Главная > RMS > Шаблоны политик AD RMS из первых рук

Шаблоны политик AD RMS из первых рук

21 августа 2009 Артём Синицын Написать комментарий К комментариям

Шаблоны политик AD RMS из первых рук | Блог Артёма Синицына Полагаю, многим из вас известна служба Active Directory Rights Management Service (AD RMS). Помимо всех достоинств AD RMS существует ещё весьма немаловажный аспект удобства работы с системой конечного пользователя. В случае AD RMS требуется дополнительное обучение пользователей работе с защищенными документами несмотря на то, что пользовательский интерфейс защиты документа с помощью AD RMS крайне прост и интуитивно понятен. Проблема заключается в том, что пользователю для защиты документа необходимо четко понимать различия между уровнями доступа, механизм авторства, а также знать и помнить в деталях политики безопаности компании, применяемые к различным типам электронной документации. Задача, согласитесь, достаточно сложная для рядового пользователя.

Но всё так печально. Служба AD RMS предоставляет в наше с вами распоряжение механизм, так называемых, шаблонов политик назначения прав (Rights Policy Template). Этот механизм позволяет администратору AD RMS создать набор шаблонов политики защиты с полным перечнем участников документооборота, а также соответствующих им прав доступа. Более подробную информацию о механизме и управлении шаблонами политики назначения прав AD RMS вы можете получить из этой статьи библиотеки TechNet – AD RMS Policy Template Considerations.

Создание шаблона политики AD RMSИ опять-таки не всё так лучезарно. Шаблоны политик AD RMS конечно решают проблему удобства работы конечных пользователей – пользователю необходимо лишь выбрать шаблон из списка доступных и все параметры защиты применятся к документу автоматически. Но как же быть с созданием самих шалонов политик администраторами? Этот процесс далеко не так тривиален, как может показаться на первый взгляд…

Меня неоднократно спрашивали именно о процессе планирования шаблонов политик AD RMS (в качестве примера могу привести комментарии к этой заметке). Как создать наиболее оптимальный набор шаблонов политик? Существуют ли конкретные рекомендации (Best Practice) по созданию шаблонов политик AD RMS?

На все эти вопросы наиболее полно может ответить сама компания Microsoft, которая повседневно использует технологию AD RMS для защиты конфиденциальной информации во всех своих подразделениях по всему миру. Каждый день в стенах компании Microsoft с помощью службы AD RMS защищается около 5000 электронных документов и почтовых сообщений. С защищенными документами ежедневно работаю более 80000 пользователей. Сегодня мы с вами подробно рассмотрим какие же шаблоны политик AD RMS используются IT-отделом компании Microsoft, и как это может помочь нам при планировании и создании собственных шаблонов политик.

Огласите весь список, пожалуйста…

Итак, для удобства работы пользователей и упрощения соответствия корпоративным политикам защиты электронных документов специалисты IT-отдела софтверного гиганта создали пять шаблонов политик AD RMS. Рассмотрим более подробно каждый шаблон из этой пятерки.

Microsoft Confidential – в качестве участника безопасности в данном шаблоне выступает группа рассылки Microsoft All Staff, включающая в себя всех внутренних сотрудников компании Microsoft (full-time employees, FTE), всех контрактников и сотрудников вендоров. То есть за пределами компании Microsoft защищенная этим шаблоном информация будет недоступна, тогда как сотрудники компании будут иметь возможность полноценно работать с данными документами.

Данный шаблон предоставляет группе, включающей всех сотрудников компании следующие права доступа:

  • View (Просмотр)
  • Save (Сохранить)
  • Edit (Редактирование)
  • Reply (Ответ)
  • Reply All (Ответ всем)
  • Forward (Перенаправление).

Microsoft Confidential Read Only – в качестве участника безопасности в данном шаблоне выступает группа рассылки Microsoft All Staff, включающая в себя всех внутренних сотрудников компании Microsoft (FTE), всех контрактников и сотрудников вендоров. То есть за пределами компании Microsoft защищенная этим шаблоном информация будет недоступна, тогда как сотрудники компании будут иметь возможность просматривать данные документы (доступ только на чтение).

Данный шаблон предоставляет группе, включающей всех сотрудников компании следующие права доступа:

  • View (Просмотр).

Microsoft FTE Confidential - в качестве участника безопасности в данном шаблоне выступает группа рассылки Microsoft All FTE, включающая в себя только внутренних сотрудников компании Microsoft (full-time employees, FTE). То есть за пределами компании Microsoft, включая всех контрактников и сотрудников вендоров, защищенная этим шаблоном информация будет недоступна, тогда как внутренние сотрудники компании будут иметь возможность полноценно работать с данными документами.

Данный шаблон предоставляет группе, включающей всех сотрудников компании следующие права доступа:

  • View (Просмотр)
  • Save (Сохранить)
  • Edit (Редактирование)
  • Reply (Ответ)
  • Reply All (Ответ всем)
  • Forward (Перенаправление).

    Microsoft FTE Confidential Read Only -в качестве участника безопасности в данном шаблоне выступает группа рассылки Microsoft All FTE, включающая в себя только внутренних сотрудников компании Microsoft (FTE). То есть за пределами компании Microsoft, включая всех контрактников и сотрудников вендоров, защищенная этим шаблоном информация будет недоступна, тогда как сотрудники компании будут иметь возможность просматривать данные документы (доступ только на чтение).

    Данный шаблон предоставляет группе, включающей всех сотрудников компании следующие права доступа:

  • View (Просмотр).

Do Not Reply All – единственное назначение данного шаблона политик AD RMS – запретить пользователям использовать кнопку “Reply All (Ответить всем)”. Полагаю, многим из нас знакомы случаи, когда две секретарши возмущенно и довольно-таки нескромно обсуждают в почтовой переписке политику нового начальства. А эту переписку читает всё подразделение или, что хуже, вся компания, только лишь потому, что девушки нечаянно, или намеренно, нажали “Ответить всем”, вместо “Ответить” =) В общем, данный шаблон является просто незаменимым средством для предотвращения массовых почтовых рассылок.

Сообщение электронной почты, защищенное с помощью шаблона политики AD RMS

И последнее…

Конечно, у ИТ-специалистов компании Microsoft можно многому поучиться. И пример использования шаблонов политик назначения прав AD RMS сотрудниками самой компании Microsoft безусловно очень полезен. Кстати, Вы можете очень подробно изучить процесс развертывания службы AD RMS ИТ-отделом Microsoft благодаря этому документу – Deploying Active Directory Rights Management Services at Microsoft.

Но всё же универсальных рецептов в природе не существует. Это в полной мере относиться и к шаблонам политик AD RMS. Никто кроме вас самих не знает, что лучше для вашей компании :)

Так что переведите тумлер с надписью “Воображение” в положение “Вкл” и на старт…

Related Posts

  1. Проект внедрения службы AD RMS
  2. Автоматизированная защита документов на основе информации о типе с помощью AD RMS
  3. Установка Active Directory Rights Management Services (AD RMS)
Categories: RMS Tags: ,
  1. Илья Рудь
    23 Сентябрь 2009 в 18:20 | #1
    Ответить | Цитата

    Полезная статья, для понимания сути шаблонов отличная.
    Можно вопрос, насколько AD RMS распространена у клиентов? Ну если выбрасить МС и ИТ конторы. У меня есть ощущение, что даже при условии выхода в 3-й редакции на Windows 2008 R2 она пока остается большой редкостью

    • Артём Синицын
      24 Сентябрь 2009 в 23:45 | #2
      Ответить | Цитата

      Согласен с Вами, Илья. AD RMS крайне мало распространена на просторах нашей необъятной родины. Но это вполне нормальное положение вещей. Острую необходимость в подобных технологиях испытывают достаточно мало компаний. Подавляющее большинство из них относиться к сектору Enterprise. Но подобные решения от других производителей (McAffee и IBM, к примеру) также не могут похвастаться большой популярностью.

      Лично мне известна одна крупная “не-ИТ” компания в Самаре, которая полноценно использует службу AD RMS. Но опять же при подсчете таких примеров я с легкостью могу обойтись пальцами одной руки =)

      Бизнес требования к организации защиты информационных активов компаний постоянно меняются. И всегда в сторону ужесточения и увеличения строгости политик безопасности. Со временем технология управления правами доступа станет более доступной, как с точки зрения сложности внедрения, так и с точки зрения общей стоимости владения. И когда придут эти времена, AD RMS несомненно возьмет своё. А нам с Вами, как ИТ-специалистам, стоящим одной ногой в будущем, нужно знать технологию AD RMS уже сейчас ;)

  2. Илья Рудь
    25 Сентябрь 2009 в 10:43 | #3
    Ответить | Цитата

    Еще такой вопрос, сейчас пытаюсь разобраться с кучей сертификатов, которые используются в процессе RMS. Может быть встечали описание step-by-step описание процесса создания и выдачи сертификатов. Список то их доступен в любой доке, но причинно-следственные связи мне вообще не понятны.

  3. Артём Синицын
    27 Сентябрь 2009 в 21:37 | #4
    Ответить | Цитата

    В своё время я читал два доклада, посвященных AD RMS, на встречах самарского MCP-клуба. В рамках одного из них я как раз рассказывал про процесс защиты документов с помощью RMS, что называется, в деталях. Но, к сожалению, многоуважаемой аудитории это было не очень интересно, потому как казалось слишком сложным.

    Лично я изучил весь процесс с помощью библиотеки TechNet – там точно есть описание всех сертификатов, процесс их выдачи и назначение.

    Если возникнет интерес, я могу рассказать об AD RMS в рамках вебкаста Forefront Ninjutsu, который, естественно, будет включать сессию вопросов и ответов ;)

  1. Пока что нет уведомлений.