1.關於信息權限管理
信息工作人員每天都會使用電子郵件交換敏感信息,例如財務報告和數據、法律合同、機密產品信息、銷售報告和規劃、競爭分析、研究和專利信息,以及客戶和員工信息。因爲用戶現在隨處都可以訪問他們的電子郵件,所以郵箱已成爲包含大量潛在敏感信息的存儲庫。因此,信息泄露可能對組織構成嚴重威脅。爲防止信息泄露,Microsoft Exchange Server 2013 包括了信息權限管理 (IRM) 功能,此功能可對電子郵件和附件提供持久聯機和脫機保護。
IRM功能出現在Exchange 2010種,在Exchange 2013的IRM中加強了加密模式,可兼容加密模式 2,既AD RMS加密模式,該模式支持強大的加密功能,允許爲 RSA 使用 2048 位密鑰併爲 SHA-1 使用 256 位密鑰。還支持使用SHA-2 哈希算法。
在 Exchange Server 2013 中,可使用信息權限管理 (IRM) 功能對郵件和附件應用持久保護。
通過與RMS的集成,Exchange郵件用戶可以控制收件人對電子郵件擁有的權限,允許或限制某些收件人操作,例如向其他收件人轉發郵件、打印郵件或附件,或者是通過複製和粘貼提取郵件或附件內容。
IRM 可以實現:
防止受 IRM 保護的內容的授權收件人轉發、修改、打印、傳真、保存或剪切和粘貼該內容;
用與郵件相同的保護級別保護所支持的附件文件格式;
支持受 IRM 保護的郵件和附件的過期,使其在指定時間段之後,無法再進行查看;
防止使用 Windows 中的截圖工具複製受 IRM 保護的內容。
但是,IRM 無法防止:
第三方屏幕捕獲程序;
使用照相機等圖像處理設備對顯示在屏幕上的受 IRM 保護的內容進行照相;
用戶記住或手動抄錄信息。
IRM信息權限保護功能是通過AD RMS來實現的,所以需要先安裝AD RMS服務。在安裝之前需要先準備一個RMS服務賬戶,該賬戶不能是Domain Admin,爲Domain User即可,需要爲服務器本地Administrators成員。
2.部署環境準備
DC:
系統:windows server 2012 Standard
安裝介質:SW_DVD5_Win_Svr_Std_and_DataCtr_2012_64Bit_ChnSimp_Core_MLF_X18-27580
IP:192.168.50.10
Exchange:
系統:windows server 2012 Standard
安裝介質:SW_DVD5_Exchange_Svr_2013_MultiLang_Std_Ent_MLF_X18-54275
IP:192.168.50.20
3.部署過程
登陸到DC服務器,打開服務器管理器,添加Active Directory Rights management services角色。下一步。
選擇功能,默認即可。下一步。
AD RMS角色服務,在這裏因爲不需要聯合身份認證,默認不變。下一步。
進行安裝,等待完成。
完成角色添加後,需要打開儀表板上方的旗幟來完成AD RMS的配置。如下圖。
選擇創建新的AD RMS 根集羣。下一步。
配置數據庫。選擇Windows 內部數據庫。下一步。
選擇服務賬戶,需要使用一個domain user用戶,該用戶需要爲本地administrators成員。
選擇加密模式 2。下一步
默認下一步。
創建 AD RMS集羣密鑰密碼。
選擇集羣網站。
指定集羣地址,這裏選擇SSL加密的地址。
選擇域證書。
默認,下一步。
註冊SCP站點。
進行安裝,等待安裝完成即完成了RMS的配置,需要註銷後重新登陸。
重新登陸後,打開AD RMS工具,就可看到如下的界面。