Préambule
Microsoft AD RMS (Active Directory Rights Management Services) et le client AD RMS permettent de renforcer la stratégie de sécurité d’une organisation en protégeant les informations en appliquant en permanence des stratégies d’utilisation aux informations, même si ces dernières sont déplacées. Vous pouvez utiliser AD RMS pour renforcer la protection des informations sensibles, telles que les rapports financiers, les spécifications de produits, les données des clients et les messages électroniques confidentiels, afin d’empêcher des personnes non autorisées d’avoir accès à ces informations accidentellement ou non.
- Protection des informations sensibles. Les applications telles que les traitements de texte, les clients de messagerie électronique et les applications cœur de métier peuvent être activées pour AD RMS en vue de protéger les informations sensibles. Les utilisateurs peuvent choisir les personnes autorisées à ouvrir, modifier, imprimer ou transférer les informations, ou à entreprendre d’autres actions liées à ces informations. Les organisations peuvent créer des modèles personnalisés de stratégies d’utilisation, tels que « Confidentiel - Lecture seule », pouvant être appliqués directement aux informations.
- Protection permanente. AD RMS vient renforcer les solutions de sécurité existantes, telles que les pare-feu et les listes de contrôle d’accès, fonctionnant sur la base de périmètres de sécurité, afin de mieux protéger les informations en verrouillant les droits d’utilisation dans le document lui-même et en contrôlant la manière dont les informations sont utilisées, même après leur ouverture par un destinataire prévu.
- Technologie souple et personnalisable. Les éditeurs de logiciels indépendants et les développeurs peuvent activer n’importe quelle application pour AD RMS et permettre à d’autres serveurs, tels que les systèmes de gestion de contenu ou les serveurs de portail fonctionnant sous Windows ou sous d’autres systèmes d’exploitation, de fonctionner avec AD RMS et de contribuer ainsi à la protection des informations sensibles. Les éditeurs de logiciels indépendants peuvent intégrer des fonctions de protection des informations à leurs solutions serveur, qu’il s’agisse de solutions de gestion des documents et des enregistrements, de systèmes de passerelle de messagerie électronique et d’archivage, de solutions de workflows automatisés ou de systèmes d’inspection de contenu, par exemple.
AD RMS fournit des outils destinés aux développeurs, ainsi que des technologies de sécurité standard (chiffrement, certificats et authentification, entre autres), afin d’aider les organisations à créer des solutions fiables de protection des informations. Pour permettre le développement de solutions AD RMS personnalisées, un kit de développement logiciel (SDK) AD RMS est disponible.
Plus de détails (source) : https://technet.microsoft.com/fr-fr/library/Cc771627.aspx
Prérequis
Matériel
Configuration requise | Configuration recommandée |
---|---|
Un processeur Pentium 4, 3 GHz ou supérieur |
Deux processeurs Pentium 4, 3 GHz ou supérieur |
512 Mo de RAM |
4 Go de RAM |
40 Go d’espace libre de disque dur |
120 Go d’espace libre de disque dur |
Logiciel
Logiciel | Configuration requise |
---|---|
Système d’exploitation |
Windows Server 2008 R2 ou ultérieur |
Système de fichiers |
Le système de fichiers NTFS est recommandé |
Messagerie |
Message Queuing |
Services Web |
Internet Information Services (IIS). ASP.NET doit être activé. |
Active Directory ou services de domaine Active Directory |
AD RMS doit être installé dans un domaine Active Directory |
Serveur de base de données |
AD RMS requiert un serveur de base de données, tel que Microsoft SQL Server 2008 R2 ou ultérieur |
Overview d'une protection avec AD RMS
Structure d'un document protégé par AD RMS
Installation
Le service RMS s'installe a partir des rôles disponibles sous l'OS Windows Server. Dans mon cas, je suis sous un Windows Server 2012 R2 EN. Pour les prochaines étapes faites Next
Le premier élément déterminant dans votre installation et de savoir si vous souhaitez étendre cette protection avec des domaines fédérés (ADFS). Dans mon exemple, je serai uniquement en mode local, pas de fédération avec d'autres forêt.
Redémarrer votre serveur une fois l'installation terminée.
Maintenant que AD RMS est installé, il faut lancer le wizard de configuration initial.
La première étape consiste à créer un cluster AD RMS. Si l'on évoque un peu la terminologie sous AD RMS, même en ayant q'un seul serveur AD RMS, on parlera de cluster, donc nous allons créer un cluster AD RMS qui sera configuré avec uniquement un serveur.
Dans le cas ou vous auriez déjà installer un serveur AD RMS, vous n'aurez pas la possibilité de créer un deuxième sluster au sein de la même forêt. Dans mon exemple, je suis passé d'un AD RMS qui était configuré sous Win 2008 R2 à un AD RMS sous Win 2012 R2.
Il va donc falloir supprimer le SCP (Service Connection Point) déjà présent au niveau Active Directory afin de pouvoir à nouveau créer un cluster AD RMS.
Pour fermer la parenthèse, un seul cluster RMS peut être installé sur une forêt AD.
Maintenant que mon ancien SCP est supprimé, je peux à nouveau créer un nouveau cluster...
AD RMS utilise une BDD SQL serveur pour stocker sa configuration, l'utilisation du service ainsi que les rapports d'audit. Il est très fortement conseillé d'utiliser une instance dédiée pour ce service.
Je renseigne maintenant mon compte de service précédemment créé.
Je sélectionne le type de cryptographie que je souhaite mettre en place. Vous trouverez ici toutes les considérations à prendre en compte pour sélectionner le bon mode : https://technet.microsoft.com/en-us/library/hh867439(v=ws.10).aspx
Définissez comment vous souhaitez stocker votre clé de cryptage. CSP signifie Cryptographie Service Provider, cela vous permet d'accentuer la sécurité afin "d'externaliser" le stockage de cette clé sur un support hautement sécurisé.
Il faut maintenant définir un mot de passe pour la clé rattachée au cluster.
Ensuite, il faut spécifier sur quel site IIS vous souhaitez configurer le service RMS.
Il est fortement conseillé (sauf pour un lab) de configurer AD RMS sur une URL sécurisé (SSL).
Attention, ici il s'agit de donner le nom du cluster AD RMS, il est conseillé de créer une entrée DNS spécifique (>CNAME) et d'indiquer ici le FQDN de cette entrée.
Cette étape est primordiale lors de la configuration su service RMS. Veuillez après coup que l'enregistrement se soit bien déroulé. La plupart du temps, le compte n'a pas les droits, il convient donc de lui octroyer les droits le temps de la création et de lui retirer par la suite pour plus de sécurité.
L'installation est maintenant terminée.
Il est ensuite possible de se connecter à son cluster RMS.
En fonction du nom que vous aurez indiquez, il faudra indiquer le CNAME renseigné au niveau du DNS dans la session remote computer ;)
Troubelshooting: SCP
Dans la cas ou vous rencontrez des problèmes avec le SCP. Je vous conseille de le supprimer et de le re-créer comme indiqué sur les screenshots ci-dessous. Veuillez également que pour l'enregistrement, le compte utilisé ait les droits pour le faire.
Bonne installation.
N'hésitez pas à commenter si vous avez des questions.
Joris