احمد جهلولی
متخصص سرویس های مایکروسافت

آموزش راه اندازی RMS : چگونه Right Management Service بسازیم؟

یکی از چالشهای که سازمانهای بزرگ با آن رو به رو هستند تامین امنیت برای برخی از اسناد می باشد که اهمیت بسزائی دارند، و فاش شدن آنها موجب ریسک امنیتی برای آن سازمان می باشد.سرویس Active Directory Rights Management Services میتواند کمبودهای این نوع سازمانها در بحث امنیت این نوع Document را برطرف کند. این سرویس بعضی از اسناد مهم مانند E-Mail, Web Page, Word Document را رمزگذاری کند و شرایطی تعریف کرد که برخی از کاربران یا گروه ها با این نوع فایلها بصورت محدود دسترسی داشته باشند.

دوره های شبکه، برنامه نویسی، مجازی سازی، امنیت، نفوذ و ... با برترین های ایران

حتی می توان برای یک فایل تاریخ انقضاء در نظر گرفت که بعد از سپری شدن زمان معیین این دسترسی ها از کاربران سلب شود. یکی از خصوصیات AD RMS جاسازی یا ادغام کردن تنظیمات امنیتی در خود فایل می باشد که در نتیجه با انتقال فایل تنظیمات امنیتی آن از بین نمی رود و یا حتی می توان جوری سیاستها را تنظیم کرد که کاربران بتوانند محتویات فایل را مشاهده کنند ولی امکان Print or Copy آنها وجود نداشته باشد.

و دیگر خصوصیات این سرویس اینست که به مدیر شبکه این امکان را می دهد که الگوهای خاصی ایجاد کند و کاربران این الگوها را بر روی اسناد خود اعمال کنند. مثلا ، مدیر شبکه الگوئی را ایجاد می کند که این الگو مجوز Read-Only را برای گروه خاصی اعمال می کند، در نتیجه اگر کاربری این الگو را بر روی اسناد خود اعمال کند خود (Owner) و آن گروه به این فایل دسترسی پیدا می کنند.AD RMS چه Application های را ساپورت می کند :

Microsoft Office 2003, 2007, 2010, 2013
Microsoft Office Share Point all edition
Adobe Reader
Exchange Server all edition
Internet Information Service - IIS

AD RMS چگونه کار می کند ؟

وقتی از ساختار AD RMS استفاده می کنید، این ساختار از کامپوننتهای AD RMS Client and AD RMS Server برای امن کردن اطلاعات استفاده می کند :

  1. AD RMS Client : این سرویس برای امن کردن اسناد محرمانه خود از AD RMS Server یک Licenses در خواست می کند (لایسنس را مانند الگوریتمی برای رمزگذاری و ذخیره کردن آن در سیاستها و شرایط خاص برای کاربران، در نظر بگیرید) و آن را بر روی اسناد اعمال می کند. تا فایل یا قسمتی از فایل را ایمن کند.
  2. AD RMS Server : این سرویس گواهینامه ها و Licenses کاربران و هنمچنین Template ها را مدیریت می کند. و خود را در اکتیو دایرکتوری Publish می کند تا کاربران بوسیله AD این سرویس را پیدا و از آن استفاده کنند.


روند AD RMS Client

وقتی کاربری تصمیم گرفت از AD RMS استفاده و اسناد خود را ایمن کند برنامه AD RMS Client روی آن کامپیوتر اجرا می شود و از AD RMS Server درخواست Licenses می کند تا طبق مجوزها و شرایط، آن فایل را Protect کند. بعد از انجام مراحل بالا AD RMS Client بوسیله Client Licenses Certificate محتویات فایل را رمزگذاری می کند و Publishing Licenses را ایجاد می کند و سپس یک کپی از PL را در محتویات رمزگداری شده فایل ذخیره می کند. این مکانیزم باعت بهبود و بهتر شدن امنیت فایل در هنگام به اشتراک گذاشتن آن و.... می باشد.

وقتی دیگران خواستند به محتویات این فایل دسترسی داشته باشند باید بوسیله برنامه ای مانند Office آن فایل را Load کنند، که به محظ لود شدن AD RMS Client اجرا و به AD RMS Server وصل می شود تا مجوزها و Licenses ها را دانلود کند و کاربر را Authorize کند. نکته : برنامه AD RMS Client از نسخه Windows Vista به بعد در خود ویندوز وجود دارد، و برای Windows XP and Windows Server 2003 باید این برنامه را دانلود کنید.


AD RMS Server چگونه کار می کند ؟

بصورت یک Web Service که از IIS استفاده می کند پیاده سازی می شود. که یک ارتباط با Active Directory و یک ارتباط با SQL Server دارد.AD RMS Server دارای کامپوننتهای زیر می باشد :

  1. Administration Web Server : یک Web Service را میزبانی می کند که بوسیله آن و از طریق Administration Console و Power Shell برای مدیریت AD RMS Server استفاده می شود.
  2. Account Certificate : مجوزها و الگوریتم های رمزگذاری (RACs) را برای کاربران و کامپیوترها تولید می کند.
  3. Service Locator : یک URL ایجاد می کند که بوسیله آن خود را در اکتیو دایرکتوری Publish می کند تا کاربران به راحتی به AD RMS Server دسترسی داشته باشند.

و غیره.....

Active Directory Rights Management Services چگونه در سازمان کار می کند ؟

سناریو : Terry Adams مدیر شبکه در ..... می باشد که به تازگی فرم محرمانه ای را نوشته و بنا به درخواست مدیر مربوطه اقای Adams باید این فرم را به خانم Lola Jacobson ارسال کند که بعد از برسی آن را به مدیر واحد ذی ربط ارسال کند. مدیر از اقای Adams خواسته فقط شما و خانم Jacobson باید به این فایل دسترسی داشته باشد و خانم Jacobson نباید از این اطلاعات کپی یا پرینتی بگیرد.

آموزش راه اندازی RMS یا Right Management Services در ویندوز سرور 2012


  1. اقای Adams بعد از تکمیل فرم بوسیله برنامه Word قصد امن کردن آن با AD RMS را دارد که در این لحظه برنامه AD RMS Client اجرا می شود و پارامترهای اولیه را از AD RMS Server را درخواست می کند.
  2. AD RMS Server پارامتر Client Licenses Certificate را برا کلاینت ارسال می کند تا اقای Adams بتواند سند خود را رمزگذاری و مجوزهای مطلوب را اعمال کند.
  3. آقای Adams فایل را به خانم Jacobson بوسیله ایمیل ارسال می کند.
  4. خانم Jacobson فایل را دریافت و آن را اجرا می کند. که با اجرای فایل برنامه ی AD RMS Client اجرا می شود تا مجوز ها و نوع رمزگذاری را ار AD RMS Server دانلود کند.
  5. وقتی Licenses های مربوطه دانلود شد مشخص می شود که خانم Jacobson تنها مجوز Read بر روی این فایل دارد و در نتیجه AD RMS Client فایل را رمزگشائی می کند تا فقط محتویات فایل نمایش داده بشود.


خب! برای پیاده سازی AD RMS چند پیش نیاز وجود دارد :

Active Directory
Certificate Authority Server
SQL Server for best practice
Domain User Account
IIS

نکته : بعضی از Application ها از Self-sing Certificate پشتیبانی نمی کنند و در بعضی جاها شما نمی توانید بدون CA Server قابلیت بالا را پیاده سازی کنید. لینک زیر را بخوانید :

Office 2013 and AD RMS "the user has not been authenticated”

نکته : تمام مراحل پایین در Windows Server 2012 R2 and Windows 8.1 پیاده سازی شده ، در اولین قدم باید یک Forest جدید ایجاد کنید و بعد از آن سرور SQL, AD RMS and Client را عضو Domain کنید. دومین قدم نصب و راه اندازی CA Server می باشد. نکته : بعد از نصب مطمئن بشید که کلاینتها و سرورها CA Server را شناخته و به آن اعتماد داشته باشند. بصورت پیش فرض با اولین Group Policy Update این کار انجام می شود.

آموزش راه اندازی RMS یا Right Management Services در ویندوز سرور 2012



قدم سوم رول AD RMS را نصب می کنیم. برای اینکار در Server Manager گذینه زیر را انتخاب ، نکته : کاربری که AD RMS را نصب می کند باید عضو گروهای Enterprise Admins and Local Administrators باشد. که بعد از نصب می توانید کاربر را از گروه Enterprise Admins حذف کنید.

آموزش راه اندازی RMS یا Right Management Services در ویندوز سرور 2012



آموزش راه اندازی RMS یا Right Management Services در ویندوز سرور 2012



آموزش راه اندازی RMS یا Right Management Services در ویندوز سرور 2012



دکمه Close را کلیک کنید.با نصب رول AD RMS رول IIS هم نصب خواهد شد. بعد از نصب باید برای AD RMS بک Certificate از CA Server درخواست کنیم، برای اینکار به کنسول IIS می رویم و

آموزش راه اندازی RMS یا Right Management Services در ویندوز سرور 2012



آموزش راه اندازی RMS یا Right Management Services در ویندوز سرور 2012



قسمت Common Name مهمه و شما باید FQDN ی را ست کنید که کاربران شما برای اتصال به AD RMS در Web Browser استفاده می کنند.

آموزش راه اندازی RMS یا Right Management Services در ویندوز سرور 2012



CA Server سازمان را انتخاب و یک اسم به آن می دهیم و Finish ، قدم چهارم تنظیمات اولیه AD RMS را انجام می دهیم :

آموزش راه اندازی RMS یا Right Management Services در ویندوز سرور 2012



آموزش راه اندازی RMS یا Right Management Services در ویندوز سرور 2012



گذینه اول را انتخاب می کنیم و Next، نکته : واژه Cluster به معنای پیاده سازی Clustering برای AD RMS نیست بلکه یک نوع اسم گذاری برای Main AD RMS and Member AD RMS می باشد.

آموزش راه اندازی RMS یا Right Management Services در ویندوز سرور 2012


در قسمت بالا شما می توانید دو نوع دیتا بیس برای AD RMS انتخاب کنید. گذینه Use Internal Database اطلاعات AD RMS را روی همین سرور ذخیره می کند و گذینه Specify Database Server باید یک SQL Server را انتخاب کنید. نکته : وقتی گذینه Use Internal Database را انتخاب کنید دیگر قادر نیستید سرور AD RMS دیگری را عضو New Cluster کنید. گذینه WID را انتخاب و Next می کنم.

آموزش راه اندازی RMS یا Right Management Services در ویندوز سرور 2012


در قسمت بالا شما باید یک Standard Domain User (یک کاربر عادی در دومین) را مشخص کنید. این کاربر نیاز به هیچ گونه Permission or Right ندارد. AD RMS از این کاربر برای ارتباط با سرویسهای شبکه و غیره استفاده می کند.

آموزش راه اندازی RMS یا Right Management Services در ویندوز سرور 2012


در قسمت بالا شما مقدار و نوع پروتکلهای رمزگذاری را انتخاب می کنید که دارای دو مد می باشد.
1- Mode 1
2- Mode 2
اگر اگر در ساختار Clientهای قدیمی دارید که از RSA 2048-bit keys پشتیبانی نمی کنند گذینه اول را انتخاب کنید (بعدا می توانید آن را به Mode 2 تنظیم کنید) ولی اگر Clientهای شما این نوع کلید و رمزگذاری را پشتیبانی می کنند گذینه دو را انتخاب کنید. (وقتی Mode 2 را انتخاب کنید دیگر نمی توانید آن را به Mode 1 برگردانید)

آموزش راه اندازی RMS یا Right Management Services در ویندوز سرور 2012


آموزش راه اندازی RMS یا Right Management Services در ویندوز سرور 2012


این پسورد برای Restore کردن بک آپ Cluster یا اضافه کردن Server به AD RMS Cluster استفاده می شود.نکته : این پسورد قابل Recover شدن نیست اگه گم بشه دیگه رفته :)

آموزش راه اندازی RMS یا Right Management Services در ویندوز سرور 2012


وب سایت پیش فرض را انتخاب می کنیم

آموزش راه اندازی RMS یا Right Management Services در ویندوز سرور 2012


FQDN ی که در قسمت Common Name ست کردید باید به عنوان ادرس سایت AD RMS در نظر گرفته شود.

آموزش راه اندازی RMS یا Right Management Services در ویندوز سرور 2012


Certificate ی که برای AD RMS سفارش داده ایم را انتخاب می کنیم

آموزش راه اندازی RMS یا Right Management Services در ویندوز سرور 2012


آموزش راه اندازی RMS یا Right Management Services در ویندوز سرور 2012


مطمئن بشید گذینه اول انتخاب شده باشه و Next

آموزش راه اندازی RMS یا Right Management Services در ویندوز سرور 2012


در آخر Install را کلیک کنید. بعد از اتمام نصب حتما یکبار Log off and Log on کنید.

آموزش راه اندازی RMS یا Right Management Services در ویندوز سرور 2012



خب! شما الان می توانید AD RMS را تنظیم کنید یا الگوها را طبق خواسته سازمان ایجاد کنید و........ که در این مقاله پوش داده نمی شود.قدم بعدی باید FQDN سرور AD RMS را عضو Intranet Explorer Security Zone کلاینتها کنیم. که من از Group Policy Management استفاده می کنم :

User Settings -> Administrative Templates -> Windows Components ->
Internet Explorer -> Internet Control Panel -> Security Page
آموزش راه اندازی RMS یا Right Management Services در ویندوز سرور 2012


با اجرای دستور Gpupdate /force این تنظیمات بر روی کاربران دومین اعمال می شود.

آموزش راه اندازی RMS یا Right Management Services در ویندوز سرور 2012


ولی این روش یک عیب بزرگی دارد که کاربران از این پس قادر به اضاف یا پاک کردن سایتها در این قسمت نیستند. برای همین منظور من از Group Policy Preferences استفاده می کنم.مسیر زیر را دنبال کنید :

User Configuration -> Preferences -> Windows Settings and Registry.
آموزش راه اندازی RMS یا Right Management Services در ویندوز سرور 2012


آموزش راه اندازی RMS یا Right Management Services در ویندوز سرور 2012


تنظیمات را طبق تنظیمات بالا اعمال کنید.در قسمت Key Path عبارت زیر را کپی کنید:

Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\Your_Domain\www

سایت مورد نظر در این سناریو SRV-Core.Koreha.Local به قسمت مورد نظر اضافه می شود بدون اینکه قابلیت Edite کردن این بخش از کاربر گرفته شود.خب! برای تست سناریو من دو گروه از نوع universal با نامهای Engineering and Employee ایجاد می کنم و همچنین دو User به نام Ahmad and Ali ایجاد می کنم.کاربر Ahmad عضو گروه Engineering می باشد و Ali عضو گروه Employee. نکته مهم : AD RMS کاربران و گروه ها را بر حسب Emailهای آنها می شناسد پس باید برای گروه ها و کاربران Email ست کنیم.

آموزش راه اندازی RMS یا Right Management Services در ویندوز سرور 2012


آموزش راه اندازی RMS یا Right Management Services در ویندوز سرور 2012



الان با کاربر Ahmad لاگین می کنم، و یک سند در word ایجاد می کنم، و با AD RMS آن را رمزگذاری و مجوز فقط خواندن به گروه Employee می دهم

آموزش راه اندازی RMS یا Right Management Services در ویندوز سرور 2012


آموزش راه اندازی RMS یا Right Management Services در ویندوز سرور 2012


در قسمت Read ایمیل گروه Employee را می نویسم و OK همچنان می توانید با کلیک بر روی More Options تنظیمات زیادی ست کنید مثلا مجوز Print or Copy را به این گروه بدهید یا می توانید Expires اعمال کنید و ....

آموزش راه اندازی RMS یا Right Management Services در ویندوز سرور 2012



برای اطلاع بیشتر در مورد تنظیمات بالا سایت زیر را بخوانید :

Restrict permission to content in a file


الان Log off می کنم و با کاربر Ali لاگین می کنم و فایل را اجرا می کنم

آموزش راه اندازی RMS یا Right Management Services در ویندوز سرور 2012


Ok کنید.

خیلی جالبه وقتی خواستم از Document عکس بگیرم و محدودیتهای این فایل برای کاربر Ali را نشان بدهم اجازه اینکار را به من نداد!! از ترفند و.... استفاده کردم عکس Document را مشکی کرد :)
وقتی گذینه File را کلیک می کنم بعضی از کاراها را نمی توانم انجام دهم مانند Print, Export, Save and etc به جز مشاهده محتویات سند.

نتیجه گیری :
شما با پیاده سازی Active Directory Rights Management Services می توانید امنیت Human Resources حیاتی و مهم در سازمان را ایمن کنید، که با انتقال این اسناد بر روی کامپیوترهای مختلف حتی کپی کردن آن در Flush Memory از آن اسناد و منابع حمایت کنید. یا حتی می توانید یک تاریخ انقضاء برای استفاده از چنین فایلهای مهم ست کنید. در کل AD RMS ریسک امنیتی فایلهای محرمانه یک سازمان مهم یا دولتی را تا حدودی برطرف می کند.

پیروز و پایدار باشید. احمد جهلولی

منابع :

Test Lab Guide: Deploying an AD RMS Cluster
How AD RMS Works
Active Directory Rights Management Services
Troubleshooting AD RMS client authentication error
Group Policy – Internet Explorer Security Zones


احمد جهلولی
احمد جهلولی

متخصص سرویس های مایکروسافت

سایت شخصی من: https://msdeeplearn.net

نظرات