Планирование управления правами на доступ к данным в выпуске 2007 системы Microsoft Office
Обновлено: Июнь 2007
Назначение: Office Resource Kit
Последнее изменение раздела: 2007-06-21
На многих предприятиях для защиты уязвимой информации, например, медицинских и финансовых документов сотрудников, платежных ведомостей и персональных данных используется только ограничение доступа к сетям или компьютерам, где все это хранится. Технология управления правами на доступ к данным (IRM), которая применяется в Выпуск 2007 системы Microsoft Office, помогает организациям и сотрудникам информационных центров обеспечить электронный контроль уязвимой информации методом выбора разрешений на доступ и использование документов и сообщений.
В этой теме кратко описана технология IRM и принципы ее работы в приложениях Office, а также приведены ссылки на дополнительную информацию о настройке и установке необходимых серверов и программного обеспечения внедрения IRM в Office.
Что такое IRM?
IRM — это разработанная корпорацией Майкрософт устойчивая технология файлового уровня, с помощью разрешений и проверки подлинности помогающая предотвратить печать, переадресацию или копирование уязвимой информации посторонними лицами. Ограниченные с помощью этой технологии разрешения на доступ к документу или сообщению сохраняются в нем как часть содержимого.
.gif "Note") Примечание: |
|---|
| Возможность создавать содержимое или сообщения электронной почты с ограниченными разрешениями, используя управление правами на доступ к данным, доступна в пакетах Microsoft Office профессиональный плюс 2007, Microsoft Office Корпоративный 2007 и Microsoft Office Максимум 2007. Управление правами на доступ к данным также доступно в автономных версиях приложений Office. |
Поддержка IRM в Выпуск 2007 системы Office помогает корпорациям и сотрудникам информационных центров решить две фундаментальные задачи:
Ограничение разрешений на доступ к уязвимой информации
IRM помогает предотвратить несанкционированный доступ и повторное использованием уязвимой информации. Для защиты уязвимой интеллектуальной собственности корпорации используют брандмауэры, имена для входа и другие сетевые технологии. Основной недостаток этой технологии в том, что имеющие доступ к информации зарегистрированные пользователи могут ее передать посторонним. Это потенциальная брешь в политике безопасности.
Информационная политика, контроль и целостность
Сотрудники информационных центров часто работают с конфиденциальный или уязвимой информацией. При использовании технологии IRM сотрудникам не придется полагаться на других лиц в надежде, что уязвимые материалы не выйдут за стены компании. IRM не позволяет передавать, копировать или печатать конфиденциальные данные, помогая отключить эти функции в документах и сообщениях с использованием ограниченных разрешений.
Менеджерам отдела информационных технологий (ИТ) IRM помогает внедрять существующие корпоративные политики, относящиеся к конфиденциальности документов, рабочих процессов и электронной почты. Для исполнительных директоров и начальников охраны IRM снижает риск попадания важнейшей информации компании в руки посторонних, как случайно или по незнанию, так и злонамеренно.
Как IRM работает в системе Office
Пользователи Office применяют к сообщениям или документам разрешения с использованием параметров ленты, например, команды Защитить документ из вкладки Ознакомиться в Word. Доступные параметры защиты зависят от политик разрешений, настроенных в организации. Политики разрешений — это группы прав IRM, которые применяются совместно, как одна политика. Кроме того, в Выпуск 2007 системы Office его несколько готовых групп прав, например, Не пересылать.
Использование IRM с сервером RMS
Обычно для внедрения IRM в организации необходим доступ к серверу управления правами с установленными службами управления правами на доступ к данным Microsoft Windows (RMS) для Windows Server 2003 и выше (кроме того, IRM можно использовать, применяя службу Microsoft Windows Live ID для проверки подлинности разрешений, как описано в следующем разделе). Разрешения вводятся с использованием проверки подлинности, обычно через службу каталогов Microsoft Active Directory. Microsoft Windows Live ID может проверять подлинность разрешений, Active Directory не внедрена.
Для чтения защищенных документов и сообщений пользователям не нужно устанавливать Office. Надстройка служб управления правами на доступ к данным для браузера Microsoft Internet Explorer (бесплатно загружается с сайта корпорации Майкрософт) позволяет пользователям Microsoft Windows, имеющим соответствующие разрешения, читать сообщения электронной почты и некоторые документы с ограниченными разрешениями без использования программного обеспечения Office.
В Выпуск 2007 системы Office компании могут создавать политики разрешений, которые используются в приложениях Office. Например, можно определить политику разрешений с именем Для служебного пользования, которая указывает, что документы и сообщения электронной почты, к которым применяется политика, могут открывать только пользователи компании. Ограничений по количеству создаваемых политик разрешений нет.
| Примечание: |
|---|
| Windows SharePoint Services 3.0 поддерживает использование технологии IRM для документов их библиотек документов. Используя IRM в Windows SharePoint Services, можно определить возможные действия пользователей с документами, которые открываются из библиотеки Windows SharePoint Services 3.0. Напротив, если IRM применяется к к документам, которые хранятся на клиентских компьютерах, владелец может выбирать права, присваиваемые каждому пользователю документа. Более подробную информацию об использовании IRM в библиотеках документов см. в разделе Планирование библиотек документов (службы Windows SharePoint Services). |
Дополнительную информацию об установке и настройке серверов RMS см. в разделе Обеспечение защиты информации в Microsoft Office 2003 с помощью служб управления правами и управления правами на доступ к данным (на английском языке). Дополнительную информацию о настройке IRM в Выпуск 2007 системы Office и создании политик разрешений см. в разделе Предоставление настраиваемых шаблонов политики прав службы управления правами на доступ к данным в выпуске 2007 системы Microsoft Office.
Использование IRM без локального сервера RMS
В типовой установке Windows Server 2003 со службой управления правами Windows разрешения IRM можно использовать в Выпуск 2007 системы Office. Если сервер RMS не настроен в одном домене с пользователями, служба Microsoft Windows Live ID может проверять подлинность разрешений вместо Active Directory. Для подключения к серверам Windows Live ID пользователям необходим доступ в Интернет.
Учетные записи Windows Live ID можно использовать для присвоения разрешений пользователям, которым нужен доступ к содержимому защищенных файлов. При использовании учетных записей Windows Live ID для проверки подлинности каждому пользователю нужно предоставить отдельное разрешение на доступ к файлу. Присвоить его группе пользователей нельзя.
Настройка IRM для выпуска 2007 системы Office
Для применения разрешений IRM к документам или сообщениям электронной почты необходимо следующее:
Доступ к RMS для Windows Server 2003 или выше, для проверки подлинности разрешений. Вместо этого проверку подлинности можно выполнить с помощью веб-службы Windows Live ID.
Клиентское программное обеспечение службы управления правами (RM).
Microsoft Office 2003 или Выпуск 2007 системы Office. Только определенные версии Office позволяют создавать разрешения IRM (см. примечание выше).
Настройка доступа к серверу RMS
Windows RMS управляет лицензированием и другими административными функциями сервера, который обеспечивает управление правами по технологии IRM. Клиентская программа с поддержкой RMS, например, Office, позволяет пользователям создавать и просматривать защищенное содержимое.
Дополнительную информацию о том, как работает RMS, и как установить и настроить сервер RMS см. в разделе Обеспечение защиты информации в Microsoft Office 2003 с помощью служб управления правами и управления правами на доступ к данным (на английском языке). Хотя статья написана для Office 2003, сведения о сервере RMS относятся и к внедрению IRM в Выпуск 2007 системы Office. Новейшую информацию о выпусках RMS можно посмотреть в статье Служба управления правами на доступ к данным (RMS) в Windows Server 2003.
Установка клиентского программного обеспечения управления правами
Хотя IRM входит в систему Microsoft Office, необходимо отдельно установить клиентское программное обеспечение RMS, позволяющее взаимодействовать с RMS для Windows Server 2003 и выше или веб-службой Windows Live ID.
Загрузитепакет обновления RMS Client Service Pack, чтобы пользователи смогли запускать приложения, ограничивающие разрешения на основе технологий RMS.
Настройка и развертывание политик разрешений
Как и в Office 2003, в Выпуск 2007 системы Office есть готовые группы прав, которые пользователи могут применять к документам и сообщениям, например, Не пересылать. Кроме того, можно создать пользовательские политики разрешений IRM с другими наборами прав IRM для сотрудников организации. Более подробную информацию о создании шаблонов политики прав для Office и правах, которые можно включать в шаблоны, см. в разделе Предоставление настраиваемых шаблонов политики прав службы управления правами на доступ к данным в выпуске 2007 системы Microsoft Office.