Home > MS WINDOWS SERVER > CẤU HÌNH ACTIVE DIRECTORY RIGHTS MANAGEMENT SERVICES (AD RMS) TRÊN WINDOWS SERVER 2012 – PHẦN 3

CẤU HÌNH ACTIVE DIRECTORY RIGHTS MANAGEMENT SERVICES (AD RMS) TRÊN WINDOWS SERVER 2012 – PHẦN 3

I- GIỚI THIỆU

Active Directory Rights Management Service (AD RMS) là dịch vụ được tích hợp sẵn trong Windows cho phép bảo vệ các tài liệu nhạy cảm trong doanh nghiệp bằng cách cho phép người dùng tùy ý phân quyền trên các tài liệu của mình và ngăn chặn việc đưa các tài liệu nhạy cảm ra khỏi môi trường doanh nghiệp. Trong loạt bài viết về AD RMS này, tôi sẽ trình bày các thao tác cài đặt và cấu hình AD RMS để phân quyền và bảo vệ các tài liệu trong tổ chức, phân quyền cho người dùng thuộc tổ chức khác và tích hợp với Dynamic Access Control (DAC) để tự động bảo vệ các tài liệu nhạy cảm dựa theo điều kiện xác định.

Trong phần 3 của loạt bài viết này tôi sẽ trình bày thao tác tích hợp AD RMS với Dynamic Access Control (DAC) để tự động bảo vệ các tài liệu nhạy cảm trong doanh nghiệp

II- TRIỂN KHAI CHI TIẾT

Bài LAB sử dụng 2 server:

– DC2012: Domain Controller (domain mcthub.local) chạy Windows Serrer 2012

– CLIENT1: Domain Member chạy Windows 8 đã cài đặt Office 2010

Bạn có thể tích tích hợp 2 máy này bằng cách cài đặt Office 2007/2010/2013 lên máy Domain Controller

Để thực hiện bài LAB này, bạn cần hoàn tất trước đó bài LAB ở phần 1

Bài LAB gồm các bước chính sau đây

1- Enable Resource Properties

2- Cài đặt File Server Resource Manager

3- Phân loại File bằng Classification Rule

4- Phân quyền bằng RMS Template

5- Phân quyền truy cập RMS

6- Cấu hình Schedule Task

7- Lập lịch phân quyền bằng File Management Task

8- Kiểm tra

1- Enable Resource Properties

Windows Server 2012 hỗ trợ nhiều thuộc tính để phân loại file (tham khảo bài biết về phân loại file bằng Dynamic Access Control) , muốn sử dụng thuộc tính nào bạn cần enable thuộc tính đó lên bằng cách sử dụng Dynamic Access Control. Trong bài LAB này tôi sẽ sử dụng thuộc tính Confidentiality (có thể hiểu là mức độ bảo mật của file). Trên máy DC2012, mở Server Manager – Chọn Active Directory Administrative Center

Dong Phuong Nam

Chọn Dynamic Access Control – Resource Properties

Dong Phuong Nam

Bấm phải chuột lên thuộc tính Confidentiality – Chọn Enable

Dong Phuong Nam

2- Cài đặt File Server Resource Manager

Để có thể thực hiện thao tác phân loại file, bạn cần cài đặt File Server Resource Manager. Trên máy DC2012, mở Server Manager – Chọn Manage – Add Roles and Features

Dong Phuong Nam

Nhấn Next ở 3 hộp thoại đầu tiên. Ở hộp thoại Select Server Role, bung File And Storage Services – File and iSCSI Services – Đánh dấu check File Server Resource Manager, sau đó cài đặt theo các lựa chọn mặc định

Dong Phuong Nam

3- Phân loại File bằng Classification Rule

Trong ví dụ này tôi sẽ phân loại file dựa vào nội dung, yêu cầu các file có chuỗi "MCTHUB Confidential" trong phần nội dung sẽ tự động phân loại bằng cách gán thuộc tính ConfidentialityHigh. Mở File Server Resource Manager

Dong Phuong Nam

Kiểm tra thuộc tính bằng cách chọn Classification Management – Classification Properties, sau đó Refresh và quan sát, bảo đảm thuộc tính Confidentiality xuất hiện

Dong Phuong Nam

Tiếp theo tôi sẽ tạo một Classification Rule để phân loại file dựa vào nội dung. Bấm phải chuột Classification Rules – Chọn Create Classification Rule…

Dong Phuong Nam

Trong tab General, Trong khung Rule name: đặt tên tùy ý cho rule, tôi đặt là High Confidentiality

Dong Phuong Nam

Sang Tab Scope: Chỉ định phạm vi thư mục áp dụng rule bằng cách nhấn nhút Add

Dong Phuong Nam

Chọn thư mục C:\Data – Nhấn OK

Dong Phuong Nam

Sang tab Classification

Khung Classification method: Chọn Content Classifier

Khung Choose a properties to assign to files: chọn thuộc tính Confidentiality

Khung Specify a value: Chọn giá trị High

Nhấn nút Configure… để qui định điều kiện phân loại

Dong Phuong Nam

Ở cột Expression Type: Chọn String

Ở cột Expression: Nhập mcthub confidential

Nhấn OK

Dong Phuong Nam

Sang tab Evaluation Type, đánh dấu check Re-evaluate existing property values và chọn Overwrite the existing value để phân loại lại các file cũ nếu thỏa mãn điều kiện

Nhấn nút OK

Dong Phuong Nam

Kiểm tra Classification Rule đã được tạo thành công

Dong Phuong Nam

Tiếp theo tôi sẽ tiến hành lập lịch để rule này sẽ tự động chạy vào thời điểm chỉ định. Bấm phải chuột Classification Rules – Chọn Configure Classification Schedule…

Dong Phuong Nam

Đánh dấu check Enable fixed schedule

Trong khung Run at: Chọn giờ tùy ý bạn muốn rule sẽ tự động chạy. Chọn Weekly và đánh dấu vào các thứ trong tuần cho phép rule chạy.

Đánh dấu check Allow continuous classification for new files để áp dụng đối với các file mới

Nhấn OK

Dong Phuong Nam

Sau thao tác cấu hình này, File Server Resource Manager dẽ tự động chạy rule vào 8:00 sáng hàng ngày và sẽ tự động gán thuộc tính Confidentiality là High cho các file trong nội dung có chuỗi"mcthub confidential"

4- Phân quyền bằng RMS Template

Do mục đích của bài LAB là phân quyền tự động, để chỉ định quyền hạn khi phân quyền tự động, bạn cần tạo một RMS Template chỉ định sẽ phân quyền Full Control cho group Manager và quyềnView cho group IT đối với các dữ liệu có thuộc tính ConfidentialityHigh (dữ liệu có mức độ bảo mật cao). Trên máy DC2012, mở Active Directory Rights Management Services – bấm phải chuột Rights Policy Template – Chọn Properties

Dong Phuong Nam

Chỉ định nơi lưu trữ RMS Template là \\DC2012\Public – Nhấn OK

Dong Phuong Nam

Chọn Create Distributed Rights Policy Template

Dong Phuong Nam

Nhấn nút Add

Dong Phuong Nam

Trong khung Name: Nhập tên tùy ý cho Template, tôi nhập là mcthub RC

Trong khung Description: Nhập mô tả tùy ý

Nhấn Add

Dong Phuong Nam

Nhấn Next

Dong Phuong Nam

Trong khung Users and Rights – Nhấn Add để tiến hành phân quyền

Dong Phuong Nam

Chọn The e-mail address of a user or group: Nhấn Manager@mcthub.local – Nhấn OK

Dong Phuong Nam

Đánh dấu check Full Control – Nhấn Add để tiếp tục phân quyền cho group IT

Dong Phuong Nam

Chọn The e-mail address of a user or group: Nhấn IT@mcthub.local – Nhấn OK

Dong Phuong Nam

Phân quyền View cho group IT – Nhấn Finish

Dong Phuong Nam

Kiểm tra RMS Template đã được tạo thành công

Dong Phuong Nam

5- Phân quyền truy cập RMS

Để các File Server trong hệ thống có thể truy cập RMS Server, bạn cần phân quyền cho Authenticated Users có quyền truy cập file ServerCertification.asmx. Trên máy DC2012, mở thư mụcC:\inetpub\wwwroot\_wmcs\certification

Dong Phuong Nam

Bấm phải chuột file ServerCertification.asmx – Chọn Properties

Dong Phuong Nam

Nhấn nút Edit

Dong Phuong Nam

Nhấn nút Add

Dong Phuong Nam

Chọn group Authenticated Users – Nhấn OK

Dong Phuong Nam

Phân quyền Read Read & Execute cho group Authenticated Users – Nhấn OK – Nhấn OK

Dong Phuong Nam

6- Cấu hình Schedule Task

Trên máy CLIENT1, bạn cần cấu hình Schedule task cho phép chạy RMS Template. Mở Control Panel – Chọn Administrative Tools

Dong Phuong Nam

Bấm phải chuột Task Scheduler – Nhấn Open

Dong Phuong Nam

Chọn theo hình bên dưới, bấm phải chuột AD RMS Rights Policy Template Management (Automated) – Chọn Enable

Dong Phuong Nam

7- Lập lịch phân quyền bằng File Management Task

Để tự động phân quyền bằng RMS đối với các file đã được phân loại dựa vào thuộc tính ConfidentialityHigh, bạn cần tạo một File Management Task. Trên máy DC2012, mở File Server Resource Manager. Bấm phải chuột File Management Task – Create File Management Task

Dong Phuong Nam

Trong tab General. Mục Task Name: Nhập tên tùy ý, tôi nhập là High Confidential

Dong Phuong Nam

Sang tab Scope: Nhấn nút Add, chọn thư mục C:\Data

Dong Phuong Nam

Sang tab Action: Trong khung Type: Chọn RMS Encryption. Chọn Select a tempate và chọn Template mcthub RC đã tạo ở bước 4

Dong Phuong Nam

Sang tab Condition: Chỉ định điều kiện phân quyền bằng cách nhấn nút Add

Dong Phuong Nam

Ở mục Properties: Chọn thuộc tính Confidentiality

Ở mục Operator: Chọn phép so sánh bằng (Equal)

Ở mục Value: Chọn giá trị High

Nhấn nút OK

Dong Phuong Nam

Kiểm tra lại điều kiện đã tạo

Dong Phuong Nam

Sang tab Schedule: Lập lịch tương tự bước 3 – Nhấn OK

Dong Phuong Nam

Kiểm tra File Management Task đã được tạo thành công

Dong Phuong Nam

8- Kiểm tra

Sang máy CLIENT1, logon MCTHUB\trong, mở Word 2010 và soạn một văn bản có nội dung như bên dưới (nội dung có chuỗi mcthub confidential)

Dong Phuong Nam

Lưu văn bản với tên ConfidentialDocument vào thư mục Data trên máy DC2012

Dong Phuong Nam

Sang máy DC2012, do không muốn chờ đợi đến thời điểm đã lập lịch nên tôi sẽ thực hiện chạy Classification Rule để tiến hành phân loại file bằng cách bấm phải chuột Classification Rules – ChọnRun Classification With All Rules Now…

Dong Phuong Nam

Chọn Wait for classification to complete – Nhấn OK

Dong Phuong Nam

Chờ đợi quá trình phân loại file

Dong Phuong Nam

Sau khi quá trình phân loại hoàn tất, một report sẽ mở ra, bạn khảo sát và đóng report, sau đó kiểm tra bằng cách mở thư mục C:\Data, bấm phải chuột file ConfidentialDocument – ChọnProperties

Dong Phuong Nam

Sang tab Classification, quan sát thuộc tính Confidentiality đã được đặt là High – Nhấn Cancel

Dong Phuong Nam

Do không muốn đợi đến thời điểm đã lập lịch chạy File Management Task, tôi sẽ tiến hành phân quyền bằng cách chạy File Management Task. Chọn File Management Task, bấm phải chuột vào taskHigh Confidential đã tạo ở bước 7 – Chọn Rule File Management Task Now…

Dong Phuong Nam

Chọn Wait for the task to complete – Nhấn OK

Dong Phuong Nam

Chờ đợi quá trình chạy task

Dong Phuong Nam

Khảo sát và đóng report

Dong Phuong Nam

Kiểm tra quá trình phân quyền: Sang máy CLIENT1, logon MCTHUB\trong, truy cập sang thư mục Data trên máy DC2012

Dong Phuong Nam

Mở văn bản ConfidentialDocument

Dong Phuong Nam

Microsoft Office Word thông báo văn bản đã bị giới hạn quyền truy cập – Nhấn OK

Dong Phuong Nam

Nhấn nút View Permission để xem quyền

Dong Phuong Nam

Kiểm tra user MCTHUB\trong có toàn quyền vì user này thuộc group Manager và Template đã phân quyền Full Control cho group Manager – Nhấn OK và đóng văn bản

Dong Phuong Nam

Trên máy CLIENT1, logon MCTHUB\duy, truy cập sang thư mục Data trên máy DC2012

Dong Phuong Nam

Mở văn bản ConfidentialDocument

Dong Phuong Nam

Microsoft Office Word thông báo văn bản đã bị giới hạn quyền truy cập – Nhấn OK

Dong Phuong Nam

Nhấn nút View Permission để xem quyền

Dong Phuong Nam

Kiểm tra user MCTHUB\duy có chỉ đó quyền đọc vì user này thuộc group IT và Template đã phân quyền View cho group IT – Nhấn OK và đóng văn bản

Dong Phuong Nam

Advertisements
  1. No comments yet.
  1. No trackbacks yet.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

%d bloggers like this: