了解信息权限管理
**适用于:**Exchange Server 2010
**上一次修改主题:**2010-02-01
信息工作人员每天都会使用电子邮件交换敏感信息,例如财务报告和数据、法律合同、机密产品信息、销售报告和规划、竞争分析、研究和专利信息,以及客户和员工信息。 因为用户现在随处都可以访问他们的电子邮件,所以邮箱已成为包含大量潜在敏感信息的存储库。因此,信息泄露对于大多数组织构成了严重的威胁。 为防止信息泄露,Exchange 2010 包括了信息权限管理 (IRM) 功能,此功能可对电子邮件和附件提供持久联机和脱机保护。
目录
什么是信息泄露?
针对信息泄露的传统解决方案
Exchange 2010 中的信息权限管理
AD RMS 权限策略模板
对邮件应用 IRM 保护
解密受 IRM 保护的邮件以强制执行邮件策略
预许可
IRM 代理
IRM 要求
配置和测试 IRM
什么是信息泄露?
潜在敏感信息的泄露使组织在多方面都付出高昂的代价,并对组织及其业务、员工、客户和合作伙伴存在广泛的影响。 此外,地方和行业法规正日益加强对某些类型的信息的存储、传输和保护方式的管理。 为了避免违反适用法规的情况,组织必须进行自我保护,避免出现有意、无意或意外信息泄露的情况。
以下是信息泄露导致的一些后果:
- 经济损失:出于业务损失或法院、监管机构收取的罚款和惩罚性赔偿,信息泄露还可能会产生经济方面的影响,具体取决于企业规模、行业和当地法规。 上市公司还可能由于媒体的负面报道而面临着损失市值的风险。
- 对形象和信誉的损害:信息泄露可能会损害组织在客户面前的形象和信誉。 此外,根据通信的性质,电子邮件泄露可能会成为使发件人和组织陷入尴尬境地的潜在原因。
- 失去竞争优势:信息泄露造成的最大威胁之一是失去业务上的竞争优势。 泄露战略计划或合并和收购信息可能会导致收入或市值受到损失。 其他一些威胁还包括研究数据、分析数据以及其他知识产权的损失。
针对信息泄露的传统解决方案
虽然针对信息泄露的某些传统解决方案可以对数据的初次访问提供保护,但是这些解决方案通常不会提供持续的保护。例如,下表列出了某些传统解决方案及其限制
| 解决方案 | 描述 | 限制 |
|---|---|---|
传输层安全性 (TLS) |
TLS 是一个 Internet 标准协议,用于通过加密手段保护网络上的通信。 在邮件环境中,TLS 用于保护服务器到服务器和/或客户端到服务器的通信。 默认情况下,Exchange 2010 将 TLS 用于所有内部邮件的传输。 默认情况下,还会为与外部主机的会话启用机会型 TLS,这表示 Exchange 首先为会话尝试使用 TLS 加密,但是如果无法在 TLS 与目标服务器之间建立连接,Exchange 将使用 SMTP。 还可以配置域安全性,以便强制执行与外部组织的相互 TLS。 有关详细信息,请参阅了解域安全性。 |
TLS 仅保护两个 SMTP 主机之间的 SMTP 会话。也就是说,TLS 可保护移动的信息。但它不会提供邮件级的保护或对静止的信息进行保护。 除非使用另一种方法加密邮件,否则发件人和收件人邮箱中的邮件仍然不会受到保护。 对于发送到组织外部的电子邮件,仅第一个跃点可以要求 TLS。 组织外部的远程 SMTP 主机收到邮件之后,该主机可通过未加密会话将邮件中继到另一 SMTP 主机中。 由于 TLS 是一种传输层技术,因此它无法控制收件人对邮件执行的操作。 |
电子邮件加密 |
用户可以使用 S/MIME 等技术对邮件进行加密。 |
用户决定是否加密邮件。 此外,部署公钥基础结构 (PKI) 的成本将会增加,同时用户证书管理和保护私钥的开销也会增加。 另外,在邮件解密之后,收件人可对信息执行的操作将不会受到控制。解密的信息可以复制、打印或转发。默认情况下,保存的附件不受保护。 组织无法访问使用 S/MIME 等技术加密的邮件。 由于组织无法检查邮件内容,因此无法强制执行邮件策略、扫描邮件是否存在病毒或恶意内容,或执行其他任何需要访问内容的操作。 |
最后,传统解决方案通常缺少应用统一邮件策略防止信息泄露的强制执行工具。 例如,用户发送了包含敏感信息的邮件,并且将其标记为公司机密以及“不要转发”。 但是,当邮件传递给收件人之后,发件人或组织将不能再控制该信息。 收件人可能会有意或无意地(使用自动转发规则等功能)向外部电子邮件帐户转发该邮件,导致组织可能面临巨大的信息泄露风险。
Exchange 2010 中的信息权限管理
在 Exchange 2010 中,可使用信息权限管理 (IRM) 功能对邮件和附件应用持久保护。 IRM 使用了 Active Directory 权限管理服务 (AD RMS),它是 Windows Server 2008 中的一项信息保护技术。通过 Exchange 2010 中的 IRM 功能,组织和用户可以控制收件人对电子邮件拥有的权限。 IRM 还有助于允许或限制某些收件人操作,例如向其他收件人转发邮件、打印邮件或附件,或者是通过复制和粘贴提取邮件或附件内容。 用户可在 Microsoft Outlook 或 Outlook Web App 中应用 IRM 保护,或者可以根据组织的邮件策略并使用传输保护规则或 Outlook 保护规规则应用 IRM 保护。 与其他电子邮件加密解决方案不同,IRM 还允许组织解密受保护的内容,以强制执行策略遵从性。
AD RMS 使用基于可扩展权限标记语言 (XrML) 的证书和许可证,验证计算机和用户并保护内容。 使用 AD RMS 保护文档或邮件等内容时,将会附加包含授权用户对内容所拥有的权限的 XrML 许可证。 若要访问受 IRM 保护的内容,启用了 AD RMS 的应用程序必须为来自 AD RMS 群集的授权用户购买使用许可证。
备注
在 Exchange 2010 中,预许可代理会将使用许可证附加到组织中使用 AD RMS 群集保护的邮件上。 有关详细信息,请参阅本主题后面的预许可。
用于创建内容的应用程序必须已启用 RMS,以使用 AD RMS 对内容应用持久保护。 Microsoft Office 应用程序(如 Microsoft Word、Microsoft Excel 和 Microsoft PowerPoint)已启用了 RMS,并且可用于创建受保护的内容。
IRM 有助于执行以下操作:
- 防止受 IRM 保护的内容的授权收件人转发、修改、打印、传真、保存或剪切和粘贴该内容。
- 用与邮件相同的保护级别保护所支持的附件文件格式。
- 支持受 IRM 保护的邮件和附件的过期,使其在指定时间段之后,无法再进行查看。
- 防止使用 Windows 中的截图工具复制受 IRM 保护的内容。
但是,IRM 无法防止使用以下方法复制信息:
- 第三方屏幕捕获程序
- 使用照相机等图像处理设备对显示在屏幕上的受 IRM 保护的内容进行照相
- 用户记住或手动抄录信息
有关 AD RMS 的详细信息,请参阅 Active Directory 权限管理服务(英文)。
AD RMS 权限策略模板
AD RMS 使用基于 XrML 的权限策略模板,允许启用了 IRM 的兼容应用程序应用一致的保护策略。 在 Windows Server 2008 中,AD RMS 服务器公开了可用于枚举和获取模板的 Web 服务。Exchange 2010 附带了“不要转发”模板。 将“不要转发”模板应用于邮件时,只有邮件的收件人可解密该邮件。 收件人无法将邮件转发给其他任何人、复制邮件内容,或打印邮件。 可在组织中的 AD RMS 服务器上创建其他 RMS 模板,以满足 IRM 保护要求。
通过应用 AD RMS 权限策略模板应用 IRM 保护。 使用策略模板可控制收件人对邮件拥有的权限。 通过对邮件应用适当的权限策略模板可以控制答复、全部答复、转发、从邮件提取信息或保存邮件、打印邮件等操作。
有关权限策略模板的详细信息,请参阅 AD RMS 权限策略模板注意事项(英文)。
有关创建 AD RMS 权限策略模板的详细信息,请参阅 AD RMS 权限策略模板部署分步指南(英文)。
对邮件应用 IRM 保护
在 Exchange 2010 中,可在以下阶段对邮件应用 IRM 保护:
由 Outlook 用户手动进行:Outlook 用户可使用他们可用的 AD RMS 权限策略模板对邮件进行 IRM 保护。此过程使用的是 Outlook 而非 Exchange 中的 IRM 功能。 但是,可以使用 Exchange 访问这些邮件,并执行相关操作(如应用传输规则)强制执行组织的邮件策略。 有关使用 Outlook 中 IRM 的详细信息,请参阅将 IRM 用于电子邮件的简介(英文)。
由 Outlook Web App 用户手动进行:启用 Outlook Web App 中的 IRM 后,用户可以对其发送的邮件执行 IRM 保护,并查看其接收到的受 IRM 保护的邮件。有关 Outlook Web App 中 IRM 的详细信息,请参阅了解 Outlook Web App 中的信息权限管理。
在 Outlook 2010 中自动进行:可创建 Outlook 保护规则,以便在 Outlook 2010 中自动对邮件进行 IRM 保护。Outlook 保护规则将自动部署到 Outlook 2010 客户端,且当用户撰写邮件时,Outlook 2010 将应用 IRM 保护。 有关 Outlook 保护规则的详细信息,请参阅了解 Outlook 保护规则。
在集线器传输服务器上自动进行:可创建传输保护规则,以在 Exchange 2010 集线器传输服务器上自动对邮件进行 IRM 保护。 有关传输保护规则的详细信息,请参阅了解传输保护规则。
备注
对已经受 IRM 保护的邮件将不再应用 IRM 保护。 例如,如果用户在 Outlook 或 Outlook Web App 中对邮件进行了 IRM 保护,则不会使用传输保护规则对邮件应用 IRM 保护。
支持 IRM 保护的方案
在 Exchange 2010 中,以下方案可支持 IRM 保护。
| 方案 | 是否支持 IRM 保护? |
|---|---|
向 Exchange 组织中的邮箱用户发送邮件 |
是 |
向组织中的通讯组发送邮件 |
是 .gif "Dd638140.note(zh-cn,EXCHG.140).gif") 注意:
如果通讯组包括 Exchange 组织外部的收件人,请参阅“向组织外部的收件人发送邮件”。
|
向组织外部的收件人发送邮件 |
否 注意:
Exchange 2010 不包括向外部收件人发送受 IRM 保护的邮件的解决方案。AD RMS 使用信任策略提供解决方案。 可在 AD RMS 群集和 Windows Live ID 之间配置信任策略。对于在两个组织之间发送的邮件,可使用 Active Directory 联合身份验证服务 (AD FS) 在两个 Active Directory 林之间创建联合信任。有关详细信息,请参阅了解 AD RMS 信任策略(英文)。
|
向 Exchange 组织外部的通讯组或通讯组列表发送邮件 |
否 注意:
外部通讯组列表或通讯组展开不会在 Exchange 组织内部发生。 发送到外部通讯组的受 IRM 保护的邮件包含该组的许可证而不是组成员的许可证。组成员将无法访问该邮件。
|
解密受 IRM 保护的邮件以强制执行邮件策略
为强制执行邮件策略和法规遵从性,必须拥有对加密邮件内容的访问权限。 此外,为满足诉讼、监管审核或内部调查的电子发现要求,还必须能够搜索加密的邮件。为了帮助执行此类任务,Exchange 2010 包括以下 IRM 功能:
- 传输解密:若要应用邮件策略,传输规则代理等传输代理应拥有对邮件内容的访问权限。 传输解密允许安装在 Exchange 2010 服务器上的传输代理访问邮件内容。 有关详细信息,请参阅了解传输解密。
- 日记报告解密:若要满足遵从性或业务要求,组织可使用日记功能保留邮件内容。 日记代理为要记录的邮件创建日记报告,并且在报告中包括了有关邮件的元数据。原始邮件将会附加到日记报告中。 如果日记报告中的邮件受 IRM 保护,则日记报告解密会将邮件的明文副本附加到日记报告中。 有关详细信息,请参阅了解日记报告解密。
- Exchange 搜索的 IRM 解密:通过 Exchange 搜索的 IRM 解密,Exchange 搜索可以在受 IRM 保护的邮件中建立内容索引。 当发现管理员使用多邮箱搜索执行发现搜索操作时,搜索结果中会返回已编制索引的受 IRM 保护的邮件。 有关详细信息,请参阅了解 Exchange 搜索。 有关多邮箱搜索的详细信息,请参阅了解多邮箱搜索。
若要启用这些解密功能,Exchange 服务器必须拥有对邮件的访问权限。 将联合传递邮箱(由 Exchange 安装程序创建的系统邮箱)添加到 AD RMS 服务器上的超级用户组可完成此操作。 有关详细信息,请参阅将联盟传递邮箱添加到 AD RMS 超级用户组。
预许可
为查看受 IRM 保护的邮件和附件,Exchange 2010 会自动将预许可证附加到受保护的邮件中。 这样可以避免客户端为检索使用许可证而不得不在 AD RMS 服务器之间进行重复往返,此外,还对受 IRM 保护的邮件和附件启用了脱机查看。预许可还允许在 Outlook Web App 中查看受 IRM 保护的邮件。如果启用了 IRM 功能,则默认情况下会启用预许可。
IRM 代理
在 Exchange 2010 中,使用传输代理可以在集线器传输服务器上启用 IRM 功能。IRM 代理由 Exchange 安装程序安装在集线器传输服务器上。无法使用传输代理的管理任务控制 IRM 代理。
备注
在 Exchange 2010 中,IRM 代理为内置代理。 内置代理不包含在 Get-TransportAgent cmdlet 所返回的代理列表中。 有关详细信息,请参阅了解传输代理。
下表列出了在集线器传输服务器上实施的 IRM 代理。
| 代理 | 事件 | 功能 |
|---|---|---|
RMS 解密代理 |
OnEndOfData (SMTP) & OnSubmittedMessage |
解密邮件,以允许访问传输代理。 |
传输规则代理 |
OnRoutedMessage |
将与传输保护规则中的规则条件匹配的邮件标记为由 RMS 加密代理进行 IRM 保护的邮件。 |
RMS 加密代理 |
OnRoutedMessage |
对传输规则代理标记的邮件应用 IRM 保护并重新加密传输解密邮件。 |
预许可代理 |
OnRoutedMessage |
将预许可证附加到受 IRM 保护的邮件中。 |
日记报告解密代理 |
OnCategorizedMessage |
解密附加到日记报告中的受 IRM 保护的邮件,并嵌入明文版本以及原始加密邮件。 |
有关传输代理的详细信息,请参阅了解传输代理。
IRM 要求
若要在 Exchange 2010 组织中实施 IRM,您的部署必须满足以下要求:
| 服务器 | 要求 |
|---|---|
AD RMS 群集 |
|
ExchangeServer |
|
Outlook |
|
Windows Mobile |
|
备注
“AD RMS 群集”是用于在组织中进行 AD RMS 部署(包括单个服务器部署)的术语。AD RMS 是一项 Web 服务。 它不要求您安装 Windows Server 2008 故障转移群集。 为实现高可用性和负载平衡,可在群集中部署多个 AD RMS 服务器,并使用网络负载平衡。
重要
在生产环境中,不支持在同一台服务器上安装 AD RMS 和 Exchange。
配置和测试 IRM
必须使用命令行管理程序在 Exchange 2010 中配置 IRM 功能。若要配置各项 IRM 功能,请使用 Set-IRMConfiguration cmdlet。 可为内部邮件启用或禁用 IRM,启用或禁用传输解密、日记报告解密、Exchange 搜索的 IRM,以及 Outlook Web App 中的 IRM。 有关配置 IRM 功能的详细信息,请参阅管理权限保护。
设置 Exchange 2010 服务器之后,可使用 Test-IRMConfiguration cmdlet 执行 IRM 部署的端到端测试。 对初次配置 IRM 之后立即验证 IRM 功能并持续进行验证而言,这些测试十分有用。cmdlet 将执行以下测试:
- 检查 Exchange 2010 组织的 IRM 配置
- 检查 AD RMS 服务器的版本和修补程序信息。
- 验证是否可以通过检索权限帐户证书和客户端许可颁发者证书 (CLC) 为 RMS 激活 Exchange 服务器
- 从 AD RMS 服务器获取 AD RMS 权限策略模板
- 验证指定的发件人是否可以发送受 IRM 保护的邮件
- 检索指定收件人的超级用户使用许可证
- 获取指定收件人的预许可证