Exchange 2010 与 RMS(集成权限管理服务)集成

时间:2022-10-14 15:21:31
与权限管理服务(Rights Management Services/RMS)集成是Exchange Server 2010的新功能,也是一大亮点。随着RMS还会提到一个名词是IRM,即:信息权限管理/Information Rights Management。实际上,RMS是服务,而IRM是具体实现。安装RMS之后,才可以使用IRM。在 Exchange Server 2010 中,可使用信息权限管理 (IRM) 功能对邮件和附件应用持久保护。   通过与RMS的集成,Exchange邮件用户可以控制收件人对电子邮件拥有的权限,允许或限制某些收件人操作,例如向其他收件人转发邮件、打印邮件或附件,或者是通过复制和粘贴提取邮件或附件内容。   用户可在 Microsoft Outlook 或 Outlook Web App 中应用 IRM 保护,或者可以根据组织的邮件策略并使用传输保护规则或 Outlook 保护规规则应用 IRM 保护。与其他电子邮件加密解决方案不同,IRM 还允许组织解密受保护的内容,以强制执行策略遵从性。   IRM 可以实现:  
  • 防止受 IRM 保护的内容的授权收件人转发、修改、打印、传真、保存或剪切和粘贴该内容;
  • 用与邮件相同的保护级别保护所支持的附件文件格式;
  • 支持受 IRM 保护的邮件和附件的过期,使其在指定时间段之后,无法再进行查看;
  • 防止使用 Windows 中的截图工具复制受 IRM 保护的内容。
  但是,IRM 无法防止:  
  • 第三方屏幕捕获程序;
  • 使用照相机等图像处理设备对显示在屏幕上的受 IRM 保护的内容进行照相;
  • 用户记住或手动抄录信息。
  Exchange Server 2010与RMS集成,可以应用在以下几个方面:   1、传输保护规则 可以根据传输规则中定义的筛选条件,为满足条件的邮件自动应用指定的RMS模板,以利用IRM来保护邮件信息;   2、传输解密 被IRM保护的邮件可以被解密并进行防病毒扫描,之后再次加密进行后续传递;   3、日记报告解密 被IRM保护的邮件,如果被日记规则归档,可以先解密再归档;   4、为Exchange Search实现IRM解密 使Exchange Search能够搜索受IRM保护的邮件内容;   5、OWA/Outlook 用户可以在Outlook和OWA中发送/接收利用IRM保护的邮件,而不需要额外安装任何插件;   6、保护语音邮件 可以利用IRM来保护语音邮件,特别是私人的语言邮件,可以设置“不可转发(Do not forward)”模板进行保护;   7、预授权 在受IRM保护的邮件中,插入一个RMS的预授权。这样可以实现客户端的脱机浏览,而不需要联系RMS服务器来获取授权;   8、Outlook保护规则(需要Outlook 2010/Exchange Server 2010 SP1) 在发送邮件之前,通过应用 Outlook 2010 中的RMS模板,来使用信息权限管理 (IRM) 保护邮件。   要使用RMS,特别是进行解密工作,需要特殊的权限;Exchange为了简化管理,并且减少Exchange与RMS直接的访问请求(用于获得RMS授权),在安装Exchange Server 2010时,会在活动目录中创建一个专门的用户帐号,显示名称为FederatedEmail.4c1f4d8b-8179-4148-93bf-00a95fa1e042。将这个帐号加入到RMS的Super Users组中即可获得相应的权限。后面会再作说明。   Exchange中文站(http://www.exchangecn.com)   Exchange与RMS的集成主要分为3个步骤:  
  1. 安装RMS并注册服务连接点(Service Connection Point/SCP);
  2. 设置Exchange在RMS服务上能够使用的权限;
  3. 创建并配置RMS的Super Users组。
    安装Rights Management Services   在Windows Server 2008/R2中,RMS是作为操作系统的组件直接提供的,不再像Windows Server 2003中需要额外下载并安装。要实现Exchange Server 2010与RMS的集成,运行RMS的操作系统需要是Windows Server 2008 R2,或者Windows Server 2008 SP2,并且安装了KB973247补丁。通过Windows Server 2008/R2的服务器管理控制台,通过添加角色菜单,启动RMS的安装向导。   1、选择Active Directory Rights Management Services,向导会提示需要安装IIS角色,点击Add Required Role Services进行添加。   Exchange 2010 与 RMS(集成权限管理服务)集成   2、复核需要安装的角色     Exchange 2010 与 RMS(集成权限管理服务)集成   3、在RMS介绍页面点击Next,进入到选择RMS的服务页面,如下图所示。其中没有核选的Identity Federation Support是用于与ADFS集成的。     Exchange 2010 与 RMS(集成权限管理服务)集成   4、选择创建一个新的AD RMS Cluster     Exchange 2010 与 RMS(集成权限管理服务)集成   5、RMS将使用SQL数据库作为存储。可以使用Windows自带的数据库引擎,也可以指定一个已经安装好的SQL实例。   Exchange 2010 与 RMS(集成权限管理服务)集成   6、指定RMS服务的运行帐号,这个帐号需要是域帐号,不能是域管理员帐号,并且已经加入到本机的Local Administrators组里。   Exchange 2010 与 RMS(集成权限管理服务)集成   7、选择RMS Cluster的密钥存放位置   Exchange 2010 与 RMS(集成权限管理服务)集成   8、输入用于灾难恢复的密码。   Exchange 2010 与 RMS(集成权限管理服务)集成   9、指定RMS使用的IIS站点名称。     Exchange 2010 与 RMS(集成权限管理服务)集成   10、指定RMS的发布位置和访问方式。     Exchange 2010 与 RMS(集成权限管理服务)集成   11、指定RMS使用的服务器证书友好名称   Exchange 2010 与 RMS(集成权限管理服务)集成   12、后面是关于IIS的组件安装,接受默认配置即可。 13、检查配置信息,点击Install开始安装   Exchange 2010 与 RMS(集成权限管理服务)集成   14、如果已经在其它服务器上安装了RMS Cluster,需要额外添加一台服务器,可以在前面第4步时,选择Join an existing AD RMS cluster。   Exchange 2010 与 RMS(集成权限管理服务)集成   15、输入已经存在的RMS服务器所使用的SQL数据库信息。   Exchange 2010 与 RMS(集成权限管理服务)集成   16、输入已经安装的RMS上,用于密钥保护的密码   Exchange 2010 与 RMS(集成权限管理服务)集成   17、输入本机用于运行RMS服务的帐号。   Exchange 2010 与 RMS(集成权限管理服务)集成   18、选择本机上用于发布RMS的IIS站点   Exchange 2010 与 RMS(集成权限管理服务)集成   19、接受关于IIS的默认配置 20、复核配置信息,点击Install开始安装   Exchange 2010 与 RMS(集成权限管理服务)集成   需要注意的是,不支持在实际生产环境中,将RMS与Exchange安装在同一台服务器上。     配置RMS的访问连接点SCP   安装好RMS后,打开管理工具中的RMS管理控制台,打开服务器的属性页面后,切换到SCP页面,可以看到SCP的值,这是一个URL,RMS的用户将使用这个URL来进行访问:   Exchange 2010 与 RMS(集成权限管理服务)集成   这个属性会被记录到活动目录的Configuration中,位置如下:   Exchange 2010 与 RMS(集成权限管理服务)集成     设置RMS的访问控制权限   RMS通过Web Service方式来提供服务。默认情况下,这些Web Service的权限(Discretionary Access Control List /DACL)是受到限制的,Exchange服务器没有足够的权限来实现对RMS的调用。需要手动指定正确的权限,才能够实现Exchange与RMS的集成。步骤如下:   1、在安装了RMS的服务器上,打开资源管理器 2、浏览到%systemdrive%\Inetpub\wwwroot\_wmcs\Certification 3、选中ServerCertification.asmx,打开其属性页面,切换到安全,然后点击编辑 4、添加活动目录中的Exchange Servers组,并设置为允许“读取”和“读取及运行”(”Read & execute” 和 “Read”)   Exchange 2010 与 RMS(集成权限管理服务)集成   5、如果访问控制列表中没有AD RMS Service Group组(这是一个本地组),那么重复第4步,添加该组,权限也是允许“读取”和“读取及运行” 6、应用更改后,关闭属性对话框 7、如果RMS Cluster中有多个成员,需要在每个成员上重复前面的操作     设置RMS的访问控制权限   RMS的Super Users组中成员,可以不受限制地访问所有被IRM保护的数据,也就是说,该组的成员可以进行解密工作。默认情况下,Super Users组是禁用状态,需要手动进行启用。同时,这个组需要是一个启用了邮件功能的通用组(universal group )。前面提到的FederatedEmail.4c1f4d8b-8179-4148-93bf-00a95fa1e042用户帐号需要加入到这个组中,这个帐号是系统邮箱,从Exchange Management Console中是看不到的,需要使用Exchange Management Shell命令行工具,通过Add-DistributionGroupMember 进行添加。   1、在Exchange Management Console中,创建一个名为RMS_SuperUsers的通讯组 2、打开Exchange Management Shell,输入命令 Add-DistributionGroupMember RMS_SuperUsers -Member FederatedEmail.4c1f4d8b-8179-4148-93bf-00a95fa1e042 3、打开RMS管理控制台,展开Security Policies,右键单击Super Users,选择Enable Super Users   Exchange 2010 与 RMS(集成权限管理服务)集成   4、将前面创建的RMS_SuperUsers组选入   Exchange 2010 与 RMS(集成权限管理服务)集成     在Exchange中检查IRM是否可用   配置好前面的步骤后,Exchange Server 2010就可以实现利用RMS进行邮件数据保护的功能了。使用前,可以检查一下配置是否正确。   1、打开Exchange Management Shell 2、运行命令Get-IRMConfiguration,确保其中的InternalLicensingEnabled是True状态。   Exchange 2010 与 RMS(集成权限管理服务)集成   3、运行命令Test-IRMConfiguration -Sender User@Sample.com 其中的User@Sample.com是一个Exchange邮件用户的邮件地址   Exchange 2010 与 RMS(集成权限管理服务)集成   现在,就可以确定 Exchange 与 RMS 的集成成功了。后面会讨论用户如何使用RMS来保证邮件安全  

Exchange中文站 (转自)

 

标签:

相关文章