В этой статье речь пойдет о том, как настроить и использовать средства управления разрешениями на информацию Information Rights Management (IRM), реализованные в Microsoft Office SharePoint Server (MOSS) 2007.
Microsoft Office SharePoint Server (MOSS) 2007 — существенно переработанная версия, оснащенная большим числом новых функций, которые могут с успехом применяться на предприятии. Пожалуй, особый интерес представляют нововведения, способствующие выполнению требований законов и нормативных актов регламентирующих инстанций, а также обеспечивающие защиту данных на должном уровне.
В системе MOSS реализовано множество новых настроек безопасности, функций аудита, политик хранения данных и операций, связанных с прекращением действия документов с истечением срока, которые можно использовать в рамках реализации разработанных на предприятии политик обеспечения защиты данных с целью выполнения установок регламентирующих органов. Рассмотрим одну из функций MOSS — технологию управления разрешениями на информацию IRM. Здесь следует отметить, что данная технология реализована только в MOSS и не представлена в службе Windows SharePoint Services (WSS) 3.0.
Обзор IRM
IRM позволяет автору документа или сообщения электронной почты указывать, кто может обращаться к документу либо почтовому сообщению, какие разрешения предоставляются этим лицам, а также как и когда они могут получать доступ к материалам. К примеру, автор документа Word, такого как пресс-релиз, может указать, кто имеет разрешение открывать и читать документ, и предоставить любому из перечисленных лиц разрешение на распечатку, но не на изменение документа. Пользователь, которому явным образом не были предоставлены разрешения на доступ к контенту, не может ни читать, ни изменять, ни распечатывать документ.
Разрешения, назначенные пользователям авторами документов с помощью IRM, могут быть постоянными; они могут путешествовать вместе с документами, а их соблюдение — контролироваться не операционными системами, а приложениями. Даже если пользователь либо самозваный администратор имеет доступ к документу с разрешениями Full Control на уровне файловой системы, он не сможет читать, изменять, распечатывать, пересылать или копировать документ, если только владелец последнего не предоставит ему прав доступа в явной форме.
Технология IRM была впервые реализована в приложениях Word, Excel, PowerPoint и Outlook пакета Microsoft Office 2003. В комплекте Microsoft Office 2007 к этому списку была добавлена программа InfoPath, а MOSS — первый серверный продукт Microsoft, поддерживающий технологию IRM.
Для функционирования IRM требуется инфраструктура службы управления разрешениями Windows Rights Management Services (RMS) Active Directory (AD). RMS — это служба Web, которая обычно развертывается по всему предприятию. IRM организует защиту контента с помощью интерфейса прикладного программирования, функционирующего при наличии RMS. На RMS возлагается задача выпуска сертификатов и лицензий, необходимых для того, чтобы пользователи могли создавать контент с защищенными разрешениями доступа. Для обеспечения защиты прав доступа контент подвергается шифрованию. Более подробные сведения об RMS можно найти в статье «Что необходимо знать о Windows Rights Management Services» (http://www.osp.ru/win2000/2004/05/177016/ ), «Службы управления доступом к информации Windows Rights Management Services» (http://www.osp.ru/win2000/2006/03/1156376/ ), в статье Windows IT Pro «Зарисовки с RMS на переднем плане» (http://www.osp.ru/win2000/2006/06/3266088/ ), а также по адресу http://www.microsoft.com/rms .
Технология IRM в системе MOSS
В системе MOSS технология IRM реализована несколько иначе, чем в приложениях Office. В приложениях пользователи вручную указывают, кто имеет разрешение на доступ к созданным ими документам, причем эти сведения вводятся отдельно для каждого документа и для каждого почтового сообщения. Администраторы могут облегчить жизнь пользователей, создавая и распространяя шаблоны прав, содержащие пользователей и разрешения, указанные для каждого из них. Затем пользователь может выбрать тот или иной шаблон внутри приложения, что избавляет его от необходимости указывать эти разрешения вручную.
В системе MOSS документы организованы в библиотеки документов. Для каждой библиотеки документов можно устанавливать разрешения, где указывается, что именно пользователи могут делать с документами, хранящимися в этой библиотеке. Так, можно создать библиотеку документов, содержащую информацию о слияниях и приобретениях и наделить разрешениями «только чтение» тех служащих, которым необходимо знать об этих мероприятиях, и разрешением вносить изменения, а также публиковать новые документы — членов комитета по слияниям и приобретениям.
Технология IRM позволяет применять к документам дополнительные меры безопасности. Когда IRM применяется к библиотекам документов, пользователи получают возможность отправлять на сервер, загружать на свои системы или редактировать документы в соответствии с разрешениями, которые были им предоставлены. Однако доступ к документам, загруженным или изъятым из библиотеки для редактирования, будет ограничен. Разрешения, применяемые к документам, будут отражать разрешения, установленные для самой библиотеки.
Посмотрим, как осуществляется доступ к материалам библиотеки документов по проблемам слияний и приобретений, в которой не реализована технология IRM. Хотя служащие располагают только разрешением на чтение этих материалов, они могут загружать их на портативные USB-накопители, распечатывать и распределять копии этих документов или пересылать их по электронной почте в виде присоединяемых файлов. Если же в такой библиотеке документов используется технология IRM, можно заблокировать попытки распечатки пользователями загруженных документов, а все документы, распространяемые ими с помощью портативных накопителей USB или по каналам электронной почты, остаются зашифрованными, иначе говоря — бесполезными для получателей, не имеющих прав доступа к библиотеке, откуда эти документы поступили. Внутри библиотеки разрешения доступа к документам не защищаются; разрешения применяются в тех случаях, когда документ загружается в систему пользователя или изымается из библиотеки.
Настройка средств IRM в системе MOSS
Перед тем как вы сможете приступить к использованию технологии IRM в системе MOSS, возможно, придется изменить организацию сервера или пула серверов MOSS. Я рекомендую указывать индивидуальные имена для пулов Web-приложений, с тем чтобы избежать возникновения потенциальных проблем с IRM в системе MOSS.
При использовании MOSS для создания пулов серверов Web с целью предоставления узлов пользователям необходимо настраивать пул приложений Web таким образом, чтобы каждая служба Web применялась не в качестве сетевой службы (Network Service), а под именованной учетной записью пользователя. Учетная запись должна быть доменной учетной записью, а не локальной. Даже если вы устанавливаете MOSS только на одном сервере, избегайте использования имени сетевой службы Network Service в качестве индивидуального имени для пулов приложений Web. Учетная запись Network Service была разработана для решения проблем безопасности с LocalSystem, а Network Service олицетворяет компьютер. При использовании Network Service пул приложений Web может получить больше прав, чем требуется. Поэтому для пулов приложений Web лучше применять пользовательские учетные записи.
Целесообразно также рассмотреть возможность разделения Web-служб таким образом, чтобы каждая из них выполнялась в собственном пуле Web-приложений. Если запускать их в одном и том же пуле и этот пул даст сбой, все выполняемые в нем приложения могут оказаться открытыми для пользователей.
Настроить индивидуальное имя для пулов Web-приложений можно, перейдя на вкладку Operations центральной административной консоли SharePoint 3.0 и выбрав пункт Service Accounts в разделе Security Configuration. Выделите параметр Web application pool и затем — Web-службу и пул приложений из раскрывающихся списков (как показано на экране 1). Выделите параметр Configurable, затем введите учетные данные для учетной записи пользователя, под которой должен выполняться пул Web-приложений.
Процесс настройки MOSS для использования IRM включает четыре этапа. Первый этап сводится к установке пакета Windows RMS Client SP2 на всех серверах MOSS Web-пула. Второй этап — подготовка сервера RMS для его использования системой MOSS. Третий — настройка сервера MOSS или пула посредством указания на инфраструктуру RMS. И наконец, четвертый этап — настройка каждой библиотеки документов для использования IRM.
Установка RMS Client SP2 не составляет труда. Клиент можно загрузить по адресу http://www.microsoft.com/rms или установить его с Windows Update. Удостоверьтесь в завершении процесса установки на каждом сервере Web-пула.
Второй этап выполняется не сервере RMS. Если RMS SP2 еще не используется, следует установить этот пакет обновлений. Кроме того, нужно будет изменить соответствующие разрешения в файле _wmcs/Certification/ServerCertification.asmx. Этот файл хранится в папках узла, на котором выполняется RMS. Необходимо проследить за тем, чтобы файл ServerCertification.asmx наследовал разрешения родительской папки (_wmcs/Certification), и добавить учетные записи системы для каждого сервера Web-пула. Также потребуется проследить за тем, чтобы учетные записи службы, используемые системой MOSS для доступа к конфигурационной базе данных, и учетные записи, применяемые для каждого пула Web-приложений, являлись членами группы Domain Users. Потенциально IRM может использовать учетные записи системы и учетные записи службы в своих вызовах RMS.
Для завершения третьего этапа настройки сервера MOSS или пула для использования RMS нужно перейти на вкладку Operations консоли центрального управления SharePoint 3.0 и в разделе Security Configuration выбрать пункт Information Rights Management. Если вы все еще не установили пакет RMS Client SP2 или возникли затруднения в процессе его установки, на экране появится сообщение об ошибке. Перед тем как продолжить попытки настройки MOSS для использования IRM, эту ошибку следует исправить. Если сообщения об ошибке не появилось и вы опубликовали объект RMS serviceConnectionPoint в AD из административной консоли RMS, можете выбрать параметр Use the default RMS Server specified in Active Directory. Если у вас имеется подчиненный сервер RMS Licensing Server и вы хотите воспользоваться им или если объект RMS serviceConnectionPoint не был опубликован в AD, выберите параметр Use this RMS server и введите URL-адрес своего сервера RMS (как показано на экране 2).
Возможностей подтверждения того, что настройка MOSS для использования RMS прошла успешно, не так уж много; к тому же в файле регистрации данные на этот счет не фиксируются. Один из вариантов проверки результатов настройки — открыть папку %ALLUSERSPROFILE%Application DataMicrosoftDRMServer. Там указано по меньшей мере одно имя папки в формате S-1-5-21-xxxxxxxxxx-xxxxxxxxx-xxxxxxxxxx-xxxx. В сущности, это имя папки является идентификатором SID, который представляет учетные записи, используемые SharePoint для обращения к RMS.
Когда технология IRM начнет применяться в системе SharePoint, будут созданы дополнительные папки, по одной для каждого имени, под которыми выполняются Web-приложения. Внутри папки, представляющей учетную запись, которая используется системой SharePoint, находятся два файла: первый файл с именем CERT-Machine.drm, второй — с именем GIC-identity-{GUID}.drm. В папках с именами, используемыми пулами Web-приложений, содержится как файл CERT-Machine.drm, так и файл с именем, начинающимся с GIC. Кроме того, там хранится файл с именем CLC-identity-{GUID}.drm.
Переходим к четвертому и последнему этапу настройки библиотек документов с целью использования технологии IRM. В окне браузера следует открыть расширенные SharePoint узлы Web, которые содержат наделенные средствами IRM библиотеки. Откройте раскрывающееся меню Site Actions и выберите пункт Site Settings. В разделе Site Administration нужно выбрать элемент Site libraries and lists. Если библиотека документов еще не создана, создайте ее; для этого требуется выбрать элемент Create new content. Для библиотеки, к которой решено применить технологию IRM, нужно выбрать пункт Customize «
По завершении установки разрешений в окне браузера необходимо выбрать пункт Information Rights Management в разделе Permissions and Management. Установите флажок Restrict permission to documents in this library on download, а затем введите данные в поля Permission policy title и Permission policy description (как показано на экране 3). С помощью остальных флажков, показанных на экране 3, требуется указать, предоставляется ли пользователям разрешение распечатывать документы и/или обращаться к ним с помощью программных средств (т. е. с помощью языка Visual Basic for Applications, VBA).
Упомянутые флажки также позволяют определять, следует ли пользователям периодически подключаться к инфраструктуре RMS и возобновлять свои лицензии, с тем чтобы обращаться к контенту или использовать его. Кроме того, можно указать дату, после которой ограничения на работу с загруженными из данной библиотеки документами теряют силу. Еще один важный параметр Do not allow users to upload documents that do not support IRM может блокировать попытки пользователей добавлять в библиотеку документы, несовместимые с технологией IRM. Собственными средствами для взаимодействия с IRM обладают только приложения Word, Excel, PowerPoint и Outlook из пакета Office, а также компонент InfoPath из пакета Office 2007.
Доступ к документам из библиотеки, защищенной IRM
Пользователи, наделенные разрешением работать с документами библиотек, могут обращаться к этим документам тремя способами. Они могут переходить в нужную библиотеку в окне браузера и выбирать из нее тот или иной документ; могут открывать документ в окне приложения или вводить URL-адрес соответствующего файла в окне браузера. Для создания или использования материалов с защищенными разрешениями доступа не обязательно иметь опыт работы со службой RMS. Однако пользователям потребуется настроить в своих объектах user или inetOrgPerson почтовые адреса SMTP, на их рабочих станциях должны быть установлены пакеты RMS Client SP2, а также наделенные средствами IRM приложения, такие как программы из комплектов Office 2003 или Office 2007.
Открыв документ, полученный из библиотеки документов, разрешения доступа к которым защищены средствами IRM, пользователь увидит на экране сообщение, подобное показанному на экране 4. Если документ с защищенными разрешениями доступа открыт в «собственном» приложении, пользователь опять-таки получает напоминание о том, что разрешения доступа к этому документу защищены. В приложениях комплекта Office 2007 имя и описание шаблона библиотеки документов IRM отображаются на панели в верхней части окна документов (см. экран 5). Если пользователь хочет получить точные сведения о том, какие разрешения ему предоставлены, и запросить дополнительные разрешения, достаточно щелкнуть на элементе Change Permission (см. экран 6).
Когда пользователь создает новый документ или загружает документ в библиотеку документов с защищенными разрешениями доступа, этот документ хранится в библиотеке в незащищенном виде. Разрешения доступа защищаются только в тот момент, когда пользователем загружает документ на свою машину для работы с ним.
Диагностика проблем, связанных с MOSS и IRM
Настройка средств MOSS и IRM относительно проста, хотя, возможно, и придется столкнуться с определенными затруднениями. Чаще других встречается такая проблема: пользователь не может просмотреть документ библиотеки, защищенной средствами IRM. Как правило, объясняется это тем, что пользователь не имеет доступа к данной библиотеке документов. Следует проверить, располагает ли пользователь разрешением обращаться к документам этой библиотеки и просматривать ее содержимое в браузере.
Если пользователь видит документы, но не может открывать или загружать их, такая ситуация может объясняться несколькими причинами. Одна из них состоит в том, что в почтовом атрибуте его объекта AD user или inetOrgPerson не записан почтовый адрес. Заполните почтовые атрибуты для всех пользователей, имеющих разрешение доступа к документам библиотеки.
Если пользователь имеет разрешения на работу с документами библиотеки и его почтовый атрибут заполнен, нужно удостовериться в том, что на системе данного пользователя установлена программа RMS Client. Если это одна из ранних версий клиента, рекомендую модернизировать ее до уровня RMS Client SP2.
Если на системе пользователя установлена версия RMS Client SP2 и этот пользователь может в приложениях Office, таких как Word, применять средства IRM для создания и просмотра документов с защищенными разрешениями, проблема, возможно, связана с системой MOSS. Если при настройке этой системы применялся параметр Use the default RMS Server specified in Active Directory, можно вручную указать URL-адрес сервера RMS и на каждом из серверов Web-пула MOSS использовать параметр реестра HKEY_LOCAL_MACHINESOFTWAREMicrosoftMSDRMServiceLocationEnterprisePublishing со значением http(s)://RMS server URL/_wmcs/Licensing и имеющий тип REG_STRING. После внесения указанных изменений каждый сервер придется перезагружать.
Если же и после этого не удастся заставить средства IRM функционировать в системе MOSS как положено, можно получить более детальное представление о текущих проблемах, активизировав журналы регистрации событий и трассировки системы MOSS. Объем регистрируемых данных можно задавать, перейдя на вкладку Operations центральной административной консоли SharePoint 3.0 и выбрав в разделе Logging and Reporting элемент Diagnostic logging. Войдите в раздел Event Throttling и в раскрывающемся списке Select a category выберите пункт IRM, после чего выделите наименее значимые события, которые хотите фиксировать в журналах регистрации событий и трассировки. Регистрироваться будут события, не уступающие по значимости выбранным, а также более значимые события. Кроме того, в данном разделе можно указать местоположение журнала трассировки. Просматривая журналы регистрации событий и трассировки, наверняка можно будет определить, в чем состоит проблема.
Внедрение технологии IRM в систему MOSS открывает перед компаниями возможность хранения секретных документов в центральных репозиториях, применения к ним политик организации документооборота, политик хранения и удержания. Это позволит ограничить доступ к документам лиц, не имеющих на то санкции, и блокировать попытки передачи загруженных или изъятых из хранилища документов конкурентам либо корпоративным шпионам. Дополнительные сведения о системе MOSS можно найти в Internet по адресу http://www.microsoft.com/sharepoint .
Джон Хоуи (jhowie@microsoft.com ) — директор подразделения World Wide Services and IT Technical Community for Security компании Microsoft. Имеет более чем 15-летний опыт работы в области информационной безопасности и сертификаты CISSP, CISM и CISA