Управление правами на доступ к данным

Применяется к: Exchange Server 2013 г.

Каждый день работники информационных служб используют электронную почту для обмена конфиденциальной информацией, такой как финансовые отчеты и данные, юридические контракты, конфиденциальные сведения о продукте, отчеты о продажах и прогнозы, конкурентный анализ, данные исследований и патентов, а также сведения о клиентах и сотрудниках. Поскольку теперь люди могут получать доступ к электронной почте из любой точки, почтовые ящики превратились в репозитории, содержащие большое количество потенциально конфиденциальной информации. Таким образом, утечка информации представляет серьезную угрозу для организаций. Чтобы предотвратить утечку информации, Microsoft Exchange Server 2013 включает функции управления правами на информацию (IRM), которые обеспечивают постоянную защиту сообщений и вложений электронной почты в Интернете и автономном режиме.

Понятие утечки информации

Утечка потенциально конфиденциальной информации может быть дорогостоящим для организации и иметь широкомасштабное влияние на организацию и ее бизнес, сотрудников, клиентов и партнеров. Местные и отраслевые правила все чаще регулируют хранение, передачу и безопасность определенных типов информации. Чтобы не нарушать применимые правила, организации должны защитить себя от преднамеренной, случайной или случайной утечки информации.

Ниже приводится ряд последствий утечки информации:

  • Финансовый ущерб. В зависимости от размера, отрасли и местных правил утечка информации может привести к финансовым последствиям из-за потери бизнеса или из-за штрафов и штрафов, наложенных судами или регулирующими органами. Публичные компании также могут потерять рыночную капитализацию из-за негативного освещения в средствах массовой информации.

  • Повреждение имиджа и надежности. Утечка информации может повредить имидж организации и доверие к клиентам. Кроме того, в зависимости от характера коммуникации утечка сообщений электронной почты потенциально может быть источником затруднения для отправитель и организации.

  • Потеря конкурентного преимущества. Одной из наиболее серьезных угроз утечки информации является потеря конкурентных преимуществ в бизнесе. Раскрытие стратегических планов или раскрытие сведений о слиянии и приобретении потенциально может привести к потере доходов или рыночной капитализации. Другие угрозы включают потерю научно-исследовательской информации, аналитических данных и другой интеллектуальной собственности.

Традиционные решения для защиты от утечки информации

Хотя традиционные решения для утечки информации могут защитить первоначальный доступ к данным, они часто не обеспечивают постоянную защиту. В следующей таблице перечислены некоторые традиционные решения и их ограничения.

Традиционные решения

Решение Description Ограничения

Протокол TLS

TLS — это стандартный протокол Интернета, используемый для обеспечения безопасности сообщений через сеть с помощью шифрования. В среде обмена сообщениями TLS используется для защиты серверных и серверных и клиентских/серверных коммуникаций.

По умолчанию Exchange 2010 г. использует TLS для всех внутренних переносов сообщений. Opportunistic TLS также включен по умолчанию для сеансов с внешними хостами. Exchange сначала пытается использовать шифрование TLS для сеанса, но если подключение TLS не может быть установлено с сервером назначения, Exchange SMTP. Вы также можете настроить безопасность домена, чтобы применять протокол Mutual TLS для сеансов с внешними организациями.

Протокол TLS обеспечивает защиту сеанса SMTP только между двумя узлами SMTP. Другими словами, TLS защищает данные при передаче, но не обеспечивает защиту на уровне сообщений или данных в местах хранения. Если сообщения не шифруются с помощью другого метода, сообщения в почтовых ящиках отправителей и получателей остаются незащищенными. Для электронной почты, отправленной за пределами организации, можно требовать TLS только для первого прыжка. После того как удаленный smTP-хост за пределами организации получает сообщение, он может передать его другому хосту SMTP через незашифрованную сессию. Так как TLS — это технология транспортного уровня, она не может контролировать то, что получатель делает с сообщением.

Шифрование электронной почты

Для шифрования сообщений пользователи могут использовать различные технологии, например S/MIME.

Пользователи сами решают, необходимо ли шифровать сообщение. Шифрование подразумевает дополнительные расходы на развертывание инфраструктуры открытых ключей (PKI) и сопутствующие затраты на управление сертификатами для пользователей и защиту закрытых ключей. После расшифровки сообщения действия получателя с информацией не контролируются. Расшифрованная информация может быть скопирована, распечатана или переслана. По умолчанию сохраненные вложения не защищены.

Сообщения, зашифрованные с помощью таких технологий, как S/MIME, не могут быть доступны вашей организации. Организация не может проверять содержимое сообщений и поэтому не может применять политики обмена сообщениями, проверять сообщения на вирусы или вредоносный контент, а также принимать какие-либо другие действия, которые требуют доступа к содержимому.

И наконец, традиционные решения часто не позволяют применять единые политики обмена сообщениями для предотвращения утечки информации. Например, пользователь отправляет сообщение, содержащее конфиденциальную информацию, и отмечает его как конфиденциальное и не переад. После доставки сообщения получателю отправитель или организация больше не имеют контроля над информацией. Получатель может самовольно или непреднамеренно перенаправляем сообщение (с использованием таких функций, как правила автоматической пересылания) на внешние учетные записи электронной почты, подвергая организацию значительным рискам утечки информации.

IRM в Exchange 2013 г.

В Exchange 2013 г. вы можете использовать функции IRM для применения постоянной защиты к сообщениям и вложениям. IRM использует службы Active Directory Rights Management (AD RMS), технологию защиты информации в Windows Server 2008 и более поздней. С помощью функций IRM Exchange 2013 г. ваша организация и пользователи могут управлять правами получателей электронной почты. IRM также помогает разрешить или ограничить действия получателей, такие как переададание сообщения другим получателям, печать сообщения или вложения или извлечение содержимого сообщения или вложения путем копирования и вклейки. Защита от IRM может применяться пользователями в Microsoft Outlook или Microsoft Office Outlook Веб-приложении, или она может основываться на политиках обмена сообщениями организации и применяться с помощью правил защиты транспорта или Outlook правил защиты. В отличие от других решений шифрования электронной почты, IRM также позволяет вашей организации расшифровывать защищенный контент для обеспечения соответствия требованиям политики.

AD RMS использует язык разметки на основе extensible прав (XrML)-сертификаты и лицензии для сертификации компьютеров и пользователей, а также для защиты контента. Если содержимое, например документ или сообщение, защищено с помощью AD RMS, к контенту прилагается лицензия XrML, содержащая права, которые имеют уполномоченные пользователи. Чтобы получить доступ к контенту, защищенном от IRM, приложения с поддержкой AD RMS должны получить лицензию на использование для авторизованного пользователя из кластера AD RMS.

Примечание

В Exchange 2013 г. агент prelicensing прикрепляет лицензию на использование к сообщениям, защищенным с помощью кластера AD   RMS в вашей организации. Дополнительные сведения см. в разделе Prelicensing later in this topic.

Приложения, используемые для создания контента, должны быть с поддержкой RMS, чтобы применять постоянную защиту к контенту с помощью AD RMS. Microsoft Office приложения, такие как Word, Excel, PowerPoint и Outlook, включены в RMS и могут использоваться для создания и использования защищенного контента.

IRM поможет вам сделать следующее:

  • предотвратить пересылку, изменение, печать, отправку по факсу, сохранение и копирование уполномоченными получателями содержимого, защищенного службой IRM;

  • обеспечить для вложений в поддерживаемых форматах такой же уровень защиты, что и для сообщения;

  • поддерживать функцию управления сроком действия сообщений и вложений с защитой IRM, которая не позволяет просматривать их по истечении указанного периода;

  • Запретить копирование контента с защитой IRM с помощью средства Snipping в Microsoft Windows.

Однако IRM не может запретить копирование сведений с помощью следующих методов:

  • Сторонние программы захвата экрана

  • Использование устройств визуализации, таких как камеры для фотографии контента, защищенного от IRM, отображаемого на экране

  • Пользователи, запоминающие или вручную переписывающие сведения

Дополнительные новости об AD RMS см. в службы Active Directory Rights Management.

Шаблоны политики прав на права AD RMS

AD RMS использует шаблоны политики прав на основе XrML, чтобы разрешить совместимым приложениям с поддержкой IRM применять последовательные политики защиты. В системе Windows Server 2008 и ее более поздних версиях на сервере AD RMS доступна веб-служба, которую можно использовать для перечисления и получения шаблонов. Сервер Exchange 2013 поставляется вместе с шаблоном "Не пересылать". Когда к сообщению применяется шаблон "Не пересылать", расшифровывать это сообщение могут только получатели, являющиеся его адресатами. Получатели не могут переслать сообщение, скопировать из него содержимое или распечатать. Вы можете создать дополнительные шаблоны RMS на сервере AD RMS в организации, чтобы соответствовать требованиям защиты IRM.

Защита IRM применяется с помощью шаблона политики прав AD RMS. С помощью шаблонов политики можно управлять разрешениями, которые получатели имеют в сообщении. Такие действия, как ответ, ответ на все, переададка, извлечение информации из сообщения, сохранение сообщения или печать сообщения, можно контролировать, применяя соответствующий шаблон политики прав к сообщению.

Дополнительные сведения о шаблонах политики в области прав см. в меню AD RMS Policy Template Considerations.

Дополнительные сведения о создании шаблонов политики прав на права AD RMS см. в руководстве по развертыванию шаблонов политики прав AD RMS.

Применение защиты IRM к сообщениям

В Exchange 2010 г. защита IRM может применяться к сообщениям с помощью следующих методов:

  • Вручную Outlook пользователями: Outlook пользователи могут защищать сообщения с помощью шаблонов политики защиты прав AD RMS, доступных для них. Этот процесс использует функции IRM в Outlook, а не Exchange. Однако вы можете использовать Exchange для доступа к сообщениям, а также принимать меры (например, применять правила транспорта) для обеспечения соблюдения политики обмена сообщениями в организации. Дополнительные сведения об использовании IRM в Outlook см. в обзоре Введение в IRM для сообщений электронной почты.

  • Вручную Outlook Web App пользователями. Если вы включаете IRM в Outlook Web App, пользователи могут отправлять сообщения с защитой IRM и просматривать получаемые ими сообщения с защитой IRM. В Exchange 2013 г. накопительное обновление 1 (CU1) Outlook Web App пользователи также могут просматривать вложения, защищенные IRM, с помощью Web-Ready просмотра документов. Дополнительные сведения об IRM в Outlook Web App см. в Outlook Web App.

  • Вручную Windows пользователями мобильных и Exchange ActiveSync устройств: в выпуске версии RTM Exchange 2010 г. пользователи мобильных устройств Windows могут просматривать и создавать сообщения, защищенные от IRM. Для этого пользователям необходимо подключить поддерживаемые Windows мобильные устройства к компьютеру и активировать их для IRM. В Exchange 2010 sp1 вы можете включить IRM в Microsoft Exchange ActiveSync, чтобы позволить пользователям Exchange ActiveSync устройств (в том числе Windows Мобильные устройства) просматривать, отвечать на сообщения, переадэдж и создавать сообщения, защищенные от IRM. Дополнительные сведения об IRM в Exchange ActiveSync см. в Exchange ActiveSync.

  • Автоматически в Outlook 2010 и более поздних годах: вы можете создать правила защиты Outlook для автоматической защиты сообщений IRM в Outlook 2010 и более поздних годах. Outlook автоматически развертываются для клиентов 2010 Outlook, а IRM-защита применяется Outlook 2010 г., когда пользователь создает сообщение. Дополнительные сведения о правилах Outlook защиты см. в Outlook правилах защиты.

  • Автоматически на серверах почтовых ящиков. Вы можете создавать правила защиты транспорта для автоматической защиты сообщений IRM на Exchange серверах почтовых ящиков 2013 г. Дополнительные сведения о правилах защиты транспорта см. в дополнительных сведениях о правилах защиты транспорта.

    Примечание

    Защита IRM не применяется к сообщениям, которые уже защищены IRM. Например, если IRM-пользователь защищает сообщение в Outlook или Outlook Web App, защита IRM не применяется к сообщению с помощью правила защиты транспорта.

Сценарии для защиты IRM

Сценарии защиты IRM описаны в следующей таблице.

Сценарии для защиты IRM

Отправка сообщений, защищенных от IRM Поддерживается Requirements

В том же локальном развертывании Exchange 2013 г.

Да

Требования см. в разделе Требования IRM в этой теме.

Между различными лесами в локальном развертывании

Да

Для требований см. в руб. Настройка AD RMS для интеграции с Exchange Server 2010 года в нескольких лесах.

Между локальной Exchange 2013 г. и облачной Exchange организацией

Да

  • Использование локального сервера AD RMS.

  • Экспорт доверенного домена публикации с локального сервера AD RMS.

  • Импорт доверенного домена публикации в облачной организации.

Внешним получателям

Нет

Exchange 2010 г. не включает решение для отправки сообщений, защищенных от IRM, внешним получателям в не федерационной организации. AD RMS предлагает решения, использующие политики доверия. Можно настроить политику доверия между кластером AD RMS и учетной записью Microsoft (ранее известная как Windows Live ID). Для сообщений, отправленных между двумя организациями, можно создать федератное доверие между двумя лесами Active Directory с помощью служб Федерации Active Directory (AD FS). Дополнительные дополнительные новости см. в см. в руб. "Понимание политики доверия к AD RMS".

Расшифровка сообщений, защищенных IRM, для обеспечения выполнения политик обмена сообщениями

Чтобы обеспечить соблюдение политик обмена сообщениями и соблюдение нормативных требований, необходимо иметь доступ к зашифрованному содержимому сообщений. Чтобы соответствовать требованиям по обнаружению электронных данных в связи с судебными разбирательствами, аудитами нормативных органов или внутренними расследованиями, необходимо также иметь возможность поиска зашифрованных сообщений. Чтобы помочь с этими задачами, Exchange 2013 включает следующие функции IRM:

  • Расшифровка транспорта. Для применения политик обмена сообщениями транспортные агенты, такие как агент правил транспорта, должны иметь доступ к содержимому сообщений. Расшифровка транспорта позволяет транспортным агентам, установленным Exchange серверов 2013 г., получать доступ к содержимому сообщений. Дополнительные сведения см. в расшифровке транспорта.

  • Расшифровка отчетов журнала. Чтобы соответствовать требованиям или требованиям бизнеса, организации могут использовать журналы для сохранения контента обмена сообщениями. Агент Journaling создает отчет журнала для сообщений, подданных журнальным журналам, и включает метаданные о сообщении в отчете. Исходное сообщение прилагается к отчету журнала. Если сообщение в отчете журнала защищено IRM, расшифровка отчета журнала прикрепит к отчету журнала четкую копию сообщения. Дополнительные сведения см. в расшифровке отчета журнала.

  • Расшифровка IRM для Exchange поиска: с помощью расшифровки IRM для Exchange search Exchange поиск может индексировать содержимое в сообщениях, защищенных IRM. Когда диспетчер обнаружения выполняет поиск In-Place обнаружения, индексные сообщения, защищенные от IRM, возвращаются в результатах поиска. Дополнительные сведения см. в статье Обнаружение электронных данных на месте.

    Примечание

    В Exchange 2010 sp1 и более поздней части члены группы ролей Discovery Management могут получать доступ к защищенным IRM-сообщениям, возвращенным при поиске обнаружения и пребывающих в почтовом ящике обнаружения. Чтобы включить эту функцию, используйте параметр EDiscoverySuperUserEnabled с помощью cmdlet Set-IRMConfiguration. Дополнительные сведения см. в перенастройке IRM для Exchange поиска и In-Place eDiscovery.

Чтобы включить эти функции расшифровки, Exchange серверы должны иметь доступ к сообщению. Это достигается путем добавления почтового ящика Федерации , системного почтового ящика, созданного Exchange setup, в группу супер пользователей на сервере AD RMS. Дополнительные сведения см. в разделе Добавление федеративного почтового ящика в группу суперпользователей службы управления правами Active Directory.

Прелицензия

Чтобы просмотреть сообщения и вложения, защищенные IRM, Exchange 2013 автоматически присоединяет прелицензию к защищенным сообщениям. Это не позволяет клиенту повторять поездки на сервер AD RMS для получения лицензии на использование, а также позволяет автономно просматривать сообщения и вложения, защищенные IRM. Прелицензия также позволяет просматривать сообщения с защитой IRM в Outlook Web App. При включении функций IRM предварительное лицензирование включается по умолчанию.

Агенты управления правами на доступ к данным

В Exchange 2013 г. функциональность IRM включена с помощью транспортных агентов в транспортной службе на серверах почтовых ящиков. Агенты IRM устанавливаются Exchange установки на сервере почтовых ящиков. Вы не можете управлять агентами IRM с помощью задач управления для транспортных агентов.

Примечание

В Exchange 2013 г. агенты IRM являются встроенными агентами. Встроенные агенты не включены в список агентов, возвращаемых командлетом Get-TransportAgent. Дополнительные сведения см. в сведениях о транспортных агентах.

В следующей таблице перечислены агенты IRM, реализованные в службе транспорта на серверах почтовых ящиков.

Агенты IRM в транспортной службе на серверах почтовых ящиков

Агент Событие Функция

Агент расшифровки RMS

OnEndOfData (SMTP) и OnSubmittedMessage

Расшифровка сообщений для доступа к транспортным агентам.

Агент правил транспорта

OnRoutedMessage

Флаги сообщений, которые соответствуют условиям правила в правиле защиты транспорта, которые защищены IRM агентом шифрования RMS.

Агент шифрования RMS

OnRoutedMessage

Применяет защиту IRM к сообщениям, помеченным агентом правил транспорта, и повторно шифрует расшифровку сообщений транспорта.

Агент prelicensing

OnRoutedMessage

Присоединяет предварительную лицензию к сообщениям, защищенным службой IRM.

Агент расшифровки отчетов журнала

OnCategorizedMessage

Расшифровка сообщений, защищенных IRM, присоединенных к отчетам журналов, и встраиваться в версии cleartext вместе с исходными зашифрованными сообщениями.

Дополнительные сведения о транспортных агентах см. в дополнительных сведениях о транспортных агентах.

Требования к управлению правами на доступ к данным

Чтобы реализовать IRM в организации Exchange 2013 г., развертывание должно соответствовать требованиям, описанным в следующей таблице.

Требования к управлению правами на доступ к данным

Server Requirements

Кластер AD RMS

  • Требуется Windows Server 2012, Windows Server 2008 R2 или Windows Server 2008 SP2 с ролью hotfix службы Active Directory Rights Management в Windows Server 2008.

  • Точкиподключения к службе Exchange 2010 г. и приложения, осведомленные об AD RMS, используют точку подключения к службе, зарегистрированную в Active Directory, для обнаружения кластера AD RMS и URL-адресов. AD RMS позволяет зарегистрировать точку подключения к службе из установки AD RMS. Если учетная запись, используемая для настройки AD RMS, не входит в группу безопасности Enterprise администраторов, регистрация точки подключения к службе может быть выполнена после завершения установки. В лесу Active Directory существует только одна точка подключения службы для AD RMS.

  • Разрешения Разрешения на чтение и выполнение конвейера сертификации сервера AD RMS (файл на ServerCertification.asmx серверах AD RMS) должны быть назначены следующим образом:

    • Exchange Группы серверов или отдельные Exchange серверы

    • Группа AD RMS Service на серверах AD RMS

    По умолчанию файл ServerCertification.asmx расположен в папке \inetpub\wwwroot\_wmcs\certification\ на серверах AD RMS. Подробные сведения см. в материале Set Permissions on the AD RMS Server Certification Pipeline.

  • Супер пользователи AD RMS Чтобы включить расшифровку транспорта, расшифровку отчетов журналов, IRM в Outlook Web App и IRM для Exchange Search, необходимо добавить почтовый ящик Федерации , системный почтовый ящик, созданный Exchange 2013 setup, в группу супер пользователей в кластере AD RMS. Дополнительные сведения см. в разделе Добавление федеративного почтового ящика в группу суперпользователей службы управления правами Active Directory.

Exchange

  • Exchange 2010 или более поздней.

  • Исправление hotfix: сообщение об ошибке исключения ArgumentNullException, когда приложение на основе платформа .NET Framework 2.0 SP2 пытается обработать ответ с нулевым контентом на асинхронный запрос веб-службы ASP.NET: значение не может быть " null " рекомендуется для Microsoft платформа .NET Framework 2.0 SP2.

Outlook

  • Пользователи могут защищать сообщения с IRM в Outlook. Начиная с Outlook 2003 года поддерживаются шаблоны AD RMS для сообщений, защищающих IRM.

  • Outlook защиты — это Exchange 2010 и Outlook 2010 года. Предыдущие версии Outlook не поддерживают эту функцию.

Exchange ActiveSync

  • Устройства, поддерживающие Exchange ActiveSync версии 14.1, включая Windows Мобильные устройства, могут поддерживать IRM в Exchange ActiveSync. Мобильное приложение электронной почты на устройстве должно поддерживать тег RightsManagementInformation, определенный в Exchange ActiveSync версии 14.1 протокола. В Exchange 2013 г. IRM в Exchange ActiveSync позволяет пользователям с поддерживаемыми устройствами просматривать, отвечать на сообщения, отправлять и создавать сообщения, защищенные от IRM, без необходимости подключения устройства к компьютеру и активации его для IRM. Подробные сведения см. в материале Управлениеправами на информацию в Exchange ActiveSync .

Примечание

AD   Кластер RMS это термин, используемый для развертывания AD RMS в организации, включая   развертывание одного сервера. AD   RMS — это веб-служба. Для этого не требуется настроить кластер Windows сервера. Для высокой доступности и балансировки нагрузки можно развернуть несколько серверов AD RMS в кластере и использовать   балансировку сетевой нагрузки.

Важно!

В производственной среде установка AD RMS и Exchange на одном сервере не   поддерживается.

Exchange 2013 IRM поддерживает Microsoft Office форматы файлов. Вы можете распространить защиту IRM на другие форматы файлов, развернув настраиваемые защитники. Дополнительные сведения о настраиваемом защитнике см. в дополнительных сведениях о партнерах по защите информации и контролю в Центре партнеров Майкрософт.

Настройка и тестирование управления правами на доступ к данным

Чтобы настроить функции IRM в Exchange 2013 г., необходимо использовать Exchange. Чтобы настроить отдельные функции управления правами на доступ к данным, используйте командлет Set-IRMConfiguration. Вы можете включить или отключить IRM для внутренних сообщений, расшифровки транспорта, расшифровки отчетов журнала, Exchange поиска и Outlook Web App. Дополнительные сведения о настройке функций IRM см. в дополнительных сведениях о процедурах управления правами на информацию.

После того как вы Exchange сервер 2013 года, вы можете использовать комлет Test-IRMConfiguration для выполнения конечных тестов развертывания IRM. Эти тесты полезны для проверки функциональности IRM сразу после начальной конфигурации IRM и на постоянной основе. В этом кодлете выполняются следующие тесты:

  • Проверяет конфигурацию IRM для Exchange организации 2013 г.

  • Проверяет сервер службы AD RMS на предмет сведений о версии и исправлениях.

  • Проверяет, можно ли Exchange сервер для RMS путем получения сертификата учетной записи прав (RAC) и сертификата лицензии клиента.

  • Получает шаблоны политики прав службы AD RMS с сервера службы AD RMS.

  • Проверяет способность указанного отправителя отправлять сообщения, защищенные службой IRM.

  • Получает для указанного получателя лицензию на использование суперпользователя.

  • Получает для указанного получателя предварительную лицензию.

Расширение Rights Management с соединителем Rights Management

Соединиттель управления правами Майкрософт (соединитетель RMS) является необязательным приложением, которое повышает защиту данных для сервера Exchange 2013 г., используя облачные службы управления правами Майкрософт. После установки соединителя RMS он обеспечивает непрерывную защиту данных в течение срока службы данных, а так как эти службы настраиваются, можно определить необходимый уровень защиты. Например, вы можете ограничить доступ к сообщению электронной почты определенным пользователям или установить права только на просмотр для определенных сообщений.

Дополнительные новости о соединителях RMS и его установке см. в рублях .