ExchangeServer2010與RMS整合之二:利用許可權管理模板來保護郵件安全

科技小能手發表於2017-11-12

Exchange Server 2010RMS整合之二:利用許可權管理模板來保護郵件安全

場景:一次沒有硝煙的暗殺之四

主題:小張和小強都是經理,小張看上了一個姑娘小麗,但小張發現還有小強對小麗有興趣,於是一場暗殺就這麼開始了!(劇情純屬娛樂,如有雷同,純屬巧合)

之前已經有了三次的暗殺與反暗殺,最後的結局是小強反敗為勝,因為小強在反暗殺階段分別使用了RMS以及數字簽名和加密,讓小張徹底崩潰!但在實際的工作當中,他發現在使用RMS的時候總是需要手動的進行操作,有時候那面會遺忘去設定許可權,這樣又會給小張可乘之機,小強這次又跟資訊部交流了一下,希望能夠真正的實現自動化,減輕壓力!本著解放使用者的思想,tony答應了幫忙,於是,新一輪的反暗殺有一次精彩的上演!

本次分為以下幾個階段

RMS安裝(前面已經部署過了,這裡省略)

RMS配置

RMS許可權策略模板

傳輸規則

完成測試 

精彩繼續

一 RMS配置

1.1  設定RMS的訪問控制許可權RMS通過Web Service方式來提供服務,預設情況下,這些Web service的許可權是受限制的,Exchange伺服器沒有足夠的許可權來實現對RMS的呼叫,需要手動指定正確的許可權,才能夠實現ExchangeRMS的整合

1.2  首先在安裝RMS的伺服器上,開啟資源管理器

1.3  瀏覽到%systemdrive%inetpubwwwroot\_wmcscertification

1.4  選中Servercertification.asmx,開啟其屬性頁面,切換到安全,然後編輯,新增Exchange Servers組,並給予讀取和讀取和執行

clip_image002

1.5  如果CAL列表中沒有AD RMS Service Group(這是一個本地組),那麼請重複1.4,把這個組也加到CAL裡,並給予讀取和“讀取和執行”

1.6  開啟%systemdrive%inetpubwwwroot\_wmcslicensing,檢視publish.asmx的安全屬性,是否有Exchange ServerAD RMS Service Group2個群組,並確認許可權是否一樣,如果和上面的不同或者沒有這2個群組,請新增並給予許可權

clip_image004

1.7  設定RMS超級使用者組,RMS的超級使用者組中成員,可以不受限制地訪問所有被IRM保護的資料,也就是說,該組的成員可以進行解密工作。預設情況下,超級使用者組是禁用狀態,需要手動進行啟用。同時,這個組需要是一個啟用了郵件功能的通用組(universal group )。前面提到的FederatedEmail.4c1f4d8b-8179-4148-93bf-00a95fa1e042使用者帳號需要加入到這個組中,這個帳號是系統郵箱,從Exchange Management Console中是看不到的,需要使用Exchange Management Shell命令列工具,通過Add-DistributionGroupMember 進行新增。

1.8  開啟EMC-收件人配置通訊組,新建一個RMS通訊組

clip_image006

1.9  開啟Exchange Management Shell,輸入命令

Add-DistributionGroupMember RMS_SuperUsers -Member FederatedEmail.4c1f4d8b-8179-4148-93bf-00a95fa1e042

1.10開啟RMS管理控制檯,展開安全策略,右鍵啟用超級使用者

clip_image008

1.11將前面建立的RMS組新增進去

clip_image010

  1.12開啟Exchange Management Shell,執行命令Get-IRMConfiguration,確保其中的InternalLicensingEnabledTrue狀態。如果為false,則輸入Set-IRMConfiguration -InternalLicensingEnable $trueExchange組織內部啟用RMS功能。

      

  1.13執行命令Test-IRMConfiguration -Sender xiaoqiang@mvp.net

  clip_image013

  1.14 到此,ExchangeRMS的整合已經完成!

 

二 RMS配置許可權模板

  2.1 開啟RMS管理控制檯,新建一個分散式許可權策略模板

  clip_image015

  2.2 設定名稱以及描述

clip_image016

  2.3 小強發給小麗的郵件,預設情況下,小強不想小麗轉發列印等,只給她檢視就行了防止意外發生

clip_image017

  2.4 有效期,看個人需求了!後面的都預設,最後完成即可

clip_image018

 

三 配置傳輸規則

  3.1 開啟EMC-組織配置集線器傳輸,新建一條傳輸規則

clip_image020

  3.2 新增過濾條件,為了方便,他們之間已經商量了一個暗語,就是TT,所以就新增了一個關鍵字“TT”!

  3.3 這裡我們選擇“採用RMS模板的許可權保護郵件”,並選擇我們剛剛建立的“小強專用”模板

clip_image023

  3.4 後面的根據情況選擇,最後完成!

四 最終測試

  4.1 開啟小強的郵件,新建一封給小麗,特別要注意新增一個“TT”關鍵字

clip_image024

  4.2 我們開啟小麗的郵箱,檢視收到的郵件,提示輸入賬號進行驗證!

clip_image026

  4.3 通過驗證之後,可以看到,授權人是小強,響應的RMS模板是“小強專用”,也發現沒有辦法轉發以及列印等操作!

clip_image027

clip_image029

4.4 有同學說可以截圖,當然這個也是不可以的哈

clip_image031

  4.5 其實安全都是相對的,沒有絕對的,用微軟自身的截圖軟體肯定是不可以的,但你要是用第三方的,到現在為止還沒有一個很好的方案!如果有的,可以留言,有時間測試一下!

 

 

總結,根據這一個案例,其實我們可以做很多事情的,比如主題中涉及到工資,商務等資訊的可以自動為公司的需要進行授權只能檢視,還有過期郵件等,不需要我們人工的在去考量這件事!希望大家可以舉一反三!

 

累了,請允許我放鬆一下哈! Music。。。。。

 附錄:本篇解決論壇的問題:http://bbs.51cto.com/thread-1012884-1.html

 RMS的詳細資料請參考:http://technet.microsoft.com/zh-cn/library/cc771307(WS.10).aspx

IT之夢

2013116日星期三




本文轉自 IT之夢 51CTO部落格,原文連結:http://blog.51cto.com/itmydream/1120146


相關文章