Основи планування та адміністрування служб доступу до інформаційних ресурсов
Лекція 12
ЗАГАЛЬНІ ВІДОМОСТІ ПРО СЛУЖБУ УПРАВЛІННЯ ПРАВАМИ ACTIVE DIRECTORY.
1.Огляд Active Directory Rights Management Services.
2.Порядок розгортання Active Directory Rights Management Services
Основи планування та адміністрування служб доступу до інформаційних ресурсов
1. ОГЛЯД ACTIVE DIRECTORY RIGHTS MANAGEMENT SERVICES
Загальні шляхи захисту інформації
Брандмауери на периметрі
Технології шифрування
Призначення прав користувачам на основі дозволів NTFS
Використання різних груп безпек і списків контролю доступу (ACL)
Обов'язково з урахуванням правових аспектів щодо захисту інформації !!!
В Windows Server 2008 є додаткова можливість захисту інформації, яка зберігається і передається в цифровому вигляді за рахунок використання служби управління правами - Active Directory Rights Management Services, AD RMS
МОЖЛИВОСТІ ACTIVE DIRECTORY RIGHTS MANAGEMENT SERVICES
Примусове включення прав доступу до документів
У кожній організації є документи з вразливою інформацією. За допомогою AD RMS можна дозволяти перегляд цих файлів, а також забороняти читачам отримувати доступ до таких функцій програми, як друк, збереження, копіювання та вставка.
Захист обміну даними по електронній пошті.
Додаток Мiсrоsоft Office Outlook 2007 може використовувати AD RMS, щоб заборонити неправильне використання електронної пошти. Шляхом застосування до повідомлення електронної пошти користувача шаблонів політик прав доступу AD RMS можна відключати різні завдання, такі як, скажімо, переадресація повідомлення, копіювання і вставка вмісту, друк і експорт повідомлення.
ACTIVE DIRECTORY RIGHTS MANAGEMENT SERVICES.
1
2
Windows Server 2008 зі встановленою роллю AD RMS
Клієнт AD RMS
Версія клієнта AD RMS входить до складу операційних систем Windows® 7 і Windows Vista та
вище
AD RMS здійснює захист інформації за допомогою постійних політик використання шляхом створення необхідних елементів:
Довірені суб'єкти.
Організації можуть вказати суб'єктів, включаючи користувачів, групи користувачів, комп'ютери та програми, які є довіреними учасниками в системі AD RMS. При визначенні довірених суб'єктів AD RMS забезпечує захист інформації шляхом дозволу доступу тільки довіреною учасникам.
Права і умови користування.
Організації та окремі користувачі можуть призначати права та умови користування, які визначають, як конкретний довірений суб'єкт може
використовувати для захищеного вмісту. Права користування можуть
супроводжуватися умовами, наприклад термінами дії таких прав. Організації можуть вибірково забороняти доступ до захищеного вмісту додатків та суб'єктам.
Шифрування.
AD RMS шифрує інформацію, роблячи умовою для отримання доступу успішну перевірку довірених суб'єктів. Якщо інформація заблокована, тільки довірені суб'єкти, що мають права користування на зазначених умовах (якщо вони вказані), можуть розблокувати або розшифрувати інформацію в додатку або браузері, що підтримує AD RMS. Після цього певні права та умови користування примусово встановлюються додатком.
ПЕРЕВАГИ ПРИ РОЗГОРТАННІ СИСТЕМИ AD RMS
Захист секретних даних.
Для більш ефективного захисту секретних даних можна активувати підтримку AD RMS в додатках типу текстових процесорів, клієнтів електронної пошти і бізнес-додатках. Користувачі можуть визначати, кому дозволені відкриття, зміна, друкувати, пересилання та інші дії з даними. Організації можуть створювати власні шаблони політик використання типу «Конфіденційно - тільки для читання», які можна безпосередньо застосовувати до даних.
Постійний захист.
AD RMS підсилює існуючі засоби періметровая захисту, такі як брандмауери і списки управління доступом (ACL), Для більш ефективного захисту інформації шляхом блокування прав використання в межах самого документа, контролюючи використання даних навіть після відкриття документа одержувачами, для яких він призначений.
Гнучка технологія.
Незалежні постачальники і розробники програмного забезпечення можуть включити підтримку AD RMS для додатків або забезпечити можливість роботи з AD RMS для інших серверів (наприклад систем управління вмістом або серверів порталу, що працюють під управлінням Windows або інших операційних систем) з метою захисту секретних даних.
ПРИНЦИПИ РОБОТИ AD RMS
Для забезпечення надійних підключень і захищеного вмісту серверні і клієнтські компоненти AD RMS використовують різні типи сертифікатів і ліцензій XrML(EXtensible rights Markup Language). Промисловий стандарт XrML призначений для забезпечення прав, пов'язаних із захистом цифрової інформації.
Права викладаються в ліцензії XrML, що прикріплюється до інформації, що
захищається. У ній власник інформації вибирає методи використання, захисту і поширення даних.
Після активізації машини і клієнта користувачі можуть застосовувати до інформації політики управління правами або використовувати вже захищені дані. У будь-якому випадку будуть потрібні сертифікати певних типів.
Здебільшого реєстрація і публікація машини і користувача (а також використання інформації з захистом прав власності) виконуються у фоновому режимі практично без участі користувача.
кореневій кластер |
кореневій кластер |
||||||
AD RMS |
AD RMS |
||||||
|
|
|
|
|
|
|
|
7
База даних
1
8
6
Користувач
інформації
3
4 9
2 |
|
Автор інформації |
|
|
|
5 |
|||
|
|
|
||
Основи планування та адміністрування служб доступу до інформаційних ресурсов
2. ПОРЯДОК РОЗГОРТАННЯ ACTIVE DIRECTORY RIGHTS MANAGEMENT SERVICES