Управление правами на информацию в Exchange Server

Каждый день люди используют электронную почту для обмена конфиденциальными отчетами и информацией. Так как электронная почта доступна практически где угодно, почтовые ящики превратились в хранилища большого количества потенциально конфиденциальной информации. Таким образом, утечка информации представляет серьезную угрозу для организаций. Чтобы предотвратить утечку информации, Exchange Server включает функции управления правами на информацию (IRM), которые обеспечивают постоянную защиту электронных сообщений и вложений в интернете и автономном режиме. Эти функции IRM по сути остались такими же, какими были в Exchange 2013.

Понятие утечки информации

Утечка информации — это раскрытие конфиденциальной информации неавторизованным пользователям. Утечка информации может дорого стоить организации и иметь масштабные последствия для бизнеса, сотрудников, клиентов и партнеров. Чтобы не нарушать действующие нормы, организациям необходимо защитить себя от случайной или преднамеренной утечки информации.

Ниже приведены некоторые последствия, к которым может привести утечка информации.

  • Финансовый ущерб. Организация может понести потерю бизнеса, штрафы или негативное освещение в средствах массовой информации.

  • Повреждение имиджа и доверия. Утечка сообщений электронной почты потенциально может быть источником смущения для отправитель и организации.

  • Потеря конкурентного преимущества. Это одно из самых серьезных последствий. Раскрытие стратегических планов хозяйственной деятельности или слияний и поглощений может привести к снижению доходов или рыночной капитализации компании. Среди других угроз для конкурентного преимущества можно выделить потерю данных исследований, аналитических данных и другой интеллектуальной собственности.

Традиционные решения для защиты от утечки информации

Традиционные решения для защиты от утечки информации могут предотвратить доступ к данным на начальном этапе, но часто они не обеспечивают постоянную защиту. В следующей таблице описаны некоторые традиционные решения.

Решение Описание Ограничения
Протокол TLS TLS — это стандартный интернет-протокол, используемый для шифрования сетевых соединений. В среде обмена сообщениями протокол TLS используется для шифрования соединений "сервер-сервер" и "клиент-сервер".
По умолчанию Exchange использует TLS для всех внутренних передач сообщений. STARTTLS также включен по умолчанию для сеансов SMTP с внешними узлами (сначала выполняется попытка шифрования TLS, но если оно недоступно, разрешается незашифрованное соединение). Вы также можете настроить безопасность домена, чтобы применять протокол Mutual TLS для сеансов с внешними организациями.
Протокол TLS обеспечивает защиту сеанса SMTP только между двумя узлами SMTP. Другими словами, TLS защищает данные при передаче, но не обеспечивает защиту на уровне сообщений или данных в местах хранения. Сообщения в почтовых ящиках отправителей и получателей остаются незащищенными, если они не шифруются другим методом.
Запрашивать шифрование по протоколу TLS можно только для первого прыжка электронной почты, отправляемой за пределы организации. После того как сообщение получит удаленный узел SMTP, он может передать его на другой узел SMTP по незашифрованному соединению.
Так как протокол TLS — это технология транспортного уровня, используемая в потоке обработки почты, он не может контролировать действия получателя с сообщением.
Шифрование сообщений Для шифрования сообщений пользователи могут использовать различные технологии, например S/MIME. Пользователи сами решают, необходимо ли шифровать сообщение.
Шифрование подразумевает дополнительные расходы на развертывание инфраструктуры открытых ключей (PKI) и сопутствующие затраты на управление сертификатами для пользователей и защиту закрытых ключей.
После расшифровки сообщения действия получателя с информацией не контролируются. Расшифрованная информация может быть скопирована, распечатана или переслана. По умолчанию сохраненные вложения не защищены.
Серверы обмена сообщениями не могут открывать и проверять сообщения, зашифрованные с помощью протокола S/MIME. Поэтому они не могу применять политики обмена сообщениями, проверять сообщения на вирусы и выполнять другие действия, для которых необходим доступ к содержимому сообщений.

И наконец, традиционные решения часто не позволяют применять единые политики обмена сообщениями для предотвращения утечки информации. Например, пользователь помечает сообщение как Для служебного пользования и Не пересылать. После доставки получателю ни отправитель, ни организация больше не контролируют сообщение. Получатель может умышленно или случайно переслать сообщение (используя правила автоматической пересылки) на внешние учетные записи электронной почты, подвергая организацию существенному риску утечки информации.

IRM в Exchange

IRM в Exchange помогает:

  • предотвратить пересылку, изменение, печать, отправку по факсу, сохранение и копирование уполномоченными получателями содержимого, защищенного службой IRM;

  • обеспечить для вложений в поддерживаемых форматах такой же уровень защиты, что и для сообщения;

  • поддерживать функцию управления сроком действия сообщений и вложений с защитой IRM, которая не позволяет просматривать их по истечении указанного периода;

  • предотвратить копирование содержимого, защищенного службой IRM, с помощью средства "Ножницы" в Windows.

Однако IRM в Exchange не может предотвратить раскрытие информации следующими способами:

  • создание снимков экрана с помощью программ сторонних производителей;

  • фотографирование защищенного IRM содержимого, которое отображается на экране;

  • запоминание или переписывание информации пользователями.

IRM использует службы Active Directory Rights Management (AD RMS), технологию защиты информации в Windows Server, которая использует язык разметки на основе extensible прав (XrML)-сертификаты и лицензии для сертификации компьютеров и пользователей, а также для защиты контента. Когда документ или сообщение защищено с помощью AD RMS, к нему прикрепляется лицензия XrML, содержащая права уполномоченных пользователей на содержимое. Чтобы получить доступ к защищенному IRM содержимому, приложения с поддержкой AD RMS должны получить лицензию на использование для уполномоченного пользователя с сервера AD RMS. Office приложения, такие как Word, Excel, PowerPoint и Outlook, включены в RMS и могут использоваться для создания и использования защищенного контента.

Примечание

Агент Exchange prelicense прикрепит лицензию на использование к сообщениям, защищенным сервером AD RMS в вашей организации. Дополнительные сведения см. в разделе Предварительное лицензирование далее в этой статье.

Дополнительные дополнительные службы Active Directory Rights Management см. в службы Active Directory Rights Management.

службы Active Directory Rights Management шаблоны политики в области прав

Серверы AD RMS предоставляют веб-службу, используемую для перечисления и получения шаблонов политики прав на основе XrML, которые позволяют применять защиту IRM к сообщениям. Применяя соответствующий шаблон политики прав, вы указываете, разрешено ли получателю отвечать на сообщение, отвечать всем, пересылать его, извлекать из него информацию, сохранять или печатать.

По умолчанию Exchange с шаблоном Do Not Forward. Если к сообщению применен этот шаблон, расшифровать его могут только пользователи, которым оно адресовано. Получатели не могут переслать сообщение, скопировать из него содержимое или распечатать. Вы можете создавать дополнительные шаблоны RMS на серверах AD RMS организации для своих нужд.

Дополнительные сведения о шаблонах политики в области прав см. в меню AD RMS Policy Template Considerations.

Дополнительные сведения о создании шаблонов политики прав на права AD RMS см. в руководстве по развертыванию шаблонов политики прав AD RMS.

Применение защиты IRM к сообщениям

По умолчанию Exchange для IRM включена организация, но для применения защиты IRM к сообщениям необходимо использовать один или несколько из этих методов:

  • Вручную пользователями в Outlook : Пользователи могут защищать сообщения с защитой IRM в Outlook с помощью шаблонов политики прав AD RMS, доступных для них. Этот процесс использует функции IRM в Outlook, а не Exchange. Дополнительные сведения об использовании IRM в Outlook см. в введении к использованию IRM для сообщений электронной почты.

  • Вручную пользователями Outlook веб-страницы: когда администратор включает IRM в Outlook в Интернете (ранее известный как Outlook Web App), пользователи могут отправлять сообщения с защитой IRM и просматривать получаемые ими сообщения с защитой IRM. Дополнительные сведения об IRM в Outlook в Интернете см. в Outlook Web App.

  • Вручную пользователями в Exchange ActiveSync: если администратор включает IRM в Exchange ActiveSync пользователи могут просматривать, отвечать на сообщения, перенаправления и создавать сообщения с защитой IRM на устройствах ActiveSync. Дополнительные сведения см. в статье Understanding Information Rights Management in Exchange ActiveSync.

  • Автоматически в Outlook: Администраторы могут создавать Outlook защиты для автоматической защиты сообщений, защищенных IRM. Outlook автоматически развертываются для Outlook клиентов, а IRM-защита применяется Outlook, когда пользователь создает сообщение. Дополнительные сведения см. в Outlook Правила защиты.

  • Автоматически на серверах почтовых ящиков. Администраторы могут создавать правила потока почты (также известные как правила транспорта), чтобы автоматически защищать сообщения, которые соответствуют указанным условиям. Дополнительные сведения см. в статье Understanding Transport Protection Rules.

    Примечание

    Защита IRM не применяется к сообщениям, которые уже защищены IRM. Например, если пользователь IRM-защищает сообщение в Outlook или Outlook в Интернете, правило защиты транспорта не будет применять защиту IRM к одному и тому же сообщению.

Сценарии для защиты IRM

В этой таблице описаны сценарии отправки сообщений и указано, доступна ли защита IRM.

Сценарий Поддерживается ли отправка сообщений с защитой IRM? Требования
Отправка сообщений в одной и той же локальной Exchange организации Да Подробнее о требованиях см. в разделе Требования IRM в этом разделе.
Отправка сообщений между различными лесами Active Directory в локальной организации. Да Для этих требований см. в руб. Настройка AD RMS для интеграции с Exchange Server 2010 года в нескольких лесах.
Отправка сообщений между локальной Exchange и Microsoft 365 или Office 365 в гибридном развертывании. Да Дополнительные сведения см. в Exchange гибридных развертываниях.
Отправка сообщений внешним получателям Нет Exchange не содержит решения для отправки сообщений, защищенных IRM, внешним получателям в не федерационных организациях. Чтобы создать федератное доверие между двумя лесами Active Directory с помощью служб Федерации Active Directory (AD FS), см. в рубре "Понимание политики доверия к AD RMS".

Расшифровка защищенных IRM сообщений для применения политик обмена сообщениями

Чтобы обеспечить соблюдение политик обмена сообщениями и соблюдение нормативных требований, Exchange необходимо получить доступ к содержимому зашифрованных сообщений. В соответствии с требованиями по обнаружению электронных данных в связи с судебным разбирательством, нормативно-правовыми проверками или внутренними расследованиями специалист по аудиту также должен иметь возможность искать информацию в зашифрованных сообщениях. Чтобы помочь с этими задачами, Exchange включает следующие функции расшифровки:

  • Расшифровка транспорта: позволяет получить доступ к содержимому сообщений транспортными агентами, установленными на Exchange серверах. Дополнительные сведения см. в дополнительных сведениях о расшифровке транспорта.

  • Расшифровка отчетов журнала. Позволяет стандартным или премиум-журналам сохранить четкую текстовую копию сообщений, защищенных IRM, в отчетах журналов. Дополнительные сведения см. в журнале Enable report decryption.

  • Расшифровка IRM для Exchange: позволяет Exchange для индексации контента в сообщениях, защищенных IRM. При выполнении диспетчером обнаружения In-Place поиска электронной почты в результатах поиска возвращаются сообщения, защищенные от IRM. Дополнительные сведения см. в перенастройке IRM для Exchange поиска и In-Place eDiscovery.

Чтобы включить эти функции расшифровки, необходимо добавить почтовый ящик Федерации (системный почтовый ящик, созданный Exchange) в группу супер пользователей на сервере AD RMS. Инструкции см. в статье Add the Federation Mailbox to the AD RMS Super Users Group.

Прелицензия

Чтобы разрешить уполномоченным пользователям просматривать сообщения и вложения, защищенные от IRM, Exchange автоматически присоединяет прелиценз к защищенным сообщениям. Это предотвращает многократное обращение клиента к серверу AD RMS за лицензией на использование и позволяет просматривать защищенные IRM сообщения в автономном режиме. Предварительная лицензия также позволяет пользователям просматривать сообщения, защищенные от IRM, Outlook в Интернете. При включении функций IRM предварительное лицензирование включается по умолчанию.

Агенты управления правами на доступ к данным

Функции IRM используют встроенные транспортные агенты, которые существуют в транспортной службе на серверах почтовых ящиков. Большинство встроенных транспортных агентов невидимы и неуправляемы для управления транспортными агентами в Exchange Management Shell * (-TransportAgent).

Встроенные агенты транспорта, связанные с IRM, описаны в этой таблице:

Имя агента Управляемость Событие SMTP или классификатора Описание
Агент расшифровки отчетов журнала Нет OnCategorizedMessage Предоставляет текстовую копию защищенных IRM сообщений, которые прикреплены к отчетам журнала.
Агент предварительного лицензирования Нет OnRoutedMessage Присоединяет предварительную лицензию к сообщениям, защищенным службой IRM.
Агент расшифровки RMS Нет OnSubmittedMessage, Расшифровывает защищенные IRM сообщения, чтобы предоставить доступ к их содержимому агентам транспорта.
Агент шифрования RMS Нет OnRoutedMessage Применяет защиту IRM к сообщениям, помеченным транспортным агентом, и повторно шифрует расшифровку сообщений транспорта.
Агент расшифровки протокола RMS Нет OnEndOfData Расшифровывает защищенные IRM сообщения, чтобы предоставить доступ к их содержимому агентам транспорта.
Агент правил транспорта Да OnRoutedMessage Помечает сообщения, соответствующие условиям в правиле защиты транспорта, для применения защиты IRM агентом шифрования RMS.

Дополнительные сведения о транспортных агентах см.в Exchange Server.

Требования к управлению правами на доступ к данным

По умолчанию Exchange включена для IRM. Чтобы реализовать IRM в Exchange Server организации, развертывание должно соответствовать требованиям, описанным в этой таблице.

Server Требования
Кластер AD RMS Кластер AD RMS — термин, использующийся для обозначения любого развертывания AD RMS, в том числе одного сервера AD RMS. AD RMS — это веб-служба, поэтому не нужно настроить кластер Windows сервера. Чтобы обеспечить высокий уровень доступности и балансировку нагрузки, в кластере можно развернуть несколько серверов AD RMS и использовать балансировку сетевой нагрузки (NLB).
Точка подключения к службе. Такие приложения, как Exchange AD RMS, используют точку подключения к службе, зарегистрированную в Active Directory, для обнаружения кластера AD RMS и URL-адресов. Для AD RMS в лесу Active Directory существует только одна точка подключения к службе. Вы можете зарегистрировать точку подключения службы во время установки AD RMS или после нее.
Разрешения. Разрешения на чтение и выполнение разрешений для конвейера сертификации сервера AD RMS (в файле на) должны быть назначены этим ServerCertification.asmx \inetpub\wwwroot\_wmcs\certification\ директорам безопасности:
• группа Exchange серверов или отдельные Exchange серверы.
• Группа AD RMS Service на серверах AD RMS.
Подробные сведения см. в материале Set Permissions on the AD RMS Server Certification Pipeline.
Супер пользователи AD RMS. Чтобы включить расшифровку транспорта, расшифровку отчета журнала, IRM в Outlook в Интернете и расшифровку IRM для Exchange Поиска, необходимо добавить почтовый ящик Федерации в группу супер пользователей на сервере AD RMS. Дополнительные сведения см. в разделе Добавление федеративного почтового ящика в группу суперпользователей службы управления правами Active Directory.
Exchange Exchange 2010 или более поздней.
В производственной среде установка AD RMS и Exchange на одном сервере не поддерживается.
Outlook Шаблоны AD RMS для защиты сообщений доступны в Outlook 2007 или более поздней.
Outlook правила защиты в Exchange требуют Outlook 2010 или более поздней.
Exchange ActiveSync IRM доступен для мобильных приложений и устройств Exchange ActiveSync версии протокола 14.1 или более поздней версии, а также включенного тега RightsManagementInformation (оба представлены в Exchange 2010 Пакет обновления 1). Пользователи с поддерживаемых устройств могут использовать ActiveSync для просмотра, ответа, переадекты и создания сообщений, защищенных от IRM, без подключения к компьютеру для активации устройства для IRM. Дополнительные сведения см. в статье Understanding Information Rights Management in Exchange ActiveSync.

Exchange Функции IRM поддерживают Office форматы файлов. Вы можете распространить защиту IRM на другие форматы файлов, развернув настраиваемые защитники. Дополнительные сведения о настраиваемом протекторе можно найти на странице поставщиков решений Майкрософт.

Настройка и проверка IRM

Вы используете Exchange для настройки функций IRM в Exchange. Инструкции см. в статье Managing Rights Protection.

После установки и настройки сервера почтовых ящиков можно выполнить сквозные испытания развертывания IRM с помощью командлета Test-IRMConfiguration. Командлет выполняет следующие тесты:

  • Проверяет конфигурацию IRM для Exchange организации.

  • Проверяет сервер службы AD RMS на предмет сведений о версии и исправлениях.

  • Проверяет, можно ли Exchange сервер для RMS путем получения сертификата учетной записи прав (RAC) и сертификата лицензии клиента.

  • Получает шаблоны политики прав службы AD RMS с сервера службы AD RMS.

  • Проверяет способность указанного отправителя отправлять сообщения, защищенные службой IRM.

  • Получает для указанного получателя лицензию на использование суперпользователя.

  • Получает для указанного получателя предварительную лицензию.

Дополнительные сведения см. в статье Test-IRMConfiguration.

Расширение Rights Management с соединителем Rights Management

Соединиттель управления правами Azure (соединитетель RMS) — это необязательное приложение, которое повышает защиту данных для Exchange сервера с помощью облачной службы управления правами Azure (Azure RMS). После установки соединитель RMS обеспечивает постоянную защиту данных в течение всего срока существования информации. А так как эти службы можно настраивать, вы можете определить необходимый уровень защиты. Например, вы можете предоставить доступ к сообщениям электронной почты только заданным пользователям или установить для определенных сообщений права только на просмотр.

Дополнительные новости о соединители RMS и его установке см. в дополнительных подробной информации о развертывании соединителя управления правами Azure.