I- GIỚI THIỆU
Active Directory Rights Management Service (AD RMS) là dịch vụ được tích hợp sẵn trong Windows cho phép bảo vệ các tài liệu nhạy cảm trong doanh nghiệp bằng cách cho phép người dùng tùy ý phân quyền trên các tài liệu của mình và ngăn chặn việc đưa các tài liệu nhạy cảm ra khỏi môi trường doanh nghiệp. Trong loạt bài viết về AD RMS này, tôi sẽ trình bày các thao tác cài đặt và cấu hình AD RMS để phân quyền và bảo vệ các tài liệu trong tổ chức, phân quyền cho người dùng thuộc tổ chức khác và tích hợp với Dynamic Access Control (DAC) để tự động bảo vệ các tài liệu nhạy cảm dựa theo điều kiện xác định.
Trong phần 3 của loạt bài viết này tôi sẽ trình bày thao tác tích hợp AD RMS với Dynamic Access Control (DAC) để tự động bảo vệ các tài liệu nhạy cảm trong doanh nghiệp
II- TRIỂN KHAI CHI TIẾT
Bài LAB sử dụng 2 server:
- DC2012: Domain Controller (domain mcthub.local) chạy Windows Serrer 2012
- CLIENT1: Domain Member chạy Windows 8 đã cài đặt Office 2010
Bạn có thể tích tích hợp 2 máy này bằng cách cài đặt Office 2007/2010/2013 lên máy Domain Controller
Để thực hiện bài LAB này, bạn cần hoàn tất trước đó bài LAB ở phần 1
Bài LAB gồm các bước chính sau đây
1- Enable Resource Properties
2- Cài đặt File Server Resource Manager
3- Phân loại File bằng Classification Rule
4- Phân quyền bằng RMS Template
5- Phân quyền truy cập RMS
6- Cấu hình Schedule Task
7- Lập lịch phân quyền bằng File Management Task
8- Kiểm tra
1- Enable Resource Properties
Windows Server 2012 hỗ trợ nhiều thuộc tính để phân loại file (tham khảo bài biết về phân loại file bằng Dynamic Access Control) , muốn sử dụng thuộc tính nào bạn cần enable thuộc tính đó lên bằng cách sử dụng Dynamic Access Control. Trong bài LAB này tôi sẽ sử dụng thuộc tính Confidentiality (có thể hiểu là mức độ bảo mật của file). Trên máy DC2012, mở Server Manager - Chọn Active Directory Administrative Center
Chọn Dynamic Access Control - Resource Properties
Bấm phải chuột lên thuộc tính Confidentiality - Chọn Enable
2- Cài đặt File Server Resource Manager
Để có thể thực hiện thao tác phân loại file, bạn cần cài đặt File Server Resource Manager. Trên máy DC2012, mở Server Manager - Chọn Manage - Add Roles and Features
Nhấn Next ở 3 hộp thoại đầu tiên. Ở hộp thoại Select Server Role, bung File And Storage Services - File and iSCSI Services - Đánh dấu check File Server Resource Manager, sau đó cài đặt theo các lựa chọn mặc định
3- Phân loại File bằng Classification Rule
Trong ví dụ này tôi sẽ phân loại file dựa vào nội dung, yêu cầu các file có chuỗi "MCTHUB Confidential" trong phần nội dung sẽ tự động phân loại bằng cách gán thuộc tính Confidentiality là High. Mở File Server Resource Manager
Kiểm tra thuộc tính bằng cách chọn Classification Management - Classification Properties, sau đó Refresh và quan sát, bảo đảm thuộc tính Confidentiality xuất hiện
Tiếp theo tôi sẽ tạo một Classification Rule để phân loại file dựa vào nội dung. Bấm phải chuột Classification Rules - Chọn Create Classification Rule…
Trong tab General, Trong khung Rule name: đặt tên tùy ý cho rule, tôi đặt là High Confidentiality
Sang Tab Scope: Chỉ định phạm vi thư mục áp dụng rule bằng cách nhấn nhút Add
Chọn thư mục C:\Data - Nhấn OK
Sang tab Classification
Khung Classification method: Chọn Content Classifier
Khung Choose a properties to assign to files: chọn thuộc tính Confidentiality
Khung Specify a value: Chọn giá trị High
Nhấn nút Configure… để qui định điều kiện phân loại
Ở cột Expression Type: Chọn String
Ở cột Expression: Nhập mcthub confidential
Nhấn OK
Sang tab Evaluation Type, đánh dấu check Re-evaluate existing property values và chọn Overwrite the existing value để phân loại lại các file cũ nếu thỏa mãn điều kiện
Nhấn nút OK
Kiểm tra Classification Rule đã được tạo thành công
Tiếp theo tôi sẽ tiến hành lập lịch để rule này sẽ tự động chạy vào thời điểm chỉ định. Bấm phải chuột Classification Rules - Chọn Configure Classification Schedule…
Đánh dấu check Enable fixed schedule
Trong khung Run at: Chọn giờ tùy ý bạn muốn rule sẽ tự động chạy. Chọn Weekly và đánh dấu vào các thứ trong tuần cho phép rule chạy.
Đánh dấu check Allow continuous classification for new files để áp dụng đối với các file mới
Nhấn OK
Sau thao tác cấu hình này, File Server Resource Manager dẽ tự động chạy rule vào 8:00 sáng hàng ngày và sẽ tự động gán thuộc tính Confidentiality là High cho các file trong nội dung có chuỗi"mcthub confidential"
4- Phân quyền bằng RMS Template
Do mục đích của bài LAB là phân quyền tự động, để chỉ định quyền hạn khi phân quyền tự động, bạn cần tạo một RMS Template chỉ định sẽ phân quyền Full Control cho group Manager và quyềnView cho group IT đối với các dữ liệu có thuộc tính Confidentiality là High (dữ liệu có mức độ bảo mật cao). Trên máy DC2012, mở Active Directory Rights Management Services - bấm phải chuột Rights Policy Template - Chọn Properties
Chỉ định nơi lưu trữ RMS Template là \\DC2012\Public - Nhấn OK
Chọn Create Distributed Rights Policy Template
Nhấn nút Add
Trong khung Name: Nhập tên tùy ý cho Template, tôi nhập là mcthub RC
Trong khung Description: Nhập mô tả tùy ý
Nhấn Add
Nhấn Next
Trong khung Users and Rights - Nhấn Add để tiến hành phân quyền
Chọn The e-mail address of a user or group: Nhấn Manager@mcthub.local - Nhấn OK
Đánh dấu check Full Control - Nhấn Add để tiếp tục phân quyền cho group IT
Chọn The e-mail address of a user or group: Nhấn IT@mcthub.local - Nhấn OK
Phân quyền View cho group IT - Nhấn Finish
Kiểm tra RMS Template đã được tạo thành công
5- Phân quyền truy cập RMS
Để các File Server trong hệ thống có thể truy cập RMS Server, bạn cần phân quyền cho Authenticated Users có quyền truy cập file ServerCertification.asmx. Trên máy DC2012, mở thư mụcC:\inetpub\wwwroot\_wmcs\certification
Bấm phải chuột file ServerCertification.asmx - Chọn Properties
Nhấn nút Edit
Nhấn nút Add
Bấm phải chuột file ServerCertification.asmx - Chọn Properties
Nhấn nút Edit
Chọn group Authenticated Users - Nhấn OK
Phân quyền Read và Read & Execute cho group Authenticated Users - Nhấn OK - Nhấn OK
6- Cấu hình Schedule Task
Trên máy CLIENT1, bạn cần cấu hình Schedule task cho phép chạy RMS Template. Mở Control Panel - Chọn Administrative Tools
Bấm phải chuột Task Scheduler - Nhấn Open
Chọn theo hình bên dưới, bấm phải chuột AD RMS Rights Policy Template Management (Automated) - Chọn Enable
7- Lập lịch phân quyền bằng File Management Task
Để tự động phân quyền bằng RMS đối với các file đã được phân loại dựa vào thuộc tính Confidentiality là High, bạn cần tạo một File Management Task. Trên máy DC2012, mở File Server Resource Manager. Bấm phải chuột File Management Task - Create File Management Task
Trong tab General. Mục Task Name: Nhập tên tùy ý, tôi nhập là High Confidential
Sang tab Scope: Nhấn nút Add, chọn thư mục C:\Data
Sang tab Action: Trong khung Type: Chọn RMS Encryption. Chọn Select a tempate và chọn Template mcthub RC đã tạo ở bước 4
Sang tab Condition: Chỉ định điều kiện phân quyền bằng cách nhấn nút Add
Ở mục Properties: Chọn thuộc tính Confidentiality
Ở mục Operator: Chọn phép so sánh bằng (Equal)
Ở mục Value: Chọn giá trị High
Nhấn nút OK
Kiểm tra lại điều kiện đã tạo
Sang tab Schedule: Lập lịch tương tự bước 3 - Nhấn OK
Kiểm tra File Management Task đã được tạo thành công
8- Kiểm tra
Sang máy CLIENT1, logon MCTHUB\trong, mở Word 2010 và soạn một văn bản có nội dung như bên dưới (nội dung có chuỗi mcthub confidential)
Lưu văn bản với tên ConfidentialDocument vào thư mục Data trên máy DC2012
Sang máy DC2012, do không muốn chờ đợi đến thời điểm đã lập lịch nên tôi sẽ thực hiện chạy Classification Rule để tiến hành phân loại file bằng cách bấm phải chuột Classification Rules - ChọnRun Classification With All Rules Now…
Chọn Wait for classification to complete - Nhấn OK
Chờ đợi quá trình phân loại file
Sau khi quá trình phân loại hoàn tất, một report sẽ mở ra, bạn khảo sát và đóng report, sau đó kiểm tra bằng cách mở thư mục C:\Data, bấm phải chuột file ConfidentialDocument - ChọnProperties - ChọnRun Classification With All Rules Now…
Sang tab Classification, quan sát thuộc tính Confidentiality đã được đặt là High - Nhấn Cancel
Do không muốn đợi đến thời điểm đã lập lịch chạy File Management Task, tôi sẽ tiến hành phân quyền bằng cách chạy File Management Task. Chọn File Management Task, bấm phải chuột vào taskHigh Confidential đã tạo ở bước 7 - Chọn Rule File Management Task Now…
Chọn Wait for the task to complete - Nhấn OK
Chờ đợi quá trình chạy task
Khảo sát và đóng report
Kiểm tra quá trình phân quyền: Sang máy CLIENT1, logon MCTHUB\trong, truy cập sang thư mục Data trên máy DC2012
Mở văn bản ConfidentialDocument
Microsoft Office Word thông báo văn bản đã bị giới hạn quyền truy cập - Nhấn OK
Nhấn nút View Permission để xem quyền
Kiểm tra user MCTHUB\trong có toàn quyền vì user này thuộc group Manager và Template đã phân quyền Full Control cho group Manager - Nhấn OK và đóng văn bản
Trên máy CLIENT1, logon MCTHUB\duy, truy cập sang thư mục Data trên máy DC2012
Mở văn bản ConfidentialDocument
Microsoft Office Word thông báo văn bản đã bị giới hạn quyền truy cập - Nhấn OK
Nhấn nút View Permission để xem quyền
Kiểm tra user MCTHUB\duy có chỉ đó quyền đọc vì user này thuộc group IT và Template đã phân quyền View cho group IT - Nhấn OK và đóng văn bản
Bài viết liên quan
Cấu hình Active Directory Rights Management Service (ADRMS) trên Windows Server 2012 - Phần 1
Cấu hình Active Directory Rights Management Service (ADRMS) trên Windows Server 2012 - Phần 2
Cấu hình Dynamic Access Control (DAC) trên Windows Server 2012 - Phần 1: Phân quyền
Cấu hình Dynamic Access Control (DAC) trên Windows Server 2012 - Phần 2: Phân loại dữ liệu
mcthub.com