Открыть сервис

Active Directory Rights Management Services

Active Directory Rights Management Services (AD RMS) — это служба управления правами на доступ к данным на серверах под управлением операционной системы Windows Server, разработанная корпорацией Microsoft. Она предназначена для защиты конфиденциальной информации (документов, электронных писем, веб-страниц) путём постоянного применения политик доступа, которые остаются прикреплёнными к файлу вне зависимости от его местоположения, копирования или перемещения. AD RMS позволяет владельцу контента задавать, кто и каким образом может его просматривать, изменять, печатать или пересылать, даже если файл был отправлен за пределы корпоративной сети.

История

Технология управления правами в экосистеме Microsoft берёт начало в 2003 году, когда была выпущена первая версия — Rights Management Services (RMS) для Windows Server 2003. Эта служба представляла собой серверную роль, которая взаимодействовала с клиентскими приложениями (Microsoft Office, Internet Explorer) через клиент RMS. В 2008 году, с выходом Windows Server 2008, технология была переименована в Active Directory Rights Management Services (AD RMS). Название подчеркивало её интеграцию с доменной службой Active Directory (AD) — требовалась авторизация пользователей через AD и хранение информации о правах в центральном сервере.

AD RMS развивалась как локальная (on-premises) инфраструктура. В 2014 году корпорация Microsoft представила облачную версию — Azure Rights Management (Azure RMS), которая является частью служб защиты информации Microsoft (Microsoft Information Protection, MIP). Azure RMS работает на базе облачной платформы Azure и не требует локального сервера. Начиная с Windows Server 2019 и более поздних версий, корпорация Microsoft рекомендует использовать Azure RMS как основное решение, хотя локальная AD RMS по-прежнему поддерживается.

Архитектура и компоненты

AD RMS состоит из нескольких обязательных и необязательных компонентов, работающих совместно.

Сервер AD RMS

Сервер AD RMS выполняет роль центра управления правами. Он может быть развёрнут в корпоративной сети (on-premises) или в облаке (Azure RMS). На сервере запущены:

Active Directory

Active Directory обеспечивает аутентификацию пользователей и членство в группах безопасности, которые используются для назначения прав доступа. Сервер AD RMS должен быть членом домена AD.

Клиент AD RMS

Клиентское программное обеспечение устанавливается на каждое устройство пользователя. Оно отвечает за шифрование и дешифрование файлов, а также за применение политик доступа. В современных версиях Windows клиент AD RMS встроен. Если его нет, его можно установить отдельно.

База данных

Для хранения конфигурации, журналов и ключей шифрования сервер AD RMS использует базу данных Microsoft SQL Server или Windows Internal Database. В типовой конфигурации используются две базы:

Принцип работы

AD RMS работает на основе асимметричной криптографии и лицензирования. Процесс защиты и доступа к файлу выглядит следующим образом:

  1. Создание защищённого документа. Пользователь открывает приложение (например, Microsoft Word) и выбирает шаблон политики прав (шаблон AD RMS). Приложение связывается с сервером AD RMS, получает от него сертификат издателя и зашифрованный ключ контента.
  2. Шифрование. Приложение шифрует содержимое документа с помощью случайно сгенерированного симметричного ключа, называемого ключом контента. Этот ключ, в свою очередь, шифруется с помощью открытого ключа сервера AD RMS и прикрепляется к файлу в виде пакета лицензии.
  3. Передача файла. Файл может быть передан любому получателю — по электронной почте, через файловый сервер или облачное хранилище. Файл остаётся зашифрованным.
  4. Получение доступа. Когда получатель открывает защищённый файл, его клиент AD RMS отправляет запрос на сервер AD RMS. Сервер проверяет учётные данные получателя (через Active Directory) и, если у него есть права, выдаёт лицензию на использование (Rights License). В эту лицензию входит ключ контента, зашифрованный открытым ключом клиента получателя.
  5. Дешифрование. Клиент AD RMS расшифровывает ключ контента с помощью своего закрытого ключа, а затем расшифровывает содержимое документа. После этого приложение (например, Word) применяет установленные политики (только чтение, запрет печати, запрет копирования и т. д.).

Права доступа остаются привязанными к файлу на всё время его существования. Если файл скопировать или переместить, зашифрованный ключ и политика остаются внутри. Даже если файл попадёт за пределы корпоративной сети (например, на USB-накопитель или в облачное хранилище), для его открытия потребуется взаимодействие с сервером AD RMS, который проверит учётные данные пользователя.

Шаблоны политик прав

Владельцы контента или администраторы могут создавать шаблоны политик AD RMS. Шаблон — это предопределённый набор прав, которые могут быть применены к файлу. Примеры прав:

Шаблоны хранятся на сервере AD RMS и выдаются пользователям по запросу. Администратор может ограничить использование шаблонов определённым группам пользователей.

Преимущества и ограничения

Преимущества

Ограничения

AD RMS и Azure Information Protection (Azure RMS)

С 2014 года корпорация Microsoft активно продвигает облачную версию — Azure Rights Management (Azure RMS). Эта служба является частью Azure Information Protection (AIP). Основные отличия:

Несмотря на рост популярности Azure RMS, локальная AD RMS остаётся актуальной для организаций с особыми требованиями к безопасности — например, для государственных учреждений или компаний, которые не могут передавать данные в облако.

Безопасность

AD RMS использует несколько криптографических алгоритмов:

Безопасность также обеспечивается за счёт того, что закрытые ключи хранятся исключительно на сервере AD RMS. Даже если злоумышленник получит зашифрованный файл, без взаимодействия с сервером расшифровать его невозможно.

См. также

Источники

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →