Bảo mật dữ liệu với active directory right management services trong windows server 2008

Với Windows Server 2008, bạn có thể phát triển, cung cấp và quản lý các trải nghiệm người dùng và ứng dụng phong phú, đem tới một hạ tầng mạng có tính bảo mật cao, và tăng cường hiệu quả

Tr-êng §¹i häc Vinh

khoa C«ng nghÖ th«ng tin

-   -

RIGHT MANAGEMENT SERVICES TRONG

WINDOWS SERVER 2008

Gi¸o viªn h-íng dÉn : TS Lª Ngäc Xu©n

Sinh viªn thùc hiÖn : NguyÔn Ch-¬ng Kh¸nh

Líp : 48K -CNTT

LỜI MỞ ĐẦU

Trong thời đại ngày nay, công nghệ thông tin ngày càng phát triển mạnh thì tình trạng thất thoát thông tin dữ liệu ngày càng lớn gây ra những hậu quả cực kỳ nặng nề cho các cá nhân, tổ chức, công ty hay doanh nghiệp

Theo báo cáo mới nhất về an ninh toàn cầu của Microsoft thì vấn đề thất thoát thông tin trong doanh nghiệp và chính phủ ngày càng phổ biến với mức độ thiệt hại không

hề thua kém so với virus hay mã độc.Điều này cũng rất dễ hiểu vì ngày nay thông tin không còn bị bó hẹp trong phạm vi công ty hay vùng miền mà nó có thể được phát tán trên phạm vi toàn cầu chỉ trong vài giờ Điển hình đó là vụ website Wikileak chia sẻ thông tin mật về chiến tranh Iraq của Bộ Quốc Phòng Mỹ hay vụ tập đoàn Boeing mất 382.000 tệp thông tin mật mà mất mát tài chính và uy tín là vô cùng lớn.“Những phương thức bảo mật thông tin truyền thống như tường lửa hay phân quyền truy cập tập tin hay thư mục bằng ACL không thể ngăn ngừa được thất thoát dữ liệu khi laptop hay USB bị mất cũng như được truyền qua đường thư điện tử hay thư thoại Với vai trò là công ty cung cấp dịch vụ hạ tầng chủ chốt cho doanh nghiệp trên toàn cầu với các sản phẩm như Active Directory, Microsoft Exchange Server, công ty Microsoft đã đưa ra nhiều giải pháp giúp khách hàng giảm thiểu nguy cơ mất mát thông tin xuống mức thấp nhất”, ông

Đỗ Huy Hoàng, phụ trách sản phẩm và giải pháp cho Máy chủ của Microsoft chia sẻ Cụ thể là để chống lại rủi ro do mất máy tính hay USB thì khách hàng có thể ứng dụng giải pháp mã hóa Bitlocker cho các thiết bị này Việc triển khai Active Directory Right Management Services (AD RMS) giúp chống thất thoát dữ liệu được lưu trên file server, email, cổng thông tin, máy tính cá nhân hoặc điện thoại di động dưới hình thức kiểm soát

“quyền tương tác với thông tin” Trong phạm vi đề tài này, chúng ta sẽ tập trung tìm hiểu

về các ứng dụng nổi bật nhất và cách để cấu hình AD RMS trong Windows Server 2008

Đồ án này được hoàn thành nhờ sự giúp đỡ chu đáo tận tình của Giảng viên, Ts

MỤC LỤC

LỜI MỞ ĐẦU 1

CHƯƠNG 1 : TÌM HIỂU VỀ ACTIVE DIRECTORY RIGHT MANAGEMENT SERVICES ( AD RMS ) 4

1.1 Tên đề tài 4

1.2 Tổng quan về Windows Server 2008 4

1.2.1 Nền tảng chắc chắn dành cho doanh nghiệp 4

1.2.2 Tích hợp Công nghệ Ảo hóa (Virtualization) 5

1.2.3 Được xây dựng phục vụ Web 5

1.2.4 Bảo mật cao 6

1.2.5.Tính toán hiệu năng cao 6

1.3 AD RMS là gì ? 6

1.4 Ứng dụng của AD RMS 7

1.4.1 AD RMS và vấn đề chống thất thoát dữ liệu qua đường email 7

1.4.2 AD RMS và vấn đề chống thất thoát cho các loại dữ liệu trên máy chủ-máy trạm-USB 9

1.4.3 AD RMS mở rộng 12

CHƯƠNG 2 : CẤU HÌNH AD RMS 14

2.1 Chuẩn bị 14

2.2 Thực hiện: 17

2.2.1 Cài đặt RMS 17

2.2.2 Cấu hình AD RMS 37

2.2.3 Phân quyền trên tài nguyên 44

2.2.4 Kiểm tra quyền 46

CHƯƠNG 1 : TÌM HIỂU VỀ ACTIVE DIRECTORY RIGHT MANAGEMENT SERVICES ( AD RMS )

1.1 Tên đề tài

Bảo mật dữ liệu với Active Directory Right Management Service ( AD RMS )

trong Windows Sever 2008

1.2 Tổng quan về Windows Server 2008

Window Server 2008 là hệ điều hành Windows Server tân tiến nhất cho tới thời điểm này, được thiết kế nhằm tăng sức mạnh cho các mạng, ứng dụng và dịch vụ Web thế

hệ mới Với Windows Server 2008, bạn có thể phát triển, cung cấp và quản lý các trải nghiệm người dùng và ứng dụng phong phú, đem tới một hạ tầng mạng có tính bảo mật cao, và tăng cường hiệu quả về mặt công nghệ và giá trị trong phạm vi tổ chức của mình

Windows Server 2008 kế thừa những thành công và thế mạnh của các hệ điều hành Windows Server thế hệ trước, đồng thời đem tới tính năng mới có giá trị và những cải tiến mạnh mẽ cho hệ điều hành cơ sở này Công cụ Web mới, công nghệ ảo hóa, tính bảo mật tăng cường và các tiện ích quản lý giúp tiết kiệm thời gian, giảm bớt các chi phí, và đem tới một nền tảng vững chắc cho hạ tầng Công nghệ Thông tin (CNTT) của bạn

1.2.1 Nền tảng chắc chắn dành cho doanh nghiệp

Windows Server 2008 đem tới một nền tảng chắc chắn đáp ứng tất cả các yêu cầu

Clustering của Windows Server 2008, và việc hỗ trợ đầy đủ cho Giao thức Internet phiên bản 6 (gọi tắt là IPv6) cộng với khả năng quản lý hợp nhất Network Load Balancing khiến dễ dàng triển khai với tính sẵn có cao, thậm chí bởi những người có hiểu biết chung nhất về CNTT

Tùy chọn cài đặt mới Server Core của Windows Server 2008 cho phép cài đặt các vai trò máy chủ chỉ với những thành phần và hệ thống phụ cần thiết mà không cần giao diện người dùng Việc có ít hơn các vai trò và đặc tính đồng nghĩa với việc giảm thiểu công việc cho ổ đĩa và dịch vụ, đồng thời giảm bớt các bề mặt tấn công Sản phẩm cũng cho phép nhân viên CNTT xây dựng đặc tả tùy theo các vai trò máy chủ cần hỗ trợ

1.2.2 Tích hợp Công nghệ Ảo hóa (Virtualization)

Windows Server Hyper-V, công nghệ ảo hóa thế hệ kế tiếp dành cho máy chủ trên nền hypervisor, cho phép tận dụng tối đa các khoản đầu tư vào phần cứng máy chủ bằng cách hợp nhất nhiều vai trò máy chủ thành các máy ảo riêng biệt chạy trên một máy vật lý duy nhất Cũng có thể chạy song song nhiều hệ điều hành như Windows, Linux và các hệ điều hành khác một cách hiệu quả trên một máy chủ duy nhất Với Hyper – V và các chính sách cấp phép đơn giản, giờ đây có thể tận dụng lợi thế của các khoản tiết kiệm chi phí và ảo hóa một cách dễ dàng hơn bao giờ hết

Nhờ các công nghệ truy cập ứng dụng tập trung của Windows Server 2008, các ứng dụng cũng được ảo hóa một cách hiệu quả Terminal Services Gateway và Terminal Services RemoteApp cho phép dễ dàng truy cập từ xa tới các chương trình chuẩn hoạt động trên nền Windows từ bất cứ vị trí nào bằng cách chạy chương trình trên một máy chủ đầu cuối thay vì chạy trực tiếp trên một máy trạm mà không cần tới một mạng riêng

ảo (VPN) phức tạp

1.2.3 Được xây dựng phục vụ Web

Windows Server 2008 xuất hiện với Internet Information Services 7.0 (IIS 7.0), một nền tảng máy chủ Web dễ sử dụng, tăng cường bảo mật để phát triển và lưu trữ các

Internet Information Server IIS 7.0 cùng với NET Framework 3.0 cung cấp một nền tảng toàn diện để xây dựng các ứng dụng kết nối người dùng và dữ liệu, cho phép họ hình ảnh hóa, chia sẻ và thao tác thông tin Thêm vào đó, IIS 7.0 còn đóng vai trò trung tâm trong việc hợp nhất các công nghệ nền tảng Web của Microsoft – ASP.NET, các dịch

vụ Web của Windows Communication Foudation, và Windows Sharepoint Services

sở dữ liệu AD một cách bảo mật hơn trên khắp các khu vực của văn phòng chi nhánh

1.2.5.Tính toán hiệu năng cao

Lợi ích và các khoản tiết kiệm chi phí của Windows Server 2008 mở rộng tới Windows HPC Server 2008 để phục vụ cho môi trường tính toán hiệu năng cao (HPC) của bạn Windows HPC Server 2008 được xây dựng trên nền Windows Server 2008, công nghệ 64 bit và có thể mở rộng một cách hiệu quả tới hàng nghìn lõi xử lý với tính năng có sẵn để cải thiện hiệu suất, và giảm tính phức tạp của môi trường HPC Windows HPC Server 2008 cho phép triển khai rộng rãi hơn bằng cách đem tới cho người dùng cuối những trải nghiệm phong phú và tích hợp, mở rộng từ ứng dụng máy bàn tới các cụm máy, và bao gồm một bộ trọn vẹn các công cụ triển khai, quản trị và giám sát Các công

dung, AD RMS đưa ra phương thức cho phép người gửi phân quyền tương tác với nội dung cho người nhận như: cấm in tài liệu, cấm chuyển email cho người khác, thiết lập thời gian hết hạn của tài liệu Để làm được điều đó AD RMS sẽ tiến hành mã hóa dữ liệu

ở mức độ 128bit và gắn chứng chỉ số vào tài liệu nhằm can thiệp vào suốt quá trình tồn tại của dữ liệu bất kể nó được lưu trữ ở đâu Kết quả là người nhận muốn mở dữ liệu được bảo vệ bởi AD RMS phải chìa ra thông tin định danh của mình mà cụ thể là tài khoản truy cập vào hệ thống AD của công ty Khi đó máy chủ AD RMS sẽ dựa trên danh tính của người nhận để xác định quyền tương tác đối với dữ liệu Mô tả nghe có vẻ phức tạp nhưng giải pháp công nghệ của Microsoft luôn mang đặc tính vốn có là rất thân thiện với người dùng Do vậy khi các doanh nghiệp triển khai AD RMS sẽ không mất nhiều công sức và thời gian

Để sử dụng được AD RMS khách hàng cần sẵn sàng hạ tầng về quản trị định danh Active Directory 2008 Ngoài ra hạ tầng PKI nhằm cung cấp chứng chỉ số nội bộ cũng cần phải sẵn sàng Ngoài ra tùy vào tình huống ứng dụng RMS mà còn cần thêm những ứng dụng liên quan Mặc định AD RMS hỗ trợ cho các định đang tài liệu văn phòng của Microsoft Office như Word, Excel, Powerpoint, Infopath cũng như email hay thư thoại

1.4 Ứng dụng của AD RMS

1.4.1 AD RMS và vấn đề chống thất thoát dữ liệu qua đường email

Hình 1: Người dùng thực hiện phân quyền truy cập thông tin trên Outlook

Việc chia sẻ và trao đổi qua email dường như đã trở thành một phần không thể thiếu trong hoạt động đối nội cũng như đối ngoại của bất kì doanh nghiệp nào Do đó vấn

đề chống thất thoát thông tin cần được thực hiện đầu tiên với dữ liệu nằm trên kênh email

Cơ chế chống thất thoát dữ liệu RMS áp dụng cho cả chiều gửi và chiều nhận đối với phần mềm duyệt mail Outlook trên máy trạm lẫn Outlook Mobile trên điện thoại di động Người dùng có thể sử dụng các chính sách phân quyền truy cập thông tin dựa trên các template có sẵn và do bộ phận IT thiết lập như:

- Cấm chuyển đi (Do Not Forward): được dùng để ngăn chặn người dùng chuyển nội dung email cho người thứ ba

- Cấm gửi lại cho tất cả mọi người trong loop mail (Do Not Reply All): được dùng

để ngăn chặn người nhận trả lời email lại cho tất cả những người trong loop mail ngoại trừ người gửi

- Nội dung email là chỉ đọc không được copy hay in ấn (Read Only): là cách thức cấm người nhận in, sao chụp email hay lưu file đính kèm xuống máy Cơ chế Read Only thường đi chung với template Do Not Forward

- Nội dung email bị giới hạn theo nhóm người (Company User Group Confidential): được dùng để đảm bảo email nhạy cảm liên quan đến nhân sự, chính sách công ty, thông tin mật không lọt ra khỏi nhóm người dùng mong muốn

- Nội dung chỉ được xem trong thời gian nhất định (Expire Date): được áp dụng cho các tài liệu thuộc loại tối mật và người dùng nhận chỉ có thể xem trong khoảng thời gian nhất định mà thôi

Hình 2: Quyền tương tác nội dung của người nhận bị giới hạn

Với Exchange 2010, bộ phận IT và pháp chế của doanh nghiệp còn có thể thiết lập các bộ lọc RMS tự động cho phép áp đặt chính sách ngay từ phía máy chủ Điều này rất thuận tiện đề phòng trường hợp người dùng quên thiết lập RMS khi soạn thảo email Vì email trên hệ thống Exchange được luân chuyển qua vai trò Hub Transport nên chính sách RMS tự động sẽ được thiết lập tại nhóm máy chủ này thông qua các Transport Rule Khi

đó email khi đi ngang qua Hub Transport sẽ được máy chủ Exchange kiểm tra nội dung dựa trên các Rule do công ty thiết lập và sẽ áp chính sách tương ứng khi tìm thấy email nhậy cảm Chẳng hạn trong ví dụ ở hình 4 chúng ta sẽ thấy Exchange 2010 áp chính sách

tự động cho các email chứa cụm chữ dạng n-nnnn-nnnn vì đây là chuỗi ID của một đơn hàng (PO) trong công ty

hưởng đến tính toàn vẹn và cơ chế phân quyền tương tác thông tin”, ông Trần Văn Huệ, giám đốc công ty Nhất Nghệ nhận xét Người dùng cũng có thể thiết lập các chính sách phân quyền do công ty thiết lập tương tự như nội dung email chẳng hạn chỉ đọc cấm in cấm copy cấm chỉnh sửa, chỉ cho những nhóm người dùng nhất định truy cập, thiết lập ngày hết hạn Các hình dưới cho thấy người dùng có thể thiết lập chính sách kiểm soát quyền truy cập nội dung ngay từ tài liệu văn phòng và bất kể họ mở tài liệu được lưu ở

đâu thì đều bị RMS kiểm soát quyền truy cập

Hình 5: Thiết lập RMS trên tài liệu Microsoft Word 2010

Hình 6: Mở tài liệu Word lưu trên file server được bảo vệ bằng RMS

Vào năm 2008, Microsoft và hãng bảo mật RSA kí hợp tác trong mảng bảo mật nội dung thông tin Mà kết quả là giải pháp RSA Data Loss có thể áp đặt các chính sách AD RMS cho các tài liệu mà nó quét ra trên toàn hệ thống cũng như Microsoft đưa tính năng phân loại nội dung “File Classification” vào trong Windows Server 2008 Với tính năng sẵn có File Classification thì doanh nghiệp có thể thiết lập các bộ lọc cho phép phân loại các thông tin lưu trên máy chủ file server và áp đặt RMS cho chúng Chẳng hạn IT có thể thiết lập bộ lọc nội dung phân loại và áp đặt chính sách cho các tài liệu được lưu trên máy chủ File Server có chứa chuỗi kí tự dạng n-n-n-n như hình 7

Hình 7: Khả năng phân loại và áp đặt RMS cho tài liệu trên Windows Server 2008

1.4.3 AD RMS mở rộng

AD RMS cũng có thể được áp dụng cho các hình thức lưu trữ nội dung khác như Voice Mail trên Microsoft Exchange hoặc các tài liệu được đưa lên cổng thông tin Sharepoint 2007/2010 Có một điểm rất thú vị là do khả năng tích hợp sâu giữa Sharepoint và AD lẫn AD RMS cho phép các tài liệu được mã hóa bằng RMS vẫn có thể được index cho phép người dùng tìm kiếm nội dung như các tài liệu không mã hóa Điều này thực hiện được do khi tài liệu được lưu trên Sharepoint sẽ được gỡ bỏ mã hóa RMS

và lưu vào SQL Database dưới dạng mã hóa do Sharepoint quản lý nên nó hoàn toàn có thể index được toàn bộ nội dung của tài liệu Khi người dùng truy cập vào tài liệu và lấy

tài liệu khỏi cổng thông tin thì tài liệu đó lập tức được mã hóa lại dưới dạng RMS

Hình 8: Thiết lập chính sách quản lý quyền truy cập thông tin trên Sharepoint 2007 Mặc định AD RMS sẵn sàng bảo vệ các dữ liệu văn phòng Microsoft và thư tín

Để mở rộng RMS cho các loại tài liệu khác như PDF,CAD/CAM hay hình ảnh cũng như các định dạng khác khách hàng có thể sử dụng các phần mềm phụ trợ của hãng thứ ba như Gigatrust,Liquidmachine hay của Foxit (nếu chỉ muốn rộng RMS cho tài liệu PDF)

Vì AD RMS quản lý quyền tương tác thông tin dựa trên định danh trong Active Directory Do đó nếu doanh nghiệp muốn áp đặt quyền này cho nội dung được đưa ra khỏi intranet của mình cần thiết lập thêm các cơ chế khác Chẳng hạn có thể thiết lập RMS liên doanh nghiệp bằng Active Directory Federation Service hoặc sử dụng TUD/TPD

- Cho user RMSAdmin làm thành viên của group Domain Admins

- Mở Properties user Administrator, điền thêm thông tin E-mail là

Administrator@lab.com

- Mở Properties user U1, điền thêm thông tin E-mail là u1@lab.com

- Mở Properties user U2, điền thêm thông tin E-mail là u2@lab.com

2.2 Thực hiện:

2.2.1 Cài đặt RMS

- Mở Server Manager từ Administrative Tools, chuột phải Roles, chọn Add Roles

- Trong cửa sổ Before You Begin, chọn Next

- Cửa sổ Select Server Roles, đánh dấu chọn vào ô Active Directory Rights Management Services

- Trong hộp thoại Add Roles Wizard chọn Add Required Features

- Cửa sổ Select Server Roles, chọn Next

- Cửa sổ Active Directory Rights Management Services, chọn Next

- Cửa sổ Select Role Services, kiểm tra có đánh dấu chọn Active Directory Rights Management Server, chọn Next

- Cửa sổ Create or Join an AD RMS Cluster, chọn Next

- Cửa sổ Select Configuration Database, chọn Next

- Cửa sổ Specify Service Account, chọn Specify…