Защита конфиденциальных документов с помощью AD RMS

Всех интересует защита конфиденциальных документов — это считается одной из базовых обязанностей СЭД. Хорошо, когда в СЭД корректно настроены права доступа, и нужные документы не попадают в ненужные руки — благодаря тому, что враги просто не видят их, даже если коллаборационисты предоставили им доступ в СЭД. Но, во-первых, обычно в СЭД хранятся далеко не все конфиденциальные документы компании, а во-вторых — как сделать так, чтобы эти документы, если они все же уже попали в руки злоумышленников, не принесли им пользы?

Есть относительно простой способ это сделать, по крайней мере в части документов MS Office.

А именно — использовать инструменты AD RMS (Active Directory Rights Management Services), входящие в состав Windows Server 2008/2012. Служба управления доступом AD RMS позволяет защитить файлы независимо от того, где они используются: в защищенной сети компании или за ее пределами.

После настройки шаблонов документов и прав доступа, можно любому офисному документу присвоить параметры защиты.

Есть три возможных варианта управления доступом к файлам:

  • автоматическое применение политик
  • отдельная настройка прав для конкретных документов
  • применение шаблонов доступа пользователем RMS

Обычно эти шаблоны настраиваются заранее и это самые большие трудозатраты при внедрении AD RMS — описать все виды документов и права доступа к ним.

В случае необходимости можно выдать отдельные разрешения на конкретный документ.

Самое интересное происходит, когда недруг (пускай он даже будет из вашей организации и вашей корпоративной сети) попробует открыть документ, к которому у него нет доступа в соответствии с политиками AD RMS.

Проверка не проходит — документ не открывается.

Особо одаренные шпионы могут скопировать документ на флэшку и попробовать открыть его дома, без доступа к корпоративной сети и серверу AD RMS. Результат, впрочем, предсказуем.

Большим достоинством AD RMS является прозрачная работа этого сервиса с многими корпоративным приложениями, в частности с СЭД. Документы, хранящиеся в СЭД, могут быть защищены как правами доступа системы документооборота, так и AD RMS.

Техническая сторона вопроса такая:

Можно работать с защищенными  файлами  при выполнении следующих условий:

  • нахождение в сети предприятия или возможность подключения к серверу RMS через Интернет;
  • установленный MS Office 2013 или MS Office 2010 c соответствующими обновлениями;
  • установленный MS Windows 8 или MS Windows 7 c соответствующими обновлениями.