I- GIỚI THIỆU

Active Directory Rights Management Service (AD RMS) là dịch vụ được tích hợp sẵn trong Windows cho phép bảo vệ các tài liệu nhạy cảm trong doanh nghiệp bằng cách cho phép người dùng tùy ý phân quyền trên các tài liệu của mình và ngăn chặn việc đưa các tài liệu nhạy cảm ra khỏi môi trường doanh nghiệp. Trong loạt bài viết về AD RMS này, tôi sẽ trình bày các thao tác cài đặt và cấu hình AD RMS để phân quyền và bảo vệ các tài liệu trong tổ chức, phân quyền cho người dùng thuộc tổ chức khác và tích hợp với Dynamic Access Control (DAC) để tự động bảo vệ các tài liệu nhạy cảm dựa theo điều kiện xác định.

Trong phần 3 của loạt bài viết này tôi sẽ trình bày thao tác tích hợp AD RMS với Dynamic Access Control (DAC) để tự động bảo vệ các tài liệu nhạy cảm trong doanh nghiệp

II- TRIỂN KHAI CHI TIẾT

Bài LAB sử dụng 2 server:

- DC2012: Domain Controller (domain mcthub.local) chạy Windows Serrer 2012

- CLIENT1: Domain Member chạy Windows 8 đã cài đặt Office 2010

Bạn có thể tích tích hợp 2 máy này bằng cách cài đặt Office 2007/2010/2013 lên máy Domain Controller

Để thực hiện bài LAB này, bạn cần hoàn tất trước đó bài LAB ở phần 1

Bài LAB gồm các bước chính sau đây

1- Enable Resource Properties

2- Cài đặt File Server Resource Manager

3- Phân loại File bằng Classification Rule

4- Phân quyền bằng RMS Template

5- Phân quyền truy cập RMS

6- Cấu hình Schedule Task

7- Lập lịch phân quyền bằng File Management Task

8- Kiểm tra

1- Enable Resource Properties

Windows Server 2012 hỗ trợ nhiều thuộc tính để phân loại file (tham khảo bài biết về phân loại file bằng Dynamic Access Control) , muốn sử dụng thuộc tính nào bạn cần enable thuộc tính đó lên bằng cách sử dụng Dynamic Access Control. Trong bài LAB này tôi sẽ sử dụng thuộc tính Confidentiality (có thể hiểu là mức độ bảo mật của file). Trên máy DC2012, mở Server Manager - Chọn Active Directory Administrative Center

Chọn Dynamic Access Control - Resource Properties

Bấm phải chuột lên thuộc tính Confidentiality - Chọn Enable

2- Cài đặt File Server Resource Manager

Để có thể thực hiện thao tác phân loại file, bạn cần cài đặt File Server Resource Manager. Trên máy DC2012, mở Server Manager - Chọn Manage - Add Roles and Features

Nhấn Next ở 3 hộp thoại đầu tiên. Ở hộp thoại Select Server Role, bung File And Storage Services - File and iSCSI Services - Đánh dấu check File Server Resource Manager, sau đó cài đặt theo các lựa chọn mặc định

3- Phân loại File bằng Classification Rule

Trong ví dụ này tôi sẽ phân loại file dựa vào nội dung, yêu cầu các file có chuỗi "MCTHUB Confidential" trong phần nội dung sẽ tự động phân loại bằng cách gán thuộc tính ConfidentialityHigh. Mở File Server Resource Manager

Kiểm tra thuộc tính bằng cách chọn Classification Management - Classification Properties, sau đó Refresh và quan sát, bảo đảm thuộc tính Confidentiality xuất hiện

Tiếp theo tôi sẽ tạo một Classification Rule để phân loại file dựa vào nội dung. Bấm phải chuột Classification Rules - Chọn Create Classification Rule…

Trong tab General, Trong khung Rule name: đặt tên tùy ý cho rule, tôi đặt là High Confidentiality

Sang Tab Scope: Chỉ định phạm vi thư mục áp dụng rule bằng cách nhấn nhút Add

Chọn thư mục C:\Data - Nhấn OK

Sang tab Classification

Khung Classification method: Chọn Content Classifier

Khung Choose a properties to assign to files: chọn thuộc tính Confidentiality

Khung Specify a value: Chọn giá trị High

Nhấn nút Configure… để qui định điều kiện phân loại

Ở cột Expression Type: Chọn String

Ở cột Expression: Nhập mcthub confidential

Nhấn OK

Sang tab Evaluation Type, đánh dấu check Re-evaluate existing property values và chọn Overwrite the existing value để phân loại lại các file cũ nếu thỏa mãn điều kiện

Nhấn nút OK

Kiểm tra Classification Rule đã được tạo thành công

Tiếp theo tôi sẽ tiến hành lập lịch để rule này sẽ tự động chạy vào thời điểm chỉ định. Bấm phải chuột Classification Rules - Chọn Configure Classification Schedule…

Đánh dấu check Enable fixed schedule

Trong khung Run at: Chọn giờ tùy ý bạn muốn rule sẽ tự động chạy. Chọn Weekly và đánh dấu vào các thứ trong tuần cho phép rule chạy.

Đánh dấu check Allow continuous classification for new files để áp dụng đối với các file mới

Nhấn OK

Sau thao tác cấu hình này, File Server Resource Manager dẽ tự động chạy rule vào 8:00 sáng hàng ngày và sẽ tự động gán thuộc tính Confidentiality là High cho các file trong nội dung có chuỗi"mcthub confidential"

4- Phân quyền bằng RMS Template

Do mục đích của bài LAB là phân quyền tự động, để chỉ định quyền hạn khi phân quyền tự động, bạn cần tạo một RMS Template chỉ định sẽ phân quyền Full Control cho group Manager và quyềnView cho group IT đối với các dữ liệu có thuộc tính ConfidentialityHigh (dữ liệu có mức độ bảo mật cao). Trên máy DC2012, mở Active Directory Rights Management Services - bấm phải chuột Rights Policy Template - Chọn Properties

Chỉ định nơi lưu trữ RMS Template là \\DC2012\Public - Nhấn OK

Chọn Create Distributed Rights Policy Template

Nhấn nút Add

Trong khung Name: Nhập tên tùy ý cho Template, tôi nhập là mcthub RC

Trong khung Description: Nhập mô tả tùy ý

Nhấn Add

Nhấn Next

Trong khung Users and Rights - Nhấn Add để tiến hành phân quyền

Chọn The e-mail address of a user or group: Nhấn Manager@mcthub.local - Nhấn OK

Đánh dấu check Full Control - Nhấn Add để tiếp tục phân quyền cho group IT

Chọn The e-mail address of a user or group: Nhấn IT@mcthub.local - Nhấn OK

Phân quyền View cho group IT - Nhấn Finish

Kiểm tra RMS Template đã được tạo thành công

5- Phân quyền truy cập RMS

Để các File Server trong hệ thống có thể truy cập RMS Server, bạn cần phân quyền cho Authenticated Users có quyền truy cập file ServerCertification.asmx. Trên máy DC2012, mở thư mụcC:\inetpub\wwwroot\_wmcs\certification

Bấm phải chuột file ServerCertification.asmx - Chọn Properties

Nhấn nút Edit

Nhấn nút Add

Bấm phải chuột file ServerCertification.asmx - Chọn Properties

Nhấn nút Edit

Chọn group Authenticated Users - Nhấn OK

Phân quyền Read Read & Execute cho group Authenticated Users - Nhấn OK - Nhấn OK

6- Cấu hình Schedule Task

Trên máy CLIENT1, bạn cần cấu hình Schedule task cho phép chạy RMS Template. Mở Control Panel - Chọn Administrative Tools

Bấm phải chuột Task Scheduler - Nhấn Open

Chọn theo hình bên dưới, bấm phải chuột AD RMS Rights Policy Template Management (Automated) - Chọn Enable

7- Lập lịch phân quyền bằng File Management Task

Để tự động phân quyền bằng RMS đối với các file đã được phân loại dựa vào thuộc tính ConfidentialityHigh, bạn cần tạo một File Management Task. Trên máy DC2012, mở File Server Resource Manager. Bấm phải chuột File Management Task - Create File Management Task

Trong tab General. Mục Task Name: Nhập tên tùy ý, tôi nhập là High Confidential

Sang tab Scope: Nhấn nút Add, chọn thư mục C:\Data

Sang tab Action: Trong khung Type: Chọn RMS Encryption. Chọn Select a tempate và chọn Template mcthub RC đã tạo ở bước 4

Sang tab Condition: Chỉ định điều kiện phân quyền bằng cách nhấn nút Add

Ở mục Properties: Chọn thuộc tính Confidentiality

Ở mục Operator: Chọn phép so sánh bằng (Equal)

Ở mục Value: Chọn giá trị High

Nhấn nút OK

Kiểm tra lại điều kiện đã tạo

Sang tab Schedule: Lập lịch tương tự bước 3 - Nhấn OK

Kiểm tra File Management Task đã được tạo thành công

8- Kiểm tra

Sang máy CLIENT1, logon MCTHUB\trong, mở Word 2010 và soạn một văn bản có nội dung như bên dưới (nội dung có chuỗi mcthub confidential)

Lưu văn bản với tên ConfidentialDocument vào thư mục Data trên máy DC2012

Sang máy DC2012, do không muốn chờ đợi đến thời điểm đã lập lịch nên tôi sẽ thực hiện chạy Classification Rule để tiến hành phân loại file bằng cách bấm phải chuột Classification Rules - ChọnRun Classification With All Rules Now…

Chọn Wait for classification to complete - Nhấn OK

Chờ đợi quá trình phân loại file

Sau khi quá trình phân loại hoàn tất, một report sẽ mở ra, bạn khảo sát và đóng report, sau đó kiểm tra bằng cách mở thư mục C:\Data, bấm phải chuột file ConfidentialDocument - ChọnProperties - ChọnRun Classification With All Rules Now…

Sang tab Classification, quan sát thuộc tính Confidentiality đã được đặt là High - Nhấn Cancel

Do không muốn đợi đến thời điểm đã lập lịch chạy File Management Task, tôi sẽ tiến hành phân quyền bằng cách chạy File Management Task. Chọn File Management Task, bấm phải chuột vào taskHigh Confidential đã tạo ở bước 7 - Chọn Rule File Management Task Now…

Chọn Wait for the task to complete - Nhấn OK

Chờ đợi quá trình chạy task

Khảo sát và đóng report

Kiểm tra quá trình phân quyền: Sang máy CLIENT1, logon MCTHUB\trong, truy cập sang thư mục Data trên máy DC2012

Mở văn bản ConfidentialDocument

Microsoft Office Word thông báo văn bản đã bị giới hạn quyền truy cập - Nhấn OK

Nhấn nút View Permission để xem quyền

Kiểm tra user MCTHUB\trong có toàn quyền vì user này thuộc group Manager và Template đã phân quyền Full Control cho group Manager - Nhấn OK và đóng văn bản

Trên máy CLIENT1, logon MCTHUB\duy, truy cập sang thư mục Data trên máy DC2012

Mở văn bản ConfidentialDocument

Microsoft Office Word thông báo văn bản đã bị giới hạn quyền truy cập - Nhấn OK

Nhấn nút View Permission để xem quyền

Kiểm tra user MCTHUB\duy có chỉ đó quyền đọc vì user này thuộc group IT và Template đã phân quyền View cho group IT - Nhấn OK và đóng văn bản

Bài viết liên quan

Cấu hình Active Directory Rights Management Service (ADRMS) trên Windows Server 2012 - Phần 1

Cấu hình Active Directory Rights Management Service (ADRMS) trên Windows Server 2012 - Phần 2

Cấu hình Dynamic Access Control (DAC) trên Windows Server 2012 - Phần 1: Phân quyền

Cấu hình Dynamic Access Control (DAC) trên Windows Server 2012 - Phần 2: Phân loại dữ liệu

 

By Đồng Phương Nam

mcthub.com