SharePoint and Active Directory Rights Management Services (AD RMS)

项目
08/17/2016

内部 SharePoint 安全性和符合性 AD RMS

Pav Cherny

可在代码下载： ChernySharePoint2009_04.exe(846 KB)

内容

与使用策略的信息安全
AD RMS 与 SharePoint 集成
AD RMS 策略设置替代
AD RMS 保护与 AD RMS 保护
外部的 SharePoint 环境的文档保护
强制只读权限
结论

组织现在维护相当大数量在 SharePoint，包括各种财务数据和个人身份信息，和保护信息很困难的敏感机密信息。 fines 达 $ 15 亿每违犯，内容存储和保护法规如 SOX、 HIPAA、 GLBA 和 ISO 27000 + 规章的成本是高。因此，是重要查看，并适当，使用 SharePoint 符合性功能，以及来强制执行 SharePoint 环境之外使用策略，并提供符合文档。

好消息是 Windows SharePoint Services (WSS) 3.0 可以实现通过信息权限管理 (IRM) 框架的遵从性。 Microsoft Office SharePoint Server (MOSS) 2007 进一步是通过包括利用 IRM 框架并使用 Active Directory 权限管理服务 (AD RMS) 集成的 Microsoft Office 文档保护程序中。

但是，很容易遇到通过 IRM Framework 实现细节。不甚至 Microsoft 获取它右所有时间：网络广播中标题为" 管理和保护 SharePoint 2007 的最佳做法"要求可以自动执行，并通过移动到文档库的文件；的 AD RMS 启用文档库中的内容保护相同时使用 Microsoft Office Word，强制 AD RMS 加密，该 AD RMS 策略遵循文档，只要此文档是。

但实际上是更加复杂。 misunderstanding IRM Framework 可能会导致低效的安全解决方案和在客户的组织的规章因此需要将其直接。

在本专栏，我将讨论使用 AD RMS 并重点描述设计和实施基于 SharePoint 的安全性和法规遵从性解决方案时必须考虑的问题的 SharePoint 的集成。首先，我讨论本身 AD RMS 与 SharePoint 集成，与 AD RMS，之差并我说明您第一个现有 SharePoint 集成，与 AD RMS 首先需要一个安全的 SharePoint 环境测试环境中。

这 clarified 后我将重点某些可用性问题，您可能希望您的安全和遵从性解决方案和文档中的地址。我假设您已经部署 AD RMS 和 MOSS。在生产环境中的部署讨论很好，" AD RMS 部署 Microsoft Office SharePoint Server 2007 的分步指南." 没有任何除了从对于此测试环境的某些工作表添加。

在下一列我将介绍 Microsoft Office 2007 和 MOSS 2007 的部署 AD RMS 试制层次结构中，因为这不介绍 WSS SDK 或 AD RMS SDK。很有趣的练习和 IRM Framework 体系结构好机会深的明细。

现在，但是，让我们重点常规因此和未介绍 SharePoint 文档的安全、遵从性和可用性方面。 TechNet Magazine 的 4 月问题在助理材料包括工作表、编译的工具，和源代码。始终，助理材料仅用于说明和测试，不在生产环境中使用。

与使用策略的信息安全

没有介绍性的 AD RMS 演示文稿完整不技术的先进文档保护功能，包括禁用的复制演示和打印选项、文档过期和等。它很少发生用户，但是，这些不是实际的安全功能。

当您看到已禁用的 print 命令时，不其逻辑得出结论：用户不能执行打印输出到竞争？当您听到的用户不能转发文档，和未经授权的用户甚至不能打开该文档，不遵循的该文档中的信息被防止未经授权的泄漏？

不，遗憾的是，不。您将不得不 outlaw 所有虚拟化和远程桌面技术、第三方屏幕捕获解决方案、单元格电话照相机，和使用户能够执行文档以便进行打印、转发，和查看超出文档到期日期的图像的其他这类工具。 (只需要继续在 图 2 ，包括受保护的文档的屏幕快照的快速)。也许您还应 outlaw 所有的基于 Windows 的便携式计算机和使用户能够打开受保护的文档并在任何位置的未经授权查看器显示它们的 Windows Mobile 设备。

显然，这些文档保护功能未强制信息安全的帮助，但它们有助于实现（如）使用策略，缓解风险的员工执行基于来自过期的文档的过期信息的业务。数字版权管理 (DRM) 可能最初是有关防止用户创建非法副本，以便正当的所有者可以 monetize 知识产权，但现在对规章遵从执行清楚地移动此技术。

当然，AD RMS 会超越只在通过加密使用高级加密标准 (AES) 和电子 Codebook (ECB) 密码的内容强制使用策略。将加密内容，AD RMS 生成一个对称 128 位 AES 内容密钥，然后是加密使用公钥从 AD RMS 服务器的服务器 licensor 证书 (SLC) 获得。

您在 Active Directory 目录林中安装 AD RMS 时生成在 SLC 和服务器的加密密钥。 AD RMS 然后发布中嵌入加密的内容密钥一起使用指定的文档保护设置（也称为一个发布许可证），AD RMS 然后签署使用他或她客户端 licensor 证书 (CLC) 中的所有者的私钥的许可证。在 CLC 用户在首次创建的 AD RMS 受保护的文档时，创建作为用户激活过程的一部分，定义用户的权限才能发布内容。 AD RMS 启用应用程序然后发布许可证到加密的内容，然后内容的附加保护。 AD RMS 受保护的文件中的内容部分的排列方式取决于应用程序。 图 1 显示了 AD RMS 加载项，Internet Explorer 的容器格式，如 AD RMS SDK 中。

图 1 </a0>-在结构的 AD RMS 保护复合文件二进制文件中的文档的格式 (CFBF)

要访问内容的任何用户必须打开受保护的文件，提取签名的发布许可证，和上载结合到 AD RMS 服务器以使用许可证 (UL) 下载也称为最终用户许可证 (EUL) 的该文档的用户的权限帐户证书 (RAC) 此许可证。在 RAC 标识由电子邮件地址或安全标识符的用户并且它包含用户的加密密钥，安全过程证书 (SPC) 中指定使用本地计算机的计算机密钥加密。从 AD RMS 服务器返回的 UL 包含内容的密钥，使用用户的公钥加密的服务器获得从用户的 RAC。用户可以立即解密内容密钥使用他或她 RAC 私钥，并最后解密受保护的文件内容。

可以看到有大量密钥、许可证和证书参与此过程。应用程序还可以添加在 UL 到受保护的文件，以便在用户不具有从在 AD RMS 服务器再次检索该 UL，但是您可以更改此行为在 AD RMS 策略设置。您可以指定用户必须获得新的 UL 他打开文档，或可以为在 UL 定义有效期内，以便当前到期时，用户必须获得新的 UL 时。有关所有细节， AD RMS SDK. 尽管如果您不是开发人员，这是极好的信息源的。

对于 SharePoint 安全架构师和管理员，有才能从 AD RMS 实现细节的至少三个重要事实。首先，AD RMS 保护端到端，只要在文档进入（请注意，我 AD RMS 此处，谈论不有关与 AD RMS 的 SharePoint 集成）含义保护保持与文档。使可以将放 Windows BitLocker 驱动器上的 AD RMS 受保护的文件或一个未加密的驱动器上可以其上放置一个文件共享与任何人读取访问权限，可以将其上载到 SharePoint 文档库，可以发送到未经授权的收件人将组织外, 但内容保持端到端，防止一个端到上另一端在使用用户则文档所有者。

第二个，解密的 AD RMS 受保护的文档需要最终用户在 UL 从获得 AD RMS 服务器至少执行一次。通过记录 AD RMS 服务器上的所有授权活动，您可以可靠地跟踪用户打开该文档和，可能甚至更重要的尝试未成功访问。

日志记录的 Windows Server 2008 中的 AD RMS 一项新功能和真正绝妙由于可以创建基于.NET 的安全分析工具，并报告技术的 SQL Server 取证进行自动处理此信息。当然，还可以查看所有请求和直接在 AD RMS 管理控制台的证书信息。

最后，这可能看起来很明显，但是仍然非常重要 AD RMS 基于文档保护依赖加密。如果您不加密文档，您不能强制执行信息安全。如果您创建了一个工具，解密受保护的文档，并将其存储在加密的格式您中断 AD RMS 端到端安全性。

谁是告诉未经授权的用户未得到一个未加密的副本？ Microsoft 通过要求开发人员能够签署生产许可协议与 Microsoft 以获取生产证书对此缓解了。生产证书签署 AD RMS 应用程序到 AD RMS 生产证书层次结构。它指定在其他内容模块系统可以加载到应用程序来保护未加密的数据在内存中的进程空间。该效果。 Microsoft 称永远不会已泄露 AD RMS 安全。

AD RMS 与 SharePoint 集成

记住的这些事实数据与我们方法与 AD RMS 的 SharePoint 集成。首先，foremost，Microsoft 指出所有相关的产品文档片段中 AD RMS 启用文档库存储未加密的内容项。因此，有是没有批量加密项目移动到的 AD RMS 启用文档库时。更是重要因为项目是不加密的情况下，有是无 AD RMS 保护和 SharePoint 环境中的没有安全获得。

AD RMS 端到端安全存在，但与 AD RMS 的 SharePoint 集成完全取决于 SharePoint 安全性，可能会认为 SharePoint 管理员和用户。基于为" Windows SharePoint Services 概述中的信息权限管理"在 WSS 3.0 SDK 中 Microsoft 选择不将项目存储在加密、权限管理的格式，由于为客户的需求。

请看一下 图 2 。它说明了 IRM Framework 体系结构允许未经授权的用户直接访问内容的数据库的不安全 SharePoint 环境中。要点是集成的文档保护器应用 AD RMS 保护动态下载到 SharePoint 文档时。这意味着您认出不受保护的内容项目，为 AD RMS 受保护的文档。如果将更改进行上载但是，SharePoint 删除 AD RMS 保护。

图 2 </a0>-AD RMS 保护文档这就是实际上，非 AD RMS 受保护内容的项目

很重要您确保此解密问题是与您的安全性和法规遵从性要求一致。就假定的方案，则承载的 AD RMS 启用文档库中的敏感人力资源文档，并无法通知人力资源部门所有 SQL Server 和 SharePoint 的都 Farm Administrators 不受限制外部的人力资源部门和任何 SharePoint 开发人员地访问未加密窗体中内容的项目。不要忘记在您的解决方案设计和您的遵从性文档中的此问题。是例如您可能要部署单独 SQL Server 实例和由人力资源内部管理员仅维护的 SharePoint 服务器场。

设计安全和遵从性解决方案时, 请与 AD RMS 的 SharePoint 集成不会无需保护 SharePoint 环境中所述的记住在 Office SharePoint Server 安全指南和 Windows SharePoint Services 安全帐户要求工作表. 如果您部署未验证的代码有问题来源或甚至启用 SharePoint 服务器上的服务器端脚本，不保护您的安全帐户和密码，然后的 IRM 框架和 AD RMS 集成不在时保存未经授权的人员获取访问该内容的项，详见一月列名为 SharePoint 安全帐户"。

签出 4 月助理材料包括两个 Web 部件和演示方式有问题的 Web 部件可以呈现所有您解决安全性和法规遵从性方案低效的工作表。一个 Web 部件下载文档正确方法使用该 SharePoint 对象模型和其他 Web 部件将通过访问 SharePoint 内容数据库直接在应用程序池帐户安全上下文中的快捷方式。

为可以验证第二个 Web 部件为用户的 SharePoint 权限和 AD RMS 设置而不考虑网站集合中的所有文档库的完全访问提供。因此，确保 SharePoint 开发人员不打破规律和执行快捷方式；不直接对内容的数据库的程序并保留离开您的生产服务器执行此操作的可疑组件。

AD RMS 策略设置替代

必须解决遵从性解决方案和文档中的另一个重要问题是一个 AD RMS 启用文档库中的内容保护不相同之外的文档库的 Microsoft Office Word 中工作时。签出 图 3 和名为"指定 AD RMS Permissions in Microsoft Office Word 内外的文档库"附带材料中将工作表。

图 3 文档库已经策略将覆盖所有者已经策略 。

在工作表演示了 AD RMS 启用文档库不会保留 AD RMS 策略设置和指定的文档所有者的用户授权。这是事实的 SharePoint 解密在上载，文档，因此所有者的策略定义不到 SharePoint 环境遵循该文档的结果。下一次用户下载在的文档 SharePoint 在 AD RMS 策略设置应用定义文档库和在 SharePoint，如 图 3 所示的用户的权限。

请注意此问题主要影响网站管理员因为 SharePoint 授予仅具有管理权限特权的用户修改文档的 AD RMS 权限。网站成员不属于此类别。然而，很令人困惑的网站管理员，并且它可能导致意外泄露机密信息不正确的 SharePoint 用户。用 AD RMS 启用文档库，请确保您的网站管理员并管理了解他们在其 Office 应用程序中更改 AD RMS 文档设置没有保留。 SharePoint 权限到 AD RMS 的文档权限 IRM 框架将转换的详细信息请参阅主题" Windows SharePoint Services 概述中的信息权限管理"在 WSS SDK。

AD RMS 保护与 AD RMS 保护

策略重写问题很难向网站管理员和经理解释，根本原因是外创建的 SharePoint 环境的 AD RMS 受保护的文档和 SharePoint 环境中创建一个几十亿区别。前者即使将它们上载到的 AD RMS 启用文档库但后者不保留其策略。 AD RMS 端到端安全阻止 SharePoint 解密 SharePoint 环境之外创建的文档。

图 4 Verifying 所应用程序池帐户拥有完全控制

用于处理上载的解密，站点的应用程序池帐户必须完全控制权限作为文档所有者。 SharePoint 将此应用程序池帐户添加到下载单击新按钮的 AD 启用 RMS 的文档库中的文档模板中。作为文档的所有者可以验证该应用程序池帐户具有完全控制权。通过单击更多的选项按钮，在文档在 Word 2007 中的权限对话框如 图 4 所示，只显示高级 AD RMS 选项。

而且，不要忘记提到符合文档中具有该文档的权限的用户列表不会反映用户有权在 SharePoint 中内容的项的列表。 SharePoint 授予只有当前用户和站点的应用程序池帐户在下载的 AD RMS 文档权限。

好处是 SharePoint 用户不能与其他 SharePoint 环境之外的任何人共享此文档。缺点是文档所有者可能错误地假定 AD RMS 保护是限制性更强比实际。在 图 4 的示例，SPAdmin 和 ITUser 可以访问该文档，但文档权限执行不显示这种情况。幸运的是，仅网站管理员，以及管理器可以查看文档的权限。网站成员无，并不能查看具有对文档的权限的用户列表。

外部的 SharePoint 环境的文档保护

它可能需要一些时间习惯方式 SharePoint 映射到 AD RMS 的文档权限的网站权限但可能立即喜欢的一个方面不能打开从 AD 应用程序池帐户的标识下的启用 RMS 的库下载的文档。就相当先进。

在 图 4 ，这是 WssDefaultSite 帐户。在的帐户具有完全控制权限，并且仍然无法打开该文档。因此，未经授权的人可能猜出在的登录名和密码应用程序池帐户，但阻止直接连接到内容数据库，并且强制通过 SharePoint 的所有文档访问，以便 SharePoint 可以应用 AD RMS 保护内容保持为图示 图 5 中的不可访问。

图 5 </a0>-应用程序池帐户无法打开此 AD RMS 保护文档中 。

签出助理工作表"检查内容项安全性的 AD RMS 启用文档库。它将说明如何使用 GetDocument 工具还包含在助理材料。 GetDocument.exe 使用 FrontPage RPC 通过 Author.dll 下载到一种方式类似于 Microsoft Office Word 的用户的桌面的文档。该工具演示 SharePoint 应用无论何种方式您下载该文档的 AD RMS 保护（和它使其更易于指定每个文档下载的其他帐户信息）。

尽管不是该帐户具有将完全控制权限因为应用程序池帐户没有电子邮件地址，该应用程序池帐户不能打开该的文档。最有可能在用户帐户如果使用 Microsoft Exchange Server，具有有效电子邮件地址，如果您不使用 Exchange Server，则必须设置用户的邮件属性，手动或通过使用工具如 Ldifde.exe ；应用程序池帐户不需要启用了电子邮件的但是。

在服务器上应用 AD RMS 保护时，SharePoint 将使用应用程序池帐户的安全标识符。 AD RMS 客户端应用程序而在另一方面，如 Word 2007 使用邮件属性若要将用户 AD RMS 的权限与用户关联。如果没有邮件属性然后没有将授予 AD RMS 的权限的任何匹配项，并且该帐户无法打开该文档。

强制只读权限

无法共享 SharePoint 环境之外的文档提供了更高版本控制协作过程的工作流设计器。更强大，则但是，会是能够实施 SharePoint 环境之外的只读文档权限。

Out of 该的 Box SharePoint 阻止网站访问者和具有其他用户仅查看列表项权限上载文档，但您不能防止这些用户修改下载文档以及以前通过其他方式，如电子邮件分发它们。 AD RMS 与 SharePoint 集成关闭此间隔。现在，具有只查看列表项权限的用户获取读取权限，AD RMS，但这不包括复制或编辑文档内容如 图 6 所示的权限。什么是应为只读的保持只读的内部和外部的 SharePoint ！

图 6 </a0>-AD RMS 受保护的文档保持只读的之后下载, 。

这似乎是因为它使您可以实现托管的储存库的样板化的文档中的与 AD RMS 的 SharePoint 集成的最大好处之一。讨论降低业务风险！授予法律部门的编辑列表项目权限，在 SharePoint 和您公司的视图列表项目权限的其余部分可以停留，确保没有 Bogus、操作，或过时的 boilerplates 飞入解决您的公司中。只是不要忘记允许文档打印 AD RMS 相关库设置中，以便员工可以打印出合同文档。

结论

AD RMS 与 SharePoint 集成是一有用的功能，，以扩展您的安全性和法规遵从性解决方案远远超过您的 SharePoint 环境的外围的。通过使用此技术，您可以在下载后实施使用的文档的策略和信息安全。但是，一定要记住，IRM 框架和 AD RMS 集成不增加您的 SharePoint 环境中的安全性。保持强制以应用正确的 SharePoint 访问控制，保护安全帐户；正确配置应用程序池、内容数据库、 SQL Server 实例和 SharePoint 服务器，并使有问题的组件和未验证的代码在生产服务器。

IRM 框架值得明确评估。不在的确定您会注意到粗略的边缘和目前的实现某些限制，但问题执行不说话对该技术；突出而，它们显示这种技术解决的要求和商机的巨大字段。 Microsoft 称未来的 AD RMS 版本将提供更多的粒度和控制，这将肯定会影响与 SharePoint 的集成以及。

将大有更多控制权限的映射。将用于具有相对于下载日期的到期日期。那是好将能够分别配置每个单独的文档库的文档保护器。那是有帮助，以便您可以禁用的文档的解密，同时保留索引和属性提升功能，那么与文档分析程序组合文档保护器。希望列表很长，但当前实现确实是正确的方向和强大的使用 SharePoint，并且必须遵守法规覆盖内容的存储和保护组织中的一个步骤。

唯一的问题是组织不能受益的现成的 AD RMS 集成，因为 Microsoft Office 文档保护器都只能包含在 MOSS 2007 的 WSS 3.0。但不要失望！在下一列我向您展示如何扩展 WSS 3.0 以获得基于 IRM 框架和 AD RMS，Office 文档保护，它不需要开发人员技能。我将介绍棘手和螺栓，此技术的部署如果要开发您自己的 AD RMS 基于 Office 和 SharePoint 解决方案或只需编译的解决方案其他开发人员提供为了解决 WSS 3.0 和 MOSS 2007 中内置的标准功能之外的安全性和法规遵从性要求忙的费用是很有用在试制环境。保持优化！

Pav Cherny 是 IT 专家和擅长 Microsoft 技术协作和统一的通信的作者。他出版物包括白皮书、产品手册和联机重点 IT 操作和系统管理。 Pav 是总裁的 Biblioso Corporation，于托管的文档和本地化服务的公司。

内容

其他资源