Anasayfa » RMS ile Döküman Güvenliği

Makaleyi Paylaş

Windows Server

RMS ile Döküman Güvenliği

Microsoft NTFS izinlerini ve onunla beraber gelen özellikleri (EFS) kullanarak dökümanlarımızı koruyabilmemizi sağlamıştır. Fakat NTFS izinleri ile bir dökümanın belli bir süre kullanılabilir olması sağlamak mümkün değildir. Örneğin A kişisinin B kişisi ile paylaşmak istediği bir döküman olsun. Ve bu dökümanın 5 gün boyunca B kişisi tarafından kullanılmasını arzu ediliyorsa bunun için NTFS ile yapabileceğimiz bir uygulama maalesef yok. Yada bir dökümanın alıcısı tarafından hiçbir şekilde yazdırılmasını veya bir başkasına email ile reply veya forward edilmesi istemiyorsak hatta print screen ile dahi görüntüsünün alınmasını engellemek istiyorsak gene mevcut araçlar ile bunu yapmak mümkün değil. Burada devreye RMS (Windows Rights Management Services) giriyor. Bu servis sayesinde belgelerimizi dilediğimiz insanlar ile dilediğimiz şekilde paylaşabilmemiz ve paylaştığımız dökümanların sadece paylaştığımız insanlarda kalmasını örneğin şirket dışına çıkmasını engellememiz mümkün olacaktır. Deneme amaçlı direk olarak Microsoft Office ürünlerinde Microsoft’un IRMS hizmetinden yararlanmak mümkün. Trial olarak sunulan bu hizmet ile .NET hesapları olan kullanıcılar ile dokumanlarımızı yukarıda anlatılan özellikleri kullanarak paylaşmak mümkün. . Biz ise kendi şirketimizin RMS hizmetini yapılandırmak amaçlı aşağıda bu sistemin kurulumunu ve ayarlarını anlatacağız.

 

Kurulum için bize SQL Sever veya SQL Desktop Engine gerekecek. SQL 2000 Desktop Engine ücretsiz olarak aşağıdaki linkten edinebilirsiniz.

 

http://www.microsoft.com/downloads/details.aspx?FamilyID=413744d1-a0bc-479f-bafa-e4b278eb9147&DisplayLang=en

 

Kurulum için indirdiğiniz dosyayı extract etmeniz gerekiyor. Extract işleminden sonra oluşan klasör içindeki setup.exe yi aşağıdaki paremetreleri kullanarak kendimize uygun şekilde kuruyoruz.

Sponsor

 

clip_image001

 

Daha sonra Add /Remove Programs ı kullanarak Windows Compenents menusunde Application Server içinde aşağıdaki resimde gösterilen ASP.NET ve Message Queuing de dahil olmak üzere IIS kurulumunu yapmamız gerekiyor.

 

clip_image002

 

IIS kurulumunun bitmesinden sonra aşağıdaki linkten indirdiğimiz RMS server uygulamasını kuracağız.

 

http://www.microsoft.com/downloads/details.aspx?FamilyID=8ef6d80a-6a9c-4fb9-ab51-790980816ffe&DisplayLang=en

 

clip_image003clip_image004

 

clip_image005

 

Uygulamanın yüklemesi bittiğinde artık bir web panel üzerinden gerekli ayarlamalarımızı yapabileceğiz.

 

clip_image006

 

İlk olarak Provision RMS on This Web Site linkini tıklayarak RMS serverımıza bir sertifika alacağız.

 

clip_image007

 

Bu sayfada girmemiz gereken ayarlar kullanacağımız database ‘in gösterilmesi ki biz local bir database oluşturduğumuz için locali seçeceğiz ve elbet RMS servisi için local sistem accountun kullanılmasını tercih edeceğiz. Bir sonraki işlem RMS için oluşturalacak Private Key’in korunmasında kullanılacak bir storng password gireceğiz. İnternet erişimimiz bir proxy üzerinden yapılıyorsa bunun içinde proxy ayarlarımızı yapmalıyız. İşlemlerimiz bittikten sonra submit ettiğimizde sistem aşağıdaki pencerede görülen şekilde enroll işlemini başlatacak .Biz online enrollment yapmayı tercih ettik. Dilerseniz bu işlemin offline ‘da yapılması mümkün.

 

clip_image008

 

İşlemin tamamlandığını belirten aşağıdaki pencerede Global Administration Home Page linkini seçerek geri kalan işlemlerimize dönebiliriz.

 

clip_image009

 

Global Administration sayfasında Administer On This Web Site linkini seçerek Service Connection Point oluşturmamız gerekiyor.

 

clip_image010

 

Zaten sayfadaki kırmızı renkli yazıda bizi bunu yapmamız için uyaracaktır.

 

clip_image011

 

RMS service connection point linkini tıkladığımızda aşağıdaki pencere açılacak ve biz Register URL butonunu kullanarak hizmetimizi Active Directory içinde kayıt etmiş olacağız.

 

clip_image012

 

Artık günlük kullanım için gerekli ayarlara geçebiliriz. Bunun RMS Global Administration linkini kullanarak ayarlar menusune geri döneceğiz.

 

clip_image013

 

Kullanıcılarınızın hizmetine sunacağınız bu hizmetin kolaylıklarından biri de template oluşturabilmemizdir. Bu sayede kullanıcılarınız bir dokumanı korumak istediklerinde daha önceden hazırlanmış template’leri seçebilecek ve template ayarlarından yararlanabilecekler. Bir Template oluşturabilmek için Right Policy Template linkini kullanacağız. Gelen ekranda Template dilini seçip Add a rights policy template linkini tıklayarak işleme başlayabiliriz.

 

clip_image014

 

Yukarıda hazırladığım örnek bir template görünüyor. Biz bu template’ler ile bir dökümana expire süresi tanımlayabiliriz. Bu sayede dokuman dilediğimiz süreç içersinde kullanılabilir olur. Yada sadece görüntülenmesini sağlayabiliriz. Gene bu sayede dokumanın alıcı tarafından bir kopyasının alınmasını engellemiş oluruz. Hatta öyleki print screen dahi yapılarak ekran görüntüsü alınamaz. Veya yolladığınız email bir başkasına forward veya reply edilemez. Ben yukarıdaki ayarlar ile eklediğim kullanıcılara sadece View hakkı verdim. Template ismi olarak da Yazdırılamaz verdim. Submit dediğimizde bu template oluşturulacak. Ve bunu server üzerinde bir paylaşıma kopyalamamız gerekecek. Fakat burada bir başka problem varki o da bu template bütün network kullanıcıları için de geçerli olsun istersek bu durumda kullanıcıların template lokasyonundan haberdar edilmesi gerekir. Bunun için RMS server üzerinde bir paylaşım oluşturarak bu lokasyonu ayar sayfasında belirteceğiz. Daha sonra isterseniz Office Resource Kit indirerek dilerseniz aşağıdaki ADM dosyasını oluşturarak GPO ile kullanıcılarımıza lokasyonu öğreteceğiz.

 

clip_image015

 

Bunun için bir text dosyasına yukarıdaki bilgileri girmeniz daha sonrada bu dosyayı .adm uzantılı olarak Windows altında INF klasörüne kaydetmeniz gerekecek.

 

clip_image016

 

Daha sonra kullanıcılarımıza uygulayacağımız GPO içinde User Configuration kısmından Administrative Templates üzerinde mouse sağ klik yaparak Add/Remove Template ‘i seçip .adm uzantılı dosyamızı Add butonunu kullanarak yeri gösterip ekleyeceğiz.

 

clip_image017

 

Bu sayede artık GPO içinde Administrative Templates kısmında Microsoft Office 2003 bölümü altında RMS Template lokasyonu için ayar yapabileceğimiz bir bölüme sahip olduk. Yukarıda görüldüğü üzere ben RMS server üzerindeki paylaşımı gösterdim. Bu sayede bütün client registry lerine bu bilgi işlenecek.

 

clip_image018

 

Bu aşamadan sonra artık client makinalara RMS client uygulamasını kurarak bu hizmeti kullanmak kalıyor. RMS client uygulamasını aşağıdaki linkten edinebilirsiniz. Dilerseniz indirdiğiniz dosya içerisinden çıkan .msi uzantılı dosyayı da kullanarak client makinalara bu programı GPO ile dağıtmanız da mümkün olacak.

 

http://www.microsoft.com/downloads/details.aspx?familyid=A154648C-881A-41DA-8455-042D7033372B&displaylang=en

 

Kurulum bittikten sonra artık RMS hizmetini test edebiliriz. Aşağıdaki uygulamalar ile neler yapılabileceğini göstereceğiz.

 

clip_image019

 

Bir email ile gizli bir bilgiyi belli bir gurup insan dışına bilginin sızmasına izin vermeksizin paylaşmak istersek Emaili hazırladıktan sonra File menusunden permission kısmına ulaşıp orada daha evvel hazırladığımız templateler varsa onlardan birini yada default gelen template lerden birini seçeriz. Örneğimizde Yazdırılmaz template’i kullanıldı. Daha evvel hazırladığımız bu template sadece View hakkı içeriyordu. Bu durumda bu emaili alan şahıslar bu emaili bir başkasına yollayamaz yazdıramaz ve kopyalayamazlar.

 

clip_image020

 

Alıcılar vermediğiniz bir permission’ı kullanmak isterse yukarıdaki gibi uyarı alacaklar. Yazdırma gibi işlem butonlarının deactive durumda olduğu dikkatinizi çekecektir. Gene aynı şekilde bir word dökümanının korunması istenirse mantalite değişmeyecek orada da File menusunden korumak istediğimiz dökümana bir template seçebileceğiz yada mevcut template’leri kullanabileceğiz. Hatta kendi isteklerimiz doğrultusunda template kullanmadan koruma oluşturabileceğiz.

 

clip_image021

 

Örnek üzerinde Not Distribute seçeneği seçildi.

 

clip_image022clip_image023

 

Bu menude kimlerin bu dosyaya okuma kimlerin değiştirme hakları ile ulaşabileceğini belirtebiliyoruz. Dilersek More Options kısmından daha detaylı ayarlar yapabiliyoruz. Örneğin This document expires on seçeneği ile bu döküman şu tarihte expire olsun dememiz mümkün.

 

Görüldüğü gibi bilgi dünyasında bilginin güvenliğini sağlamak en az bilgi kadar değerli. Bu tip teknolojileri kullanarak ticari sırları kişisel bilgileri korumak daha kolaylaştırılıyor. Formun Altı

 

 

Makaleyi Paylaş

Cevap bırakın