Служба управления правами Active Directory (AD RMS) для операционной системы Windows Server - это технология защиты данных, которая работает с приложениями AD RMS и обеспечивает защиту цифровой информации от несанкционированного использования в Интернете, в автономном режиме, а также внутри и за пределами периметра корпоративной сети. Службы AD RMS предназначены для организаций, нуждающихся в защите конфиденциальных и служебных данных, например, финансовых отчетов, спецификаций продукции, данных о клиентах и конфиденциальных сообщений электронной почты. Применение служб AD RMS позволяет усилить стратегию безопасности организации, обеспечивая защиту информации при помощи постоянных политик использования (также называемых правами и условиями пользования), которые хранятся вместе с информацией, где бы она ни использовалась. Службы AD RMS обеспечивают постоянную защиту данных в двоичном формате, поэтому права на использование хранятся вместе с информацией, в отличие от прав, которые просто хранятся в сети организации. Благодаря этому права начинают действовать после того, как к информации получен доступ в оперативном или автономном режиме, внутри или за пределами организации. AD RMS осуществляет защиту информации при помощи постоянных политик использования путем создания необходимых элементов, описанных ниже.

• Доверенные субъекты. Организации могут указать субъектов, включая пользователей, группы пользователей, компьютеры и приложения, которые являются доверенными участниками в системе AD RMS. При определении доверенных субъектов AD RMS обеспечивает защиту информации путем разрешения доступа только доверенным участникам.
• Права и условия пользования. Организации и отдельные пользователи могут назначать права и условия пользования, которые определяют, как конкретный доверенный субъект может использовать защищенное содержимое. Примерами прав пользования являются разрешения на чтение, копирование, печать, сохранение, пересылку и редактирование. Права пользования могут сопровождаться условиями, например, сроками действия таких прав. Организации могут выборочно запрещать доступ к защищенному содержимому приложениям и субъектам.
• Шифрование. Шифрование - это процесс, при котором данные блокируются с помощью электронного ключа. AD RMS шифрует информацию, делая условием для получения доступа успешную проверку доверенных субъектов. Если информация заблокирована, только доверенные субъекты, имеющие права пользования на указанных условиях (если они указаны), могут разблокировать или расшифровать информацию в приложении или браузере, поддерживающем AD RMS. После этого определенные права и условия пользования принудительно устанавливаются приложением.

В состав системы AD RMS входят сервер Windows Server®, на котором установлены роль сервера Служба управления правами AD RMS, управляющая сертификатами и лицензированием, сервер базы данных SQL и клиент AD RMS. Последняя версия клиента AD RMS входит в состав операционных систем Windows Vista®, Windows® 7 и Windows® 8.                       

Обеспечение совместной работы

Служба управления правами AD RMS позволяет определять политику использования информации как внутри организации, так и за ее пределами. Ниже описаны способы организации совместной работы:

• Trusted User Domain. Используя TUD, AD RMS может обрабатывать запросы от пользователей, чьи сертификаты пользователя (Rights Access Certificate (RAC)) были выданы службой AD RMS в другом лесе AD.
• Trusted Publishing Domain. Позволяет кластеру AD RMS выдавать лицензии на использование информации, защищенной кластером AD RMS другой организации.
• Federated Trust. Интеграция с Active Directory Federation Services (AD FS) позволяет серверу AD RMS выдавать лицензии и сертифицировать клиентов, находящихся в других лесах AD. При этом наличие сервера AD RMS в другом лесу необязательно.
• Windows Live ID. Кластер AD RMS может быть настроен на выдачу лицензий на использование защищенной информации внешним пользователям, имеющим учетную запись облачного сервиса Windows Live ID. При этом никакой дополнительной инфраструктуры на стороне клиентов не требуется.

Интеграция с другими инфраструктурными сервисами

• Microsoft Exchange. Интеграция службы управления правами AD RMS и почтовой службы Exchange 2010 позволяет организации предотвратить утечку конфиденциальной информации через почтовые сообщения. При этом происходит автоматическое наложение прав использования и шифрование сообщения, содержащего конфиденциальные данные. Также сохраняется возможность сканирования сообщения и проверки его на наличие злонамеренного кода.
• Microsoft Office SharePoint Services. Интеграция Службы управления правами AD RMS с сервером SharePoint обеспечивает возможность защиты файлов, скопированных локально с SharePoint сервера. В процессе копирования на файлы накладываются разрешения AD RMS, которые соответствуют разрешениям на сервере SharePoint. На самом же сервере файлы хранятся в открытом виде, что позволяет осуществлять поиск по их содержимому и производить индексирование.
• File classification Infrastructure. Благодаря встроенному механизму Windows Server File Classification Infrastructure (FCI) можно автоматически находить файлы, подлежащие защите, и применять к ним RMS-политики.
• Поддержка мобильных устройств. Мобильные устройства на базе операционной системы Windows Mobile версии 6.5 и выше могут использовать документы, защищенные с помощью AD RMS. Для устройств на базе операционных систем iOS и Android возможно использование программного обеспечения с поддержкой RMS, разработанного компаниями - партнёрами Microsoft.

Независимые поставщики и разработчики программного обеспечения могут включить поддержку AD RMS для приложений либо обеспечить возможность работы с AD RMS для других серверов (например, систем управления содержимым или серверов портала, работающих под управлением Windows или других операционных систем) в целях защиты секретных данных. Независимые поставщики программного обеспечения могут интегрировать функционал для защиты информации в приложения для серверов, предназначенные, например, для управления документами и записями, обслуживания шлюзов электронной почты и систем архивирования, автоматизирования рабочих процессов и проверки содержимого.

Службы AD RMS включают в себя средства разработчика и промышленные технологии безопасности, включая шифрование, сертификаты и проверку подлинности, обеспечивающие создание надежных средств защиты информации в организациях. Для создания собственных средств AD RMS доступен пакет средств разработки программного обеспечения AD RMS.

Получить дополнительную информацию по описанной технологии и особенностях внедрения Вы можете здесь.