瞭解資訊版權管理
適用版本: Exchange Server 2010 SP2, Exchange Server 2010 SP3
上次修改主題的時間: 2016-11-28
資訊工作者每天都會使用電子郵件來交換機密資訊,例如財務報表和資料、法律合約、機密產品資訊、銷售報告和預測、競爭分析、研究和專利資訊,以及客戶和員工資訊。 由於人員現在幾乎可從任何位置存取其電子郵件,因此信箱已轉換為包含大量潛在機密資訊的存放庫。 因此,資訊外洩可能會對組織造成嚴重威脅。 為了防止資訊外洩,Microsoft Exchange Server 2010 包含資訊版權管理 (IRM) 功能,可針對電子郵件訊息和附件提供持續性的線上和離線保護。
目錄
什麼是資訊外洩?
資訊外洩的傳統解決方案
Exchange 2010 中的 IRM
將 IRM 保護套用至郵件
IRM 保護的案例
解密受 IRM 保護的郵件以強制執行郵件原則
Prelicensing
IRM 代理程式
IRM 需求
設定和測試 IRM
什麼是資訊外洩?
洩漏可能具機密性的資訊會造成組織的損失,且對組織及其業務、員工、客戶和夥伴帶來廣泛的影響。 有越來越多的本地和產業規定用於管理儲存、傳輸和保護特定資訊類型的方式。 為了避免違反適用的規定,組織必須保護自己,防止故意、不慎或意外的資訊外洩。
資訊外洩可能造成的一些後果如下:
財務損失 視規模、產業和本地規定而定,資訊外洩可能會由於業務損失,或是法庭和法規機構裁定的罰款和懲罰性賠償,而造成財務上的影響。 上市公司也可能由於不利的媒體報導,面臨損失市值的風險。
形象和信譽受損 資訊外洩可能危害組織在客戶間的形象和信譽。 此外,視通訊的本質而定,外洩的電子郵件訊息可能是造成寄件者和組織困窘的來源。
失去競爭優勢 資訊外洩所造成的最嚴重威脅之一,就是失去企業競爭優勢。 洩漏策略性計劃或洩漏合併與收購資訊,有可能導致損失收益或市值。 其他威脅還包括失去研究資訊、分析資料及其他智慧財產。
什麼是資訊外洩?
資訊外洩的傳統解決方案
雖然資訊外洩的傳統解決方案可以保護對資料的初始存取,但通常無法提供持續的保護。 下表列出一些傳統解決方案及其限制。
傳統解決方案
| 解決方案 | 描述 | 限制 |
|---|---|---|
傳輸層安全性 (TLS) |
TLS 是網際網路標準通訊協定,可利用加密方法保護透過網路進行的通訊。 在郵件環境中,TLS 可用來保護伺服器/伺服器及用戶端/伺服器通訊的安全。 依預設,Exchange 2010 會將 TLS 用於所有內部郵件傳輸。 針對使用外部主機的工作階段,依預設也會啟用機會性 TLS。Exchange 會先嘗試在工作階段中使用 TLS 加密,但若無法與目的伺服器建立 TLS 連線,Exchange 便會使用 SMTP。 您也可以設定網域安全性,針對外部組織強制使用 Mutual TLS。 如需詳細資訊,請參閱了解網域安全性。 |
TLS 只保護兩個 SMTP 主機之間的 SMTP 工作階段。 亦即,TLS 會保護移動中的資訊,但不會在郵件層級或對靜止的資訊提供保護。 除非使用其他方法加密郵件,否則寄件者和收件者信箱中的郵件仍然不受保護。 對於傳送到組織外部的電子郵件,可以只要求第一個躍點使用 TLS。 您組織外部的遠端 SMTP 主機收到郵件後,可以透過未加密的工作階段將郵件轉送到其他 SMTP 主機。 由於 TLS 是傳輸層技術,因此對於收件者對郵件採取的動作無法提供控制。 |
電子郵件加密 |
使用者可以使用 S/MIME 等技術來加密郵件。 |
使用者可決定是否加密郵件。 由於伴隨使用者憑證管理與私密金鑰保護等開銷,因此加密會增加公開金鑰基礎結構 (PKI) 部署的額外成本。 在郵件解密之後,無法控制收件者可對該資訊採取什麼動作。 解密的資訊可以複製、列印或轉寄。 預設情況下,儲存的附件不會受到保護。 您的組織無法存取使用 S/MIME 等技術加密的郵件。 組織不能檢查郵件內容,因此無法強制執行郵件原則、掃描郵件中的病毒或惡意內容,或是採取任何需要存取內容的動作。 |
最後,傳統的解決方案通常缺乏強制執行工具,以致無法套用統一的郵件原則來防止資訊外洩。 例如,使用者傳送包含機密資訊的郵件,並將該郵件標記為 [公司機密] 及 [不要轉寄]。 在郵件傳遞給收件者後,寄件者或組織便無法再控制該資訊。 收件者可以有意或無意地轉寄郵件 (透過使用自動轉寄規則等功能) 到外部電子郵件帳戶,使您的組織遭受顯著的資訊外洩風險。
什麼是資訊外洩?
Exchange 2010 中的 IRM
.gif "警告") 警告: |
|---|
| Exchange 2010 中的 IRM 功能與 AD RMS 密碼編譯模式 2 不相容。如果 Exchange 2010 IRM 功能對於您的組織非常重要,建議您不要將 AD RMS 叢集切換為密碼編譯模式 2。 |
在 Exchange 2010 中,您可以使用 IRM 功能,將持續保護套用至郵件和附件。 IRM 使用 Active Directory Rights Management Services (AD RMS),這是 Windows Server 2008 中的資訊保護技術。 組織和使用者可以使用 Exchange 2010 中的 IRM 功能,控制收件者對電子郵件所具有的權限。 IRM 也可協助允許或限制收件者動作,例如將郵件轉寄給其他收件者、列印郵件或附件,或是透過複製和貼上來擷取郵件或附件內容。 IRM 保護可由使用者在 Microsoft Outlook 或 Office Outlook Web App 中套用,也可以根據您組織的郵件原則,使用傳輸保護規則或 Outlook 保護規則來套用。 不像其他電子郵件加密解決方案,IRM 還可讓您的組織解密受保護的內容,以強制執行原則符合性。
AD RMS 使用以可延伸版權標記語言 (XrML) 為基礎的憑證和授權,來認證電腦和使用者並保護內容。 使用 AD RMS 來保護文件或郵件等內容時,會附加 XrML 授權,其中包含授權使用者對該內容所擁有的權限。 若要存取受 IRM 保護的內容,已啟用 AD RMS 的應用程式必須為 AD RMS 叢集中的授權使用者取得使用授權。
.gif "注意事項") 附註: |
|---|
| 在 Exchange 2010 中,Prelicensing 代理程式會將使用授權附加至使用組織中的 AD RMS 叢集來保護的郵件。 如需相關資訊,請參閱本主題稍後的Prelicensing。 |
用來建立內容的應用程式必須已啟用 RMS,才能使用 AD RMS 對內容套用持續性的保護。 Microsoft Office 應用程式 (如 Word、Excel、PowerPoint 和 Outlook) 已啟用 RMS,可用來建立和取用受保護的內容。
IRM 可協助您執行下列動作:
防止受 IRM 保護之內容的授權收件者轉寄、修改、列印、傳真、儲存或剪下並貼上內容。
使用與郵件相同的保護層級,保護支援的附件檔案格式。
支援受 IRM 保護之郵件和附件的到期功能,以便經過指定期間之後便無法再加以檢視。
防止使用 Microsoft Windows 中的剪取工具來複製受 IRM 保護的內容。
不過,IRM 無法防止使用下列方法來複製資訊:
協力廠商螢幕擷取程式
使用照相機等影像裝置,拍攝螢幕上顯示的受 IRM 保護的內容
使用者記住或手動抄錄資訊
若要深入了解 AD RMS,請參閱 Active Directory Rights Management Services。
AD RMS 權限原則範本
AD RMS 使用以 XrML 為基礎的權限原則範本,讓已啟用 IRM 的相容應用程式套用一致的保護原則。在 Windows Server 2008 中,AD RMS 伺服器會公開 Web 服務,這項服務可用來列舉和取得範本。Exchange 2010 隨附 [不要轉寄] 範本。 當 [不要轉寄] 範本套用至郵件時,只有郵件中所列的收件者才能解密郵件。 收件者無法轉寄郵件、複製郵件中的內容或列印郵件。 您可以在組織中的 AD RMS 伺服器上建立額外的 RMS 範本,以符合您的 IRM 保護需求。
IRM 保護是透過套用 AD RMS 權限原則範本來套用。 您可以使用原則範本,控制收件者對郵件所擁有的權限。 透過將適當的權限原則範本套用至郵件,即可控制如回覆、全部回覆、轉寄、從郵件擷取資訊、儲存郵件或列印郵件等動作。
如需權限原則範本的詳細資訊,請參閱 AD RMS 原則範本考量。
如需建立 AD RMS 權限原則範本的詳細資訊,請參閱AD RMS 權限原則範本部署逐步指南。
什麼是資訊外洩?
將 IRM 保護套用至郵件
在 Exchange 2010 中,可使用下列方法將 IRM 保護套用至郵件:
由 Outlook 使用者手動進行 您的 Outlook 使用者可以使用可用的 AD RMS 權限原則範本,為郵件套用 IRM 保護。 此程序會使用 Outlook (而非 Exchange) 中的 IRM 功能。 不過,您可以使用 Exchange 來存取郵件,並採取動作 (例如套用傳輸規則) 來強制執行組織的郵件原則。 如需在 Outlook 中使用 IRM 的詳細資訊,請參閱將 IRM 用於電子郵件的簡介。
由 Outlook Web App 使用者手動進行 當您在 Outlook Web App 中啟用 IRM 時,使用者可用 IRM 保護所傳送的郵件,並檢視收到的受 IRM 保護的郵件。 在 Exchange 2010 Service Pack 1 (SP1) 中,Outlook Web App 使用者也可以使用 Web-Ready 文件檢視來檢視受 IRM 保護的附件。 如需 Outlook Web App 中 IRM 的詳細資訊,請參閱瞭解 Outlook Web 應用程式中的資訊版權管理。
由 Windows Mobile 和 Exchange ActiveSync 裝置使用者手動進行 在 Exchange 2010 的量產發行 (RTM) 版本中,Windows Mobile 裝置的使用者可以檢視和建立受 IRM 保護的訊息。 這需要使用者將他們受支援的 Windows Mobile 裝置連線到電腦並啟動它們進行 IRM。 在 Exchange 2010 SP1 中,您可以啟用 Microsoft Exchange ActiveSync 中的 IRM,允許 Exchange ActiveSync 裝置 (包括 Windows Mobile 裝置) 的使用者檢視、回覆、轉寄及建立受 IRM 保護的訊息。 如需 Exchange ActiveSync 中 IRM 的詳細資訊,請參閱了解 Exchange ActiveSync 中的資訊版權管理。
在 Outlook 2010 中自動進行 您可以在 Outlook 2010 中建立 Outlook 保護規則,以自動為郵件套用 IRM 保護。Outlook 保護規則會自動部署至 Outlook 2010 用戶端,且會在使用者撰寫郵件時由 Outlook 2010 套用 IRM 保護。 如需 Outlook 保護規則的詳細資訊,請參閱瞭解 Outlook 保護規則。
在 Hub Transport Server 上自動進行 在 Exchange 2010 Hub Transport Server 上,您可以建立傳輸保護規則,以自動為郵件套用 IRM 保護。 如需傳輸保護規則的詳細資訊,請參閱瞭解傳輸保護規則。
附註:IRM 保護不會再次套用到已受 IRM 保護的郵件。 例如,如果使用者在 Outlook 或 Outlook Web App 中以 IRM 保護郵件,就不會使用傳輸保護規則將 IRM 保護套用至郵件。
什麼是資訊外洩?
IRM 保護的案例
下表說明 IRM 保護的案例。
IRM 保護的案例
| 傳送受 IRM 保護的訊息 | 支援 | 需求 |
|---|---|---|
在相同內部部署 Exchange 2010 部署中 |
是 |
如需有關需求的資訊,請參閱本主題稍後的 IRM 需求。 |
在內部部署的不同樹系之間 |
是 |
如需有關需求的資訊,請參閱 設定 AD RMS 跨多個樹系與 Exchange Server 2010 整合。 |
在內部部署 Exchange 2010 部署與雲端式 Exchange 2010 組織之間 |
是 |
|
寄給外部收件者 |
否 |
Exchange 2010 未包含傳送受 IRM 保護之郵件給外部非同盟組織收件者的解決方案。 AD RMS 使用信任原則提供解決方案。 您可以在 AD RMS 叢集和 Windows Live ID 之間設定信任原則。對於在兩個組織之間傳送的郵件,可以使用 Active Directory Federation Services (AD FS),在兩個 Active Directory 樹系間建立同盟信任。 若要深入了解,請參閱了解 AD RMS 信任原則。 |
什麼是資訊外洩?
解密受 IRM 保護的郵件以強制執行郵件原則
為強制執行郵件原則及法規遵從目的,您必須可以存取加密的郵件內容。 為符合起因於訴訟、法規稽核或內部調查的 eDiscovery 需求,您還必須可以搜尋加密的郵件。 為協助進行這些工作,Exchange 2010 包含下列 IRM 功能:
傳輸解密 若要套用郵件原則,傳輸代理程式 (例如傳輸規則代理程式) 應可存取郵件內容。 傳輸解密可允許安裝在 Exchange 2010 伺服器上的傳輸代理程式存取郵件內容。 如需詳細資訊,請參閱瞭解傳輸解密。
日誌報告解密 為了達到符合性或企業需求,組織可使用日誌記錄來保留郵件內容。 日誌代理程式會針對要進行日誌記錄的郵件建立日誌報告,並在報告中包含郵件的中繼資料。 原始郵件會附加至日誌報告。 如果日誌報告中的郵件受 IRM 保護,則日誌報告解密會將郵件的純文字副本附加至日誌報告。 如需詳細資訊,請參閱瞭解日誌報告解密。
Exchange 搜尋的 IRM 解密 藉由 Exchange 搜尋的 IRM 解密,Exchange 搜尋可以進行受 IRM 保護的郵件內容索引。 當探索管理員使用多信箱搜尋來執行探索搜尋時,會在搜尋結果中傳回已建立索引的 IRM 保護郵件。 如需詳細資訊,請參閱了解 Exchange 搜尋。 如需多信箱搜尋的詳細資訊,請參閱瞭解多信箱搜尋。
附註:在 Exchange 2010 SP1 中,探索管理角色群組的成員可以存取探索搜尋傳回及位於探索信箱中的 IRM 保護的郵件。 若要啟用此功能,請使用 EDiscoverySuperUserEnabled 參數搭配 Set-IRMConfiguration 指令程式進行。 如需相關資訊,請參閱 設定 Exchange 搜尋與探索的 IRM。
若要啟用這些解密功能,Exchange 伺服器必須可以存取郵件。 這是透過將同盟信箱 (由 Exchange 安裝程式所建立的系統信箱) 新增至 AD RMS 伺服器上的超級使用者群組來達成。 如需詳細資訊,請參閱將同盟傳遞信箱新增至 AD RMS 超級使用者群組。
什麼是資訊外洩?
Prelicensing
為檢視受 IRM 保護的郵件和附件,Exchange 2010 會自動將先期授權附加至受保護的郵件。 如此用戶端就不必多次到 AD RMS 伺服器擷取使用授權,還可啟用受 IRM 保護之郵件和附件的離線檢視。 Prelicensing 也可讓受 IRM 保護的訊息於 Outlook Web App 中檢視。 啟用 IRM 功能時,Prelicensing 也會依預設啟用。
什麼是資訊外洩?
IRM 代理程式
在 Exchange 2010 中,會使用傳輸代理程式在 Hub Transport Server 上啟用 IRM 功能。 IRM 代理程式會由 Exchange 安裝程式在 Hub Transport Server 上安裝。 您無法使用傳輸代理程式的管理工作來控制 IRM 代理程式。
| 附註: |
|---|
| 在 Exchange 2010 中,IRM 代理程式是內建代理程式。 內建代理程式不包含在 Get-TransportAgent 指令程式傳回的代理程式清單中。 如需詳細資訊,請參閱瞭解傳輸代理程式。 |
下表列出在 Hub Transport Server 上實作的 IRM 代理程式。
Hub Transport Server 上的 IRM 代理程式
| Agent | 事件 | 功能 |
|---|---|---|
RMS 解密代理程式 |
OnEndOfData (SMTP) 與 OnSubmittedMessage |
解密郵件以允許存取傳輸代理程式。 |
傳輸規則代理程式 |
OnRoutedMessage |
將符合傳輸保護規則中規則條件的郵件,標幟為由 RMS 加密代理程式提供 IRM 保護。 |
RMS 加密代理程式 |
OnRoutedMessage |
將 IRM 保護套用至傳輸規則代理程式所標幟的郵件,並重新加密傳輸解密的郵件。 |
Prelicensing 代理程式 |
OnRoutedMessage |
將先期授權附加至受 IRM 保護的郵件。 |
日誌報告解密代理程式 |
OnCategorizedMessage |
解密附加至日誌報告的受 IRM 保護的郵件,並連同原始加密的郵件內嵌純文字版本。 |
如需傳輸代理程式的相關資訊,請參閱瞭解傳輸代理程式。
什麼是資訊外洩?
IRM 需求
若要在您的 Exchange 2010 組織中實作 IRM,您的部署必須符合下表所述的需求。
IRM 需求
| 伺服器 | 需求 |
|---|---|
AD RMS 叢集 |
|
Exchange |
|
Outlook |
|
Exchange ActiveSync |
|
| 附註: |
|---|
| AD RMS叢集這個詞彙是用來描述組織中的 AD RMS 部署,包括單一伺服器部署。 AD RMS 是一種 Web 服務。 該服務不需要您設定 Windows Server 2008 容錯移轉叢集。 為達到高可用性與負載平衡,您可在叢集中部署多個 AD RMS 伺服器,並使用網路負載平衡。 |
.gif "重要事項") 重要事項: |
|---|
| 在實際執行環境中,不支援將 AD RMS 和 Exchange 安裝在相同的伺服器上。 |
Exchange 2010 IRM 功能支援 Microsoft Office 檔案。 您可以部署自訂保護器,將 IRM 保護延伸至其他檔案格式。 如需自訂保護器的相關資訊,請參閱獨立軟體廠商。
什麼是資訊外洩?
設定和測試 IRM
您在 Exchange 2010 中必須使用 Exchange 管理命令介面來設定 IRM 功能。 若要設定個別的 IRM 功能,請使用 Set-IRMConfiguration Cmdlet。 您可以啟用或停用內部訊息的 IRM、傳輸解密、日誌報告解密、Exchange 搜尋,以及 Outlook Web App。 如需設定 IRM 功能的詳細資訊,請參閱管理權限保護。
在設定 Exchange 2010 伺服器之後,您可以使用 Test-IRMConfiguration Cmdlet 來執行 IRM 部署的端對端測試。 若要在一完成初始 IRM 設定後或持續地驗證 IRM 功能,這些測試會很有用。 指令程式會執行下列測試:
檢查 Exchange 2010 組織的 IRM 組態。
檢查 AD RMS 伺服器的版本與 Hotfix 資訊。
透過擷取權限帳戶憑證 (RAC) 和用戶端授權人憑證,驗證是否能啟動 RMS 的 Exchange 伺服器。
從 AD RMS 伺服器取得 AD RMS 權限原則範本。
確定指定的寄件者可以傳送受 IRM 保護的訊息。
為指定的收件者擷取超級使用者使用授權。
為指定的收件者取得先期授權。
什麼是資訊外洩?
© 2010 Microsoft Corporation. 著作權所有,並保留一切權利。