Đồ án tốt nghiệp Active Directory Right Management Services Tr-êng Đại học Vinh khoa Công nghệ thông tin -   - BẢO MẬT DỮ LIỆU VỚI ACTIVE DIRECTORY RIGHT MANAGEMENT SERVICES TRONG WINDOWS SERVER 2008 Giáo viên h-ớng dẫn : TS Lê Ngọc Xuân Sinh viên thực : Nguyễn Ch-ơng Khánh Lớp : 48K -CNTT Vinh - 2011 GVHD : Ts Lê Ngọc Xuân SV : Nguyễn Chương Khánh Đồ án tốt nghiệp Active Directory Right Management Services LỜI MỞ ĐẦU Trong thời đại ngày nay, cơng nghệ thơng tin ngày phát triển mạnh tình trạng thất thơng tin liệu ngày lớn gây hậu nặng nề cho cá nhân, tổ chức, công ty hay doanh nghiệp Theo báo cáo an ninh toàn cầu Microsoft vấn đề thất thơng tin doanh nghiệp phủ ngày phổ biến với mức độ thiệt hại không thua so với virus hay mã độc.Điều dễ hiểu ngày thơng tin khơng cịn bị bó hẹp phạm vi cơng ty hay vùng miền mà phát tán phạm vi tồn cầu vài Điển hình vụ website Wikileak chia sẻ thông tin mật chiến tranh Iraq Bộ Quốc Phịng Mỹ hay vụ tập đồn Boeing 382.000 tệp thông tin mật mà mát tài uy tín vơ lớn.“Những phương thức bảo mật thông tin truyền thống tường lửa hay phân quyền truy cập tập tin hay thư mục ACL khơng thể ngăn ngừa thất liệu laptop hay USB bị truyền qua đường thư điện tử hay thư thoại Với vai trị cơng ty cung cấp dịch vụ hạ tầng chủ chốt cho doanh nghiệp toàn cầu với sản phẩm Active Directory, Microsoft Exchange Server, công ty Microsoft đưa nhiều giải pháp giúp khách hàng giảm thiểu nguy mát thông tin xuống mức thấp nhất”, ơng Đỗ Huy Hồng, phụ trách sản phẩm giải pháp cho Máy chủ Microsoft chia sẻ Cụ thể để chống lại rủi ro máy tính hay USB khách hàng ứng dụng giải pháp mã hóa Bitlocker cho thiết bị Việc triển khai Active Directory Right Management Services (AD RMS) giúp chống thất thoát liệu lưu file server, email, cổng thơng tin, máy tính cá nhân điện thoại di động hình thức kiểm sốt “quyền tương tác với thông tin” Trong phạm vi đề tài này, tập trung tìm hiểu ứng dụng bật cách để cấu hình AD RMS Windows Server 2008 Đồ án hoàn thành nhờ giúp đỡ chu đáo tận tình Giảng viên, Ts .Lê Ngọc Xuân Giảng viên, Ths Nguyễn Quang Ninh, thầy cô khác tổ Kỹ Thuật Máy Tính - Khoa cơng nghệ thông tin Em xin chân thành cảm ơn ! Sinh viên thực : Nguyễn Chương Khánh Lớp 48K – CNTT GVHD : Ts Lê Ngọc Xuân SV : Nguyễn Chương Khánh Đồ án tốt nghiệp Active Directory Right Management Services MỤC LỤC LỜI MỞ ĐẦU CHƯƠNG : TÌM HIỂU VỀ ACTIVE DIRECTORY RIGHT MANAGEMENT SERVICES ( AD RMS ) 1.1 Tên đề tài 1.2 Tổng quan Windows Server 2008 1.2.1 Nền tảng chắn dành cho doanh nghiệp 1.2.2 Tích hợp Cơng nghệ Ảo hóa (Virtualization) 1.2.3 Được xây dựng phục vụ Web 1.2.4 Bảo mật cao 1.2.5.Tính tốn hiệu cao 1.3 AD RMS ? 1.4 Ứng dụng AD RMS 1.4.1 AD RMS vấn đề chống thất thoát liệu qua đường email 1.4.2 AD RMS vấn đề chống thất thoát cho loại liệu máy chủ-máy trạmUSB 1.4.3 AD RMS mở rộng 12 CHƯƠNG : CẤU HÌNH AD RMS 14 2.1 Chuẩn bị 14 2.2 Thực hiện: 17 2.2.1 Cài đặt RMS 17 2.2.2 Cấu hình AD RMS 37 2.2.3 Phân quyền tài nguyên 44 2.2.4 Kiểm tra quyền 46 GVHD : Ts Lê Ngọc Xuân SV : Nguyễn Chương Khánh Đồ án tốt nghiệp Active Directory Right Management Services CHƯƠNG : TÌM HIỂU VỀ ACTIVE DIRECTORY RIGHT MANAGEMENT SERVICES ( AD RMS ) 1.1 Tên đề tài Bảo mật liệu với Active Directory Right Management Service ( AD RMS ) Windows Sever 2008 1.2 Tổng quan Windows Server 2008 Window Server 2008 hệ điều hành Windows Server tân tiến thời điểm này, thiết kế nhằm tăng sức mạnh cho mạng, ứng dụng dịch vụ Web hệ Với Windows Server 2008, bạn phát triển, cung cấp quản lý trải nghiệm người dùng ứng dụng phong phú, đem tới hạ tầng mạng có tính bảo mật cao, tăng cường hiệu mặt công nghệ giá trị phạm vi tổ chức Windows Server 2008 kế thừa thành công mạnh hệ điều hành Windows Server hệ trước, đồng thời đem tới tính có giá trị cải tiến mạnh mẽ cho hệ điều hành sở Cơng cụ Web mới, cơng nghệ ảo hóa, tính bảo mật tăng cường tiện ích quản lý giúp tiết kiệm thời gian, giảm bớt chi phí, đem tới tảng vững cho hạ tầng Công nghệ Thông tin (CNTT) bạn 1.2.1 Nền tảng chắn dành cho doanh nghiệp Windows Server 2008 đem tới tảng chắn đáp ứng tất yêu cầu ứng dụng chế độ làm việc cho máy chủ, đồng thời dễ triển khai quản lý Thành phần Server Manager cung cấp console quản lý hợp nhất, đơn giản hóa xếp cách hợp lý việc cài đặt, cấu hình quản lý liên tục cho máy chủ Windows PowerShell, shell kiểu dòng lệnh, giúp quản trị viên tự động hóa tác vụ thường trình quản trị hệ thống nhiều máy chủ Windows Deployment Services đem tới phương tiện bảo mật cao, đơn giản hóa để nhanh chóng triển khai hệ điều hành qua bước cài đặt mạng.Thêm vào đó, wizard Failover GVHD : Ts Lê Ngọc Xuân SV : Nguyễn Chương Khánh Đồ án tốt nghiệp Active Directory Right Management Services Clustering Windows Server 2008, việc hỗ trợ đầy đủ cho Giao thức Internet phiên (gọi tắt IPv6) cộng với khả quản lý hợp Network Load Balancing khiến dễ dàng triển khai với tính sẵn có cao, chí người có hiểu biết chung CNTT Tùy chọn cài đặt Server Core Windows Server 2008 cho phép cài đặt vai trò máy chủ với thành phần hệ thống phụ cần thiết mà khơng cần giao diện người dùng Việc có vai trị đặc tính đồng nghĩa với việc giảm thiểu công việc cho ổ đĩa dịch vụ, đồng thời giảm bớt bề mặt công Sản phẩm cho phép nhân viên CNTT xây dựng đặc tả tùy theo vai trò máy chủ cần hỗ trợ 1.2.2 Tích hợp Cơng nghệ Ảo hóa (Virtualization) Windows Server Hyper-V, cơng nghệ ảo hóa hệ dành cho máy chủ hypervisor, cho phép tận dụng tối đa khoản đầu tư vào phần cứng máy chủ cách hợp nhiều vai trò máy chủ thành máy ảo riêng biệt chạy máy vật lý Cũng chạy song song nhiều hệ điều hành Windows, Linux hệ điều hành khác cách hiệu máy chủ Với Hyper – V sách cấp phép đơn giản, tận dụng lợi khoản tiết kiệm chi phí ảo hóa cách dễ dàng hết Nhờ công nghệ truy cập ứng dụng tập trung Windows Server 2008, ứng dụng ảo hóa cách hiệu Terminal Services Gateway Terminal Services RemoteApp cho phép dễ dàng truy cập từ xa tới chương trình chuẩn hoạt động Windows từ vị trí cách chạy chương trình máy chủ đầu cuối thay chạy trực tiếp máy trạm mà không cần tới mạng riêng ảo (VPN) phức tạp 1.2.3 Được xây dựng phục vụ Web Windows Server 2008 xuất với Internet Information Services 7.0 (IIS 7.0), tảng máy chủ Web dễ sử dụng, tăng cường bảo mật để phát triển lưu trữ ứng dụng dịch vụ Web cách tin cậy Đặc tính nâng cao quan trọng tảng Web IIS 7.0 bao gồm kiến trúc thành phần hóa để đem tới khả linh hoạt kiểm soát cao II.7.0 cung cấp khả quản lý đơn giản hóa, khả khắc phục cố mạnh mẽ, mang tính chẩn đốn giúp tiết kiệm thời gian khả mở rộng toàn diện GVHD : Ts Lê Ngọc Xuân SV : Nguyễn Chương Khánh Đồ án tốt nghiệp Active Directory Right Management Services Internet Information Server IIS 7.0 với NET Framework 3.0 cung cấp tảng toàn diện để xây dựng ứng dụng kết nối người dùng liệu, cho phép họ hình ảnh hóa, chia sẻ thao tác thơng tin Thêm vào đó, IIS 7.0 cịn đóng vai trị trung tâm việc hợp công nghệ tảng Web Microsoft – ASP.NET, dịch vụ Web Windows Communication Foudation, Windows Sharepoint Services 1.2.4 Bảo mật cao Windows Server 2008 hệ điều hành Windows Server bảo mật từ trước đến Hệ điều hành củng cố chắn để giúp bảo vệ chống lại hỏng hóc Một số công nghệ giúp ngăn chặn kết nối bất hợp pháp tới mạng, máy chủ, liệu bạn tài khoản người dùng Chức Network Access Protection (NAP) giúp đảm bảo máy tính muốn kết nối với mạng bạn phải tuân thủ sách bảo mật tổ chức Việc tích hợp cơng nghệ nhiều tính nâng cao khiến dịch vụ Active Directory trở thành giải pháp IDA (Identity and Access Nhận dạng Truy cập) tích hợp, hợp mạnh mẽ Thêm vào đó, Read-Only Domain Controller (RODC) Mã hóa ổ đĩa BitLocker cho phép bạn triển khai sở liệu AD cách bảo mật khắp khu vực văn phịng chi nhánh 1.2.5.Tính tốn hiệu cao Lợi ích khoản tiết kiệm chi phí Windows Server 2008 mở rộng tới Windows HPC Server 2008 để phục vụ cho mơi trường tính tốn hiệu cao (HPC) bạn Windows HPC Server 2008 xây dựng Windows Server 2008, công nghệ 64 bit mở rộng cách hiệu tới hàng nghìn lõi xử lý với tính có sẵn để cải thiện hiệu suất, giảm tính phức tạp môi trường HPC Windows HPC Server 2008 cho phép triển khai rộng rãi cách đem tới cho người dùng cuối trải nghiệm phong phú tích hợp, mở rộng từ ứng dụng máy bàn tới cụm máy, bao gồm trọn vẹn công cụ triển khai, quản trị giám sát Các công cụ dễ triển khai, quản lý tích hợp với hạ tầng CNTT có bạn 1.3 AD RMS ? Thơng thường liệu truyền gửi hay chia sẻ cho người nhận hình thức chia sẻ máy chủ file server, email họ có tồn quyền với liệu chẳng hạn họ có quyền nhào nặn nội dung, in tài liệu ra, chuyển email chứa nội dung nhạy cảm cho người khác Do để giảm thiểu việc người nhận lạm dụng quyền hạn với nội GVHD : Ts Lê Ngọc Xuân SV : Nguyễn Chương Khánh Đồ án tốt nghiệp Active Directory Right Management Services dung, AD RMS đưa phương thức cho phép người gửi phân quyền tương tác với nội dung cho người nhận như: cấm in tài liệu, cấm chuyển email cho người khác, thiết lập thời gian hết hạn tài liệu Để làm điều AD RMS tiến hành mã hóa liệu mức độ 128bit gắn chứng số vào tài liệu nhằm can thiệp vào suốt trình tồn liệu lưu trữ đâu Kết người nhận muốn mở liệu bảo vệ AD RMS phải chìa thơng tin định danh mà cụ thể tài khoản truy cập vào hệ thống AD cơng ty Khi máy chủ AD RMS dựa danh tính người nhận để xác định quyền tương tác liệu Mơ tả nghe phức tạp giải pháp cơng nghệ Microsoft ln mang đặc tính vốn có thân thiện với người dùng Do doanh nghiệp triển khai AD RMS không nhiều công sức thời gian Để sử dụng AD RMS khách hàng cần sẵn sàng hạ tầng quản trị định danh Active Directory 2008 Ngoài hạ tầng PKI nhằm cung cấp chứng số nội cần phải sẵn sàng Ngồi tùy vào tình ứng dụng RMS mà cần thêm ứng dụng liên quan Mặc định AD RMS hỗ trợ cho định tài liệu văn phòng Microsoft Office Word, Excel, Powerpoint, Infopath email hay thư thoại 1.4 Ứng dụng AD RMS 1.4.1 AD RMS vấn đề chống thất thoát liệu qua đường email GVHD : Ts Lê Ngọc Xuân SV : Nguyễn Chương Khánh Đồ án tốt nghiệp Active Directory Right Management Services Hình 1: Người dùng thực phân quyền truy cập thông tin Outlook Việc chia sẻ trao đổi qua email dường trở thành phần thiếu hoạt động đối nội đối ngoại doanh nghiệp Do vấn đề chống thất thơng tin cần thực với liệu nằm kênh email Cơ chế chống thất thoát liệu RMS áp dụng cho chiều gửi chiều nhận phần mềm duyệt mail Outlook máy trạm lẫn Outlook Mobile điện thoại di động Người dùng sử dụng sách phân quyền truy cập thơng tin dựa template có sẵn phận IT thiết lập như: - Cấm chuyển (Do Not Forward): dùng để ngăn chặn người dùng chuyển nội dung email cho người thứ ba - Cấm gửi lại cho tất người loop mail (Do Not Reply All): dùng để ngăn chặn người nhận trả lời email lại cho tất người loop mail ngoại trừ người gửi - Nội dung email đọc không copy hay in ấn (Read Only): cách thức cấm người nhận in, chụp email hay lưu file đính kèm xuống máy Cơ chế Read Only thường chung với template Do Not Forward - Nội dung email bị giới hạn theo nhóm người (Company User Group Confidential): dùng để đảm bảo email nhạy cảm liên quan đến nhân sự, sách cơng ty, thơng tin mật khơng lọt khỏi nhóm người dùng mong muốn - Nội dung xem thời gian định (Expire Date): áp dụng cho tài liệu thuộc loại tối mật người dùng nhận xem khoảng thời gian định mà GVHD : Ts Lê Ngọc Xuân SV : Nguyễn Chương Khánh Đồ án tốt nghiệp Active Directory Right Management Services Hình 2: Quyền tương tác nội dung người nhận bị giới hạn Với Exchange 2010, phận IT pháp chế doanh nghiệp thiết lập lọc RMS tự động cho phép áp đặt sách từ phía máy chủ Điều thuận tiện đề phòng trường hợp người dùng quên thiết lập RMS soạn thảo email Vì email hệ thống Exchange luân chuyển qua vai trị Hub Transport nên sách RMS tự động thiết lập nhóm máy chủ thơng qua Transport Rule Khi email ngang qua Hub Transport máy chủ Exchange kiểm tra nội dung dựa Rule công ty thiết lập áp sách tương ứng tìm thấy email nhậy cảm Chẳng hạn ví dụ hình thấy Exchange 2010 áp sách tự động cho email chứa cụm chữ dạng n-nnnn-nnnn chuỗi ID đơn hàng (PO) công ty 1.4.2 AD RMS vấn đề chống thất thoát cho loại liệu máy chủmáy trạm-USB “Dữ liệu văn phòng Word, Excel, Powerpoint sau bảo vệ AD RMS mặc định mã hóa nên cho dù chúng có lưu trữ máy chủ file server, máy trạm, máy tính xách tay hay thiết bị lưu trữ di động khơng làm ảnh GVHD : Ts Lê Ngọc Xuân SV : Nguyễn Chương Khánh Đồ án tốt nghiệp Active Directory Right Management Services hưởng đến tính tồn vẹn chế phân quyền tương tác thông tin”, ông Trần Văn Huệ, giám đốc công ty Nhất Nghệ nhận xét Người dùng thiết lập sách phân quyền cơng ty thiết lập tương tự nội dung email chẳng hạn đọc cấm in cấm copy cấm chỉnh sửa, cho nhóm người dùng định truy cập, thiết lập ngày hết hạn Các hình cho thấy người dùng thiết lập sách kiểm sốt quyền truy cập nội dung từ tài liệu văn phòng họ mở tài liệu lưu đâu bị RMS kiểm sốt quyền truy cập Hình 5: Thiết lập RMS tài liệu Microsoft Word 2010 GVHD : Ts Lê Ngọc Xuân SV : Nguyễn Chương Khánh 10 Đồ án tốt nghiệp Active Directory Right Management Services - Sau cài đặt thành công, cửa sổ Installation Results, chọn Close Lưu ý: Sau cài đặt thành cơng phải restart máy 2.2.2 Cấu hình AD RMS - Mở Active Directory Rights Management Services từ Administrative Tools - Trong hộp thoại Seciurity Alert, chọn View Certificate GVHD : Ts Lê Ngọc Xuân SV : Nguyễn Chương Khánh 37 Đồ án tốt nghiệp Active Directory Right Management Services - Cửa sổ Certificate, chọn Install Certificate GVHD : Ts Lê Ngọc Xuân SV : Nguyễn Chương Khánh 38 Đồ án tốt nghiệp Active Directory Right Management Services - Cửa sổ Welcome to the Certificate Import Wizard, chọn Next GVHD : Ts Lê Ngọc Xuân SV : Nguyễn Chương Khánh 39 Đồ án tốt nghiệp Active Directory Right Management Services - Cửa sổ Certificate Store, chọn Place all certificate in the following store, ô - Certificate store, trỏ đường dẫn đến Trusted Root Certification Authorities, chọn Next GVHD : Ts Lê Ngọc Xuân SV : Nguyễn Chương Khánh 40 Đồ án tốt nghiệp Active Directory Right Management Services - Cửa sổ Completing the Certificate Import Wizard, chọn Finish GVHD : Ts Lê Ngọc Xuân SV : Nguyễn Chương Khánh 41 Đồ án tốt nghiệp Active Directory Right Management Services - Trong hộp thoại Security Warning, chọn Yes GVHD : Ts Lê Ngọc Xuân SV : Nguyễn Chương Khánh 42 Đồ án tốt nghiệp Active Directory Right Management Services - Hộp thoại Certificate Import Wizard, chọn OK - Trong cửa sổ Active Directory Rights Management Services, bung RMS server (vd: PC01.msopenlab.com), kiểm tra cấu hình RMS thành cơng GVHD : Ts Lê Ngọc Xuân SV : Nguyễn Chương Khánh 43 Đồ án tốt nghiệp Active Directory Right Management Services 2.2.3 Phân quyền tài nguyên - Mở Windows Exprorer, tạo file C:\Data\tailieu.doc có nội dung tùy ý - Mở file tailieu.doc, click vào biểu tượng , chọn Prepare, chọn Retrict Permission, chọn Restricted Access - Cửa sổ Permission, add U1 vào ô Read, U2 vào ô Change, chọn OK GVHD : Ts Lê Ngọc Xuân SV : Nguyễn Chương Khánh 44 Đồ án tốt nghiệp Active Directory Right Management Services GVHD : Ts Lê Ngọc Xuân SV : Nguyễn Chương Khánh 45 Đồ án tốt nghiệp Active Directory Right Management Services 2.2.4 Kiểm tra quyền - Log on user U1 password P@ssword - Mở Windows Explorer, vào C:\Data mở tailieu.doc, cửa sổ chứng thực nhập user U1 password P@ssword, chọn OK - Hộp thoại Security Alert, chọn Yes GVHD : Ts Lê Ngọc Xuân SV : Nguyễn Chương Khánh 46 Đồ án tốt nghiệp Active Directory Right Management Services - Hộp thoại Microsoft Office chọn OK - Cửa sổ Microsoft Word, Restricted Access chọn View Permission… GVHD : Ts Lê Ngọc Xuân SV : Nguyễn Chương Khánh 47 Đồ án tốt nghiệp Active Directory Right Management Services - Kiểm tra quyền U1 tailieu.doc GVHD : Ts Lê Ngọc Xuân SV : Nguyễn Chương Khánh 48 Đồ án tốt nghiệp Active Directory Right Management Services - Tương tự bước trên, logon user U2 password P@ssword, vào C:\Data mở file tailieu.doc - Trong hộp thoại chứng thực, nhập user U2 password P@ssword - Cửa sổ Microsoft Word, Restricted Access chọn View Permission… - Kiểm tra quyền U2 tailieu.doc GVHD : Ts Lê Ngọc Xuân SV : Nguyễn Chương Khánh 49 Đồ án tốt nghiệp Active Directory Right Management Services GVHD : Ts Lê Ngọc Xuân SV : Nguyễn Chương Khánh 50 Đồ án tốt nghiệp Active Directory Right Management Services KẾT LUẬN Đây đề tài không tầm quan trọng vơ lớn tất thời đại với cá nhân, tổ chức, quan, doanh nghiệp Bài lab thể phần nhỏ ứng dụng AD RMS.Qua đề tài em tìm hiểu thêm nhiều kiến thức Windows Server 2008 tính hữu ích việc bảo mật sở liệu công ty doanh nghiệp… 3.1 Các hạn chế - Phần thực hành sơ sài, chưa mở rộng thêm nhiều đối tượng khác - AD RMS khơng có Windows Server 2003 – hệ thống quen thuộc với Administrator - Vì hệ thống Windows Server 2008 chưa dùng nhiều nên kiến thức cịn ít, kĩ thực hành cịn hạn chế, nhiều thời gian để cài đặt, vận hành 3.2 Hướng phát triển đề tài: - Tìm hiểu phát triển đối tượng khác tính AD RMS mở rộng nhiều ứng dụng khác Window Server2008 - Vận hành, xây dựng tính hệ thống lớn, phức tạp Mặc dù cố gắng kiến thức thời gian hạn chế nên chắn nhiều sai sót chưa trọn vẹn Rất mong giúp đỡ, dẫn Thầy bạn để em hồn thành phát triển đề tài mình, ứng dụng cách thiết thực, hiệu vào cơng việc sau Một lần nữa, em xin gửi lời cảm ơn chân thành với Ts GV Lê Ngọc Xuân, Ths GV Nguyễn Quang Ninh Thầy cô tổ Kĩ Thuật Máy Tính tận tình hướng dẫn giúp đỡ em hồn thành cách tốt đề tài Em xin chân thành cảm ơn ! GVHD : Ts Lê Ngọc Xuân SV : Nguyễn Chương Khánh 51 ... tốt nghiệp Active Directory Right Management Services CHƯƠNG : TÌM HIỂU VỀ ACTIVE DIRECTORY RIGHT MANAGEMENT SERVICES ( AD RMS ) 1.1 Tên đề tài Bảo mật liệu với Active Directory Right Management. .. Web Windows Communication Foudation, Windows Sharepoint Services 1.2.4 Bảo mật cao Windows Server 2008 hệ điều hành Windows Server bảo mật từ trước đến Hệ điều hành củng cố chắn để giúp bảo vệ... án tốt nghiệp Active Directory Right Management Services Hình 6: Mở tài liệu Word lưu file server bảo vệ RMS Vào năm 2008, Microsoft hãng bảo mật RSA kí hợp tác mảng bảo mật nội dung thông tin