Friday, 11 February 2022

679.0 Hướng dẫn cài đặt AD RMS server ( Active Directory Rights Management Services) có trong Windows Server 2012.


Nguồn: https://mdungblog.wordpress.com/2018/06/21/simple-guide-huong-dan-cai-dat-ad-rms-windows-server-2012-r2/

 

Hôm nay mình xin giới thiệu với các bạn dịch vụ AD RMS ( Active Directory Rights Management Services) có trong Windows Server 2012.

I- GIỚI THIỆU

Theo báo cáo mới nhất về an ninh toàn cầu của Microsoft thì vấn đề thất thoát thông tin trong doanh nghiệp và chính phủ ngày càng phổ biến với mức độ thiệt hại không hề thua kém so với virus hay mã độc.

Những phương thức bảo mật thông tin truyền thống như tường lửa hay phân quyền truy cập tập tin hay thư mục bằng ACL không thể ngăn ngừa được thất thoát dữ liệu khi laptop hay USB bị mất cũng như được truyền qua đường thư điện tử hay thư thoại.

Active Directory Rights Management Service (AD RMS) là dịch vụ được tích hợp sẵn trong Windows cho phép bảo vệ các tài liệu nhạy cảm trong doanh nghiệp bằng cách cho phép người dùng tùy ý phân quyền trên các tài liệu của mình và ngăn chặn việc đưa các tài liệu nhạy cảm ra khỏi môi trường doanh nghiệp.

Thông thường dữ liệu khi được truyền gửi hay chia sẻ cho người nhận dưới hình thức chia sẻ bằng máy chủ file server, email thì họ có toàn quyền với dữ liệu đó chẳng hạn họ có quyền nhào nặn nội dung, in tài liệu ra, chuyển email chứa nội dung nhạy cảm cho người khác… Do vậy để giảm thiểu việc người nhận lạm dụng quyền hạn với nội dung, AD RMS đưa ra phương thức cho phép người gửi phân quyền tương tác với nội dung cho người nhận như: cấm in tài liệu, cấm chuyển email cho người khác, thiết lập thời gian hết hạn của tài liệu. Để làm được điều đó AD RMS sẽ tiến hành mã hóa dữ liệu ở mức độ 128bit và gắn chứng chỉ số vào tài liệu nhằm can thiệp vào suốt quá trình tồn tại của dữ liệu bất kể nó được lưu trữ ở đâu. Kết quả là người nhận muốn mở dữ liệu được bảo vệ bởi AD RMS phải chìa ra thông tin định danh của mình mà cụ thể là tài khoản truy cập vào hệ thống AD của công ty. Khi đó máy chủ AD RMS sẽ dựa trên danh tính của người nhận để xác định quyền tương tác đối với dữ liệu. Mô tả nghe có vẻ phức tạp nhưng giải pháp công nghệ của Microsoft luôn mang đặc tính vốn có là rất thân thiện với người dùng. Do vậy khi các doanh nghiệp triển khai AD RMS sẽ không mất nhiều công sức và thời gian.

RMS là giải pháp bảo vệ các tài liệu nhạy cảm trong doanh nghiệp

Cơ chế chống thất thoát dữ liệu RMS áp dụng cho cả chiều gửi và chiều nhận đối với phần mềm duyệt mail Outlook trên máy trạm lẫn Outlook Mobile trên điện thoại di động. Người dùng có thể sử dụng các chính sách phân quyền truy cập thông tin dựa trên các template có sẵn và do bộ phận IT thiết lập như:

– Cấm chuyển đi (Do Not Forward): được dùng để ngăn chặn người dùng chuyển nội dung email cho người thứ ba.

– Cấm gửi lại cho tất cả mọi người trong loop mail (Do Not Reply All): được dùng để ngăn chặn người nhận trả lời email lại cho tất cả những người trong loop mail ngoại trừ người gửi.

– Nội dung email là chỉ đọc không được copy hay in ấn (Read Only): là cách thức cấm người nhận in, sao chụp email hay lưu file đính kèm xuống máy. Cơ chế Read Only thường đi chung với template Do Not Forward.

– Nội dung email bị giới hạn theo nhóm người (Company User Group Confidential): được dùng để đảm bảo email nhạy cảm liên quan đến nhân sự, chính sách công ty, thông tin mật không lọt ra khỏi nhóm người dùng mong muốn.

– Nội dung chỉ được xem trong thời gian nhất định (Expire Date): được áp dụng cho các tài liệu thuộc loại tối mật và người dùng nhận chỉ có thể xem trong khoảng thời gian nhất định mà thôi.

Một ví dụ cực kỳ đơn giản về ứng dụng của RMS là : 1 ngày đẹp trời  ,giám đốc tài chính công ty bạn copy các dữ liệu quan trọng vào USB và mang về nhà để giải quyết tiếp  ,trong quá trình đi về nhà chiêc USB bị mất hoặc đánh rơi , thì người nhặt được dù có muốn mở tài liệu trong USB cũng không thể được do không được authorized với AD tại công ty của bạn.

Về cơ bản , dữ liệu văn phòng như Word, Excel, Powerpoint sau khi đã được bảo vệ bằng AD RMS thì mặc định đã được mã hóa nên cho dù chúng có được lưu trữ trên máy chủ file server, máy trạm, máy tính xách tay hay thiết bị lưu trữ di động thì vẫn không làm ảnh hưởng đến tính toàn vẹn và cơ chế phân quyền tương tác thông tin.

II- TRIỂN KHAI CHI TIẾT

Bài LAB sử dụng 2 server:

– DC2012: Domain Controller Primary AD (domain vietnamcontrol.com.vn chạy Windows Server 2012)

– PC USER: Máy tính cài HĐH win 10 có Office 2016

  1. Lets start by creating ADRMS service account on Domain Server 2012
Máy Server cài dịch vụ RMS

2.Trên máy DC2012, mở Active Directory Users and Computers. Tạo một OU tên là Service Accounts

3 – Next, create new user call ADRMSVC with complete password…(đây là account cần thiết để cài đặt ADRMS)

4 – Next, create new Group in Users container call ADRMS_SuperUsers and create another group call Executives

5 – Next, add few users to Executives group, trong bài Lab này thì mình add 4 bạn IT vào luôn cho vuông nhé 🙂

6 – Next, trên máy Server 2012, mở DNS Manager and add new Host call adrms with Server 2012 IP address (IP cài đặt RMS Role)

7 – Trong cửa sổ New Host , điền các thông tin như bên dưới và nhấn Add Host :

– Name: adrms

– IP address: IP của máy cài RMS Role , trong trường hợp này chính là máy Server 2012

click OK, and then click Done…

Tới đây chúng ta bắt đầu cài đặt AD RMS Role trên máy Windows Server 2012

8. Open Server Manager, click Manage, xong click Add Roles and Features, in the Add Roles and Features Wizard, click Next 3 lần

101112131415

Click Next

16

Select Active Directory Rights Management Server 

1718192021

Role has been installed.Click on Perform Additional Configuration to configuring the AD RMS

22

Click on Next

23

Select Create a new AD RMS root cluster as this is first server and click on Next 

24

We can use SQL Database, Since it is test server i am using Windows Internal database on this server. Will cover how to configure SQL Database in upcoming articles.

25

Select the Service Account which we created  ,trong bài lab này là account ADRMSVC đã được tạo ở phần trên 26

27
Hình chụp màn hình chỉ mang tính chất minh họa  ,một vài thông số có thể khác so với phần text hướng dẫn

Tới bước này nếu các bạn gặp lỗi ” Invalid credentials were presented.  Verify the correctness of the provided password.” nghĩa là các bạn đang cài đặt RMS trên máy domain controller , để sửa lỗi “Invalid credentials were presented.  Verify the correctness of the provided password.” ở trên thì các bạn chỉ việc add account ADRMSVC vào domain admin group là xong 🙂

rms err

rms err
Add Account vào group Domain Admins là có thể tiếp tục cài đặt RMS

28

 

 

Select Use AD RMS centrally manager key storage 

29

Type Cluster Key Password and Click Next

30

Select Default Web Site

313233

Select Register the SCP now 

34

Click on Install 

3536

Alright we have installed the RMS role.Click on Close to complete the process37

Nếu trong quá trình cài đặt gặp lỗi “One or more AD RMS rols services could not be configured ” như hình dưới các bạn xử lý theo hướng dẫn bên dưới nhé !

rms err.png

Nguyên nhân là do chưa cài đặt features Windows Internal Database (WID) , các bạn cài đặt feature này lên rồi thao tác lại để cài RMS nhé

rms err.png

Bước tiếp theo , open Internet Information Services (IIS) Manager…

38

Chọn Default Web Site–> _wmcs–> Authentication–> Click vào Anonymous Authentication và bật Enable

rms err.png40

Chọn licensing và chọn  Authentication–> Anonymous Authentication and Enable41

Sign out trước khi đi vào cấu hình AD RMS super users group

xx.png Bước tiếp theo, mở Server Manager, click Tools, and then click Active Directory Rights Management Services…

41

Trong cửa sổ Active Directory Rights Management Services console, bấm mũi tên mở rộng tab Server node, xong click chọn Security Policies…

42

Trong cửa sổ Security Policies , chọn Super Users, click Change super user group… (nếu bước này Windows báo Super users is disabled thì bấm nút Enable ở góc trên bên phải)

43

Trong cửa sổ Super Users , bấm Browse… gõ ADRMS_Super, and then click OK…

44

Tới đây nếu các bạn gặp lỗi “No email address was not found for the selected user or group” thì chỉ cần đơn giản quay lại cửa sổ Active Directory Users and Computers chọn Properties account ADRMS_SuperUsers và nhập email quản trị vào tab Email – lý do là RMS yêu cầu email để quản lý

xxxxxxxxx Sau đó cửa sổ khai báo thành công xuất hiện như bên dưới

xxxxxxxxx.png

So far so good , tới đây đã đi được 3/4 chặng đường cài đặt AM RMS rồi 🙂

3.4.jpg
3/4 công đoạn đã hoàn tất

IV. Phân quyền trên tài nguyên

Trên máy server cài đặt AD RMS tạo 1 Folder bất kỳ , trong ví dụ này là RMS FILES

Vào Task Scheduler và enable + Run 2 ứng dụng AD RMS Policy

Trong thư mục tạo 1 file Word bất kỳ , trong ví dụ này là mdungblog.docx và add 1 số ký tự text

Tới đây các bạn xem các phiên bản Office cho phù hợp như dưới nhé :

Set RMS restrictions on a file

Microsoft Office 2013 (Windows)

  1. Go to File > Info > Protect Document > Restrict Access > Restricted Access. The Permission window will open.
  2. Make sure the Restrict Permission to this document box is selected. Enter the email addresses of individuals who can Read or Change the document. Click ok.

Microsoft Office 2010 (Windows)

  1. Go to File > Info > Protect Document/Workbook/Presentation > Restrict Permission by People > Restricted Access. The Permission window will open.
  2. Make sure the Restrict Permission to this document box is selected. Enter the email addresses of individualswho can Read or Change the document. Click ok.

Microsoft Office 2007 (Windows)

  1. Go to File > Prepare > Restrict Permission > Restricted Access. The Permission window will open.
  2. Make sure the Restrict Permission to this document box is selected. Enter the email addresses of individuals who can Read or Change the document. Click ok.

Microsoft Office 2011 (Mac)

  1. Go to File > Restrict Permissions > Restricted Access. The Set Permissions window will open.
  2. Enter the email addresses of individuals who may Read, Change, or have Full Control of the document in the appropriate fields.

Trong bài lab này mình dùng Office 2010 nên sẽ như hình dưới nhé

Nó sẽ yêu cầu bạn nhập account , sử dụng account adrmsvc đã tạo ở trên

Check vào ô Restrict permission to this document và nhập các user theo quyền đọc ,sửa… (bấm Read… và nhập tên user)

Nếu gặp lỗi Select User with email… thì các bạn vào lại Active Directory Users and Computers để nhập email cho account nhé

Tick vào ô More Options… nếu bạn muốn setup time hết hạn của file , email nhận tin , được in hoặc copy nội dung hay không ….

Màn hình đã setup quyền thành công

Lần đầu mở File sẽ hiện như bên dưới:

Quyền Edit

Nếu không có quyền thì sẽ nhận màn hình như bên dưới

Quyền Read-Only không được in , sửa ….

Trong trường hợp 1 máy tính ngoài mạng nội bộ có lấy được File cũng không thể mở được do không connect được tới RMS server

Trên đây mình đã trình bày xong hướng dẫn cài đặt và sử dụng AD RMS để bảo vệ File và các thư mục.

Chúc các bạn thao tác thành công ! ❤ ❤ ❤

 

679.0 Hướng dẫn cài đặt AD RMS server ( Active Directory Rights Management Services) có trong Windows Server 2012.

Nguồn: https://mdungblog.wordpress.com/2018/06/21/simple-guide-huong-dan-cai-dat-ad-rms-windows-server-2012-r2/   Hôm nay mình xin giới thiệ...