Crear una Exclusion Policy para AD RMS
Active Directory Rights Management Services
Active Directory Rights Management Services o AD RMS es un servicio de rol que se encuentra disponible desde la versión Windows Server 2008. En Windows Server 2016 no ha recibido actualización debido a que su uso va a ser sustituido por Azure Information Protection.
AD RMS permite a los usuarios del dominio establecer permisos de acceso a documentos, libros y presentaciones a través de las directivas de IRM. Esto ayuda a impedir que personas no autorizadas impriman, reenvíen o copien la información confidencial. Una vez se ha restringido el permiso para un archivo mediante IRM, se aplican las restricciones de acceso y uso sin importar dónde se encuentre la información. El permiso de acceso de un archivo se almacena en él mismo.
Además, este servicio de rol se puede integrar con servicios de federación. Esto permite a las identidades federadas consumir contenido protegido al usar Active Directory.
Exclusions Policy en AD RMS
Las políticas de exclusión nos permiten bloquear el uso de AD RMS a usuarios, aplicaciones o sistemas operativos:
- Los usuarios del dominio que tienen correo electónico reciben un certificado de uso del servidor AD RMS llamado RAC cuando inician sesión en una máquina confiable del dominio. Podemos bloquear a usuarios añadiendo su RAC en la lista de exclusiones.
- Podemos bloquear versiones inferiores de aplicaciones para que no puedan usar nuestro servidor para proeger contenido. Hay muchas aplicaciones que soportan RMS pero la más conocida es Microsoft Office. Otras aplicaciones son Exchange, Sharepoint, Visio o Project.
- La versión de un sistema operativo Windows va asociado a una versión de Lockbox. Podemos especificar una versión mínima de manera que bloqueamos las versiones anteriores de sistemas operativos que están asociados a una versión anterior de AD RMS.
Ventajas
- Un nivel adicional de privacidad que impide a un destinatario no autorizado de contenido restringido reenvíe, copie, modifique, imprima, envíe por fax o pegue contenido de uso no autorizado.
- Admitir la expiración de archivos para que los documentos ya no se puedan ver tras un período de tiempo especificado.
- Aplicar directivas corporativas que rigen el uso de contenido dentro de la compañía.
- Un nivel adicional de seguridad que impide a programas malintencionados como troyanos, registradores de pulsaciones de teclas y ciertos tipos de spyware borren, roben, capturen y transmitan contenido. También evita que se pierda o se dañe contenido debido a acciones de virus informáticos.
- Impedir que programas de captura de pantalla de terceros copien contenido restringido.
Estas políticas de exclusión permiten muchas posibilidades de configuración. Creo que este servicio es muy útil a nivel de confidencialidad y seguridad en una empresa. La tecnología avanza a un nivel muy elevado y AD RMS probablemente quede en desuso por la migración de los sistemas a Azure. Mientras tanto habrá un periodo de transición en el que las empresas pueden aprovechar este servicio y es importante conocer su funcionamiento y las posibilidades que ofrece.
Autor: Javier Asenjo Tordesillas
Curso: Microsoft MCSA Windows Server 2016 + Microsoft MCSE Cloud Platform & Infrastructure
Centro: Tajamar
Año académico: 2017-2018
LinkedIn: https://www.linkedin.com/in/javier-asenjo
Otros sitios de interés: