یکی از چالشهای که سازمانهای بزرگ با آن رو به رو هستند تامین امنیت برای برخی از اسناد می باشد که اهمیت بسزائی دارند، و فاش شدن آنها موجب ریسک امنیتی برای آن سازمان می باشد.سرویس Active Directory Rights Management Services میتواند کمبودهای این نوع سازمانها در بحث امنیت این نوع Document را برطرف کند. این سرویس بعضی از اسناد مهم مانند E-Mail, Web Page, Word Document را رمزگذاری کند و شرایطی تعریف کرد که برخی از کاربران یا گروه ها با این نوع فایلها بصورت محدود دسترسی داشته باشند.
حتی می توان برای یک فایل تاریخ انقضاء در نظر گرفت که بعد از سپری شدن زمان معیین این دسترسی ها از کاربران سلب شود. یکی از خصوصیات AD RMS جاسازی یا ادغام کردن تنظیمات امنیتی در خود فایل می باشد که در نتیجه با انتقال فایل تنظیمات امنیتی آن از بین نمی رود و یا حتی می توان جوری سیاستها را تنظیم کرد که کاربران بتوانند محتویات فایل را مشاهده کنند ولی امکان Print or Copy آنها وجود نداشته باشد.
و دیگر خصوصیات این سرویس اینست که به مدیر شبکه این امکان را می دهد که الگوهای خاصی ایجاد کند و کاربران این الگوها را بر روی اسناد خود اعمال کنند. مثلا ، مدیر شبکه الگوئی را ایجاد می کند که این الگو مجوز Read-Only را برای گروه خاصی اعمال می کند، در نتیجه اگر کاربری این الگو را بر روی اسناد خود اعمال کند خود (Owner) و آن گروه به این فایل دسترسی پیدا می کنند.AD RMS چه Application های را ساپورت می کند :
Microsoft Office 2003, 2007, 2010, 2013 Microsoft Office Share Point all edition Adobe Reader Exchange Server all edition Internet Information Service - IIS
AD RMS چگونه کار می کند ؟
وقتی از ساختار AD RMS استفاده می کنید، این ساختار از کامپوننتهای AD RMS Client and AD RMS Server برای امن کردن اطلاعات استفاده می کند :
- AD RMS Client : این سرویس برای امن کردن اسناد محرمانه خود از AD RMS Server یک Licenses در خواست می کند (لایسنس را مانند الگوریتمی برای رمزگذاری و ذخیره کردن آن در سیاستها و شرایط خاص برای کاربران، در نظر بگیرید) و آن را بر روی اسناد اعمال می کند. تا فایل یا قسمتی از فایل را ایمن کند.
- AD RMS Server : این سرویس گواهینامه ها و Licenses کاربران و هنمچنین Template ها را مدیریت می کند. و خود را در اکتیو دایرکتوری Publish می کند تا کاربران بوسیله AD این سرویس را پیدا و از آن استفاده کنند.
روند AD RMS Client
وقتی کاربری تصمیم گرفت از AD RMS استفاده و اسناد خود را ایمن کند برنامه AD RMS Client روی آن کامپیوتر اجرا می شود و از AD RMS Server درخواست Licenses می کند تا طبق مجوزها و شرایط، آن فایل را Protect کند. بعد از انجام مراحل بالا AD RMS Client بوسیله Client Licenses Certificate محتویات فایل را رمزگذاری می کند و Publishing Licenses را ایجاد می کند و سپس یک کپی از PL را در محتویات رمزگداری شده فایل ذخیره می کند. این مکانیزم باعت بهبود و بهتر شدن امنیت فایل در هنگام به اشتراک گذاشتن آن و.... می باشد.
وقتی دیگران خواستند به محتویات این فایل دسترسی داشته باشند باید بوسیله برنامه ای مانند Office آن فایل را Load کنند، که به محظ لود شدن AD RMS Client اجرا و به AD RMS Server وصل می شود تا مجوزها و Licenses ها را دانلود کند و کاربر را Authorize کند. نکته : برنامه AD RMS Client از نسخه Windows Vista به بعد در خود ویندوز وجود دارد، و برای Windows XP and Windows Server 2003 باید این برنامه را دانلود کنید.
AD RMS Server چگونه کار می کند ؟
بصورت یک Web Service که از IIS استفاده می کند پیاده سازی می شود. که یک ارتباط با Active Directory و یک ارتباط با SQL Server دارد.AD RMS Server دارای کامپوننتهای زیر می باشد :
- Administration Web Server : یک Web Service را میزبانی می کند که بوسیله آن و از طریق Administration Console و Power Shell برای مدیریت AD RMS Server استفاده می شود.
- Account Certificate : مجوزها و الگوریتم های رمزگذاری (RACs) را برای کاربران و کامپیوترها تولید می کند.
- Service Locator : یک URL ایجاد می کند که بوسیله آن خود را در اکتیو دایرکتوری Publish می کند تا کاربران به راحتی به AD RMS Server دسترسی داشته باشند.
و غیره.....
Active Directory Rights Management Services چگونه در سازمان کار می کند ؟
سناریو : Terry Adams مدیر شبکه در ..... می باشد که به تازگی فرم محرمانه ای را نوشته و بنا به درخواست مدیر مربوطه اقای Adams باید این فرم را به خانم Lola Jacobson ارسال کند که بعد از برسی آن را به مدیر واحد ذی ربط ارسال کند. مدیر از اقای Adams خواسته فقط شما و خانم Jacobson باید به این فایل دسترسی داشته باشد و خانم Jacobson نباید از این اطلاعات کپی یا پرینتی بگیرد.
- اقای Adams بعد از تکمیل فرم بوسیله برنامه Word قصد امن کردن آن با AD RMS را دارد که در این لحظه برنامه AD RMS Client اجرا می شود و پارامترهای اولیه را از AD RMS Server را درخواست می کند.
- AD RMS Server پارامتر Client Licenses Certificate را برا کلاینت ارسال می کند تا اقای Adams بتواند سند خود را رمزگذاری و مجوزهای مطلوب را اعمال کند.
- آقای Adams فایل را به خانم Jacobson بوسیله ایمیل ارسال می کند.
- خانم Jacobson فایل را دریافت و آن را اجرا می کند. که با اجرای فایل برنامه ی AD RMS Client اجرا می شود تا مجوز ها و نوع رمزگذاری را ار AD RMS Server دانلود کند.
- وقتی Licenses های مربوطه دانلود شد مشخص می شود که خانم Jacobson تنها مجوز Read بر روی این فایل دارد و در نتیجه AD RMS Client فایل را رمزگشائی می کند تا فقط محتویات فایل نمایش داده بشود.
خب! برای پیاده سازی AD RMS چند پیش نیاز وجود دارد :
Active Directory Certificate Authority Server SQL Server for best practice Domain User Account IIS
نکته : بعضی از Application ها از Self-sing Certificate پشتیبانی نمی کنند و در بعضی جاها شما نمی توانید بدون CA Server قابلیت بالا را پیاده سازی کنید. لینک زیر را بخوانید :
Office 2013 and AD RMS "the user has not been authenticated”
نکته : تمام مراحل پایین در Windows Server 2012 R2 and Windows 8.1 پیاده سازی شده ، در اولین قدم باید یک Forest جدید ایجاد کنید و بعد از آن سرور SQL, AD RMS and Client را عضو Domain کنید. دومین قدم نصب و راه اندازی CA Server می باشد. نکته : بعد از نصب مطمئن بشید که کلاینتها و سرورها CA Server را شناخته و به آن اعتماد داشته باشند. بصورت پیش فرض با اولین Group Policy Update این کار انجام می شود.
قدم سوم رول AD RMS را نصب می کنیم. برای اینکار در Server Manager گذینه زیر را انتخاب ، نکته : کاربری که AD RMS را نصب می کند باید عضو گروهای Enterprise Admins and Local Administrators باشد. که بعد از نصب می توانید کاربر را از گروه Enterprise Admins حذف کنید.
دکمه Close را کلیک کنید.با نصب رول AD RMS رول IIS هم نصب خواهد شد. بعد از نصب باید برای AD RMS بک Certificate از CA Server درخواست کنیم، برای اینکار به کنسول IIS می رویم و
قسمت Common Name مهمه و شما باید FQDN ی را ست کنید که کاربران شما برای اتصال به AD RMS در Web Browser استفاده می کنند.
CA Server سازمان را انتخاب و یک اسم به آن می دهیم و Finish ، قدم چهارم تنظیمات اولیه AD RMS را انجام می دهیم :
گذینه اول را انتخاب می کنیم و Next، نکته : واژه Cluster به معنای پیاده سازی Clustering برای AD RMS نیست بلکه یک نوع اسم گذاری برای Main AD RMS and Member AD RMS می باشد.
در قسمت بالا شما می توانید دو نوع دیتا بیس برای AD RMS انتخاب کنید. گذینه Use Internal Database اطلاعات AD RMS را روی همین سرور ذخیره می کند و گذینه Specify Database Server باید یک SQL Server را انتخاب کنید. نکته : وقتی گذینه Use Internal Database را انتخاب کنید دیگر قادر نیستید سرور AD RMS دیگری را عضو New Cluster کنید. گذینه WID را انتخاب و Next می کنم.
در قسمت بالا شما باید یک Standard Domain User (یک کاربر عادی در دومین) را مشخص کنید. این کاربر نیاز به هیچ گونه Permission or Right ندارد. AD RMS از این کاربر برای ارتباط با سرویسهای شبکه و غیره استفاده می کند.
در قسمت بالا شما مقدار و نوع پروتکلهای رمزگذاری را انتخاب می کنید که دارای دو مد می باشد.
1- Mode 1
2- Mode 2
اگر اگر در ساختار Clientهای قدیمی دارید که از RSA 2048-bit keys پشتیبانی نمی کنند گذینه اول را انتخاب کنید (بعدا می توانید آن را به Mode 2 تنظیم کنید) ولی اگر Clientهای شما این نوع کلید و رمزگذاری را پشتیبانی می کنند گذینه دو را انتخاب کنید. (وقتی Mode 2 را انتخاب کنید دیگر نمی توانید آن را به Mode 1 برگردانید)
این پسورد برای Restore کردن بک آپ Cluster یا اضافه کردن Server به AD RMS Cluster استفاده می شود.نکته : این پسورد قابل Recover شدن نیست اگه گم بشه دیگه رفته :)
وب سایت پیش فرض را انتخاب می کنیم
FQDN ی که در قسمت Common Name ست کردید باید به عنوان ادرس سایت AD RMS در نظر گرفته شود.
Certificate ی که برای AD RMS سفارش داده ایم را انتخاب می کنیم
مطمئن بشید گذینه اول انتخاب شده باشه و Next
در آخر Install را کلیک کنید. بعد از اتمام نصب حتما یکبار Log off and Log on کنید.
خب! شما الان می توانید AD RMS را تنظیم کنید یا الگوها را طبق خواسته سازمان ایجاد کنید و........ که در این مقاله پوش داده نمی شود.قدم بعدی باید FQDN سرور AD RMS را عضو Intranet Explorer Security Zone کلاینتها کنیم. که من از Group Policy Management استفاده می کنم :
User Settings -> Administrative Templates -> Windows Components -> Internet Explorer -> Internet Control Panel -> Security Page
با اجرای دستور Gpupdate /force این تنظیمات بر روی کاربران دومین اعمال می شود.
ولی این روش یک عیب بزرگی دارد که کاربران از این پس قادر به اضاف یا پاک کردن سایتها در این قسمت نیستند. برای همین منظور من از Group Policy Preferences استفاده می کنم.مسیر زیر را دنبال کنید :
User Configuration -> Preferences -> Windows Settings and Registry.
تنظیمات را طبق تنظیمات بالا اعمال کنید.در قسمت Key Path عبارت زیر را کپی کنید:
Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\Your_Domain\www
سایت مورد نظر در این سناریو SRV-Core.Koreha.Local به قسمت مورد نظر اضافه می شود بدون اینکه قابلیت Edite کردن این بخش از کاربر گرفته شود.خب! برای تست سناریو من دو گروه از نوع universal با نامهای Engineering and Employee ایجاد می کنم و همچنین دو User به نام Ahmad and Ali ایجاد می کنم.کاربر Ahmad عضو گروه Engineering می باشد و Ali عضو گروه Employee. نکته مهم : AD RMS کاربران و گروه ها را بر حسب Emailهای آنها می شناسد پس باید برای گروه ها و کاربران Email ست کنیم.
الان با کاربر Ahmad لاگین می کنم، و یک سند در word ایجاد می کنم، و با AD RMS آن را رمزگذاری و مجوز فقط خواندن به گروه Employee می دهم
در قسمت Read ایمیل گروه Employee را می نویسم و OK همچنان می توانید با کلیک بر روی More Options تنظیمات زیادی ست کنید مثلا مجوز Print or Copy را به این گروه بدهید یا می توانید Expires اعمال کنید و ....
برای اطلاع بیشتر در مورد تنظیمات بالا سایت زیر را بخوانید :
Restrict permission to content in a file
الان Log off می کنم و با کاربر Ali لاگین می کنم و فایل را اجرا می کنم
Ok کنید.
خیلی جالبه وقتی خواستم از Document عکس بگیرم و محدودیتهای این فایل برای کاربر Ali را نشان بدهم اجازه اینکار را به من نداد!! از ترفند و.... استفاده کردم عکس Document را مشکی کرد :)
وقتی گذینه File را کلیک می کنم بعضی از کاراها را نمی توانم انجام دهم مانند Print, Export, Save and etc به جز مشاهده محتویات سند.
نتیجه گیری :
شما با پیاده سازی Active Directory Rights Management Services می توانید امنیت Human Resources حیاتی و مهم در سازمان را ایمن کنید، که با انتقال این اسناد بر روی کامپیوترهای مختلف حتی کپی کردن آن در Flush Memory از آن اسناد و منابع حمایت کنید. یا حتی می توانید یک تاریخ انقضاء برای استفاده از چنین فایلهای مهم ست کنید. در کل AD RMS ریسک امنیتی فایلهای محرمانه یک سازمان مهم یا دولتی را تا حدودی برطرف می کند.
پیروز و پایدار باشید. احمد جهلولی
منابع :
Test Lab Guide: Deploying an AD RMS Cluster
How AD RMS Works
Active Directory Rights Management Services
Troubleshooting AD RMS client authentication error
Group Policy – Internet Explorer Security Zones
سلام
مقاله مفید بود فقط من در یکی از از مراحل با خطا مواجه شدم که در تصویر زیر مشخص می باشد.
ممنون میشم اگر راهنمایی کنید جهت حل مشکل .
ویندوز سرور 2019
با سلام
آیا راه کاری وجود داره که کاربران غیر دامین هم بتونند با حفظ حقوق کپی رایت تعریف شده از یک فایل استفاده کنند. منظورم استفاده از یک authentication ثانویه بجای AD هست. که یوزرهای غیر دامین هم بعد از Authentication بتونند از اسنادی که برای آن ها تعریف شده استفاده کنند .؟
سلام.
میشه وب سرویس و سرویس AD RMS رو روی DC نصب کنم؟البته تو محیط تست.
عالی
اما بخشی که قرار با یک یوزر معمولی کار ادامه پیدا کنه
نمیشه!!!!
شاید هم بخاطر اینکه با سرویس ADDS با هم نصب شدن ؟
لودفن راهنمایی بفرمائید