2013Q1 工作心得 (2)

AD RMS 基本介紹

要如何防止資料外洩呢? 解決方案皆是資料如何能不外洩,那若不小心外洩呢? 難道就無法保護了嗎? 微軟提出 Active Directory Rights Management Services (AD RMS) 的服務來確保機敏文件持續保護。

AD RMS 是提供使用業界安全性技術 (包含加密、憑證及驗證) 之管理與開發工具的伺服器角色,可以協助組織建立可靠的資訊保護解決方案。主要可以讓使用者與系統管理員透過資訊版權管理 (IRM) 原則指定文件、活頁簿及簡報的存取權限。這有助於防止未經授權的使用者列印、轉寄或複製機密資訊。使用 IRM 限制檔案的使用權限後,無論資訊位於何處,都會強制執行存取權與使用限制,因為檔案的使用權限是儲存在文件檔案本身。

且在實際應用時 AD RMS 支援的 IRM 解決方案有下列好處:

  1. 持續的使用原則,無論資訊移動、傳送或轉寄到何處,都會隨資訊存在。
  2. 保護機密資訊 (例如,財務報表、產品規格、客戶資料及機密電子郵件) 的額外隱私防護層,防止機密資訊經人為故意或意外地落入未授權者手中。
  3. 防止受限內容的獲授權收件者轉寄、複製、修改、列印、傳真或張貼內容以用於未授權之用途
  4. 防止利用 Microsoft Windows 中的 Print Screen 功能複製受限制的內容
  5. 支援檔案到期原則,在指定的一段時間過後就無法再檢視文件中的內容
  6. 在公司內強制執行控管內容之使用和散佈的公司原則

AD RMS 伺服器設定

參考資源

測試實驗室指南:部署 AD RMS 叢集

  • Windows Server Active Directory Rights Management Services 逐步指南

AD RMS 客戶端設定

Windows 8 + Office 2013

  1. 登入網域使用者 (請先確認該使用者在 Active Directory 伺服器的使用者與群組管理中有正確設定 Email ,不然 IRM 將無法正常使用)。
  2. 接著必須先透過網際網路選項設定,將從 AD RMS 伺服器取得憑證的 URL 設置在近端內部網路安全性區域。
  3. 開啟 Office 2013 的文書軟體 (Word) ,接著選擇「檔案」→「資訊」→「保護文件」→「限制存取」中選擇「連線至版權管理伺服器」。
  4. 為了要取得憑證,所以需要再次進行網域使用者,登入進行確認。
  5. 最後就能正常使用資訊版權管理 (IRM) 的功能。
  6. 但若不能正常執行,請檢查工作排程中「Microsft」→「Windows」→「Active Directory Rights Management Services Client」是否能正常執行,再根據工作排程項目之上次執行的結果進行故障排除囉!

Windows 7 + Office 2010

  1. Windows 7 預設不支援 ADRMS 使用2048 bits長度加密,所以必須先安裝 hotfix 。
  2. 登入網域使用者 (請先確認該使用者在 Active Directory 伺服器的使用者與群組管理中有正確設定 Email ,不然 IRM 將無法正常使用)。
  3. 接著必須先透過網際網路選項設定,將從 AD RMS 伺服器取得憑證的 URL 設置在近端內部網路安全性區域。
  4. 開啟 Office 2010 的文書軟體 (Word) ,接著選擇「檔案」→「資訊」→「保護文件」→「限制存取」中選擇「連線至版權管理伺服器」。
  5. 為了要取得憑證,所以需要再次進行網域使用者,登入進行確認。
  6. 最後就能正常使用資訊版權管理 (IRM) 的功能。
  7. 但若不能正常執行,請檢查工作排程中「Microsft」→「Windows」→「Active Directory Rights Management Services Client」是否能正常執行,再根據工作排程項目之上次執行的結果進行故障排除囉!