ExchangeServer2010與RMS整合之二:利用許可權管理模板來保護郵件安全
Exchange Server 2010與RMS整合之二:利用許可權管理模板來保護郵件安全
場景:一次沒有硝煙的暗殺之四
主題:小張和小強都是經理,小張看上了一個姑娘小麗,但小張發現還有小強對小麗有興趣,於是一場暗殺就這麼開始了!(劇情純屬娛樂,如有雷同,純屬巧合)
之前已經有了三次的暗殺與反暗殺,最後的結局是小強反敗為勝,因為小強在反暗殺階段分別使用了RMS以及數字簽名和加密,讓小張徹底崩潰!但在實際的工作當中,他發現在使用RMS的時候總是需要手動的進行操作,有時候那面會遺忘去設定許可權,這樣又會給小張可乘之機,小強這次又跟資訊部交流了一下,希望能夠真正的實現自動化,減輕壓力!本著解放使用者的思想,tony答應了幫忙,於是,新一輪的反暗殺有一次精彩的上演!
本次分為以下幾個階段
RMS安裝(前面已經部署過了,這裡省略)
RMS配置
RMS許可權策略模板
傳輸規則
完成測試
精彩繼續
一 RMS配置
1.1 設定RMS的訪問控制許可權RMS通過Web Service方式來提供服務,預設情況下,這些Web service的許可權是受限制的,Exchange伺服器沒有足夠的許可權來實現對RMS的呼叫,需要手動指定正確的許可權,才能夠實現Exchange與RMS的整合
1.2 首先在安裝RMS的伺服器上,開啟資源管理器
1.3 瀏覽到%systemdrive%inetpubwwwroot\_wmcscertification
1.4 選中Servercertification.asmx,開啟其屬性頁面,切換到安全,然後編輯,新增Exchange Servers組,並給予讀取和讀取和執行
1.5 如果CAL列表中沒有AD RMS Service Group(這是一個本地組),那麼請重複1.4,把這個組也加到CAL裡,並給予讀取和“讀取和執行”
1.6 開啟%systemdrive%inetpubwwwroot\_wmcslicensing,檢視publish.asmx的安全屬性,是否有Exchange Server和AD RMS Service Group這2個群組,並確認許可權是否一樣,如果和上面的不同或者沒有這2個群組,請新增並給予許可權
1.7 設定RMS超級使用者組,RMS的超級使用者組中成員,可以不受限制地訪問所有被IRM保護的資料,也就是說,該組的成員可以進行解密工作。預設情況下,超級使用者組是禁用狀態,需要手動進行啟用。同時,這個組需要是一個啟用了郵件功能的通用組(universal group )。前面提到的FederatedEmail.4c1f4d8b-8179-4148-93bf-00a95fa1e042使用者帳號需要加入到這個組中,這個帳號是系統郵箱,從Exchange Management Console中是看不到的,需要使用Exchange Management Shell命令列工具,通過Add-DistributionGroupMember 進行新增。
1.8 開啟EMC-收件人配置–通訊組,新建一個RMS通訊組
1.9 開啟Exchange Management Shell,輸入命令
Add-DistributionGroupMember RMS_SuperUsers -Member FederatedEmail.4c1f4d8b-8179-4148-93bf-00a95fa1e042
1.10開啟RMS管理控制檯,展開安全策略,右鍵啟用超級使用者
1.11將前面建立的RMS組新增進去
1.12開啟Exchange Management Shell,執行命令Get-IRMConfiguration,確保其中的InternalLicensingEnabled是True狀態。如果為false,則輸入Set-IRMConfiguration -InternalLicensingEnable $true在Exchange組織內部啟用RMS功能。
1.13執行命令Test-IRMConfiguration -Sender xiaoqiang@mvp.net
1.14 到此,Exchange與RMS的整合已經完成!
二 RMS配置許可權模板
2.1 開啟RMS管理控制檯,新建一個分散式許可權策略模板
2.2 設定名稱以及描述
2.3 小強發給小麗的郵件,預設情況下,小強不想小麗轉發列印等,只給她檢視就行了防止意外發生
2.4 有效期,看個人需求了!後面的都預設,最後完成即可
三 配置傳輸規則
3.1 開啟EMC-組織配置—集線器傳輸,新建一條傳輸規則
3.2 新增過濾條件,為了方便,他們之間已經商量了一個暗語,就是TT,所以就新增了一個關鍵字“TT”!
3.3 這裡我們選擇“採用RMS模板的許可權保護郵件”,並選擇我們剛剛建立的“小強專用”模板
3.4 後面的根據情況選擇,最後完成!
四 最終測試
4.1 開啟小強的郵件,新建一封給小麗,特別要注意新增一個“TT”關鍵字
4.2 我們開啟小麗的郵箱,檢視收到的郵件,提示輸入賬號進行驗證!
4.3 通過驗證之後,可以看到,授權人是小強,響應的RMS模板是“小強專用”,也發現沒有辦法轉發以及列印等操作!
4.4 有同學說可以截圖,當然這個也是不可以的哈
4.5 其實安全都是相對的,沒有絕對的,用微軟自身的截圖軟體肯定是不可以的,但你要是用第三方的,到現在為止還沒有一個很好的方案!如果有的,可以留言,有時間測試一下!
總結,根據這一個案例,其實我們可以做很多事情的,比如主題中涉及到工資,商務等資訊的可以自動為公司的需要進行授權只能檢視,還有過期郵件等,不需要我們人工的在去考量這件事!希望大家可以舉一反三!
累了,請允許我放鬆一下哈! Music。。。。。
附錄:本篇解決論壇的問題:http://bbs.51cto.com/thread-1012884-1.html
RMS的詳細資料請參考:http://technet.microsoft.com/zh-cn/library/cc771307(WS.10).aspx
IT之夢—你—我—他
2013年1月16日星期三
本文轉自 IT之夢 51CTO部落格,原文連結:http://blog.51cto.com/itmydream/1120146
相關文章
- ExchangeServer2010安全郵件之RMSServer
- 如何保護電子郵件安全
- ADRMS保護電子郵件安全
- Android 廣播許可權保護Android
- SpringBoot與Shiro整合-許可權管理Spring Boot
- Vue2.0 + ElementUI 手寫許可權管理系統後臺模板(二)——許可權管理VueUI
- 七個技巧保護你的電子郵件安全
- Android程式保活(二):利用 Notification 提升許可權Android
- CACTER郵件安全共建網路安全315:保護郵件系統,從處理emotet病毒郵件開始!
- SpringBoot整合Mail傳送郵件&傳送模板郵件Spring BootAI
- 利用sudo命令為Ubuntu分配管理許可權(轉)Ubuntu
- Linux-許可權管理(ACL許可權)Linux
- ExchangeServer2010安全郵件之數字簽名/加密Server加密
- MySQL 使用者管理與許可權管理MySql
- Exchange Server 2016管理系列課件11.管理郵箱代理髮送許可權Server
- django許可權之二級選單Django
- Oracle 使用者許可權管理與常用許可權資料字典列表Oracle
- PostgreSQL:許可權管理SQL
- Mysql——許可權管理MySql
- Mysql 許可權管理MySql
- oracle 許可權管理Oracle
- sql許可權管理SQL
- 許可權管理策略
- MySQL許可權管理MySql
- 4、許可權管理
- MongoDB 使用者與許可權管理MongoDB
- Linux賬戶與許可權管理Linux
- MySQL使用者與許可權管理MySql
- django開發之許可權管理(一)——許可權管理詳解(許可權管理原理以及方案)、不使用許可權框架的原始授權方式詳解Django框架
- 資料庫安全之許可權與角色資料庫
- 單點登入與許可權管理本質:cookie安全問題Cookie
- 駭客入侵微軟郵件伺服器、Windows零日漏洞可獲管理員許可權|11月23日全球網路安全熱點微軟伺服器Windows
- Linux 許可權管理之目錄許可權限制Linux
- Security 10:許可權管理
- SQL Server 許可權管理SQLServer
- 許可權管理[Linux]Linux
- MongoDB 3.0.8 許可權管理MongoDB
- 【許可權管理】Oracle中檢視、回收使用者許可權Oracle