Crear una Exclusion Policy para AD RMS

Active Directory Rights Management Services

Active Directory Rights Management Services  o AD RMS es un servicio de rol que se encuentra disponible desde la versión Windows Server 2008. En Windows Server 2016 no ha recibido actualización debido a que su uso va a ser sustituido por Azure Information Protection.

AD RMS permite a los usuarios del dominio establecer permisos de acceso a documentos, libros y presentaciones a través de las directivas de IRM. Esto ayuda a impedir que personas no autorizadas impriman, reenvíen o copien la información confidencial. Una vez se ha restringido el permiso para un archivo mediante IRM, se aplican las restricciones de acceso y uso sin importar dónde se encuentre la información. El permiso de acceso de un archivo se almacena en él mismo.

Además, este servicio de rol se puede integrar con servicios de federación. Esto permite a las identidades federadas consumir contenido protegido al usar Active Directory.

Exclusions Policy en AD RMS

Las políticas de exclusión nos permiten bloquear el uso de AD RMS a usuarios, aplicaciones o sistemas operativos:

  • Los usuarios del dominio que tienen correo electónico reciben un certificado de uso del servidor AD RMS llamado RAC cuando inician sesión en una máquina confiable del dominio. Podemos bloquear a usuarios añadiendo su RAC en la lista de exclusiones.
  • Podemos bloquear versiones inferiores de aplicaciones para que no puedan usar nuestro servidor para proeger contenido. Hay muchas aplicaciones que soportan RMS pero la más conocida es Microsoft Office. Otras aplicaciones son Exchange, Sharepoint, Visio o Project.
  • La versión de un sistema operativo Windows va asociado a una versión de Lockbox. Podemos especificar una versión mínima de manera que bloqueamos las versiones anteriores de sistemas operativos que están asociados a una versión anterior de AD RMS.

AD RMS

Ventajas

  • Un nivel adicional de privacidad que impide a un destinatario no autorizado de contenido restringido reenvíe, copie, modifique, imprima, envíe por fax o pegue contenido de uso no autorizado.
  • Admitir la expiración de archivos para que los documentos ya no se puedan ver tras un período de tiempo especificado.
  • Aplicar directivas corporativas que rigen el uso de contenido dentro de la compañía.
  • Un nivel adicional de seguridad que impide a programas malintencionados como troyanos, registradores de pulsaciones de teclas y ciertos tipos de spyware borren, roben, capturen y transmitan contenido. También evita que se pierda o se dañe contenido debido a acciones de virus informáticos.
  • Impedir que programas de captura de pantalla de terceros copien contenido restringido.

Estas políticas de exclusión permiten muchas posibilidades de configuración. Creo que este servicio es muy útil a nivel de confidencialidad y seguridad en una empresa. La tecnología avanza a un nivel muy elevado y AD RMS probablemente quede en desuso por la migración de los sistemas a Azure. Mientras tanto habrá un periodo de transición en el que las empresas pueden aprovechar este servicio y es importante conocer su funcionamiento y las posibilidades que ofrece.

 

Autor: Javier Asenjo Tordesillas

Curso: Microsoft MCSA Windows Server 2016 + Microsoft MCSE Cloud Platform & Infrastructure

Centro: Tajamar

Año académico: 2017-2018

LinkedIn: https://www.linkedin.com/in/javier-asenjo

Otros sitios de interés:

https://techclub.tajamar.es/rights-policy-templates-rms

Leave a Comment

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.