Information Rights Management en Exchange Server

Artículo
04/04/2023

Cada día, las personas usan el correo electrónico para intercambiar información confidencial, como información confidencial o informes. Dado que el correo electrónico es accesible desde casi cualquier lugar, los buzones se han transformado en repositorios que contienen grandes cantidades de información potencialmente confidencial. Como resultado, las fugas de información constituyen una amenaza grave para las organizaciones. Para ayudar a evitar la pérdida de información, Exchange Server incluye características de Information Rights Management (IRM), que proporcionan protección persistente en línea y sin conexión para los mensajes de correo electrónico y los datos adjuntos. Estas características de IRM no se modifican básicamente con respecto a Exchange 2013.

¿Qué es la fuga de información?

La pérdida de información es la divulgación de información confidencial a usuarios no autorizados. La pérdida de información puede ser costosa para una organización y puede tener un gran impacto en el negocio de la organización, los empleados, los clientes y los asociados. Para evitar infringir las regulaciones aplicables, las organizaciones deben protegerse frente a fugas accidentales o intencionadas de información.

Estas son algunas consecuencias que pueden resultar de la pérdida de información:

Daños financieros: la organización podría incurrir en una pérdida de negocio, multas o cobertura de medios negativa.
Daño a la imagen y a la credibilidad: los mensajes de correo electrónico filtrados pueden ser potencialmente una fuente de vergüenza para el remitente y la organización.
Pérdida de ventaja competitiva: esta es una de las consecuencias más graves. La divulgación de negocios estratégicos o planes de fusión y adquisición puede provocar pérdidas en ingresos o capitalización de mercado para la organización. Otras amenazas a la ventaja competitiva incluyen la pérdida de información de investigación, datos analíticos y otra propiedad intelectual.

Soluciones tradicionales para la fuga de información

Aunque las soluciones tradicionales para la pérdida de información pueden proteger el acceso inicial a los datos, a menudo no proporcionan protección constante. En esta tabla se describen algunas soluciones tradicionales para la pérdida de información.

Solución	Descripción	Limitaciones
Seguridad de la capa de transporte (TLS)	TLS es un protocolo estándar de Internet que se usa para cifrar las comunicaciones de red. En un entorno de mensajería, TLS se usa para cifrar las comunicaciones de servidor, servidor y cliente/servidor. De forma predeterminada, Exchange usa TLS para todas las transferencias de mensajes internas. TLS oportunista también está habilitado de forma predeterminada para sesiones SMTP con hosts externos (el cifrado TLS se intenta primero, pero si no está disponible, se permite la comunicación sin cifrar). Además puede configurar la seguridad de dominio para exigir el uso de TLS mutua a las organizaciones externas.	TLS solo protege la sesión SMTP entre dos hosts SMTP. En otras palabras, TLS protege la información en movimiento y no brinda protección en el nivel del mensaje o para la información quieta. A menos que los mensajes se cifren mediante otro método, los mensajes de los buzones de remitente y destinatario permanecen desprotegidos. En el caso del correo electrónico enviado fuera de la organización, solo puede requerir TLS para el primer salto. Una vez que un host SMTP remoto recibe el mensaje, puede retransmitirlo a otro host SMTP a través de una sesión sin cifrar. Dado que TLS es una tecnología de capa de transporte que se usa en el flujo de correo, no puede proporcionar control sobre lo que hace el destinatario con el mensaje.
Cifrado de mensajes	Los usuarios pueden usar tecnologías como S/MIME para cifrar los mensajes.	Los usuarios deciden si se cifrará un mensaje determinado. Hay costos adicionales para la implementación de una infraestructura de clave pública (PKI) y la consiguiente sobrecarga de administración de certificados para los usuarios y la protección de claves privadas. Luego que se descifra un mensaje, no hay control sobre lo que el destinatario puede hacer con la información. La información descifrada se puede copiar, imprimir o reenviar. De forma predeterminada, los datos adjuntos guardados no están protegidos. Los servidores de mensajería no pueden abrir e inspeccionar los mensajes cifrados por S/MIME. Por lo tanto, los servidores de mensajería no pueden aplicar directivas de mensajería, examinar los mensajes en busca de virus ni realizar otras acciones que requieran acceso al contenido de los mensajes.

Solución

Descripción

Limitaciones

Seguridad de la capa de transporte (TLS)

TLS es un protocolo estándar de Internet que se usa para cifrar las comunicaciones de red. En un entorno de mensajería, TLS se usa para cifrar las comunicaciones de servidor, servidor y cliente/servidor.

De forma predeterminada, Exchange usa TLS para todas las transferencias de mensajes internas. TLS oportunista también está habilitado de forma predeterminada para sesiones SMTP con hosts externos (el cifrado TLS se intenta primero, pero si no está disponible, se permite la comunicación sin cifrar). Además puede configurar la seguridad de dominio para exigir el uso de TLS mutua a las organizaciones externas.

TLS solo protege la sesión SMTP entre dos hosts SMTP. En otras palabras, TLS protege la información en movimiento y no brinda protección en el nivel del mensaje o para la información quieta. A menos que los mensajes se cifren mediante otro método, los mensajes de los buzones de remitente y destinatario permanecen desprotegidos.

En el caso del correo electrónico enviado fuera de la organización, solo puede requerir TLS para el primer salto. Una vez que un host SMTP remoto recibe el mensaje, puede retransmitirlo a otro host SMTP a través de una sesión sin cifrar.

Dado que TLS es una tecnología de capa de transporte que se usa en el flujo de correo, no puede proporcionar control sobre lo que hace el destinatario con el mensaje.

Cifrado de mensajes

Los usuarios pueden usar tecnologías como S/MIME para cifrar los mensajes.

Los usuarios deciden si se cifrará un mensaje determinado.

Hay costos adicionales para la implementación de una infraestructura de clave pública (PKI) y la consiguiente sobrecarga de administración de certificados para los usuarios y la protección de claves privadas.

Luego que se descifra un mensaje, no hay control sobre lo que el destinatario puede hacer con la información. La información descifrada se puede copiar, imprimir o reenviar. De forma predeterminada, los datos adjuntos guardados no están protegidos.

Los servidores de mensajería no pueden abrir e inspeccionar los mensajes cifrados por S/MIME. Por lo tanto, los servidores de mensajería no pueden aplicar directivas de mensajería, examinar los mensajes en busca de virus ni realizar otras acciones que requieran acceso al contenido de los mensajes.

Por último, las soluciones tradicionales no cuentan con herramientas de cumplimiento que apliquen directivas de mensajería uniforme a fin de evitar la fuga de información. Por ejemplo, un usuario marca un mensaje con Company Confidential y Do Not Forward. Una vez que el mensaje se entrega al destinatario, el remitente o la organización ya no tienen control sobre el mensaje. El destinatario puede reenviar deliberada o accidentalmente el mensaje (mediante características como reglas de reenvío automático) a cuentas de correo electrónico externas, lo que somete a su organización a riesgos sustanciales de pérdida de información.

IRM en Exchange

IRM en Exchange ayuda a evitar la pérdida de información al ofrecer estas características:

Impedir que un destinatario autorizado para contenido protegido con IRM reenvíe, modifique, imprima, envíe por fax, guarde o corte y pegue el contenido.
Proteger los formatos de archivo adjunto compatibles con el mismo nivel de protección que el del mensaje.
Admitir expiración de mensajes y datos adjuntos protegidos con IRM para que no se puedan visualizar después de un período específico.
Evite que el contenido protegido por IRM se copie mediante la herramienta de recorte enWindows.

Sin embargo, IRM en Exchange no puede impedir la divulgación de información mediante estos métodos:

Programas de captura de pantalla de terceros.
Fotografía del contenido protegido por IRM que se muestra en la pantalla.
Los usuarios recuerdan o transcribiendo manualmente la información.

IRM usa Active Directory Rights Management Services (AD RMS), una tecnología de protección de la información en Windows Server que usa certificados y licencias basados en lenguaje de marcado de derechos extensibles (XrML) para certificar equipos y usuarios, y para proteger el contenido. Cuando un documento o mensaje está protegido mediante AD RMS, se adjunta una licencia XrML que contiene los derechos que los usuarios autorizados tienen al contenido. Para acceder al contenido protegido por IRM, las aplicaciones habilitadas para AD RMS deben adquirir una licencia de uso para el usuario autorizado desde el servidor de AD RMS. Las aplicaciones de Office, como Word, Excel, PowerPoint y Outlook, están habilitadas para RMS y se pueden usar para crear y consumir contenido protegido.

Nota:

El agente de Exchange Prelicense adjunta una licencia de uso a los mensajes protegidos por el servidor de AD RMS de su organización. Para obtener más información, consulte la sección Licencias previas más adelante en este tema.

Para más información sobre Active Directory Rights Management Services, consulte Active Directory Rights Management Services.

Plantillas de directiva de derechos de Active Directory Rights Management Services

Los servidores de AD RMS proporcionan un servicio web que se usa para enumerar y adquirir las plantillas de directiva de derechos basadas en XrML que se usan para aplicar la protección de IRM a los mensajes. Al aplicar la plantilla de directiva de derechos adecuada, puede controlar si un destinatario puede responder a, responder a todos, reenviar, extraer información de, guardar o imprimir el mensaje.

De forma predeterminada, Exchange se incluye con la plantilla No reenviar . Cuando esta plantilla se aplica a un mensaje, solo los destinatarios direccionados en el mensaje pueden descifrar el mensaje. Los destinatarios no pueden reenviar el mensaje, copiar el contenido del mensaje ni imprimirlo. Puede crear plantillas de RMS adicionales en los servidores de AD RMS de su organización para satisfacer sus requisitos.

Para obtener más información sobre las plantillas de directiva de derechos, consulte Consideraciones sobre las plantillas de directiva de AD RMS.

Para obtener más información sobre cómo crear plantillas de directiva de derechos de AD RMS, consulte Guía paso a paso para la creación e implementación de plantillas de directiva de permisos de Active Directory Rights Management Services.

Aplicación de la protección de IRM a los mensajes

De forma predeterminada, una organización de Exchange está habilitada para IRM, pero para aplicar la protección de IRM a los mensajes, debe usar uno o varios de estos métodos:

Manualmente por los usuarios de Outlook: los usuarios pueden proteger mensajes de IRM en Outlook mediante las plantillas de directiva de derechos de AD RMS que están disponibles para ellos. Este proceso usa la funcionalidad IRM en Outlook, no En Exchange. Para obtener más información sobre el uso de IRM en Outlook, vea Introducción al uso de IRM para mensajes de correo electrónico.
Manualmente por los usuarios de Outlook en la Web: cuando un administrador habilita IRM en Outlook en la Web (anteriormente conocido como Outlook Web App), los usuarios pueden proteger los mensajes que envían y ver los mensajes protegidos por IRM que reciben. Para obtener más información sobre IRM en Outlook en la Web, consulte Descripción de IRM en Outlook Web App.
Manualmente por los usuarios de Exchange ActiveSync: cuando un administrador habilita IRM en Exchange ActiveSync los usuarios pueden ver, responder, reenviar y crear mensajes protegidos por IRM en dispositivos ActiveSync. Para obtener más información, consulte Descripción de Information Rights Management en Exchange ActiveSync.
Automáticamente en Outlook: los administradores pueden crear reglas de protección de Outlook para proteger automáticamente los mensajes de IRM. Las reglas de protección de Outlook se implementan automáticamente en los clientes de Outlook y Outlook aplica la protección IRM cuando el usuario redacta un mensaje. Para obtener más información, vea Reglas de Protección de Outlook.
Automáticamente en los servidores de buzones de correo: los administradores pueden crear reglas de flujo de correo (también conocidas como reglas de transporte) para proteger automáticamente los mensajes que coinciden con las condiciones especificadas. Para obtener más información, consulte Understanding Transport Protection Rules.

Nota:

La protección de IRM no se aplica nuevamente a los mensajes que ya están protegidos con IRM. Por ejemplo, si un usuario IRM protege un mensaje en Outlook o Outlook en la Web, una regla de protección de transporte no aplicará la protección de IRM al mismo mensaje.

Escenarios para la protección de IRM

En esta tabla se describen los escenarios para enviar mensajes y si la protección de IRM está disponible.

Escenario	¿Se admite el envío de mensajes IRM-Protected?	Requisitos
Envío de mensajes dentro de la misma organización local de Exchange	Sí	Para conocer los requisitos, consulte la sección Requisitos de IRM más adelante en este tema.
Envío de mensajes entre distintos bosques de Active Directory en una organización local.	Yes	Para conocer los requisitos, consulte Configuración de AD RMS para la integración con Exchange Server 2010 en varios bosques.
Enviar mensajes entre una organización de Exchange local y una organización de Microsoft 365 o Office 365 en una implementación híbrida.	Yes	Para obtener más información, consulte IRM en implementaciones híbridas de Exchange.
Envío de mensajes a destinatarios externos	No	Exchange no incluye una solución para enviar mensajes protegidos por IRM a destinatarios externos en organizaciones no federadas. Para crear una confianza federada entre dos bosques de Active Directory mediante Servicios de federación de Active Directory (AD FS) (AD FS), consulte Descripción de las directivas de confianza de AD RMS.

Descifrar mensajes protegidos por IRM para aplicar directivas de mensajería

Para aplicar directivas de mensajería y para el cumplimiento normativo, Exchange necesita acceso al contenido de los mensajes cifrados. Para cumplir los requisitos de exhibición de documentos electrónicos debido a litigios, auditorías normativas o investigaciones internas, un auditor designado también debe ser capaz de buscar mensajes cifrados. Para ayudar con estas tareas, Exchange incluye las siguientes características de descifrado:

Descifrado de transporte: permite el acceso al contenido del mensaje por parte de los agentes de transporte instalados en los servidores de Exchange. Para obtener más información, vea Understanding Transport Decryption.
Descifrado de informes de diario: permite que el registro en diario estándar o premium guarde una copia de texto no cifrado de mensajes protegidos por IRM en informes de diario. Para obtener más información, consulte Activar el descifrado de informes de diario.
Descifrado de IRM para la búsqueda de Exchange: permite que La búsqueda de Exchange indexe el contenido de los mensajes protegidos por IRM. Cuando un administrador de detección realiza una búsqueda In-Place eDiscovery, los mensajes protegidos por IRM que se han indexado se devuelven en los resultados de la búsqueda. Para obtener más información, vea Configurar IRM para la búsqueda y la exhibición de documentos electrónicos local de Exchange.

Para habilitar estas características de descifrado, debe agregar el buzón de federación (un buzón de sistema creado por Exchange) al grupo Superusuarios en el servidor de AD RMS. Para obtener instrucciones, vea Agregar el buzón de la federación para el grupo de usuarios de AD RMS Super.

Licencia previa

Para permitir que los usuarios autorizados vean los mensajes y los datos adjuntos protegidos por IRM, Exchange adjunta automáticamente un prelicense a los mensajes protegidos. Esto impide que el cliente realice viajes repetidos al servidor de AD RMS para recuperar una licencia de uso y permite la visualización sin conexión de mensajes protegidos por IRM. Las licencias previas también permiten a los usuarios ver mensajes protegidos por IRM en Outlook en la Web. La licencia previa se habilita de forma predeterminada al habilitar las características de IRM.

Agentes de IRM

Las características de IRM usan los agentes de transporte integrados que existen en el servicio de transporte en servidores de buzones de correo. La mayoría de los agentes de transporte integrados son invisibles e inmanejables por los cmdlets de administración del agente de transporte en el Shell de administración de Exchange (*-TransportAgent).

Los agentes de transporte integrados asociados a IRM se describen en esta tabla:

Nombre del agente	¿Fácil de administrar?	EVENTO SMTP o categorizador	Descripción
Agente de descifrado de informes de diario	No	OnCategorizedMessage	Proporciona una copia de texto no cifrado de los mensajes protegidos por IRM que se adjuntan a los informes de diario.
Agente de Prelicense	No	OnRoutedMessage	Adjunta una licencia previa a los mensajes protegidos con IRM.
Agente de descifrado de RMS	No	OnSubmittedMessage,	Descifra los mensajes protegidos por IRM para permitir el acceso al contenido del mensaje por parte de los agentes de transporte.
Agente de cifrado de RMS	No	OnRoutedMessage	Aplica la protección de IRM a los mensajes marcados por el agente de transporte y vuelve a cifrar los mensajes descifrados de transporte.
Agente de descifrado de protocolo RMS	No	OnEndOfData	Descifra los mensajes protegidos por IRM para permitir el acceso al contenido del mensaje por parte de los agentes de transporte.
Agente de regla de transporte	Sí	OnRoutedMessage	Marca los mensajes que coinciden con las condiciones de una regla de protección de transporte para que estén protegidos por IRM por el agente de cifrado de RMS.

Para obtener más información sobre los agentes de transporte, vea Agentes de transporte en Exchange Server.

Requisitos de IRM

De forma predeterminada, una organización de Exchange está habilitada para IRM. Para implementar realmente IRM en la organización Exchange Server, la implementación debe cumplir los requisitos que se describen en esta tabla.

Servidor	Requisitos
Clúster de AD RMS	El clúster de AD RMS es el término que se usa para cualquier implementación de AD RMS, incluido un único servidor de AD RMS. AD RMS es un servicio web, por lo que no es necesario configurar un clúster de conmutación por error de Windows Server. Para lograr una alta disponibilidad y equilibrio de carga, puede implementar varios servidores de AD RMS en el clúster y usar el equilibrio de carga de red (NLB). Punto de conexión de servicio: las aplicaciones compatibles con AD RMS, como Exchange, usan el punto de conexión de servicio registrado en Active Directory para detectar un clúster de AD RMS y direcciones URL. Solo hay un punto de conexión de servicio para AD RMS en un bosque de Active Directory. Puede registrar el punto de conexión de servicio durante la instalación de AD RMS o una vez completada la instalación. Permisos: se deben asignar permisos de lectura y ejecución a la canalización de certificación del servidor de AD RMS (el `ServerCertification.asmx` archivo en `\inetpub\wwwroot\_wmcs\certification\`) a estas entidades de seguridad: Grupo servidores de Exchange o servidores de Exchange individuales. Grupo de servicios de AD RMS en servidores de AD RMS. Para obtener más detalles, consulte Establecer permisos en la canalización de certificación del servidor de AD RMS. Superusuarios de AD RMS: para habilitar el descifrado de transporte, el descifrado de informes de diario, IRM en Outlook en la Web y el descifrado de IRM para Exchange Search, debe agregar el buzón de federación al grupo Superusuarios en el servidor de AD RMS. Para obtener información más detallada, vea Agregar el buzón de la federación para el grupo de usuarios de AD RMS Super.
Exchange	Se requiere Exchange 2010 o posterior. En un entorno de producción, no se admite la instalación de AD RMS y de Exchange en el mismo servidor.
Outlook	Las plantillas de AD RMS para proteger los mensajes están disponibles en Outlook 2007 o versiones posteriores. Las reglas de protección de Outlook en Exchange requieren Outlook 2010 o posterior.
Exchange ActiveSync	IRM está disponible en aplicaciones móviles y dispositivos que admiten Exchange ActiveSync protocolo versión 14.1 o posterior, y la etiqueta RightsManagementInformation incluida (ambas incluidas en Exchange 2010 Service Pack 1). Los usuarios con dispositivos compatibles pueden usar ActiveSync para ver, responder, reenviar y crear mensajes protegidos por IRM sin necesidad de conectarse a un equipo para activar el dispositivo para IRM. Para obtener más información, consulte Descripción de Information Rights Management en Exchange ActiveSync.

Las características de IRM de Exchange admiten formatos de archivo de Office. Puede ampliar la protección IRM a otros formatos de archivo mediante la implementación de protectores personalizados. Para obtener más información sobre los protectores personalizados, busque asociados de Information Protection y control en la página Proveedores de soluciones de Microsoft.

Configuración y prueba de IRM

Use el Shell de administración de Exchange para configurar las características de IRM en Exchange. Para conocer los procedimientos, consulte Administración de Rights Protection.

Después de instalar y configurar un servidor de buzones de correo, puede usar el cmdlet Test-IRMConfiguration para realizar pruebas de un extremo a otro de la implementación de IRM. El cmdlet realiza estas pruebas:

Inspecciona la configuración de IRM de la organización de Exchange.
Comprueba el servidor de AD RMS para obtener información sobre la versión y la revisión.
Comprueba si RMS puede activar un servidor de Exchange al recuperar un certificado de cuenta de derechos (RAC) y un certificado de emisor de licencias de cliente.
Obtiene plantillas de directiva de derechos de AD RMS desde el servidor de AD RMS.
Comprueba si el remitente especificado puede enviar mensajes protegidos con IRM.
Recupera una licencia de uso de superusuario para el destinatario especificado.
Obtiene una licencia previa para el destinatario especificado.

Para obtener más información, vea Test-IRMConfiguration.

Extender Rights Management con el conector Rights Management

El conector de Azure Rights Management (conector RMS) es una aplicación opcional que mejora la protección de datos para el servidor exchange mediante el uso del servicio de Azure Rights Management basado en la nube (Azure RMS). Una vez instalado el conector RMS, proporciona protección continua de datos durante la duración de la información. Además, dado que estos servicios son personalizables, puede definir el nivel de protección que necesita. Por ejemplo, puede limitar el acceso de mensajes de correo electrónico a usuarios específicos o establecer derechos de solo vista para determinados mensajes.

Para obtener más información sobre el conector RMS y cómo instalarlo, consulte Implementación del conector de Azure Rights Management.