資訊從業人員每天都會使用電子郵件交換敏感資訊,例如财務報告和資料、法律合同、機密産品資訊、銷售報告和規劃、競争分析、研究和專利資訊,以及客戶和員工資訊。因為使用者現在随處都可以通路他們的電子郵件,是以郵箱已成為包含大量潛在敏感資訊的存儲庫。是以,資訊洩露可能對組織構成嚴重威脅。為防止資訊洩露,Microsoft Exchange Server 2013 包括了資訊權限管理 (IRM) 功能,此功能可對電子郵件和附件提供持久聯機和脫機保護。
IRM功能出現在Exchange 2010種,在Exchange 2013的IRM中加強了加密模式,可相容加密模式 2,既AD RMS加密模式,該模式支援強大的加密功能,允許為 RSA 使用 2048 位密鑰并為 SHA-1 使用 256 位密鑰。還支援使用SHA-2 雜湊演算法。
在 Exchange Server 2013 中,可使用資訊權限管理 (IRM) 功能對郵件和附件應用持久保護。
通過與RMS的內建,Exchange郵件使用者可以控制收件人對電子郵件擁有的權限,允許或限制某些收件人操作,例如向其他收件人轉發郵件、列印郵件或附件,或者是通過複制和粘貼提取郵件或附件内容。
IRM 可以實作:
1.防止受 IRM 保護的内容的授權收件人轉發、修改、列印、傳真、儲存或剪切和粘貼該内容;
2.用與郵件相同的保護級别保護所支援的附件檔案格式;
3.支援受 IRM 保護的郵件和附件的過期,使其在指定時間段之後,無法再進行檢視;
4.防止使用 Windows 中的截圖工具複制受 IRM 保護的内容。
但是,IRM 無法防止:
1.第三方螢幕捕獲程式;
2.使用照相機等圖像處理裝置對顯示在螢幕上的受 IRM 保護的内容進行照相;
3.使用者記住或手動抄錄資訊。
IRM資訊權限保護功能是通過AD RMS來實作的,是以需要先安裝AD RMS服務。在安裝之前需要先準備一個RMS服務賬戶,該賬戶不能是Domain Admin,為Domain User即可,需要為伺服器本地Administrators成員。
聲明:本次實驗均基于以下系統版本進行,不代表今後的版本中部署方式與功能與此相同,請參照最新版本的标準執行。
DC:
系統:windows server 2012 Standard
安裝媒體:SW_DVD5_Win_Svr_Std_and_DataCtr_2012_64Bit_ChnSimp_Core_MLF_X18-27580
IP:192.168.50.10
Exchange:
安裝媒體:SW_DVD5_Exchange_Svr_2013_MultiLang_Std_Ent_MLF_X18-54275
IP:192.168.50.20
安裝步驟:
1.登陸到DC伺服器,打開伺服器管理器,添加Active Directory Rights management services角色。下一步。
2.選擇功能,預設即可。下一步。
3.AD RMS角色服務,在這裡因為不需要聯合身份認證,預設不變。下一步。
4.進行安裝,等待完成。
5.完成角色添加後,需要打開儀表闆上方的旗幟來完成AD RMS的配置。如下圖。
6.選擇建立新的AD RMS 根叢集。下一步。
7.配置資料庫。選擇Windows 内部資料庫。下一步。
8.選擇服務賬戶,需要使用一個domain user使用者,該使用者需要為本地administrators成員。
9.選擇加密模式 2。下一步
10.預設下一步。
11.建立 AD RMS叢集密鑰密碼。
12.選擇叢集網站。
13.指定叢集位址,這裡選擇SSL加密的位址。
14.選擇域證書。
15.預設,下一步。
16.注冊SCP站點。
17.進行安裝,等待安裝完成即完成了RMS的配置,需要登出後重新登陸。
18.重新登陸後,打開AD RMS工具,就可看到如下的界面。