Active Directory Rights Management Services چیست؟

• Active Directory Rights Management Services  (AD RMS) : نشت داده عبارت است از انتقال غیرمجاز اطلاعات – چه به افراد داخل سازمان یا افراد خارج از سازمان – که نباید به آن اطلاعات دسترسی داشته باشند. یکی از مزایای اصلی استفاده از AD RMS نسبت به سایر ویژگی های امنیتی مانند مجوز NTFS این است که مجوز AD RMS همراه با اسناد همراه است.
• AD RMS با محصولات و سیستم عامل های موجود مایکروسافت از جمله Windows Server، Exchange Server، SharePoint Server، Microsoft Office Suite و Microsoft Azure ادغام می شود.
• AD RMS می تواند از داده ها در حال حمل و نقل و در حالت استراحت محافظت کند. برای مثال، AD RMS می‌تواند از اسنادی که به‌عنوان پیام‌های ایمیل ارسال می‌شوند با اطمینان از اینکه پیامی باز نمی‌شود، حتی اگر به‌طور تصادفی به گیرنده اشتباهی خطاب شده باشد، محافظت کند.

چه زمانی از AD RMS استفاده کنیم؟

1. شما  بعنوان یک مدیر مالی یک فایل حاوی بسته های جبرانی مدیران یک سازمان را از یک پوشه محافظت شده  در درایو USB شخصی مدیر کپی می کنید. در طول رفت و آمد به خانه، مدیر درایو USB را در قطار رها می‌کند، جایی که شخصی بدون ارتباط با سازمان آن را پیدا می‌کند. بدون AD RMS، هر کسی که درایو USB را پیدا کند می‌تواند فایل را باز کند. با AD RMS می توان اطمینان حاصل کرد که فایل توسط کاربران غیرمجاز باز نمی شود.
2. AD RMS از الگوهای خط‌مشی حقوق برای اعمال مجموعه‌ای از خط‌مشی‌ها برای محافظت از محتوا استفاده می‌کند. هنگام پیکربندی AD RMS، باید استراتژی هایی ایجاد کنید تا اطمینان حاصل شود که کاربران همچنان می توانند از رایانه ای که به خوشه AD RMS متصل نیست، به محتوای محافظت شده دسترسی داشته باشند.
3. همچنین باید استراتژی هایی را برای محروم کردن برخی از کاربران از دسترسی به AD RMS ایجاد کنید – محتوای محافظت شده، و استراتژی هایی برای اطمینان از اینکه محتوای محافظت شده در صورتی که منقضی شده است، الگو حذف شده باشد یا نویسنده محتوا دیگر در دسترس نیست.

Rights policy templates:  به شما امکان می دهد روش های استاندارد اجرای سیاست های AD RMS را در سراسر سازمان پیکربندی کنید.

برای مثال، می‌توانید الگوهای استانداردی را پیکربندی کنید که فقط  فایل قابل مشاهده باشد و توانایی ویرایش، ذخیره و چاپ نداشته باشند.

 AD RMS از موارد زیر پشتیبانی می کنند:

• Full Control: به کاربر کنترل کامل روی سند محافظت شده می دهد.
• View: به کاربر امکان مشاهده سند محافظت شده را می دهد.
• Edit: به کاربر اجازه می دهد یک سند محافظت شده  را تغییر دهد.
• Save: به کاربر اجازه می دهد تا از عملکرد ذخیره استفاده کند.
• Export: (ذخیره به عنوان). به کاربر اجازه می دهد تا از تابع Save As استفاده کند.
• Print: اجازه می دهد تا یک سند محافظت شده چاپ شود.
• Forward: با Exchange Server استفاده می شود. به گیرنده یک پیام محافظت شده اجازه می دهد آن پیام را فوروارد کند.
• Reply: با Exchange Server استفاده می شود. به گیرنده پیام محافظت شده اجازه می دهد تا به آن پیام پاسخ دهد.
• Reply All: با Exchange Server استفاده می شود. به گیرنده یک پیام محافظت شده اجازه می دهد تا از عملکرد Reply All برای پاسخ دادن به آن پیام استفاده کند.
• Extract: به کاربر اجازه می دهد تا داده ها را از فایل کپی کند. اگر این حق اعطا نشود، کاربر نمی تواند داده ها را از فایل کپی کند.
• Allow Macros: به کاربر اجازه می دهد تا از ماکروها استفاده کند.
• View Rights: به کاربر اجازه می دهد تا حقوق اختصاص داده شده را مشاهده کند.
• Edit Rights: به کاربر اجازه می دهد تا حقوق اختصاص داده شده را تغییر دهد.

AD RMS چگونه کار می کند ؟

وقتی از ساختار AD RMS استفاده می کنید، این ساختار از کامپوننتهای AD RMS Client and AD RMS Server برای امن کردن اطلاعات استفاده می کند :

1. AD RMS Client : این سرویس برای امن کردن اسناد محرمانه خود از AD RMS Server یک Licenses در خواست می کند (لایسنس را مانند الگوریتمی برای رمزگذاری و ذخیره کردن آن در سیاستها و شرایط خاص برای کاربران، در نظر بگیرید) و آن را بر روی اسناد اعمال می کند. تا فایل یا قسمتی از فایل را ایمن کند.
2. AD RMS Server : این سرویس گواهینامه ها و Licenses کاربران و هنمچنین Template ها را مدیریت می کند. و خود را در اکتیو دایرکتوری Publish می کند تا کاربران بوسیله AD این سرویس را پیدا و از آن استفاده کنند.

Active Directory Rights Management Services چگونه در سازمان کار می کند ؟

سناریو : Terry Adams مدیر شبکه در ….. می باشد که به تازگی فرم محرمانه ای را نوشته و بنا به درخواست مدیر مربوطه اقای Adams باید این فرم را به خانم Lola Jacobson ارسال کند که بعد از برسی آن را به مدیر واحد ذی ربط ارسال کند. مدیر از اقای Adams خواسته فقط شما و خانم Jacobson باید به این فایل دسترسی داشته باشد و خانم Jacobson نباید از این اطلاعات کپی یا پرینتی بگیرد.

1. اقای Adams بعد از تکمیل فرم بوسیله برنامه Word قصد امن کردن آن با AD RMS را دارد که در این لحظه برنامه AD RMS Client اجرا می شود و پارامترهای اولیه را از AD RMS Server را درخواست می کند.
2. AD RMS Server پارامتر Client Licenses Certificate را برا کلاینت ارسال می کند تا اقای Adams بتواند سند خود را رمزگذاری و مجوزهای مطلوب را اعمال کند.
3. آقای Adams فایل را به خانم Jacobson بوسیله ایمیل ارسال می کند.
4. خانم Jacobson فایل را دریافت و آن را اجرا می کند. که با اجرای فایل برنامه ی AD RMS Client اجرا می شود تا مجوز ها و نوع رمزگذاری را ار AD RMS Server دانلود کند.
5. وقتی Licenses های مربوطه دانلود شد مشخص می شود که خانم Jacobson تنها مجوز Read بر روی این فایل دارد و در نتیجه AD RMS Client فایل را رمزگشائی می کند تا فقط محتویات فایل نمایش داده بشود.

رای پیاده سازی AD RMS چند پیش نیاز وجود دارد :

• Active Directory
• Certificate Authority Server
• SQL Server for best practice
• Domain User Account
• IIS

Creating AD RMS Service Account on Domain Server

بیایید با ایجاد AD RMS Service Account در سرور دامنه شروع کنیم (Service account – مایکروسافت استفاده از یک حساب کاربری دامنه استاندارد با مجوزهای اضافی را توصیه می کند. می توانید از یک حساب سرویس مدیریت شده به عنوان حساب سرویس AD RMS استفاده کنید).

در سرور Active Directory User & Computers – dc را باز کرده و OU جدید ایجاد کنید.

یک کاربر جدید به نام  ADRMSVC  ایجتد کرده وبرای آن پسورد بگذاردید.

در مرحله بعد،روی Service Accounts کلیک راست کرده و یک گروه جدید به نام  ADRMS_SuperUsers بسازدید.

در این مرحله روی گروه USERS رفته و کلیک راست کرده و یک گروه جدید به نام   Executives ایجاد کنید.

بعد، چند کاربر را به گروه Executives اضافه کنید.