1

Тема: Использование Службы управления правами на доступ к данным (IRM)

Использование Службы управления правами на доступ к данным (IRM) в Microsoft Word 2010

Служба управления правами на доступ к данным (Information Rights Management (IRM)) (далее Служба IRM) в Microsoft Office (и, в частности, в Microsoft Word) — это средство, позволяющее пользователям задавать разрешения на доступ и использование для создаваемых ими документов. Эта служба также позволяет предотвратить печать, пересылку или копирование данных нежелательными лицами. Заданные с помощью этой службы ограничения разрешений для документа или сообщения будут действовать вне зависимости от расположения файла документа или сообщения, так как разрешения хранятся непосредственно в файле.
Служба IRM предоставляется корпорацией Microsoft пользователям программы Microsoft Office бесплатно.
Далее будет описаны процессы установки Службы IRM в Microsoft Word 2010 при наличии у пользователя идентификатор Windows Live ID и использования указанной службы.

Примечание – для установки Службы IRM и для использования этой службы требуется подключение к Интернету.

Внимание! Данная публикация будет выполнена с минимумом иллюстраций. В заключение этой темы мы планируем разместить соответствующий файл с иллюстрациями.

Удобной и приятной работы в Word!
Перевести спасибо на Яндекс кошелёк - 41001162202962; на WebMoney - R581830807057.

2

Re: Использование Службы управления правами на доступ к данным (IRM)

Установка Службы IRM

Если в вашей системе Служба IRM еще не была установлена, то при первом обращении к данной службе будет произведена ее установка.
Для установки Службы IRM необходимо иметь идентификатор Windows Live ID. В случае отсутствия идентификатора Windows Live ID, вам будет предложено его создать (данный идентификатор также создается бесплатно, и его создание напоминает обычную регистрацию на соответствующем сайте). Далее мы предполагаем, что идентификатор Windows Live ID у пользователя имеется.
Обращение к Службе IRM в программе Word 2010 может быть выполнено несколькими способами:
1) Через гиперссылку Ограничить разрешение в окне Ограничить форматирование и редактирование (данное окно открывается через вкладку Рецензирование (Рецензирование – Защита – Ограничить редактирование) или через вкладку Разработчик (Разработчик – группа Защита – Ограничить редактирование)).
2) Через представление Backstage (вкладка Файл – Сведения – Защитить документ – Ограничить разрешения для пользователей – Ограниченный доступ или Управление учетными данными).

В случае, если Служба IRM не установлена, то открывается окно установки Подписка на службу. В этом окне, в частности, кратко рассказывается о сущности и задачах Службы IRM и об условиях ее установки.

При выборе в данном окне гиперссылки Дополнительные сведения об этой бесплатной службе корпорации Майкрософт в браузере откроется страница сайта office.microsoft.com на русском языке «Бесплатная ознакомительная служба управления правами на доступ к данным» (адрес страницы – внешняя ссылка).
Установите переключатель на позицию Да, я хочу подписаться на эту бесплатную службу корпорации Microsoft и нажмите на кнопку Далее.

Откроется окно мастера Управление правами Windows (WRM) (WRM – это сокращение от английского выражения Windows Rights Management).

Если у вас есть идентификатор Windows Live ID, то выберите позицию переключателя Да, у меня есть идентификатор Windows Live ID. Если у вас такого идентификатора еще нет, выберите позицию Нет, я хочу получить идентификатор Windows Live ID сейчас. Мы выбираем первую опцию и нажимаем на кнопку Далее.

Открывается следующее окно мастера Управление правами Windows (WRM), которое имеет название Вход в Windows Live.

Введите логин (обычно это свой электронный адрес) и пароль Windows Live ID и нажмите на кнопку Вход.

Открывается третье окно мастера Управление правами Windows (WRM) под названием Выбор типа компьютера. Здесь можно выбрать опции Это личный компьютер или Это общедоступный или совместно используемый компьютер (во втором случае вход в систему Windows Live производится в течение ограниченного времени). Мы выбираем первую возможность.

Нажимаем кнопку Принять и затем, в следующем окне подтверждаем завершение работы мастера настройки управления правами на доступ к данным нажатием кнопки Готово.

После этого некоторое время будет выполняться проверка данных в системе Windows Live.
В диалоговом окне Выбор пользователя система Windows Live предложит выбрать свою учетную запись (в моем случае на выбор предложена только одна учетная запись). В данное окно с помощью кнопки Добавить можно ввести другие учетные записи пользователей. По окончании выбора нажмите на кнопку OK.

После этого связь с виртуальной Службой IRM будет установлена, и вы далее можете использовать ее в своей работе.

Удобной и приятной работы в Word!
Перевести спасибо на Яндекс кошелёк - 41001162202962; на WebMoney - R581830807057.

3

Re: Использование Службы управления правами на доступ к данным (IRM)

Установление ограниченного доступа к файлу документа с помощью Службы IRM

Как отмечалось ранее, обращение к Службе IRM в программе Word 2010 может быть выполнено несколькими способами (повторим эти способы здесь еще раз):
1) Через гиперссылку Ограничить разрешение в окне Ограничить форматирование и редактирование (данное окно открывается через вкладку Рецензирование (Рецензирование – Защита – Ограничить редактирование) или через вкладку Разработчик (Разработчик – группа Защита – Ограничить редактирование)).

2) Через представление Backstage (вкладка Файл – Сведения – Защитить документ – Ограничить разрешения для пользователей – Ограниченный доступ или Управление учетными данными).

Открывается описанное ранее окно Выбор пользователя или сразу окно Разрешения.

Для установки режима ограниченного разрешения установите флажок Ограничить разрешения на доступ к этому файлу документа.
После нажатия на кнопку Дополнительные параметры можно будет установить ряд дополнительных параметров защиты документа.

В левой части диалогового окна Разрешения имеются кнопки Чтение и Изменение. С помощью этих кнопок можно выполнить поиск пользователей, которым будет разрешено:
1) В области Чтение: читать документ без права изменения, печати и копирования его содержимого.
2) В области Изменение: читать, изменять, печатать и копировать документ.

В моем случае я выполнял поиск пользователей с помощью команды Поиск в глобальном списке адресов. Поиск производился в Active Directory нашей корпоративной системы, в глобальном списке адресов Exchange Server. В этом случае открывается окно Выбор имен, в котором можно выбрать пользователей, имеющих специальные разрешения на использование данного документа MS Word.

Удобной и приятной работы в Word!
Перевести спасибо на Яндекс кошелёк - 41001162202962; на WebMoney - R581830807057.

4

Re: Использование Службы управления правами на доступ к данным (IRM)

Работа с файлом документа в режиме ограниченного доступа, установленном с помощью Службы IRM

Пользователь, использующий учетную запись, от имени которой был установлен ограниченный доступ на файл, могут беспрепятственно работать с этим защищенным файлом документа. Этот пользователь может читать, изменять, печатать и копировать документ.
При сохранении документа под другим именем режим документа Ограниченный доступ сохраняется.
При этом в верхней части окна программы Word появится желтая полоса предупреждения Ограниченный доступ с надписью: «Разрешения в данный момент ограничены. Доступ к этому содержимому разрешен только указанным пользователям».

После нажатия пользователем на кнопку Изменить разрешения открывается описанное выше окно Разрешения, в котором указанный пользователь может отменить режим Ограниченный доступ, сняв флажок Ограничить разрешения на доступ к этому файлу документа и сохранив полученный документ. Пользователь может также изменить состав «доверенных лиц» в областях Чтение и Изменение.

При перенесении защищенного файла на компьютер с другой учетной записью или при попытке открытия этого файла другим пользователем файл будет недоступен.
Так, если на компьютере пользователя, пытающегося открыть защищенный файл, не установлена Служба IRM, то на экран выводится диалоговое окно предупреждения Microsoft Word: «Файл "документа" создан с ограниченными разрешениями при помощи службы управления правами на доступ к данным Microsoft Office. У вас нет учетных данных для этой службы. Получить учетные данные для этой службы?»

После нажатия кнопки Да, открывается уже знакомое нам окно Подписка на службу.

Отказ от установки Службы IRM вызывает следующее сообщение: «Нельзя использовать эту возможность без указания учетных данных».

Если Служба IRM установлена, выводится сообщение о проверке учетных данных и их соответствия установленным в файле документа разрешениям.

Если проверка окажется успешной, то зашифрованного файл документа будет открыт. В противном случае система сообщит об отсутствии прав доступа к содержимому файла.

Удобной и приятной работы в Word!
Перевести спасибо на Яндекс кошелёк - 41001162202962; на WebMoney - R581830807057.

5

Re: Использование Службы управления правами на доступ к данным (IRM)

О соотношении IRM и RMS:

внешняя ссылка

Information Rights Management (IRM) is an information protection technology built into Microsoft Office that works with Rights Management Services (RMS) in Microsoft Windows Server.

IRM helps organizations and its users to control how the information can be used. With the help of IRM, the creator or sender of a document or a message have complete control to specify who can open/edit/ print, forward or copy it or perform any other actions with the information it contains.

An RMS server running Microsoft Windows Server serves as a central repository for information used to identify what rights have been granted to particular users and to verify the credentials of those users. Information Rights Management is the component in the RMS-enabled application that enforces those rights; IRM is to RMS what Microsoft Office Outlook is to Exchange.

Перевод:

Information Rights Management (IRM) - это технология защиты информации, встроенная в Microsoft Office, которая работает совместно с Rights Management Services (RMS) в Windows Server.

IRM помогает организациям и пользователям контролировать то, каким образом информация может быть использована. С помощью службы IRM, создатель или отправитель документа или сообщения полностью контролирует состав лиц, которые могут открыть, изменить, печатать, переслать или скопировать указанные документ или сообщение или выполнять любые другие действия с информацией, которую они содержат.

Сервер RMS системы Windows Server с служит центральным хранилищем информации, используемой для идентификации прав, предоставленных определенным пользователям, и для проверки учетных данных этих пользователей. Information Rights Management является компонентом приложения, поддерживающего управление правами, что обеспечивает применение этих прав. IRM так относится к RMS, как Microsoft Office Outlook – к Exchange.

Удобной и приятной работы в Word!
Перевести спасибо на Яндекс кошелёк - 41001162202962; на WebMoney - R581830807057.

6

Re: Использование Службы управления правами на доступ к данным (IRM)

При использовании IRM контент документа зашифрован.
Для каждой операции делается запрос на разрешение, доставляется ключ на временную расшифровку. Расшифровывается только нужная часть и только под нужную операцию.
После этого ключ удаляется, и доступ к документу прекращается.
Таким образом предотвращается целый класс атак на утечку данных (ликинг (leaking)).
Притом, когда MS Office "видит" защищенный документ, он пытается этот документ открыть и загрузить лицензию.
Специалисты утверждают, что при соответствующей настройке имеется возможность увидеть, кто именно и из какой части мира пытается это сделать.
Иначе говоря, при попытке открыть файл Word с защитой RMS программа Word обращается к URL RMS-сервера. Соответственно, на RMS-сервере имеется возможность определить время, учетную запись, с которой произведена попытка прочитать документ, имя компьютера, даже имя учетки в Mesenger и в Skype.

Удобной и приятной работы в Word!
Перевести спасибо на Яндекс кошелёк - 41001162202962; на WebMoney - R581830807057.

7

Re: Использование Службы управления правами на доступ к данным (IRM)

Принципиальная схема работы сервисов IRM и RMS

1. Автор документа получает сертификаты.
2. Автор документа формирует правила доступа к документу. Правила доступа хранятся на RMS-сервере системы Windows Server.
3. Автор документа распространяет файл (по почте, на сервере и т.д.).
4. Получатель пытается открыть файл. Автоматически формируется запрос к RMS-серверу. При наличии разрешения RMS-сервер высылает получателю ключ для расшифровки.
5. Получатель открывает файл и работает с ним в соответствии с предоставленными ему правами.

Post's attachments

RMS 01.jpg 90.91 Кб, файл не был скачан. 

You don't have the permssions to download the attachments of this post.
Удобной и приятной работы в Word!
Перевести спасибо на Яндекс кошелёк - 41001162202962; на WebMoney - R581830807057.

8

Re: Использование Службы управления правами на доступ к данным (IRM)

Принципиальная схема работы сервисов IRM и RMS совместно с SharePoint Server

1. Автор документа публикует документ на SharePoint и формирует правила доступа к документу. Правила доступа к файлу хранятся на сервере SharePoint, а правила доступа к содержимому документа – на RMS-сервере.
2. Получатель запрашивает документ с SharePoint.
3. SharePoint обрабатывает запрос и проверяет заданные разрешения на выдачу файла.
4. Если разрешения имеются, SharePoint «выдает» файл получателю.
5. Получатель пытается открыть файл. Автоматически формируется запрос к RMS-серверу. При наличии разрешения RMS-сервер высылает получателю ключ для расшифровки.
6. Получатель открывает файл и работает с ним в соответствии с предоставленными ему правами.

Post's attachments

RMS 02.jpg 94.09 Кб, файл не был скачан. 

You don't have the permssions to download the attachments of this post.
Удобной и приятной работы в Word!
Перевести спасибо на Яндекс кошелёк - 41001162202962; на WebMoney - R581830807057.

9

Re: Использование Службы управления правами на доступ к данным (IRM)

Небольшая подборка полезных ссылок про IRM и RMS:

внешняя ссылка
внешняя ссылка
внешняя ссылка
внешняя ссылка
внешняя ссылка

Удобной и приятной работы в Word!
Перевести спасибо на Яндекс кошелёк - 41001162202962; на WebMoney - R581830807057.

10

Re: Использование Службы управления правами на доступ к данным (IRM)

Роль Active Directory RMS в ОС Windows Server 2012
Скриншот из лекции: внешняя ссылка (начиная с 34-й минуты).
К сожалению, лектор, мягко говоря, не в восторге от этой роли.

Post's attachments

RMS02.PNG 194.96 Кб, файл не был скачан. 

You don't have the permssions to download the attachments of this post.
Удобной и приятной работы в Word!
Перевести спасибо на Яндекс кошелёк - 41001162202962; на WebMoney - R581830807057.