukládání, pokud jsou úpravy dokumentu omezeny pouze na komentáře. |
| IPC_VIEW_RIGHTS Bez popisu Běžné body vynucení: Nejsou dostupné |
Vynucováno systémem. Pokud nejsou tato práva udělena, systém nedovolí vývojáři dotazovat se na seznam uživatelských práv. |
| IPC_EDIT_RIGHTS Některé aplikace umožňují uživatelům měnit skupiny uživatelů a práv pro obsah chráněný službou AD RMS. Tato práva udělují uživatelům přístup k této možnosti. Běžné body vynucení: Kontrolní mechanismus uživatelského rozhraní pro úpravy práv aplikace |
Zakažte uživatelům přístup ke všem prvkům uživatelského rozhraní, které je možné použít k úpravám zásad RMS pro dokument. |