RMS ile Döküman Güvenliği

26
Ağustos
2010
RMS ile Döküman Güvenliği

RMS ile Döküman Güvenliği

Microsoft NTFS izinlerini ve onunla beraber gelen özellikleri (EFS) kullanarak dökümanlarımızı koruyabilmemizi sağlamıştır. Fakat NTFS izinleri ile bir dökümanın belli bir süre kullanılabilir olması sağlamak mümkün değildir. Örneğin A kişisinin B kişisi ile paylaşmak istediği bir döküman olsun. Ve bu dökümanın 5 gün boyunca B kişisi tarafından kullanılmasını arzu ediliyorsa bunun için NTFS ile yapabileceğimiz bir uygulama maalesef yok. Yada bir dökümanın alıcısı tarafından hiçbir şekilde yazdırılmasını veya bir başkasına email ile reply veya forward edilmesi istemiyorsak hatta print screen ile dahi görüntüsünün alınmasını engellemek istiyorsak gene mevcut araçlar ile bunu yapmak mümkün değil. Burada devreye RMS (Windows Rights Management Services) giriyor. Bu servis sayesinde belgelerimizi dilediğimiz insanlar ile dilediğimiz şekilde paylaşabilmemiz ve paylaştığımız dökümanların sadece paylaştığımız insanlarda kalmasını örneğin şirket dışına çıkmasını engellememiz mümkün olacaktır. Deneme amaçlı direk olarak Microsoft Office ürünlerinde Microsoft’un IRMS hizmetinden yararlanmak mümkün. Trial olarak sunulan bu hizmet ile .NET hesapları olan kullanıcılar ile dokumanlarımızı yukarıda anlatılan özellikleri kullanarak paylaşmak mümkün. . Biz ise kendi şirketimizin RMS hizmetini yapılandırmak amaçlı aşağıda bu sistemin kurulumunu ve ayarlarını anlatacağız.

Kurulum için bize SQL Sever veya SQL Desktop Engine gerekecek. SQL 2000 Desktop Engine ücretsiz olarak aşağıdaki linkten edinebilirsiniz.

http://www.microsoft.com/downloads/details.aspx?FamilyID=413744d1-a0bc-479f-bafa-e4b278eb9147&DisplayLang=en

Kurulum için indirdiğiniz dosyayı extract etmeniz gerekiyor. Extract işleminden sonra oluşan klasör içindeki setup.exe yi aşağıdaki paremetreleri kullanarak kendimize uygun şekilde kuruyoruz.

clip_image001

Daha sonra Add /Remove Programs ı kullanarak Windows Compenents menusunde Application Server içinde aşağıdaki resimde gösterilen ASP.NET ve Message Queuing de dahil olmak üzere IIS kurulumunu yapmamız gerekiyor.

http://www.sistemuzmani.com/Articles/Images/1000000578_image002.jpg

IIS kurulumunun bitmesinden sonra aşağıdaki linkten indirdiğimiz RMS server uygulamasını kuracağız.

http://www.microsoft.com/downloads/details.aspx?FamilyID=8ef6d80a-6a9c-4fb9-ab51-790980816ffe&DisplayLang=en

http://www.sistemuzmani.com/Articles/Images/1000000578_image003.jpg

http://www.sistemuzmani.com/Articles/Images/1000000578_image004.jpg

http://www.sistemuzmani.com/Articles/Images/1000000578_image005.jpg

Uygulamanın yüklemesi bittiğinde artık bir web panel üzerinden gerekli ayarlamalarımızı yapabileceğiz.

http://www.sistemuzmani.com/Articles/Images/1000000578_image006.jpg

İlk olarak Provision RMS on This Web Site linkini tıklayarak RMS serverımıza bir sertifika alacağız.

http://www.sistemuzmani.com/Articles/Images/1000000578_image007.jpg

Bu sayfada girmemiz gereken ayarlar kullanacağımız database ‘in gösterilmesi ki biz local bir database oluşturduğumuz için locali seçeceğiz ve elbet RMS servisi için local sistem accountun kullanılmasını tercih edeceğiz. Bir sonraki işlem RMS için oluşturalacak Private Key’in korunmasında kullanılacak bir storng password gireceğiz. İnternet erişimimiz bir proxy üzerinden yapılıyorsa bunun içinde proxy ayarlarımızı yapmalıyız. İşlemlerimiz bittikten sonra submit ettiğimizde sistem aşağıdaki pencerede görülen şekilde enroll işlemini başlatacak .Biz online enrollment yapmayı tercih ettik. Dilerseniz bu işlemin offline ‘da yapılması mümkün.

http://www.sistemuzmani.com/Articles/Images/1000000578_image008.jpg

İşlemin tamamlandığını belirten aşağıdaki pencerede Global Administration Home Page linkini seçerek geri kalan işlemlerimize dönebiliriz.

http://www.sistemuzmani.com/Articles/Images/1000000578_image009.jpg

Global Administration sayfasında Administer On This Web Site linkini seçerek Service Connection Point oluşturmamız gerekiyor.

http://www.sistemuzmani.com/Articles/Images/1000000578_image010.jpg

Zaten sayfadaki kırmızı renkli yazıda bizi bunu yapmamız için uyaracaktır.

http://www.sistemuzmani.com/Articles/Images/1000000578_image011.jpg

RMS service connection point linkini tıkladığımızda aşağıdaki pencere açılacak ve biz Register URL butonunu kullanarak hizmetimizi Active Directory içinde kayıt etmiş olacağız.

http://www.sistemuzmani.com/Articles/Images/1000000578_image012.jpg

Artık günlük kullanım için gerekli ayarlara geçebiliriz. Bunun RMS Global Administration linkini kullanarak ayarlar menusune geri döneceğiz.

http://www.sistemuzmani.com/Articles/Images/1000000578_image013.jpg

Kullanıcılarınızın hizmetine sunacağınız bu hizmetin kolaylıklarından biri de template oluşturabilmemizdir. Bu sayede kullanıcılarınız bir dokumanı korumak istediklerinde daha önceden hazırlanmış template’leri seçebilecek ve template ayarlarından yararlanabilecekler. Bir Template oluşturabilmek için Right Policy Template linkini kullanacağız. Gelen ekranda Template dilini seçip Add a rights policy template linkini tıklayarak işleme başlayabiliriz.

http://www.sistemuzmani.com/Articles/Images/1000000578_image014.jpg

Yukarıda hazırladığım örnek bir template görünüyor. Biz bu template’ler ile bir dökümana expire süresi tanımlayabiliriz. Bu sayede dokuman dilediğimiz süreç içersinde kullanılabilir olur. Yada sadece görüntülenmesini sağlayabiliriz. Gene bu sayede dokumanın alıcı tarafından bir kopyasının alınmasını engellemiş oluruz. Hatta öyleki print screen dahi yapılarak ekran görüntüsü alınamaz. Veya yolladığınız email bir başkasına forward veya reply edilemez. Ben yukarıdaki ayarlar ile eklediğim kullanıcılara sadece View hakkı verdim. Template ismi olarak da Yazdırılamaz verdim. Submit dediğimizde bu template oluşturulacak. Ve bunu server üzerinde bir paylaşıma kopyalamamız gerekecek. Fakat burada bir başka problem varki o da bu template bütün network kullanıcıları için de geçerli olsun istersek bu durumda kullanıcıların template lokasyonundan haberdar edilmesi gerekir. Bunun için RMS server üzerinde bir paylaşım oluşturarak bu lokasyonu ayar sayfasında belirteceğiz. Daha sonra isterseniz Office Resource Kit indirerek dilerseniz aşağıdaki ADM dosyasını oluşturarak GPO ile kullanıcılarımıza lokasyonu öğreteceğiz.

http://www.sistemuzmani.com/Articles/Images/1000000578_image015.jpg

Bunun için bir text dosyasına yukarıdaki bilgileri girmeniz daha sonrada bu dosyayı .adm uzantılı olarak Windows altında INF klasörüne kaydetmeniz gerekecek.

http://www.sistemuzmani.com/Articles/Images/1000000578_image016.jpg

Daha sonra kullanıcılarımıza uygulayacağımız GPO içinde User Configuration kısmından Administrative Templates üzerinde mouse sağ klik yaparak Add/Remove Template ‘i seçip .adm uzantılı dosyamızı Add butonunu kullanarak yeri gösterip ekleyeceğiz.

http://www.sistemuzmani.com/Articles/Images/1000000578_image017.jpg

Bu sayede artık GPO içinde Administrative Templates kısmında Microsoft Office 2003 bölümü altında RMS Template lokasyonu için ayar yapabileceğimiz bir bölüme sahip olduk. Yukarıda görüldüğü üzere ben RMS server üzerindeki paylaşımı gösterdim. Bu sayede bütün client registry lerine bu bilgi işlenecek.

http://www.sistemuzmani.com/Articles/Images/1000000578_image018.jpg

Bu aşamadan sonra artık client makinalara RMS client uygulamasını kurarak bu hizmeti kullanmak kalıyor. RMS client uygulamasını aşağıdaki linkten edinebilirsiniz. Dilerseniz indirdiğiniz dosya içerisinden çıkan .msi uzantılı dosyayı da kullanarak client makinalara bu programı GPO ile dağıtmanız da mümkün olacak.

http://www.microsoft.com/downloads/details.aspx?familyid=A154648C-881A-41DA-8455-042D7033372B&displaylang=en

Kurulum bittikten sonra artık RMS hizmetini test edebiliriz. Aşağıdaki uygulamalar ile neler yapılabileceğini göstereceğiz.

http://www.sistemuzmani.com/Articles/Images/1000000578_image019.jpg

Bir email ile gizli bir bilgiyi belli bir gurup insan dışına bilginin sızmasına izin vermeksizin paylaşmak istersek Emaili hazırladıktan sonra File menusunden permission kısmına ulaşıp orada daha evvel hazırladığımız templateler varsa onlardan birini yada default gelen template lerden birini seçeriz. Örneğimizde Yazdırılmaz template’i kullanıldı. Daha evvel hazırladığımız bu template sadece View hakkı içeriyordu. Bu durumda bu emaili alan şahıslar bu emaili bir başkasına yollayamaz yazdıramaz ve kopyalayamazlar.

http://www.sistemuzmani.com/Articles/Images/1000000578_image020.jpg

Alıcılar vermediğiniz bir permission’ı kullanmak isterse yukarıdaki gibi uyarı alacaklar. Yazdırma gibi işlem butonlarının deactive durumda olduğu dikkatinizi çekecektir. Gene aynı şekilde bir word dökümanının korunması istenirse mantalite değişmeyecek orada da File menusunden korumak istediğimiz dökümana bir template seçebileceğiz yada mevcut template’leri kullanabileceğiz. Hatta kendi isteklerimiz doğrultusunda template kullanmadan koruma oluşturabileceğiz.

http://www.sistemuzmani.com/Articles/Images/1000000578_image021.jpg

Örnek üzerinde Not Distribute seçeneği seçildi.

http://www.sistemuzmani.com/Articles/Images/1000000578_image022.jpghttp://www.sistemuzmani.com/Articles/Images/1000000578_image023.jpg

Bu menude kimlerin bu dosyaya okuma kimlerin değiştirme hakları ile ulaşabileceğini belirtebiliyoruz. Dilersek More Options kısmından daha detaylı ayarlar yapabiliyoruz. Örneğin This document expires on seçeneği ile bu döküman şu tarihte expire olsun dememiz mümkün.

Görüldüğü gibi bilgi dünyasında bilginin güvenliğini sağlamak en az bilgi kadar değerli. Bu tip teknolojileri kullanarak ticari sırları kişisel bilgileri korumak daha kolaylaştırılıyor.

 

 

 
 

 

MAKALEYE YORUM YAZ

İsminiz
E-posta adresiniz
Yorumunuz
Doğrulama kodu ?

Copyright © 2006 - 2013  DESTEKYERI.COM

Embedded by  ® SANALOG Tüm Hakları Saklıdır . Yayınlanan yazıların izin alınmadan kopyalanması ve kullanılması  5846 sayılı Fikir ve Sanat Eserleri Yasasına göre suçtur. Makalelerin "alıntı" olduğunu belirterek yayınlayabilir ve kaynağı belirtmeniz önemlidir !!!