В статье «Управление правами в Exchange 2010», опубликованной в журнале Windows IT Pro/RE № 11 за 2010 год, я остановился на нескольких действенных функциях IRM в Microsoft Exchange Server 2010, включая использование транспортных правил для автоматической защиты электронных писем и возможность применения правил защиты электронных сообщений в Outlook Web Access (OWA). Все это позволяет существенно облегчить защиту наиболее ценной информации вашей компании, проходящей по электронной почте. .

Создание правил защиты Outlook

Хотя Exchange 2010 располагает действенными функциями IRM, всегда существует опасность, что пользователь может отправить конфиденциальное сообщение по электронной почте (например, по общедоступной сети), которое будет не защищено, пока не достигнет вашего сервера Exchange 2010 и не будет обнаружено и обработано транспортным правилом Transport Rule. В большой организации, где отправляется множество служебных электронных писем, администраторы не всегда считают нужным полагаться на транспортные правила, так как это создает дополнительную нагрузку в сеть.

Транспортные правила сопряжены с многочисленными потенциальными проблемами в плане производительности, начиная с правил, требующих всестороннего анализа электронных сообщений и вложений, и заканчивая операциями, которые должны быть выполнены согласно правилу (такими, как шифрование сообщения и вложений). Исполнение зависит от типа правил, от действий, которые должны быть выполнены, и от того, насколько часто срабатывают правила (обычно это связано с объемом почты).

Следуя законодательным обязательствам, компания должна зашифровать некоторые типы данных, включая электронные письма со сведениями о клиентах, перед тем как передать информацию с настольного компьютера или ноутбука. К тому же у вас еще может не быть полностью развернутой организации Exchange 2010, а это означает, что вы не сможете воспользоваться преимуществами новых свойств IRM в транспортных правилах Exchange 2010. В силу этих причин целесообразно рассмотреть использование новой функции IRM в Outlook 2010, которая называется «Правила защиты Outlook» (Outlook protection rules).

Правила защиты Outlook не так сложны, как транспортные правила и ограничены областью применения электронной почты, в основе которой присутствует хотя бы один из трех критериев: отдел или группа, где находится отправитель электронного сообщения; электронный адрес получателя; область электронного сообщения (находятся ли получатели внутри или вне организации). Правила защиты создаются на серверах Exchange 2010 с использованием сценариев PowerShell. Необходимо развернуть Exchange 2010 так, чтобы правила были распределены Outlook 2010 при помощи веб-служб Exchange.

Правила защиты Outlook основаны на шаблонах политики прав. Вам необходимо создать эти шаблоны на серверах Active Directory Rights Management Services (AD RMS). Если у вас уже существуют шаблоны, чтобы применить требуемые политики, используйте их повторно. Вы можете просмотреть список шаблонов, доступных из Exchange Management Shell (EMS), с помощью команды Get-RMSTemplate. Возвращаемый список всегда будет содержать шаблон по умолчанию с именем Do Not Forward. Тем не менее вы должны соблюдать осторожность, создавая или используя существующие шаблоны, поскольку можете создать правило защиты Outlook, которое указывает, что определенный шаблон применяется с набором пользователей и прав, который сделает защищенные IRM электронные письма нечитаемыми получателями или может не позволить адресатам перенаправить электронное сообщение или даже распечатать его. Перед использованием шаблона всегда проверяйте заданные в нем права.

Возможно, будет проще создать новые шаблоны, которые указывают на Anyone как клиента защищенного IRM контента, вместо названных пользователей: это даст вам уверенность в том, что право перенаправления электронного сообщения не будет задано в этих шаблонах. Данная настройка гарантирует, что все пользователи смогут прочитать получаемую электронную почту, которая защищена правилом защиты Outlook, но не смогут переслать электронное сообщение кому-то еще.

После установки шаблонов политики прав вы создаете правила защиты Outlook с помощью команды New-OutlookProtectionRule в EMS. Вы не сможете создать правила защиты Outlook, используя ExchangeManagement Console (EMC) или ExchangeControl Panel (ECP). Существует только два обязательных требования к команде. Первое — это имя правила защиты Outlook, оно задается параметром Name <имя правила>. Вы будете использовать имя правила для управления правилами защиты Outlook. Второе требование — имя шаблона политики прав, и оно задается параметром ApplyRightsProtectionTemplate <шаблон политики прав>. В дополнение к указанию имени правила и применяемому шаблону политики необходимо задать условия применения правила.

Чтобы определить условия применения правила, например если отправитель из конкретного отдела, используйте параметр FromDepartment <имя отдела>, где <имя отдела> — это один или более отделов, к которым правило может быть применено. Параметр <имя отдела> проверяется на соответствие атрибута отдела в объекте пользователя, которому отправляется электронное сообщение, и применимость правила. Вы можете задать отделы пользователей, редактируя поле Department на вкладке Organization в одном или нескольких диалоговых окнах свойств пользователей Properties, которые можно увидеть в EMC или в оснастке Active Directory Users and Computers консоли Microsoft Management Console (MMC).

Чтобы применить правило, основанное на имени получателя, используйте параметр SentTo <имя получателя>. Параметр <имя получателя> может быть именем одного или более получателей в адресной книге Outlook и одним или более SMTP адресом (обычно используемым для сторонних адресатов). Если вы создаете правило, в котором указана группа рассылки или безопасности, оно не будет применяться, когда сообщение отправляется одному или нескольким членам группы, а не используется имя группы. Правило применяется только в том случае, если имя группы, заданное в правиле, указывается как получатель в полях To:, Cc: или Bcc: в Outlook.

Вы можете указать в условии область получателей, при этом следует использовать -SentToScope <область>. Две возможные переменные для включают InOrganization и All. InOrganization определяет применение правила, когда получатели находятся внутри организации; All определяет, что правило применяется независимо от того, кто является получателем. Хотя данное правило может быть использовано само по себе, оно обычно применяется как модификация одного или двух предыдущих правил.

Если вы создаете много правил защиты Outlook, вы можете получить в итоге два или более прав, применение которых основано на отделе, в котором находится отправитель, получателях электронной почты внутри организации и области получателей. Вы можете управлять последовательностью, в которой применяются правила, использованием параметра -Priority , где n — это число. Приоритет по умолчанию 0. Правила с низшим приоритетом проверяются первыми. Если найдено соответствие правилу, применяется заданный шаблон, и процесс прекращается. Когда соответствие найдено и шаблон применен, пользователь может указать изменение правила защиты Outlook. Чтобы не дать пользователю возможность изменить правило и заставить применить шаблон, вы можете добавить параметр -UserCanOverride $false.

Следующая команда создает правило защиты Outlook, которое применяет шаблон FTE Only ко всем электронным сообщениям, отправленным группе рассылки InfoSec Research FTE, и может быть изменено отправителем:

New-OutlookProtectionRule -Name
   "InfoSec Research FTE — FTE Only" '
-ApplyRightsProtectionTemplate
   "FTE Only" ‘
-SentTo "InfoSec Research FTE"

Вы можете просмотреть правила защиты Outlook на своих системах в EMS с помощью команды Get-OutlookProtectionRule. Правила могут быть сделаны доступными или недоступными с помощью команд соответственно Enable-OutlookProtectionRule и Disable-OutlookProtectionRule, а также могут быть удалены командой Remove-OutlookProtectionRule. Все четыре команды помогут указать конкретное правило с помощью параметра -Identity <имя правила>. Наконец, правило можно видоизменить посредством Set-OutlookProtectionRule, определяющего модификацию какого-либо правила использованием параметра -Identity. Другие параметры, принимаемые этой командой, точно такие же, как и те, что используются New-OutlookProtectionRule.

Настройка систем конечных пользователей

Прежде чем шаблоны, определенные в правилах защиты Outlook, можно будет применить к электронной почте, созданные шаблоны политики прав должны быть доступны Outlook. Встроенный шаблон Do No Forward всегда доступен, и те правила защиты Outlook, которые его используют, будут работать без всяких настроек систем конечного пользователя.

Шаблоны политики прав суть файлы XML; в основном принято настраивать AD RMS на сохранение их в центральном хранилище файлов и перенаправлять приложения Microsoft Office на это хранилище, так чтобы эти шаблоны были доступны пользователям. Другой способ — скопировать шаблоны на компьютеры пользователей и настроить приложения Office, чтобы они получали доступ к ним по локальной сети.

Прежде, до Windows Vista, рассылка шаблонов политики прав предполагала периодический запуск пользовательского сценария или приложения, чтобы скопировать шаблоны с общедоступного ресурса. А в Windows Vista и более новых системах, а также в Windows Server 2008 и новых версиях, встроенные шаблоны планировщика задач Task Scheduler работают с AD для осуществления загрузки шаблонов политики прав, как показано на экране 1.

 

Автоматическое обновление шаблонов политики прав AD RMS
Экран 1. Автоматическое обновление шаблонов политики прав AD RMS

Первый шаблон предназначен для использования системами конечных пользователей, присоединенными к домену; он запускается в заданное время (3:00) и если пользователь регистрируется в сети. Второй шаблон предназначен для использования на системах, не подключенных к домену; он обязывает перезаписать раздел реестра EnterprisePublishing, используемый клиентами, не присоединяющимися к домену AD RMS.

Каждая из задач позволяет проверить, получал ли пользователь шаблоны в последние 30 или более дней. Если да, то задача соединяется с инфраструктурой AD RMS, чтобы получить шаблоны политики прав. В течение часа после регистрации пользователя в системе выполняется запланированная задача, а также копирование шаблонов, если требуется. Шаблоны находятся в папке \%LocalAppData%\Microsoft\DRM\Templates. Папка \%LocalAppData% перенаправляется в \AppData\Local в каждой папке профиля пользователя, а это чаще всего C:\Users\<имя пользователя>. Если вы часто изменяете шаблоны и вам нужно, чтобы задачи выбирали шаблоны чаще, чем каждые 30 дней, вы можете создать параметр реестра типа DWORD под названием UpdateFrequency в разделе реестра HKEY_CURRENT_USER\Software\Microsoft\MSDRM\TemplateManagement. Значение параметра реестра — это число дней, которое пройдет до того, как новые шаблоны будут проверяться, изменяться или удалиться.

Настройка планировщика задач на каждой системе конечного пользователя для загрузки шаблонов политики прав, скорее всего, невыполнима для вашей организации, если у вас немного систем. Или вы можете использовать альтернативный метод, такой как общая папка в сети, настроенная как автономная папка у клиента. Другая возможность — запускать сценарий регистрации в системе для копирования шаблонов, как вы, вероятно, и делали до Vista.

Независимо от того, как вы доставляете шаблоны системам конечных пользователей, нужно для каждого пользователя изменить раздел реестра, чтобы настроить Microsoft Office 2010 на местонахождение шаблонов. Это раздел реестра HKEY_CURRENT_USER\Software\Microsoft\Office\14.0\Common\DRM для 32-разрядных редакций Office 2010, запускаемых на 32-разрядных Windows и 64-разрядных Office 2010, запускаемых на 64-разрядных Windows. Для 32-разрядных редакций Office 2010, запускаемых на 64-разрядных версиях Windows (реализуется по умолчанию при установке Office 2010 на 64-разрядную версию Windows), раздел реестра HKEY_CURRENT_USER\Software\Wow6432Node\Microsoft\Office\14.0\Common\DRM. Параметр системного реестра с именем AdminTemplatePath имеет тип Expandable String Value.

Вам не нужно посещать каждую из систем конечных пользователей, чтобы настроить правильную запись реестра, если вы загрузили и установили файлы Office 2010 Administrative Template и Office Customization Tool, которые доступны на www.microsoft.com/download/en/details.aspx?&id=18968. Загруженные файлы включают различные шаблоны, используемые для создания объектов групповой политики Group Policy Objects (GPO), которые могут контролировать многие аспекты работы Office 2010, включая местонахождение шаблонов политики прав. Убедитесь, что вы загружаете нужный пакет, — есть пакеты для 32-разрядной и 64-разрядной редакций Office 2010.

Чтобы задать настройки Admin

TemplatePath для конечных пользователей с помощью установок групповой политики, загрузите и установите административные шаблоны (из папки ADMX) в C:\Windows\PolicyDefinitions или общую папку для групповой политики. В качестве альтернативы можно вручную добавить файл шаблона office14.adm в редакторе управления групповой политикой Group Policy Management Editor. Создайте новый GPO, откройте его для редактирования и перейдите к \UserConfiguration\Policies\

AdministrativeTemplates\Microsoft Office 2010 (для устаревших административных шаблонов есть специальный узел над последним узлом, если вы используете файл ADM). Выберите узел Manage Restricted Permissions, затем дважды щелкните Specify Permission Policy Path в панели справа. В диалоговом окне Specify Permission Policy Path выберите Enabled и введите маршрут для шаблонов политики прав, как показано на экране 2.

 

Указание пути к политикам
Экран 2. Указание пути к политикам

Если вы используете автономные папки, эта папка должна быть общедоступна. Если вы скопируете файлы на системы конечных пользователей, шаблоны будут находиться в ней. После создания GPO свяжите эту паку с организационной единицей (OU), в которой находятся ваши пользователи.

Недостатком использования GPO для установки AdminTemplatePath и его применения приложениями Office является то, что параметр реестра имеет тип REG_SZ, а это означает, что вы не можете задействовать переменную, такую как %LocalAppData%, когда определяете местоположение шаблонов политики прав, что препятствует использованию GPO для указания на папку Template, заполненную планировщиком задач.

По этой причине я рекомендую указать в AdminTemplatePath общий файловый ресурс, где находятся шаблоны RMS, и настроить административное назначение автономных файлов (в \UserConfiguration\Policies\Administrative Templates\Network\Offline Files), чтобы добавить местоположение общего ресурса, где находятся шаблоны в вышеупомянутых GPO. Эта схема обеспечивает доступность новейших шаблонов для конечных пользователей (без участия Task Scheduler) и доступность в автономном режиме для пользователей мобильных компьютеров, когда они отключаются от сети.

Вы можете протестировать доступность шаблонов Outlook 2010, регистрируясь в системе как пользователь, имеющий установки Admin TemplatePath GPO, создавая новые электронные сообщения и выбирая Permission на вкладке Options, как показано на экране 3. Если шаблоны доступны, они перечислены в списке между Do Not Forward и Manage Credentials.

 

Проверка доступности шаблона
Экран 3. Проверка доступности шаблона

Возможности пользователя

Работа конечных пользователей с правилами защиты Outlook происходит без проблем. Когда электронное сообщение подходит под одно из условий, определенных правилом защиты Outlook, к электронному сообщению применяется подходящий шаблон политики прав и появляется визуальная подсказка, как показано на экране 4. Если правилом не будет определено, что пользователь не может переписывать шаблон политики прав, он может выбрать Permission на вкладке Options сообщения и указать No Restrictions (шаблон политики прав, который применяется к сообщению, имеет соответствующую «галочку», как показано на экране 5).

 

Уведомление о применении правила защиты Outlook
Экран 4. Уведомление о применении правила защиты Outlook

 

«Галочка» обозначает применяемый шаблон политики прав
Экран 5. «Галочка» обозначает применяемый шаблон политики прав

Одна вещь, которую не могут сделать правила защиты Outlook, — это предостеречь конечных пользователей от отправки конфиденциальных электронных сообщений без защиты, когда используется браузер, OWA или мобильное устройство. По этой причине вы можете рассмотреть использование правил защиты Outlook вместе с транспортными правилами Exchange 2010, чтобы создать целостную стратегию IRM. Также вы можете запретить пользователям с настольными компьютерами и ноутбуками задействовать OWA для отправки электронной почты, чтобы гарантировать, что правила защиты Outlook не игнорируются.

Расширяйте свою защиту

Правила защиты Outlook позволяют расширить защиту конфиденциальной информации на настольных компьютерах и помогают соблюдать законодательные требования. Они дополняют транспортные правила Exchange 2010, и с ними вам, возможно, даже не понадобятся некоторые транспортные правила, что поможет освободить от лишней загрузки обработкой данных инфраструктуру Exchange 2010.

Джон Хоуи (jhowie@microsoft.com) — менеджер центра Microsoft Security Center of Excellence. Имеет сертификаты CISSP, CISM и CISA