Active Directory Rights Management Services
Active Directory Rights Management Services (AD RMS) — это служба управления правами на доступ к данным на серверах под управлением операционной системы Windows Server, разработанная корпорацией Microsoft. Она предназначена для защиты конфиденциальной информации (документов, электронных писем, веб-страниц) путём постоянного применения политик доступа, которые остаются прикреплёнными к файлу вне зависимости от его местоположения, копирования или перемещения. AD RMS позволяет владельцу контента задавать, кто и каким образом может его просматривать, изменять, печатать или пересылать, даже если файл был отправлен за пределы корпоративной сети.
История
Технология управления правами в экосистеме Microsoft берёт начало в 2003 году, когда была выпущена первая версия — Rights Management Services (RMS) для Windows Server 2003. Эта служба представляла собой серверную роль, которая взаимодействовала с клиентскими приложениями (Microsoft Office, Internet Explorer) через клиент RMS. В 2008 году, с выходом Windows Server 2008, технология была переименована в Active Directory Rights Management Services (AD RMS). Название подчеркивало её интеграцию с доменной службой Active Directory (AD) — требовалась авторизация пользователей через AD и хранение информации о правах в центральном сервере.
AD RMS развивалась как локальная (on-premises) инфраструктура. В 2014 году корпорация Microsoft представила облачную версию — Azure Rights Management (Azure RMS), которая является частью служб защиты информации Microsoft (Microsoft Information Protection, MIP). Azure RMS работает на базе облачной платформы Azure и не требует локального сервера. Начиная с Windows Server 2019 и более поздних версий, корпорация Microsoft рекомендует использовать Azure RMS как основное решение, хотя локальная AD RMS по-прежнему поддерживается.
Архитектура и компоненты
AD RMS состоит из нескольких обязательных и необязательных компонентов, работающих совместно.
Сервер AD RMS
Сервер AD RMS выполняет роль центра управления правами. Он может быть развёрнут в корпоративной сети (on-premises) или в облаке (Azure RMS). На сервере запущены:
- Служба сертификации — выдает сертификаты учётным записям и приложениям, а также ключи шифрования.
- Служба учёта лицензий — выдаёт лицензии на использование защищённого контента.
- Служба публикации — позволяет владельцам создавать политики прав (шаблоны) и прикреплять их к документам.
Active Directory
Active Directory обеспечивает аутентификацию пользователей и членство в группах безопасности, которые используются для назначения прав доступа. Сервер AD RMS должен быть членом домена AD.
Клиент AD RMS
Клиентское программное обеспечение устанавливается на каждое устройство пользователя. Оно отвечает за шифрование и дешифрование файлов, а также за применение политик доступа. В современных версиях Windows клиент AD RMS встроен. Если его нет, его можно установить отдельно.
База данных
Для хранения конфигурации, журналов и ключей шифрования сервер AD RMS использует базу данных Microsoft SQL Server или Windows Internal Database. В типовой конфигурации используются две базы:
- Конфигурационная база — хранит параметры службы.
- База журналов — хранит записи об использовании прав (необязательно).
Принцип работы
AD RMS работает на основе асимметричной криптографии и лицензирования. Процесс защиты и доступа к файлу выглядит следующим образом:
- Создание защищённого документа. Пользователь открывает приложение (например, Microsoft Word) и выбирает шаблон политики прав (шаблон AD RMS). Приложение связывается с сервером AD RMS, получает от него сертификат издателя и зашифрованный ключ контента.
- Шифрование. Приложение шифрует содержимое документа с помощью случайно сгенерированного симметричного ключа, называемого ключом контента. Этот ключ, в свою очередь, шифруется с помощью открытого ключа сервера AD RMS и прикрепляется к файлу в виде пакета лицензии.
- Передача файла. Файл может быть передан любому получателю — по электронной почте, через файловый сервер или облачное хранилище. Файл остаётся зашифрованным.
- Получение доступа. Когда получатель открывает защищённый файл, его клиент AD RMS отправляет запрос на сервер AD RMS. Сервер проверяет учётные данные получателя (через Active Directory) и, если у него есть права, выдаёт лицензию на использование (Rights License). В эту лицензию входит ключ контента, зашифрованный открытым ключом клиента получателя.
- Дешифрование. Клиент AD RMS расшифровывает ключ контента с помощью своего закрытого ключа, а затем расшифровывает содержимое документа. После этого приложение (например, Word) применяет установленные политики (только чтение, запрет печати, запрет копирования и т. д.).
Права доступа остаются привязанными к файлу на всё время его существования. Если файл скопировать или переместить, зашифрованный ключ и политика остаются внутри. Даже если файл попадёт за пределы корпоративной сети (например, на USB-накопитель или в облачное хранилище), для его открытия потребуется взаимодействие с сервером AD RMS, который проверит учётные данные пользователя.
Шаблоны политик прав
Владельцы контента или администраторы могут создавать шаблоны политик AD RMS. Шаблон — это предопределённый набор прав, которые могут быть применены к файлу. Примеры прав:
- Просмотр — пользователь может только читать документ.
- Изменение — пользователь может редактировать и сохранять изменения.
- Печать — разрешена печать документа.
- Копирование и вставка — разрешено копирование содержимого в другие приложения.
- Управление — пользователь может изменять права для других пользователей (обычно для администраторов).
- Срок действия — документ становится недоступным после указанной даты.
- Отзыв — после отзыва права доступа документ становится недоступным.
Шаблоны хранятся на сервере AD RMS и выдаются пользователям по запросу. Администратор может ограничить использование шаблонов определённым группам пользователей.
Преимущества и ограничения
Преимущества
- Постоянная защита. Политики доступа привязываются к файлу, а не к сети или устройству.
- Централизованное управление. Все политики, ключи и сертификаты управляются администратором с одного сервера.
- Интеграция с Active Directory. Используются существующие учётные записи и группы безопасности.
- Поддержка популярных приложений. AD RMS интегрирован с приложениями пакета Microsoft Office (Word, Excel, PowerPoint, Outlook) и другими программами (например, с Internet Explorer, SharePoint).
Ограничения
- Необходимость подключения к серверу. Для доступа к защищённому файлу требуется связь с сервером AD RMS. При отсутствии сети или если сервер недоступен, файл может быть недоступен, если не настроено кэширование.
- Сложность администрирования. Настройка и поддержка AD RMS требует квалифицированных системных администраторов.
- Зависимость от экосистемы Microsoft. AD RMS работает только в среде Windows и приложениях, поддерживающих RMS. Для Linux, macOS или мобильных устройств требуются дополнительные клиенты (например, клиент Azure RMS для iOS/Android).
- Отсутствие защиты на уровне хранения. AD RMS защищает содержимое, но не метаданные (имя файла, дата) и не предотвращает уничтожение файла.
AD RMS и Azure Information Protection (Azure RMS)
С 2014 года корпорация Microsoft активно продвигает облачную версию — Azure Rights Management (Azure RMS). Эта служба является частью Azure Information Protection (AIP). Основные отличия:
- Инфраструктура. Azure RMS не требует локального сервера, базы данных или Active Directory. Аутентификация и управление правами происходят в облаке Azure.
- Облачное хранение. Azure RMS поддерживает работу с файлами, хранящимися в Microsoft 365 (SharePoint, OneDrive) и других облачных сервисах.
- Совместимость. Azure RMS полностью совместим с AD RMS — имеется механизм миграции и взаимного доверия (AD RMS в лесу может доверять Azure RMS).
- Лицензирование. Azure RMS требует лицензии на подписку Microsoft 365 (E3, E5 или отдельная подписка Azure RMS).
Несмотря на рост популярности Azure RMS, локальная AD RMS остаётся актуальной для организаций с особыми требованиями к безопасности — например, для государственных учреждений или компаний, которые не могут передавать данные в облако.
Безопасность
AD RMS использует несколько криптографических алгоритмов:
- Симметричное шифрование. Ключ контента генерируется алгоритмом AES-128 (по умолчанию) или 3DES.
- Асимметричное шифрование. Открытые и закрытые ключи создаются с помощью RSA (длина ключа 2048 бит).
- Сертификаты. Сервер AD RMS сам выступает в роли удостоверяющего центра, выдавая сертификаты для пользователей и приложений.
Безопасность также обеспечивается за счёт того, что закрытые ключи хранятся исключительно на сервере AD RMS. Даже если злоумышленник получит зашифрованный файл, без взаимодействия с сервером расшифровать его невозможно.
См. также
- Система управления правами на доступ к данным (Digital Rights Management, DRM)
- Information Rights Management (IRM)
- Microsoft Information Protection (MIP)
Источники
- Microsoft Docs: Active Directory Rights Management Services (AD RMS) Overview
- Microsoft Docs: Understanding the AD RMS Architecture
- Microsoft Docs: Comparison of AD RMS and Azure RMS
- Windows Server 2012 R2: AD RMS Step-by-Step Guide
- Microsoft Press: Introducing Windows 7 (2009) — раздел об AD RMS
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →