Active Directory Rights Management Services (AD RMS) giúp bảo vệ nội dung bằng cách vượt ra ngoài việc mã hóa các thiết bị lưu trữ thông qua BitLocker Drive Encryption hay mã hóa các file riêng lẻ thông qua Encrypting File System (EFS). AD RMS giúp bảo vệ dữ liệu cả khi truyền và lưu trữ trên mọi thiết bị hoặc nền tảng cơ bản. AD RMS cũng giúp làm cho dữ liệu chỉ có thể được truy cập bởi người dùng được ủy quyền trong một khoảng thời gian cụ thể và cho một mục đích cụ thể
AD RMS là công nghệ bảo vệ thông tin giúp giảm thiểu khả năng rò rỉ dữ liệu. Rò rỉ dữ liệu là việc truyền thông tin trái phép tới những người trong hoặc ngoài tổ chức, những người không được phép truy cập thông tin.
AD RMS tích hợp với một số sản phẩm hiện có của Microsoft, bao gồm Windows Server, Microsoft Exchange Server, Microsoft SharePoint Server và Microsoft Office cũng như với các dịch vụonline như Office 365.
Với AD RMS, về cơ bản, bạn có thể giúp bảo vệ file ở bất kỳ vị trí nào, bất kể quyền truy cập vào file hay thư mục cấp quyền truy cập là gì. Với AD RMS, chỉ những người dùng được phép mở file mới có thể xem nội dung của file đó. Ngoài ra, bạn có thể kiểm soát các hành động của file, chẳng hạn như copy, print, forward và các hành động khác.
Hoàn tất bài lab bạn sẽ biết cách triển khai Active Directory Rights Management Services (AD RMS) để bảo vệ dữ liệu trong tổ chức của mình.
ACTIVE DIRECTORY RIGHTS MANAGEMENT SERVICES (AD RMS)
CÁC BƯỚC TRIỂN KHAI:
1. Các bước chuẩn bị trước khi cài đặt
2. Cài đặt AD RMS
3. Kiểm tra hoạt động của AD RMS
4. Cấu hình RAC (Rights Account Certificate) và User Exclusion Policy
A- CHUẨN BỊ
– Mô hình bài lab bao gồm 2 máy:
+ PC01: Windows Server 2019/2022 DC (Domain: DOM01.LOCAL)
+ PC02: Windows 10/11 Professional đã join domain và cài đặt sẵn Microsoft Office
B- THỰC HIỆN ACTIVE DIRECTORY RIGHTS MANAGEMENT SERVICES (AD RMS)
1. Các bước chuẩn bị trước khi cài đặt (Thực hiện trên PC01)
B1 – Mở File Explorer, tạo 2 thư mục Data và Public trên ổ C:. Share Everyone – Full Control cho cả 2 thư mục.
B2 – Tạo một OU tên là RMS. Trong OU RMS, lần lượt tạo các user u1, u2, u3, u4 và RMSSRVC (đây là account cần thiết để cài đặt ADRMS). Chuột phải vào user RMSSRVC, chọn Add to a group
B3 – Add user này vào group Domain Admins. Nhấn OK 2 lần.
B4 – Khai báo thuộc tính email cho user u1
B5 -Tương tự thực hiện khai báo email cho user u2, u3, u4
B6 – Tạo thêm 2 group Sep và Linh (Universal – Security Group)
B7 – Khai báo thuộc tính email cho Group Sep. Thực hiện tương tự cho group Linh
B8 – Thêm user u1, u2 vào group Sep
B9 – Tương tự thêm user u2, u3 vào group Linh
2. Cài đặt AD RMS (Thực hiện trên máy PC01)
B1 – Mở Server Manager, vào menu Manage, chọn Add Roles and Features
B2 – Cửa sổ Before You Begin, chọn Next 3 lần.
B3 – Check ô Active Directory Rights Management Services, chọn Add Features, sau đó chọn Next 6 lần
B4 – Màn hình Confirm installation selections, check ô Restart the destination server automatically if required, chọn Install
B5 – Màn hình Installation progress, chọn Perform additional configuration
B6 – Màn hình AD RMS, chọn Next
B7 – Màn hình AD RMS Cluster, chọn Create a new AD RMS root cluster, sau đó chọn Next
B8 – Màn hình Configuration Database, chọn Use Windows Internal Database on this server, sau đó chọn Next
B9 – Màn hình Specify Service Account, chọn nút Specify. Add User RMSSRVC, sau đó chọn, OK, chọn Next
B10 – Chọn thuật toán mã hóa Cryptographic Mode 2, chọn Next
B11 – Màn hình Cluster Key Storage, chọn Use AD RMS centrally managed key storage, chọn Next
B13 – Màn hình Cluster Key Password, nhập mật khẩu để mã hóa key (P@ssword), chọn Next
B14 – Chọn Default Web Site, chọn Next
B15 – Màn hình Cluster Address, chọn Use and unencrypted connection (http://). Mục Fully- Qualified Domain Name, nhập vào pc01.dom01.local, sau đó chọn Next
B16 – Màn hình Licensor Certificate, giữ nguyên như mặc định, chọn Next
B17 – Màn hình SCP Registration, chọn Register SCP now, chọn Next 2 lần
B18 – Màn hình Confirm Installation Selections, nhấn Install để cài đặt. Sau khi cài đặt xong, restart lại máy. Sign In DOM01\Administrator
3. Kiểm tra hoạt động của AD RMS (Thực hiện trên máy PC02)
B1 – Trên máy PC02, Sign In DOM01\u1. Mở Word 2010 và soạn thảo văn bản bất kỳ.
B2 – Vào menu File 🡪 Info 🡪 Protect Document 🡪 Restrict Permission by People, chọn Restricted Access
B3 – Xác nhận username và password của u1
B4 – Check ô Restrict permission to this document. Mục Read, nhập [email protected], chọn OK
B5 – Lưu văn bản vào thư mục Data trên máy PC01: Trong khung File name: Nhập \\PC01\Data\Vanban_u1, chọn Save
B6 – Sign Out U1, Sign In DOM01\u2. Truy cập thư mục DATA trên máy PC01. Chuột phải vào Vanban_u1, chọn Open
B7 – Xác nhận username và password của u2
B8 – Microsoft Office Word sẽ thông báo văn bản đã bị giới hạn truy cập, chọn OK
B9 – Quan sát user u2 chỉ có thể đọc văn bản, ngoài ra không thể sửa chữa nội dung. Nhấn nút View Permission để xem chi tiết quyền truy cập
B10 – Quan sát quyền truy cập của user u2, chọn OK
B11 – Thử chọn một đoạn văn bản và bấm phải chuột lên đoạn văn bản đã chọn, quan sát các chức năng Copy, Cut… đều bị vô hiệu hóa.
B12 – Chọn menu File, quan sát các chức năng Save, Save as, Print đều bị vô hiệu hóa
B13 – Sign In user DOM01\u3, truy cập thư mục Data trên máy PC01. Mở file Vanban_u1. Khai báo thông tin username và password của u3
B14 – Microsoft Office Word sẽ thông báo văn bản đã bị giới hạn truy cập, chọn OK
B15 – Kiểm tra user u3 không được phân quyền nên không thể đọc được văn bản. Quan sát 3 tùy chọn:
+ Change user: Truy cập với quyền của user khác
+ Yes: Gửi yêu cầu xin quyền truy cập bằng E-Mail đến địa chỉ [email protected]
+ No: Không gửi yêu cầu xin quyền truy cập và thoát- Nhấn No
4. Cấu hình Rights Account Certificate (RAC) và User Exclusion Policy (Thực hiện trên máy PC01)
Ngoài việc người dùng có thể phân quyền trên tài liệu của mình, RMS cho phép dùng RAC và User Exclution Policy để loại trừ quyền truy cập của người dùng chỉ định
B1 – Trên PC01, mở AD RMS. Bung mục Exclusion Policies, chuột phải Users, chọn Enable User Exclusion
B2 – Chuột phải Users, chọn Exclude RAC…
B3 – Trong khung User name: Nhập [email protected], chọn Finish
B4 – Quan sát user exclusion đã được thêm vào
B5 – Qua máy PC02, Sign In DOM01\u3. Mở Word 2010, soạn thảo văn bản bất kỳ
B6 – Vào menu File 🡪 Info 🡪 Protect Document 🡪 Restrict Permission by People, chọn Restricted Access. Xác nhận username và password của u3
B7 – Check ô Restrict permission to this document.
+ Mục Read, nhập [email protected]
+ Mục Change, nhập [email protected]
Chọn OK
B8 – Nhấn nút Save để lưu văn bản. Lưu văn bản vào thư mục Data trên máy PC01: Trong khung File name: Nhập \\PC01\Data\Vanban_u3 🡪 Nhấn Save để lưu lại
B9 – Sign Out u3, Sign In DOM01\u1, truy cập thư mục Data trên máy PC01. Mở file Vanban_u3. Khai báo user name và password của user u1.
B10 – Microsoft Office Word sẽ thông báo văn bản đã bị giới hạn truy cập, nhấn OK
B11 – Microsoft Office Word thông báo không thể truy cập file Vanban_u3 mặc dù user u1 là thành viên của group Sep, chọn OK 2 lần
Hoàn Tất Bài Lab