Exchange Server 2010與RMS集成之二:利用權限管理模板來保護郵件安全
場景:一次沒有硝煙的暗殺之四
主題:小張和小強都是經理,小張看上了一個姑娘小麗,但小張發現還有小強對小麗有興趣,於是一場暗殺就這麼開始了!(劇情純屬娛樂,如有雷同,純屬巧合)
之前已經有了三次的暗殺與反暗殺,最後的結局是小強反敗爲勝,因爲小強在反暗殺階段分別使用了RMS以及數字簽名和加密,讓小張徹底崩潰!但在實際的工作當中,他發現在使用RMS的時候總是需要手動的進行操作,有時候那面會遺忘去設置權限,這樣又會給小張可乘之機,小強這次又跟資訊部交流了一下,希望能夠真正的實現自動化,減輕壓力!本着解放用戶的思想,tony答應了幫忙,於是,新一輪的反暗殺有一次精彩的上演!
本次分爲以下幾個階段
RMS安裝(前面已經部署過了,這裏省略)
RMS配置
RMS權限策略模板
傳輸規則
完成測試
精彩繼續
一 RMS配置
1.1 設置RMS的訪問控制權限RMS通過Web Service方式來提供服務,默認情況下,這些Web service的權限是受限制的,Exchange服務器沒有足夠的權限來實現對RMS的調用,需要手動指定正確的權限,才能夠實現Exchange與RMS的集成
1.2 首先在安裝RMS的服務器上,打開資源管理器
1.3 瀏覽到%systemdrive%\inetpub\wwwroot\_wmcs\certification
1.4 選中Servercertification.asmx,打開其屬性頁面,切換到安全,然後編輯,添加Exchange Servers組,並給予讀取和讀取和執行
1.5 如果CAL列表中沒有AD RMS Service Group(這是一個本地組),那麼請重複1.4,把這個組也加到CAL裏,並給予讀取和“讀取和執行”
1.6 打開%systemdrive%\inetpub\wwwroot\_wmcs\licensing,查看publish.asmx的安全屬性,是否有Exchange Server和AD RMS Service Group這2個羣組,並確認權限是否一樣,如果和上面的不同或者沒有這2個羣組,請添加並給予權限
1.7 設置RMS超級用戶組,RMS的超級用戶組中成員,可以不受限制地訪問所有被IRM保護的數據,也就是說,該組的成員可以進行解密工作。默認情況下,超級用戶組是禁用狀態,需要手動進行啓用。同時,這個組需要是一個啓用了郵件功能的通用組(universal group )。前面提到的FederatedEmail.4c1f4d8b-8179-4148-93bf-00a95fa1e042用戶帳號需要加入到這個組中,這個帳號是系統郵箱,從Exchange Management Console中是看不到的,需要使用Exchange Management Shell命令行工具,通過Add-DistributionGroupMember 進行添加。
1.8 打開EMC-收件人配置-通訊組,新建一個RMS通訊組
1.9 打開Exchange Management Shell,輸入命令
Add-DistributionGroupMember RMS_SuperUsers -Member FederatedEmail.4c1f4d8b-8179-4148-93bf-00a95fa1e042
1.10打開RMS管理控制檯,展開安全策略,右鍵啓用超級用戶
1.11將前面建立的RMS組添加進去
1.12打開Exchange Management Shell,運行命令Get-IRMConfiguration,確保其中的InternalLicensingEnabled是True狀態。如果爲false,則輸入Set-IRMConfiguration -InternalLicensingEnable $true在Exchange組織內部啓用RMS功能。
1.13運行命令Test-IRMConfiguration -Sender [email protected]
1.14 到此,Exchange與RMS的集成已經完成!
二 RMS配置權限模板
2.1 打開RMS管理控制檯,新建一個分佈式權限策略模板
2.2 設定名稱以及描述
2.3 小強發給小麗的郵件,默認情況下,小強不想小麗轉發打印等,只給她查看就行了防止意外發生
2.4 有效期,看個人需求了!後面的都默認,最後完成即可
三 配置傳輸規則
3.1 打開EMC-組織配置—集線器傳輸,新建一條傳輸規則
3.2 添加過濾條件,爲了方便,他們之間已經商量了一個暗語,就是TT,所以就添加了一個關鍵字“TT”!
3.3 這裏我們選擇“採用RMS模板的權限保護郵件”,並選擇我們剛剛建立的“小強專用”模板
3.4 後面的根據情況選擇,最後完成!
四 最終測試
4.1 打開小強的郵件,新建一封給小麗,特別要注意添加一個“TT”關鍵字
4.2 我們打開小麗的郵箱,查看收到的郵件,提示輸入賬號進行驗證!
4.3 通過驗證之後,可以看到,授權人是小強,響應的RMS模板是“小強專用”,也發現沒有辦法轉發以及打印等操作!
4.4 有同學說可以截圖,當然這個也是不可以的哈
4.5 其實安全都是相對的,沒有絕對的,用微軟自身的截圖軟件肯定是不可以的,但你要是用第三方的,到現在爲止還沒有一個很好的方案!如果有的,可以留言,有時間測試一下!
總結,根據這一個案例,其實我們可以做很多事情的,比如主題中涉及到工資,商務等信息的可以自動爲公司的需要進行授權只能查看,還有過期郵件等,不需要我們人工的在去考量這件事!希望大家可以舉一反三!
累了,請允許我放鬆一下哈! Music。。。。。
附錄:本篇解決論壇的問題:http://bbs.51cto.com/thread-1012884-1.html
RMS的詳細資料請參考:http://technet.microsoft.com/zh-cn/library/cc771307(WS.10).aspx
IT之夢---你---我---他
2013年1月16日星期三