Теперь, с выпуском Microsoft Exchange Server 2010, у компаний появилось новое оружие в борьбе за конфиденциальность данных. Exchange 2010 может использовать инфраструктуру Active Directory Rights Management Services (AD RMS), которую приводит в действие служба Information Rights Management (IRM). Таким образом, администраторы Exchange могут задавать правила для автоматической защиты сообщений электронной почты и присоединенных файлов, основанных на особом критерии.

Exchange 2010 располагает и другой замечательной функцией, которая позволяет пользователям отсылать, получать защищенные электронные сообщения и отвечать на них при помощи Outlook Web App (OWA, бывший Oulook Web Access). В ранних версиях OWA пользователи могли читать защищенные электронные сообщения и присоединенные файлы, только если у них был установлен модуль Rights-Management Add-On (RMA), но это решение работало лишь в браузере Internet Explorer (IE), а пользователи не могли отвечать и создавать новые защищенные сообщения. Давайте посмотрим, как устанавливать и настраивать конфигурацию Exchange 2010, чтобы использовать указанные две функции.

Что нам дает эта технология?

Предположим, вы уже установили инфраструктуру Exchange 2010, но еще не задали настройки Exchange 2010 IRM. Вспомните о том, что AD RMS является базовой инфраструктурой, состоящей из серверов и баз данных. Также примите к сведению, что IRM является совокупностью функций, предлагаемых продуктами Microsoft Office, таких как Word, Excel, PowerPoint и Outlook, и серверными системами, например SharePoint, которые активируют AD RMS для защиты данных, содержащихся в корпоративных документах и сообщениях электронной почты. При помощи AD RMS и IRM защищенные документы и сообщения электронной почты зашифрованы так, что только пользователи или их группа, определенная самим автором, может их читать и — в зависимости от предоставленных прав — видоизменять, печатать или копировать. Также благодаря AD RMS администраторы Exchange могут устанавливать условия (например, отправитель, получатель, предмет, содержание, присоединенные файлы) для автоматической защиты прав. Эта функция избавляет от необходимости принимать решение о защите прав отправителя электронного сообщения или даже задумываться о политике, описывающей распространение конфиденциальной информации.

Подготовка AD RMS к интеграции С Exchange 2010

Рассмотрим действия, которые вам нужно предпринять для подготовки AD RMS к интеграции с Exchange 2010. Прежде всего, следует использовать AD RMS на Windows Server 2008. Если вы запускаете более старую версию Windows RMS на Windows Server 2003 или Windows 2003 R2, вам требуется модернизация. Я рекомендую модернизацию до Server 2008 R2, тогда вы сможете строго следовать инструкции по подготовке AD RMS на Windows Server 2008 RTM. Если вы запускаете AD RMS на Server 2008 RTM, придется установить Server 2008 SP2 на всех ваших серверах RMS, которые будут использовать Exchange 2010. Это как минимум все серверы кластера сертификации RMS в Active Directory. Установив SP2, вам нужно будет следовать инструкции, описанной в статье Microsoft «A hotfix is available for the Active Directory Rights Management Services role in Windows Server 2008: August 26, 2009» (support.microsoft.com/kb/973247). Просто щелкните ссылку View and request hotfix downloads наверху страницы. Убедитесь, что вы загрузили нужное исправление. Версии доступны как для 32-разрядной, так и для 64-разрядной системы.

Независимо от того, запускаете ли вы AD RMS на Server 2008 RTM или R2, вам нужно задать настройки дискретных ACL (DACL) в файле веб-службы AD RMS на каждом сервере вашего кластера сертификации. На каждом сервере запустите IIS Manager из папки Administrative Tools и раскройте узел Web Server, затем узел Sites, узел Default Web Site, далее узел _wmcs. Правой кнопкой мыши щелкните по узлу Certification и выберите Explore. В окне Explorer правой кнопкой мыши щелкните по файлу ServerCertification.asmx, выберите Properties и далее вкладку Security. Требуется назначить группе Exchange Servers разрешения на чтение и выполнение файла. Те же разрешения нужно назначить и AD RMS Service Group (эта группа является локальной на самом сервере AD RMS Server). Когда вы зададите этим двум группам разрешения на файл, настройки безопасности ServerCertification.asmx, которые вы можете увидеть, нажав кнопку Advanced в ACL Editor, будут выглядеть, как на экране 1.

Экран 1. Настройки безопасности ServerCertification.asmx

Затем требуется добавить почтовый ящик Federated Delivery (служебный почтовый ящик, созданный в ходе установки и настройки организации Exchange 2010) для группы RMS Super Users. Группа Super Users чрезвычайно мощная: член этой группы может получить доступ к любому защищенному контенту, охраняемому системой AD RMS.

По этой причине группа по умолчанию заблокирована, а когда она активирована, членство в ней должно строго контролироваться. Если доступ к Super User отключен, включите его, создайте новую группу рассылки в AD и сделайте эту группу группой RMS Super Users. На экране 2 показаны настройки RMS Super Users в AD RMS 2008.

Экран 2. Настройки группы Super Users

Имя регистрации пользователя, принадлежащее почтовому ящику Federated Delivery, — это FederatedEmail.4c1f4d8b-8179-4148-93bf-00a95fa1e042. Для того чтобы добавить почтовый ящик к группе Super Users, запустите следующую команду в Exchange Management Shell (EMS):

Add-DistributiionGroupMember
    -Member 
   FederatedEmail.4c1f4d8b-8179-4148- 
   93bf-00a95fa1e042 

Здесь RMSSuperUsers — это имя группы рассылки, представляющей Super Users.

Зная имя группы Super Users, добавьте учетную запись почтового ящика пользователя Federated Delivery. Заметьте, что, когда вы добавите пользователя Federated Delivery в группу Super Users, кэш членов группы RMS будет нуждаться в очистке до того, как появятся изменения в группе Super Users. Это может занять 24 часа.

Настройка OWA для IRM

Exchange 2010 включает в себя концепцию роли Client Access, которая содержит функцию OWA. Данная функция позволяет пользователям получить доступ к своим электронным почтовым ящикам через браузер, а также получать и отсылать сообщения. Роль Client Access не поддерживает IRM, а это означает, что пользователи не могут отсылать и получать защищенные сообщения без настройки роли Client Access. Если пользователь попытается прочитать защищенное сообщение в OWA до того, как роль Client Access будет настроена, он увидит сообщение, показанное на экране 3.

Экран 3. Использование OWA для чтения защищенных сообщений до того, как была выполнена настройка Exchange 2010

Для того чтобы задать настройки роли Client Access, администратору Exchange нужно использовать EMS для запуска команды, называемой Set-IRMConfiguration. Синтаксис команды следующий:

Set-IRMConfiguration 
-InternalLicensingEnabled $true 
-OWAEnabled $true 

Вы можете запустить команду один раз для всей организации Exchange, и каждый сервер Exchange 2010 с ролью Client Access начет обслуживать пользователей защищенных сообщений через OWA. Выполните такую процедуру, и пользователи увидят сообщение, показанное на экране 4.

Экран 4. Использование OWA для чтения защищенных сообщений после того, как нужные настройки Exchange 2010 были заданы

Если у вас имеются серверы лицензирования, а вы хотите, чтобы Exchange 2010 использовал только один из них, вам нужно задействовать ключ LicensingLocation для указания URL сервера лицензирования AD RMS.

Получатели защищенных сообщений могут отвечать на них, используя OWA. Однако их возможности зависят от того, какие права были заданы автором сообщения. При этом ответы также будут защищенными. Это новая функция Exchange 2010. Пользователи OWA также могут создавать защищенные сообщения.

Есть два основных отличия между использованием Exchange 2010 OWA для операций с защищенными сообщениями и использованием RMA for IE вместе с Exchange 2007 OWA. Первое отличие состоит в том, что при работе с Exchange 2010 OWA от пользователей не требуется подключение к инфраструктуре AD RMS для того, чтобы получить сертификат учетной записи прав (RAC) или лицензию End User License Agreements (EULA). Exchange 2010 действует в интересах пользователей и получает доступ к защищенному контенту как Super User до того, как выводит контент на веб-страницу. Это облегчает пользователям процесс работы с защищенными сообщениями и не требует, чтобы администраторы AD RMS задавали настройки различных адресов Extranet Cluster URL и внешнего доступа для пользователей, которые находятся вне корпоративного брандмауэра.

Другое отличие состоит в том, что конечные пользователи могут вырезать и вставлять защищенные сообщения и делать снимки экрана. Это было невозможно при использовании RMA for IE. Благодаря данной функции можно задать конфигурацию, которая позволяет пользователям задействовать IRM через OWA, указав ключ -IRMEnabled Boolean в команде Set-OwaMailboxPolicy в PowerShell для Exchange. Таким образом, предприятия могут защитить своих пользователей от получения нежелательной почты через OWA. Если у вас много пользователей и вам нужно разрешить или блокировать доступ к IRM через OWA, то команда Set-OwaMailboxPolicy будет не очень удобна. Альтернатива — создание одного или нескольких дополнительных виртуальных каталогов OWA для каждой категории пользователей, затем задание настроек доступа к каждому и использование ключа -IRMEnabled Boolean в команде Set-OwaVirtualDirectory PowerShell.

Использование транспортных правил

Функции IRM доступны в приложениях Office, включая Outlook, и могут применяться для защиты важных данных. Единственная проблема, которая была ранее у IRM до Exchange 2010, состоит в том, что пользователи забывают вручную применять защиту важных данных, поэтому данные могут потеряться или доставляться некорректным образом. Exchange 2010 позволяет администраторам почтовых систем создавать правила транспортировки Transport Rules, которые позволяют задавать шаблон AD RMS защиты прав для электронных сообщений и любых поддерживаемых вложений, основанный на соответствии условиям, таким как адрес отправителя или получателя электронных сообщений, слова в теме сообщения или любое другое условие, которое поддерживает Transport Rules. Exchange 2010 поставляется со встроенным шаблоном защиты прав, который называется Do Not Forward. Как видно из названия («не пересылать»), шаблон не позволяет получателям пересылать электронные сообщения. Exchange 2010 будет извлекать дополнительные шаблоны защиты прав из AD RMS, если заданы их настройки.

Чтобы создать транспортное правило для автоматической защиты сообщений, которые соответствуют условиям правила, запустите Exchange Management Console (EMC) на сервере центрального транспорта Exchange 2010 Hub Transport, откройте узел Microsoft Exchange On-Premises, узел Organization Configuration, затем выберите вкладку Transport Rules в правой панели консоли. Щелкните правой кнопкой мыши в панели, затем в меню выберите пункт New Transport Rule, чтобы запустить мастер New Transport Rule. На шаге Introduction введите имя для правила и дополнительный комментарий до того, как щелкните Next. На шаге Conditions выберите, начиная сверху, условия, которые будут активировать правило. Общее условие для подключения защиты прав — это when the Subject field or message body contains specific words («когда поле темы или само сообщение содержит специальные слова»), как показано на экране 5.

Экран 5. Правило транспорта Transport Rule в шаблоне RMS

Когда вы выберете условие Condition, требующее дальнейших деталей, таких как ключевое слово или слова, вам потребуется указать их, щелкая по подчеркнутым значениям, затем отредактировать описание правила на последнем шаге мастера установки. Если вы задаете несколько условий, то все они обязательно должны сопоставляться с правилом, чтобы оно запустилось.

Когда вы закончите выбирать условия и редактировать описание, нажмите Next для перехода к следующему шагу Actions. На шаге Actions выберите вариант Rights protect the RMS template, расположенный вверху окна мастера. Затем укажите подчеркнутое значение RMS template для вызова диалогового окна, которое покажет, какие шаблоны RMS доступны (шаблоны политики прав). Выберите политику RMS, которую хотите использовать, и нажмите OK для возврата к мастеру. Затем щелкните Next для перехода к следующему шагу Exceptions. Если у вас нет исключений, нажмите Next для перехода к шагу Create Rule. Щелкните New для создания своего правила Transport Rule. Создав правило, нажмите Finish для завершения работы мастера.

Использование правил Transport Rules для автоматического применения шаблонов политики защиты прав, основанных на условиях, может оказаться затратным с точки зрения потребления ресурсов. В определенных ситуациях, таких как наличие множества правил или проверка соответствия большому количеству условий в правилах, производительность инфраструктуры Exchange может быть снижена, а пользователи будут получать или отсылать сообщения с задержкой. По этой причине транспортные правила нужно использовать исключительно по необходимости.

Если шаблон политики прав удален из AD RMS, вам нужно отредактировать любое правило Transport Rules, которое обращается к шаблону. Если этого не сделать, Exchange 2010 вернет отчеты о недоставке (NDR) отправителям сообщений, которые соответствуют условиям транспортного правила, и те вызывают действия из только что удаленного шаблона политики прав, применяемой к сообщению, по которой потенциальные получатели никогда не увидят это сообщение. Прежде чем удалить шаблоны политики прав, нужно заархивировать их. Exchange 2010 сможет использовать заархивированный шаблон, но в любом случае он недоступен пользователям. Exchange 2010 также вернет NDR отправителю сообщения, если шаблон политики прав не может быть применен в силу недоступности инфраструктуры AD RMS. Поэтому убедитесь, что ваша инфраструктура AD RMS отказоустойчива, то есть построена на кластерах серверов сертификации и лицензий.

Две замечательные функции

Кроме способности отправлять, читать и отвечать на защищенные электронные сообщения через OWA и способности применять шаблоны политики прав к сообщениям, Exchange 2010 предоставляет возможность интеграции в Office 2010 Outlook политик на стороне клиентских систем, а не на стороне сервера. Это поможет заметно разгрузить процесс обработки данных. Еще одна функция — расшифровка защищенного контента для того, чтобы привести его в соответствие с законодательными требованиями. Эти две функции я рассмотрю в одной из следующих статей.

Джон Хоуи (jhowie@microsoft.com) — менеджер центра Microsoft Security Center of Excellence. Имеет сертификаты CISSP, CISM и CISA