[MCSA 2019 Lab Series] Active Directory Rights Management Services (Phần 1)

AD RMS Giải pháp chống thất thoát dữ liệu trên Windows Server 2019 – Phần 1

Active Directory Rights Management Service (AD RMS) là dịch vụ được tích hợp sẵn trong Windows cho phép bảo vệ các tài liệu nhạy cảm trong doanh nghiệp bằng cách cho phép người dùng tùy ý phân quyền trên các tài liệu của mình và ngăn chặn việc đưa các tài liệu nhạy cảm ra khỏi môi trường doanh nghiệp.

Thông thường dữ liệu khi được truyền gửi hay chia sẻ cho người nhận dưới hình thức truy cập dùng chung thông qua máy chủ file server hoặc email trong hệ thống.

Đối khi với vai trò quản lý, lãnh đạo người dùng có toàn quyền với dữ liệu đó chẳng hạn người dùng có quyền cập nhật nội dung dữ liệu, in ấn tài liệu trên giấy, cung như soạn và gửi email đính kèm tệp tin dữ liệu chứa nội dung quan trọng, nhạy cảm ra bên ngoài tổ chức đến một cá nhân hay đơn vị nào đó…

 

Trong thời buổi công nghệ phát triển như ngày nay, các đơn vị công nghệ không ngừng phát triển cho ra các sản phẩm nhằm đáp ứng nhu cầu liên lạc trao đổi thông tin, truyền tải dữ liệu có thể kể đến như: Zalo, Skype, Whatsapp, Telegram…

Bên cạnh các nền tảng lưu trữ trên đám mây được ứng dụng phổ biến với góc độ cơ bản, giao diện người dùng thân thiện, dễ dùng, hầu hết các người dùng làm việc văn phòng đều có thể tự khởi tạo tài khoản sử dụng dịch vụ lưu trữ Online thông qua các bước hướng dẫn từ nhà cung cấp,  giờ đây việc lưu trữ và chia sẻ thông tin dữ liệu đôi khi không còn gói gọn trong tổ chức nội bộ doanh nghiệp.

Đứng trước các nguy cơ tìm ẩn như trên, để giảm thiểu việc người dùng lạm dụng quyền hạn chia sẻ, lan truyền các dữ liệu bí mật, nhạy cảm thuộc quyền sử dụng và sở hữu của doanh nghiệp ra môi trường bên ngoài tổ chức.

Microsoft đã tích hợp giải pháp AD RMS đưa ra giải pháp cho phép người dùng có thể phân quyền can thiệp sâu vào nội dung bên trong dữ liệu như: phân quyền cho người dùng cấm in ấn các tài liệu nhạy cảm, cấm gửi Email các cá nhân, đơn vị không có quyền hạn truy cập, thiết lập thời gian hết hạn của tài liệu….Với mục đích hạn chế việc thất thoát rò rỉ thông tin dữ liệu từ nội bộ ra bên ngoài.

Để làm được điều đó dịch vụ AD RMS đã thực hiện cơ chế mã hóa dữ liệu ở mức độ 128bit và gắn chứng chỉ số vào tài liệu nhằm can thiệp sâu vào bên trong dữ liệu vào suốt quá trình tồn tại của dữ liệu bất kể nó được lưu trữ ở đâu. Kết quả là người nhận muốn mở dữ liệu được bảo vệ bởi AD RMS phải được xác thực bởi hệ thống cũng như các thông tin định danh liên quan thông qua tài khoản truy cập vào hệ thống AD của doanh nghiệp.

Khi đó máy chủ AD RMS sẽ dựa trên danh tính của người truy cập để xác định quyền hạn sử dụng dữ liệu. Có vẻ công nghệ này rất phức tạp nhưng giải pháp công nghệ của Microsoft luôn mang đặc tính vốn có là rất thân thiện với người dùng và hệ thống AD trong doanh nghiệp.

Để sử dụng được dịch vụ AD RMS doanh nghiệp cần phải đảm bảo được hạ tầng mạng trong đó phụ thuộc nhiều vào dịch vụ Active Directory 2016 hoặc 2019, môi trường hoạt động phải là môi trường Domain Controller. Ngoài ra cần phải được triển khai hạ tầng dịch vụ KPI nhằm cung cấp chứng chỉ số nội bộ.

Ngoài ra tùy vào tình huống ứng dụng AD RMS mà còn cần thêm những ứng dụng liên quan. Mặc định AD RMS hỗ trợ cho các định đang tài liệu văn phòng của Microsoft Office như Word, Excel, Powerpoint, Infopath.. cũng như là việc sử dụng Email trên công cụ Outlook tại người dùng…

 

Một số yêu cầu bắt buộc khi triển khai dịch vụ AD Rights Management Services

Để triển khai và đưa vào ứng dụng hoạt động dịch vụ AD RMS đòi hỏi doanh nghiệp phải được triển khai hạ tầng mạng và đang hoạt động trong môi trường Domain Controller trên nền tảng hệ điều hành Windows Server. Về phía người dùng phải sử dụng bộ công cụ Microsoft Office để xử lý dữ liệu trong hệ thống doanh nghiệp.

 

AD Rights Managenment Service 2019

 

1 – Kiểm tra các điều kiện cài đặt

Môi trường hoạt động dịch vụ AD RMS môi trường Domain Controller với Domain Name: Adatum.com

 

 

2 – Đảm bảo các Organizational unit (OU) và các tài khoản (User Account), Group đã được khởi tạo. Tham khảo hình bên dưới

 

 

Add user ADRMSADMIN vào Group Domain Admin như hình bên dưới

 

 

3 –  Đảm bảo hoàn tất việc khai báo các thuộc tính Email cho User

Khai báo thuộc tính Email trong Tab General cho User1 trong hệ thống

Thông tin Email: user1@adatum.com

Thực hiện khai báo thuộc tính Email cho các User còn lại trong AD

 

 

4 – Khởi tạo các Group User theo quyền hạn sử dụng

Group User : Quản lý (Group scope: Universal – Group type: Security)

 

 

Group User : Nhân viên (Group scope: Universal – Group type: Security)

 

 

Khai báo thuộc tính Email cho Group NhanVien

 

 

Khai báo thuộc tính Email cho Group QuanLy

 

5 – Add các User người dùng vào từng Group tương ứng với quyền hạn vị trí trong doanh nghiệp.

User đóng vai trò là nhân viên được add vào Group Nhân viên – User giữa vai trò là Quản lý được add vào Group Quản lý căn cứ theo mô hình thực tế tại doanh nghiệp.

Add User1 và User2 vào Group QuanLy – Add User3 và User4 vào Group NhanVien

 

 

 

Cài đặt AD Rights Managenment Service 2019

1 – Vào Server Manager > Chọn Add Roles and Features

2 – Tại cửa sổ Before You Begin > Next 03 lần

3 – Tại cửa sổ Select server roles > Chọn cài đặt dịch vụ Active Directory Right Management Services

 

 

4 – Sau đó chọn Add Fearutes và Next 06 lần

5 – Tại màn hình Confirm installation selection > Check vào ô Restart the destination server automatically if required > Chọn Yes

 

6 – Chọn Install để thực hiện quá trình cài đặt dịch vụ AD RMS

Quá trình cài đặt dịch vụ AD RMS đang được thực hiện

 

 

7 – Cửa sổ Installation progress, chọn dòng chữ Perform ddditional configuration

 

 

8 – Màn hình AD RMS > Chọn Next

 

 

9 – Tại màn hình Create or Join an AD RMS Cluster > Chọn Create a new AD RMS root cluster > Chọn Next để tiến hành cài đặt

 

 

10 – Màn hình Select Configuration Database Server > Chọn User Windows Internal Database on this server

Sau đó chọn Next để tiến hành cấu hình Database cho dịch vụ AD RMS.

Dịch vụ ADRMS cần sử dụng Database để quản lý dữ liệu, có thể dùng SQL Server hoặc Windows Internal Database (tích hợp  sẵn trên Windows) để lưu trữ Database. Triển khai SQL Server khi ứng dụng trong một môi trường có hệ thống lớn.

 

 

11 – Tại cửa sổ Specify Service Account

Chọn nút Specify. Add vào User ADRMSADMIN vừa tạo ở trên. Tiếp theo chọn OK và Next

 

 

12 – Chọn thuật toán mã hóa Cryptographic Mode 2

Sau đó chọn Next để tiếp tục quá trình cài đặt

13 – Tại màn hình Cluster Key Storage > Chọn User AD RMS centrally managed key storage. Chọn Next để tiếp tục
Dịch vụ ADRMS cần một key dùng cho việc khôi phục sự cố và dùng để cái đặt các ADRMS Server vào hệ thống. Chọn User ADRMS centrally managed key storage để lưu trữ key này trên ADRMS Server
14 – Màn hình Cluster Key Password
Nhập thông tin mật khẩu để mã hóa Key. Sau đó nhấn Next
15 – Màn hình Cluster Web Site
Select AD RMS Cluster Site > Chọn Default Web SIte > Chọn Next
16 – Tại màn hình Cluster Address. Chọn User and unencrypted connection (http://)
Lưu ý: Trong mục Fully-Qualified Domain Name khai báo đầy đủ tên máy chủ cài đặt: SRV3.adatum.com và Port 80. Tiếp theo chọn Next
Fully-Qualified Domain Name: SRV3.adatum.com (trên hình gặp lỗi đánh máy)
17 – Màn hình Licensor Certificarte, giữ nguyên mặc định, chọn Next đến bước kế tiếp
18 – Màn hình SCP Registration, chọn Register SCP now > Chọn Next 02 lần
19 – Màn hình Confirm Installtion Selections, nhấn Intall để thực hiện quá trình cài đặt.
Lưu ý: Sau khi quá trình cài đặt hoàn tất Restart lại server và Sign In bằng tài khoản Domain: Adatum\Administrator

Trả lời

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *