TÌM HIỂU VỀ ACTIVE DIRECTORY RIGHT MANAGEMENT
Tên đề tài
Bảo mật dữ liệu với Active Directory Right Management Service ( AD RMS ) trong Windows Sever 2008
Tổng quan về Windows Server 2008
Windows Server 2008 là hệ điều hành Windows Server tiên tiến nhất hiện nay, được thiết kế để nâng cao hiệu suất cho các mạng, ứng dụng và dịch vụ web thế hệ mới Với Windows Server 2008, bạn có thể phát triển, triển khai và quản lý các trải nghiệm người dùng và ứng dụng đa dạng, đồng thời xây dựng hạ tầng mạng có tính bảo mật cao Sản phẩm giúp tăng cường hiệu quả công nghệ và tối ưu giá trị trong tổ chức của bạn, phù hợp với yêu cầu phát triển và mở rộng của doanh nghiệp hiện đại.
Windows Server 2008 kế thừa thành công và thế mạnh của các hệ điều hành Windows Server trước đó, mang đến những tính năng mới có giá trị và cải tiến vượt trội Công cụ Web mới, công nghệ ảo hóa tiên tiến, tính bảo mật nâng cao cùng các tiện ích quản lý giúp tiết kiệm thời gian, giảm chi phí và xây dựng nền tảng vững chắc cho hạ tầng CNTT của doanh nghiệp.
1.2.1 Nền tảng chắc chắn dành cho doanh nghiệp
Windows Server 2008 là nền tảng vững chắc, đáp ứng tối đa các yêu cầu về ứng dụng và chế độ làm việc cho máy chủ, đồng thời dễ dàng triển khai và quản lý, giúp doanh nghiệp tối ưu hóa hiệu suất hệ thống của mình.
Windows Server 2008 hỗ trợ đầy đủ Giao thức Internet phiên bản 6 (IPv6) và clustering, giúp dễ dàng triển khai hệ thống với khả năng sẵn sàng cao Tính năng quản lý hợp nhất Network Load Balancing cũng tăng cường khả năng mở rộng và ổn định cho các dịch vụ mạng, ngay cả đối với những người có kiến thức công nghệ thông tin cơ bản nhất.
Tùy chọn cài đặt mới Server Core của Windows Server 2008 cho phép cài đặt các vai trò máy chủ chỉ với các thành phần và hệ thống phụ cần thiết, giúp giảm thiểu công việc cho ổ đĩa và dịch vụ Việc này cũng làm giảm các bề mặt tấn công, nâng cao khả năng bảo mật của hệ thống Sản phẩm còn cho phép nhân viên CNTT tùy biến đặc tả theo các vai trò máy chủ cần hỗ trợ, tối ưu hóa hiệu suất vận hành.
1.2.2 Tích hợp Công nghệ Ảo hóa (Virtualization)
Windows Server Hyper-V là công nghệ ảo hóa thế hệ kế tiếp dành cho máy chủ dựa trên hypervisor, giúp tối đa hóa hiệu quả đầu tư phần cứng bằng cách hợp nhất nhiều vai trò máy chủ thành các máy ảo độc lập trên một máy vật lý duy nhất Công nghệ này còn cho phép chạy đồng thời nhiều hệ điều hành như Windows, Linux và các hệ điều hành khác một cách hiệu quả trên cùng một máy chủ duy nhất Với Hyper-V và chính sách cấp phép dễ dàng, doanh nghiệp có thể tận dụng tối đa các lợi ích về tiết kiệm chi phí và ảo hóa một cách đơn giản, hiệu quả hơn bao giờ hết.
Nhờ các công nghệ truy cập ứng dụng tập trung của Windows Server 2008, các ứng dụng được ảo hóa hiệu quả, giúp người dùng truy cập từ xa dễ dàng Terminal Services Gateway và Terminal Services RemoteApp cho phép truy cập các chương trình Windows từ bất kỳ vị trí nào bằng cách chạy trên máy chủ đầu cuối thay vì trực tiếp trên máy trạm Điều này loại bỏ sự cần thiết của một mạng riêng ảo (VPN) phức tạp, nâng cao tính tiện lợi và bảo mật cho người dùng.
1.2.3 Được xây dựng phục vụ Web
Windows Server 2008 introduced Internet Information Services (IIS) 7.0, a user-friendly web server platform designed to securely develop and host web applications and services Key features of IIS 7.0 include a modular architecture that enhances flexibility and scalability, enabling administrators to customize and extend server functionality easily This platform emphasizes improved security measures to ensure reliable web hosting, making it an ideal choice for businesses seeking a robust web infrastructure.
Internet Information Server IIS 7.0 kết hợp với NET Framework 3.0 tạo nền tảng toàn diện để xây dựng các ứng dụng kết nối người dùng và dữ liệu, giúp hình ảnh hóa, chia sẻ và thao tác thông tin dễ dàng Ngoài ra, IIS 7.0 còn giữ vai trò trung tâm trong việc tích hợp các công nghệ nền tảng Web của Microsoft như ASP.NET, Windows Communication Foundation và Windows SharePoint Services, nâng cao hiệu quả phát triển và quản lý hệ thống web.
Windows Server 2008 là hệ điều hành Windows Server an toàn nhất từ trước đến nay, được củng cố để bảo vệ chống lại hỏng hóc và tấn công mạng Công nghệ Network Access Protection (NAP) đảm bảo mọi máy tính kết nối vào mạng của bạn phải tuân thủ chính sách bảo mật, nâng cao khả năng kiểm soát truy cập Tích hợp các tính năng nâng cao giúp dịch vụ Active Directory trở thành giải pháp IDA mạnh mẽ, tích hợp và dễ quản lý hơn Ngoài ra, tính năng Read-Only Domain Controller (RODC) và mã hóa ổ đĩa bằng BitLocker giúp triển khai cơ sở dữ liệu AD an toàn hơn trên các chi nhánh của doanh nghiệp.
1.2.5.Tính toán hiệu năng cao
Windows Server 2008 mở rộng các lợi ích về tiết kiệm chi phí lên Windows HPC Server 2008, hỗ trợ môi trường tính toán hiệu năng cao (HPC) với khả năng mở rộng tới hàng nghìn lõi xử lý, tăng hiệu suất và giảm độ phức tạp của môi trường HPC Windows HPC Server 2008 xây dựng dựa trên nền tảng Windows Server 2008, công nghệ 64-bit, cung cấp các công cụ triển khai, quản trị và giám sát dễ dàng tích hợp với hạ tầng CNTT hiện có, giúp triển khai rộng rãi và nâng cao trải nghiệm người dùng từ ứng dụng máy bàn đến các cụm máy chủ AD RMS là phương pháp kiểm soát quyền truy cập dữ liệu bằng cách mã hóa dữ liệu ở mức 128-bit, gắn chứng chỉ số để đảm bảo tính an toàn trong quá trình lưu trữ và chuyển giao dữ liệu, yêu cầu người nhận phải cung cấp thông tin xác thực qua tài khoản AD để xác định quyền truy cập Giải pháp AD RMS của Microsoft được thiết kế thân thiện với người dùng, giúp doanh nghiệp dễ dàng triển khai mà không tốn nhiều công sức hay thời gian Để sử dụng AD RMS, doanh nghiệp cần có hạ tầng quản trị danh tính Active Directory 2008 và hệ thống PKI nội bộ để cung cấp chứng chỉ số, cùng với các ứng dụng liên quan phù hợp với nhu cầu ứng dụng RMS AD RMS hỗ trợ bảo vệ các loại tài liệu từ Microsoft Office như Word, Excel, PowerPoint, InfoPath, cũng như email và thư thoại, nâng cao khả năng bảo mật dữ liệu trong tổ chức.
1.4 Ứng dụng của AD RMS 1.4.1 AD RMS và vấn đề chống thất thoát dữ liệu qua đường email
Hình 1: Người dùng thực hiện phân quyền truy cập thông tin trên Outlook
Việc chia sẻ và trao đổi qua email đã trở thành phần không thể thiếu trong hoạt động đối nội và đối ngoại của doanh nghiệp Chính vì vậy, bảo vệ dữ liệu trên các kênh email là nhiệm vụ hàng đầu để phòng ngừa rò rỉ thông tin quan trọng Ứng dụng các giải pháp an ninh email giúp kiểm soát truy cập, mã hóa dữ liệu, và ngăn chặn các nguy cơ mất mát dữ liệu quan trọng của doanh nghiệp Thực hiện các chính sách an ninh phù hợp và đào tạo nhân viên về an toàn thông tin trên email là bước quan trọng để đảm bảo doanh nghiệp luôn bảo vệ dữ liệu một cách hiệu quả.
Chế độ chống thất thoát dữ liệu RMS được áp dụng cho cả quá trình gửi và nhận trong phần mềm Outlook trên máy trạm và Outlook Mobile trên điện thoại di động, giúp bảo vệ thông tin quan trọng Người dùng có thể thiết lập các chính sách phân quyền truy cập dựa trên các mẫu có sẵn hoặc do bộ phận IT tùy chỉnh, đảm bảo kiểm soát an toàn dữ liệu hiệu quả.
- Cấm chuyển đi (Do Not Forward): được dùng để ngăn chặn người dùng chuyển nội dung email cho người thứ ba
Chức năng "Cấm gửi lại cho tất cả mọi người trong loop mail" (Do Not Reply All) giúp ngăn chặn người nhận phản hồi email và gửi trả lại cho toàn bộ những người trong vòng email, ngoại trừ người gửi ban đầu Điều này giúp kiểm soát luồng trao đổi thông tin, giảm thiểu tình trạng email lặp lại không cần thiết và giữ cho danh sách gửi email giữ đúng mục đích ban đầu Sử dụng chức năng này là một cách hiệu quả để duy trì giao tiếp chuyên nghiệp, tiết kiệm thời gian và tối ưu hóa quản lý email trong môi trường làm việc.
Nội dung email "Chỉ đọc" (Read Only) là phương thức hạn chế người nhận sao chụp, in ấn hoặc lưu file đính kèm xuống máy tính, nhằm bảo vệ tính bảo mật của thông tin Thường, chế độ này đi kèm với mẫu email "Không chuyển tiếp" (Do Not Forward) để ngăn chặn việc chia sẻ trái phép nội dung email Việc sử dụng chế độ Read Only giúp kiểm soát quyền truy cập và đảm bảo thông điệp không bị sao chép hoặc phân phối ngoài ý muốn.
Ứng dụng của AD RMS
Hình 1: Người dùng thực hiện phân quyền truy cập thông tin trên Outlook
Việc chia sẻ và trao đổi qua email đã trở thành hoạt động không thể thiếu trong hoạt động đối nội và đối ngoại của doanh nghiệp Chính vì vậy, vấn đề bảo vệ dữ liệu trên kênh email là vô cùng quan trọng để ngăn chặn thất thoát thông tin nhạy cảm Do đó, các doanh nghiệp cần chú trọng đến các giải pháp bảo mật email nhằm đảm bảo an toàn cho dữ liệu và bảo vệ thông tin doanh nghiệp hiệu quả.
Hệ thống chống thất thoát dữ liệu RMS bảo vệ an toàn thông tin cả trong quá trình gửi và nhận email, phù hợp với phần mềm Outlook trên máy tính và Outlook Mobile trên điện thoại di động Người dùng có thể áp dụng các chính sách phân quyền truy cập dựa trên các template đã được thiết lập sẵn hoặc do bộ phận IT cấu hình, đảm bảo kiểm soát truy cập chặt chẽ và nâng cao bảo mật dữ liệu doanh nghiệp.
- Cấm chuyển đi (Do Not Forward): được dùng để ngăn chặn người dùng chuyển nội dung email cho người thứ ba
Chức năng "Cấm gửi lại cho tất cả mọi người trong loop mail" (Do Not Reply All) giúp ngăn chặn người nhận phản hồi lại email cho toàn bộ người trong chuỗi thư, ngoại trừ người gửi ban đầu Việc sử dụng tính năng này nâng cao hiệu quả giao tiếp và tránh làm rối loạn email, đặc biệt trong các cuộc họp hoặc dự án nhóm lớn.
Email chỉ đọc (Read Only) là chế độ hạn chế người nhận sao chụp, in ấn hoặc lưu file đính kèm xuống máy tính, đảm bảo an toàn thông tin Thường đi kèm với mẫu email “Không chuyển tiếp” (Do Not Forward) để ngăn chặn việc chia sẻ nội dung trái phép Phương thức này giúp bảo vệ dữ liệu quan trọng, duy trì tính bảo mật của email và hạn chế rò rỉ thông tin.
Nội dung email bị giới hạn theo nhóm người dùng (Company User Group Confidential) để bảo vệ thông tin nhạy cảm liên quan đến nhân sự, chính sách công ty và dữ liệu mật, giúp đảm bảo rằng các thông tin quan trọng này không bị rò rỉ ra ngoài nhóm người dùng mong muốn.
Nội dung chỉ được xem trong thời gian nhất định (Expire Date), đặc biệt áp dụng cho các tài liệu tối mật, nhằm đảm bảo an toàn và bảo mật thông tin Người dùng chỉ có thể truy cập và xem các tài liệu này trong khoảng thời gian quy định, giúp hạn chế rủi ro rò rỉ dữ liệu Chính sách này là yếu tố quan trọng trong quản lý dữ liệu nhạy cảm, đảm bảo tuân thủ các quy định về bảo mật thông tin.
Hình 2: Quyền tương tác nội dung của người nhận bị giới hạn
Trong Exchange 2010, bộ phận IT và pháp chế có thể thiết lập các bộ lọc RMS tự động để áp đặt chính sách từ phía máy chủ, giúp phòng ngừa tình trạng người dùng quên cấu hình RMS khi soạn email Chính sách RMS tự động được áp dụng tại nhóm máy chủ Hub Transport thông qua các Transport Rule, đảm bảo mọi email đi qua hệ thống đều được kiểm tra nội dung dựa trên các quy tắc đã thiết lập Ví dụ, Exchange 2010 có thể tự động áp dụng chính sách cho các email chứa chuỗi ID đơn hàng dạng n-nnnn-nnnn, giúp kiểm soát dữ liệu nhạy cảm và nâng cao bảo mật thông tin doanh nghiệp.
1.4.2 AD RMS và vấn đề chống thất thoát cho các loại dữ liệu trên máy chủ- hưởng đến tính toàn vẹn và cơ chế phân quyền tương tác thông tin”, ông Trần Văn Huệ, giám đốc công ty Nhất Nghệ nhận xét Người dùng cũng có thể thiết lập các chính sách phân quyền do công ty thiết lập tương tự như nội dung email chẳng hạn chỉ đọc cấm in cấm copy cấm chỉnh sửa, chỉ cho những nhóm người dùng nhất định truy cập, thiết lập ngày hết hạn Các hình dưới cho thấy người dùng có thể thiết lập chính sách kiểm soát quyền truy cập nội dung ngay từ tài liệu văn phòng và bất kể họ mở tài liệu được lưu ở đâu thì đều bị RMS kiểm soát quyền truy cập
Hình 5: Thiết lập RMS trên tài liệu Microsoft Word 2010
Hình 6: Mở tài liệu Word lưu trên file server được bảo vệ bằng RMS
Năm 2008, Microsoft hợp tác với hãng bảo mật RSA để phát triển giải pháp bảo mật nội dung thông tin Kết quả là, RSA Data Loss Prevention có thể áp dụng các chính sách AD RMS cho toàn bộ hệ thống tài liệu, đồng thời Microsoft tích hợp tính năng phân loại nội dung “File Classification” vào Windows Server 2008 Tính năng này giúp doanh nghiệp dễ dàng thiết lập các bộ lọc để phân loại dữ liệu trên máy chủ file server và áp dụng chính sách RMS đối với chúng Ví dụ, IT có thể tạo bộ lọc nội dung dựa trên chuỗi ký tự dạng n-n-n-n để phân loại và bảo vệ các tài liệu chứa chuỗi ký tự này trên máy chủ.
Hình 7: Khả năng phân loại và áp đặt RMS cho tài liệu trên Windows Server 2008
AD RMS có thể được áp dụng cho các hình thức lưu trữ nội dung khác như Voice Mail trên Microsoft Exchange hoặc tài liệu trên cổng thông tin SharePoint 2007/2010 Nhờ khả năng tích hợp sâu giữa SharePoint và AD cũng như AD RMS, các tài liệu được mã hóa bằng RMS vẫn có thể được index để người dùng tìm kiếm như các tài liệu không mã hóa Khi lưu trên SharePoint, tài liệu được gỡ bỏ mã hóa RMS và lưu dưới dạng mã hóa trong SQL Database, cho phép toàn bộ nội dung của tài liệu được index dễ dàng Khi người dùng truy cập và tải tài liệu từ cổng thông tin, tài liệu đó sẽ được mã hóa lại dưới dạng RMS để bảo vệ dữ liệu.
Hình 8: Thiết lập chính sách quản lý quyền truy cập thông tin trên Sharepoint 2007
AD RMS mặc định có khả năng bảo vệ các dữ liệu văn phòng Microsoft và thư tín Để mở rộng tính năng của RMS cho các loại tài liệu khác như PDF, CAD/CAM, hình ảnh và các định dạng khác, khách hàng có thể sử dụng phần mềm phụ trợ của bên thứ ba như Gigatrust, Liquidmachine hoặc Foxit (đặc biệt cho tài liệu PDF).
AD RMS quản lý quyền truy cập dựa trên định danh trong Active Directory, đảm bảo kiểm soát quyền riêng tư nội dung Tuy nhiên, để mở rộng quyền này ra ngoài intranet, doanh nghiệp cần thiết lập các cơ chế bổ sung như RMS liên doanh nghiệp qua Active Directory Federation Service hoặc sử dụng TUD/TPD Điều này giúp đảm bảo an toàn và kiểm soát quyền truy cập dữ liệu khi nội dung được chia sẻ ra bên ngoài tổ chức.
CẤU HÌNH AD RMS
Chuẩn bị
- Một máy Windows Server 2008 đã nâng cấp Domain Controller (trong bài lab sử dụng MS Virtual PC)
- Mở Microsoft Virtual PC, khởi động máy ảo WIN2K3_DC, log on Administrator password P@ssword
- Tạo lần lượt các users trong bảng sau:
- Cho user RMSAdmin làm thành viên của group Domain Admins
- Mở Properties user Administrator, điền thêm thông tin E-mail là Administrator@lab.com
- Mở Properties user U1, điền thêm thông tin E-mail là u1@lab.com
- Mở Properties user U2, điền thêm thông tin E-mail là u2@lab.com
Thực hiện
- Mở Server Manager từ Administrative Tools, chuột phải Roles, chọn Add Roles
- Trong cửa sổ Before You Begin, chọn Next
- Cửa sổ Select Server Roles, đánh dấu chọn vào ô Active Directory Rights Management Services
- Trong hộp thoại Add Roles Wizard chọn Add Required Features
- Cửa sổ Select Server Roles, chọn Next
- Cửa sổ Active Directory Rights Management Services, chọn Next
- Cửa sổ Select Role Services, kiểm tra có đánh dấu chọn Active Directory Rights Management Server, chọn Next
- Cửa sổ Create or Join an AD RMS Cluster, chọn Next
- Cửa sổ Select Configuration Database, chọn Next
- Cửa sổ Specify Service Account, chọn Specify…
- Cửa sổ Add Roles Wizard, nhập user RMSAdmin password P@ssword, chọn OK
- Cửa sổ Configure AD RMS Cluster Key Storage, chọn Use AD RMS centrally managed key storage, chọn Next
- Cửa sổ Specify AD RMS Cluster Key Password, nhập P@ssword vào ô Password và Confirm Password, chọn Next
- Cửa sổ Select AD RMS Cluster Web Site, chọn Default Web Site,chọn Next
- Cửa sổ Specify Cluster Address, chọn Use an SSL-encrypted connection (https://), chọn Next
- Cửa sổ Choose a Server Authentication Certificate for SSL Encryption, chọn Create a self-signed certificate for SSL encryption, chọn Next
- Cửa sổ Name the Server Licensor Certificate, nhập tên máy Server (vd: PCxx)vào ô Name, chọn Next
- Cửa sổ Register AD RMS Service Connection Point, chọn Register the AD RMS service connection point now, chọn Next
- Cửa sổ Web Server (IIS), chọn Next
- Cửa sổ Select Role Servics, chọn Next
- Cửa sổ Confirm Installation Selections, chọn Install
- Sau khi cài đặt thành công, cửa sổ Installation Results, chọn Close Lưu ý: Sau khi cài đặt thành công phải restart máy
- Mở Active Directory Rights Management Services từ Administrative Tools
- Trong hộp thoại Seciurity Alert, chọn View Certificate
- Cửa sổ Certificate, chọn Install Certificate
- Cửa sổ Welcome to the Certificate Import Wizard, chọn Next
- Cửa sổ Certificate Store, chọn Place all certificate in the following store, trong ô
- Certificate store, trỏ đường dẫn đến Trusted Root Certification Authorities, chọn Next
- Cửa sổ Completing the Certificate Import Wizard, chọn Finish
- Trong hộp thoại Security Warning, chọn Yes
- Hộp thoại Certificate Import Wizard, chọn OK
- Trong cửa sổ Active Directory Rights Management Services, bung RMS server (vd: PC01.msopenlab.com), kiểm tra cấu hình RMS thành công
2.2.3 Phân quyền trên tài nguyên
- Mở Windows Exprorer, tạo file C:\Data\tailieu.doc có nội dung tùy ý
- Mở file tailieu.doc, click vào biểu tượng , chọn Prepare, chọn Retrict Permission, chọn Restricted Access
- Cửa sổ Permission, add U1 vào ô Read, U2 vào ô Change, chọn OK
- Log on user U1 password P@ssword
- Mở Windows Explorer, vào C:\Data mở tailieu.doc, cửa sổ chứng thực nhập user U1 password P@ssword, chọn OK
- Hộp thoại Security Alert, chọn Yes
- Hộp thoại Microsoft Office chọn OK
- Cửa sổ Microsoft Word, tại thanh Restricted Access chọn View Permission…
- Kiểm tra quyền của U1 trên tailieu.doc
- Tương tự như các bước trên, logon user U2 password P@ssword, vào C:\Data mở file tailieu.doc
- Trong hộp thoại chứng thực, nhập user U2 password P@ssword
- Cửa sổ Microsoft Word, tại thanh Restricted Access chọn View Permission…
- Kiểm tra quyền của U2 trên tailieu.doc