Управление окружением IRM/RMS
Политики исключения
С помощью консоли администратора (Administrator Console) Windows RMS администраторы могут назначать политики исключения отдельно для каждого сервера или кластера серверов системы RMS, чтобы предотвратить возможность выдачи этим сервером лицензий определенным доверенным объектам. Политики исключения препятствуют ставшим ненадежными доверенным объектам получать лицензии на использование от RMS-серверов. Тем не менее, в отличие от отзыва, исключение не делает недействительными доверенные объекты. Все существующие лицензии, связанные с исключенными доверенными объектами, остаются действительными, однако, на запрос, поступивший от этих объектов, новые лицензии не выдаются.
Администраторы могут исключать следующие доверяемые объекты:
- Различные версии защищенных хранилищ RMS. Администратор может указать версию защищенного хранилища, для которой все запросы лицензий будут проверяться. В случае, если запрос был выполнен с компьютера, на котором установлена ранняя версия защищенного хранилища, он отклоняется. Исключенные защищенные хранилища также указываются в каждой лицензии на использование и вступают в силу только в том случае, если лицензия окажется в соответствующем защищенном хранилище. Указание этого условия в лицензии позволяет использовать политики исключения на компьютерах, которые могут не использоваться для подачи запроса лицензий на использование, но могут использоваться для дешифрования защищенной информации.
При применении этой политики исключения организацией, служащие не смогут получать новые лицензии на использование до тех пор, пока они не произведут повторную активацию своих компьютеров. Тем не менее, для них сохраняется возможность обращаться к файлам, для доступа к которым ранее были выданы лицензии. Для того, чтобы не нарушить привычный для пользователей рабочий процесс, администраторам следует развертывать новые защищенные хранилища в организации перед применением политик исключения. Затем можно использовать политики исключения в качестве средства принудительного обновления всех компьютеров, незатронутых новым развертыванием защищенных хранилищ.
- Версии ОС Windows. ОС Windows 98 Second Edition и Windows Millennium не поддерживают NTLM-аутентификацию. Организации могут ограничить возможность клиентов этих ОС получать лицензии на использование.
- Сертификаты учетной записи. В случае, если служащий является доверяемым объектом, но имеется подозрение, что ключи сертификата учетной записи служащего стали ненадежными, администратор может исключить открытый ключ сертификата этой учетной записи. Для этого исключенного открытого ключа новые лицензии на использования выдаваться не будут, поэтому необходимо выполнить повторную сертификацию служащего и выдать новый сертификат учетной записи с новой парой ключей. Этот новый сертификат учетной записи будет использоваться для всех следующих действий. Тем не менее, у служащего сохраняется исключенный сертификат учетной записи для доступа к защищенной информации, для которой ранее была выдана лицензия.
- Приложения. Можно исключить возможность получения приложениями лицензии на использование. Администраторы могут указать версии приложений.
Создание политик исключения
На странице Политики исключения (Exclusion policies), доступ к которой осуществляется со страницы глобального администрирования (Global Administration) RMS-сервера, администраторы могут назначать политики для любого из четырех доверяемых объектов, перечисленных в предыдущем разделе.
Рисунок 14 – Страница политик исключения