Microsoft’un kalıcı dosya koruması için IRM (Bilgi hakları yönetimi) çözümü olarak sunduğu AD Rights Management Services bileşeni ile beraber dosyalar depolandığı alan dışında, dolaşımdayken de koruma altına alınarak güçlü bir güvenlik altyapısı sağlanmaktadır.
Daha önce her dosya için ayrı bir işlem gerektiren bu süreç , AD RMS’in uygulandığı tarihten önce oluşturulan dökümanların fazla olmasıyla beraber eğer yapınızda RMS ile entegre edilmemiş bir Sharepoint Postal çözümü yoksa ciddi bir iş yükünü beraberinde getiriyordu. Bunun yanında yine oluşturulan her dosya için RMS üzerinden koruma altına alma işleminin her zaman manuel yapılmak zorunda olması kullanım zorluğunu arttırıyordu.
Microsoft, 2009 yılının sonuna doğru Active Directory Rights Management Services Bulk Protection Tool aracını kullanıma sunarak AD RMS’in mevcut yapıda bulunan dökümanlara uygulanması işlemini kolaylaştırmıştır.
AD RMS Bulk Protection Tool
Genel özellikler
- Basit bir komut-istemi arayüzüdür.
- RMS destekli dosyaları ve Outlook PST’leri içerisinde bulunan öğeleri toplu olarak decrypt edebilir. (PST işlemleri için en az Outlook 2007 kurulu olmalıdır.)
- RMS destekli dosyaları belirlenen bir template’e göre toplu olarak encrypt edebilir.
- IRM Protector uygulanmasıyla farklı dosya formatları için uygulama desteği genişletilebilir.
Resim-1
Örneklerde görüldüğü gibi araçla tek bir dosya encrypt ya da decrypt edilebildiği gibi, bir klasörün tamamına da aynı işlemler yapılabilmektedir.
AD RMS Bulk Protection aynı zamanda File Classification Infrastructure ile entegre olarak RMS’in dosya sistemleri üzerindeki yönetilebilirliğini çok ileri bir noktaya getirmektedir.
File Classification Infrastructure (FCI) nedir?
FCI, dosyalarınızı belirlediğiniz standartlara göre (örn: lokasyon ya da içerik ) sınıflandırarak daha önceden manuel yapılan işlemlerin belirlediğiniz şablonlar ya da kurallara uygun olarak otomatik yapılmasını sağlayan bir Windows Server 2008 R2 özelliğidir. File Server Rolünün bir bileşenidir.
Bu makalede de FCI ile AD RMS’i entegre ederek belirlediğimiz bir dizinde, daha önce oluşturulmuş ya da ileride oluşturulacak dosyaların otomatik olarak koruma altına alınmasını sağlayacağız.
Makaledeki işlemlerin gerçekleştirileceği yapı aşağıdaki gibidir.
Bütün sunucular Server 2k8 R2 Enterprise Edition olmak üzere
Fileserver : bunker.lab.local
Exchange Server 2010 Sp1 : exccom.lab.local
RMS Role: rms.lab.local
Test Client : Outlook 2k7 Enterprise Edition kurulu Windows 7 Professional
Test Grupları: Yekti vereceğimiz Tech ve bütün kullanıcıları içeren All adlı gruplar Mail-Enabled Universal Security Grouplar‘dır
Tech adında bir klasör paylaşıma açılmıştır.
Uygulama, Fileserver, Active Directory ve RMS rolünü üstelenen Server üzerinde olmak üzere toplam üç adımda işlemler yapılarak gerçekleştirilecektir.
AD RMS kurulumu ayrıca anlatılmayacaktır. Kurulum gerekirse Mehmet Özgal’ın yazdığı Active Directory Rights Management Services (RMS) Kurulumu kaynak olarak kullanılabilir.
1. RMS rolünü üstlenen sunucu üzerinde yapılacak işlemler
Kuralları belirlediğimiz policy şablonlarının bir kopyası UNC yoluyla ulaşılabilecek bir noktada olmalıdır. Bunun için şablonları barındıracak bir paylaşılmış dizin oluşturmalı ve bu dizinde Everyone için Read, RMS Servis hesabı için ise Contribute yetkisi tanımlamamız gerekmektedir.
Örnekte C:\templates dizini tanımlanıyor
Resim-2
Ardından RMS Yönetim konsolunda oluşturacağımız şablonların kopyasının saklanacağı yolu belirtmemiz gerekmektedir.
Resim-3
Right Policy Templates başlığında Properties yoluna geldiğimizde Enable Export seçeneğini işaretleyerek gerekli yolu UNC olarak tanımlayabiliriz.
Resim-4
Bu işlemin ardından şifreleme yapacağımız dosyalara uygulanacak Right Policy Template‘ı oluşturarak gerekli yetkileri düzenliyoruz.
Resim-5
Örnekte, Teknik_Özel isimli bir şablon oluşturarak tech grubu için Full Control ve tüm kullanıcıları içeren All grubu için sadece view hakkı tanımlıyoruz.
Böylelikle oluşan şablonun bir kopyası otomatik olarak belirlediğimiz dizine düşüyor.
Resim-6
Oluşan şablonun UNC yolu \\rms\templates\Teknik_Ozel.xml Bu bilgiyi ileride kullanacağız.
RMS tarafında son yapacağımız işlem Fileserver Rolünü üstlenen makinamızı certification pipeline’a eklemek. Bu işlem için C:\inetpub\wwwroot\_wmcs\certification\ServerCertification.asmx dosyasına Fileserver makinası için Read&Execute hakkı veriyoruz ve Inheritable yetkileri etkinleştiriyoruz.
Resim-7
Resim-8
RMS tarafında yapacağımız işlemler böylelikle bitiyor.
2. Active Directory üzerinde yapılacak işlemler
İleride şifreleme işleminin gerçekleşmesinin ardından raporların e-posta ile gönderilebilmesi için belirlediğimiz bir hesaba Fileserver için Send As hakkı tanımlamamız gerekiyor.
Örnekte ben Administrator’a ait hesabın kullanılmasını istiyorum.
Resim-9
Böylelikle Fileserver tarafında işlemler bittiğinde belirlediğimiz kişiye Administrator hesabı üzerinden raporlar gönderilecek.
Bir sonraki makalede File Server tarafında yapılacak işlemleri açıklayacağım.
Bu konuyla ilgili sorularınızı alt kısımda bulunan yorumlar alanını kullanarak sorabilirsiniz.
Referanslar
http://blogs.msdn.com/b/rms/archive/2009/10/30/the-ad-rms-bulk-protection-tool-has-arrived.aspx
