Применимо к: Exchange Server 2010 SP1

Последнее изменение раздела: 2010-06-28

В Microsoft Exchange Server 2010, Microsoft Outlook 2010 и Microsoft Office Outlook Web App для защиты сообщений используется служба управления правами на доступ к данным (IRM). Можно создавать правила защиты Outlook, чтобы автоматически применять защиту службы управления правами на доступ к данным к сообщениям перед их отправкой из клиента Outlook 2010. Можно также создавать правила защиты транспорта, чтобы применять защиту службы управления правами на доступ к данным к передаваемым сообщениям, которые соответствуют условиям правила. Расшифровка транспорта позволяет получить доступ к содержимому сообщений, защищенных с помощью службы IRM, чтобы обеспечить соблюдение политик обмена сообщениями.

Необходимы сведения о задачах управления, связанных с управлением правами на доступ к данным (IRM)? См. раздел Управление защитой прав.

Ограничения других решений шифрования

Если в организации необходимо обеспечить защиту конфиденциальных сведений, в том числе сведений о важных бизнес-задачах и персональных данных, используйте функцию шифрования сообщений и вложений электронной почты. Существуют различные решения шифрования электронной почты, например S/MIME. Подобные решения шифрования применяются в большей или меньшей степени в различных типах организаций. Однако такие решения представляют следующие проблемы.

  • Невозможность применять политики обмена сообщениями   В организациях действуют требования законодательства, согласно которым необходимо проверять содержимое сообщений на соответствие политикам обмена сообщениями. Тем не менее, шифрование сообщений с помощью большинства клиентских решений шифрования, в том числе S/MIME, не позволяет проверять содержимое сообщений на сервере. Без проверки содержимого в организации невозможно будет определить соответствие всех отправленных и полученных ее пользователями сообщений политикам обмена сообщениями. Например, в соответствии с требованием закона настроено правило транспорта, предписывающее определение персональных данных, например номера социального страхования, и автоматическое применение заявления об отказе к сообщению. Если сообщение зашифровано, агент правил транспорта на транспортном сервере-концентраторе не сможет получить доступ к содержимому сообщения и применить заявление об отказе. Это приводит к нарушению политики.

  • Уменьшение уровня защиты   Антивирусное программное обеспечение не позволяет проверять содержимое зашифрованных сообщений, в результате чего организация становится более уязвимой для атак со стороны вредоносного ПО, например вирусов и червей. Обычно большинство пользователей доверяет содержимому зашифрованных сообщений, в результате чего повышается вероятность распространения вирусов в организации. Например, настроено правило защиты Outlook, предписывающее автоматическое применение защиты службы управления правами на доступ к данным ко всем сообщениям, отправляемым по списку рассылки «Все сотрудники» с шаблоном службы управления правами «Служебное, конфиденциальное». Рабочая станция пользователя заражена вирусом, который распространяется в результате автоматического использования параметра «Ответить всем» для ответа на сообщения. Если сообщение, содержащее вирус, зашифровано, антивирусная программа не сможет проверить это сообщение.

  • Влияние на пользовательские агенты транспорта   Организации обычно развертывают пользовательские агенты транспорта в различных целях, например для выполнения требований дополнительной обработки для обеспечения соответствия, безопасности или маршрутизации настраиваемых сообщений. Пользовательские агенты транспорта, развертываемые организациями для проверки или изменения сообщений, не позволяют обрабатывать зашифрованные сообщения. Если развернутые в организации пользовательские агенты транспорта не позволяют получать доступ к содержимому сообщения, шифрование сообщений может препятствовать достижению организацией целей, для которых эти пользовательские агенты развернуты.

Использование средства расшифровки транспорта для зашифрованного содержимого

В Exchange 2010 служба управления правами на доступ к данным позволяет решить эти проблемы. Если сообщения защищены с помощью службы управления правами на доступ к данным, служба расшифровки транспорта позволяет расшифровать их при передаче. Такие сообщения можно расшифровать с помощью агента расшифровки, который является сфокусированным на проверке соответствия агентом транспорта.

Примечание.
Агент расшифровки встроен в Exchange 2010. Встроенные агенты не включаются в список агентов, возвращаемых командлетом Get-TransportAgent. Дополнительные сведения см. в разделе Общие сведения об агентах транспорта.

Агент расшифровки позволяет расшифровать следующие типы сообщений, защищенных с помощью службы управления правами на доступ к данным.

  1. Сообщения, для которых пользователь Outlook Web App установил защиту с помощью службы управления правами на доступ к данным.

  2. Сообщения, для которых пользователь Outlook 2010 установил защиту с помощью службы управления правами на доступ к данным.

  3. Сообщения, для которых защита с помощью службы управления правами на доступ к данным автоматически установлена в Outlook 2010 с помощью правил защиты Outlook.

Важно!
Агент расшифровки позволяет расшифровывать только сообщения, для которых защита с помощью службы управления правами на доступ к данным установлена в организации сервером службы управления правами Active Directory (AD RMS).
Примечание.
Агент расшифровки может сохранять сообщения, защищенные при передаче с помощью правил защиты транспорта, в зашифрованном виде. Агент расшифровки запускается для событий транспорта OnEndOfData и OnSubmit. Правила защиты транспорта применяются агентом правил транспорта, который запускается для события OnRoutedMessage, а защита с помощью службы управления правами на доступ к данным применяется агентом шифрования для события OnRoutedMessage. Дополнительные сведения об агентах транспорта и список событий SMTP, для которых они зарегистрированы, см. в разделе Общие сведения об агентах транспорта.

Расшифровка транспорта выполняется на первом в лесу Служба каталогов Active Directory транспортном сервере-концентраторе Exchange 2010, обрабатывающем сообщение. Если сообщение пересылается на транспортный сервер-концентратор в другом лесу Служба каталогов Active Directory, оно повторно расшифровывается. После расшифровки незашифрованное содержимое доступно другим агентам транспорта на этом сервере. Например, агент правил транспорта на транспортном сервере-концентраторе может проверить содержимое сообщения и применить к нему правила транспорта. К незашифрованному сообщению можно применить любые действия, указанные в правиле, например применить заявление об отказе или изменить сообщение другим способом. Сторонние агенты транспорта, например антивирусные программы, могут проверять сообщение на наличие вирусов и вредоносного содержимого. После проверки сообщения другими агентами транспорта и возможного его изменения выполняется повторное шифрование этого сообщения с помощью тех прав пользователя, которые существовали до расшифровки сообщения агентом расшифровки. Это сообщение повторно не расшифровывается другими транспортными серверами-концентраторами в организации.

Для отправки сообщений, расшифрованных агентом расшифровки, с транспортного сервера-концентратора необходимо их повторное шифрование. Если при расшифровке или шифровании сообщения возвращается сообщение о временной ошибке, транспортный сервер-концентратор повторно выполняет операцию. После третьего сбоя ошибка будет рассматриваться как постоянная. При возникновении постоянной ошибки, также если ошибка становится постоянной после повторных выполнений операции, транспортный сервер-концентратор обрабатывает сообщения следующим образом.

  • Если постоянная ошибка происходит во время расшифровки, зашифрованное сообщение отправляется с отчетом о недоставке (отчет о недоставке отправляется, только если для расшифровки транспорта установлено значение Mandatory). Дополнительные сведения о параметрах конфигурации, доступных для расшифровки транспорта, см. в подразделе Настройка расшифровки транспорта далее в этом разделе.

  • Если постоянная ошибка происходит во время повторного шифрования, отчет о недоставке всегда отправляется без расшифрованного сообщения.

Важно!
Все пользовательские или сторонние агенты, установленные на транспортном сервере-концентраторе, получают доступ к расшифрованному сообщению. Необходимо учитывать поведение таких агентов транспорта. Рекомендуется проверить работу всех пользовательских и сторонних агентов транспорта перед их развертыванием в рабочей среде.

Если после расшифровки сообщения агентом расшифровки агент транспорта выполняет определенное действие, например создает новое сообщение и добавляет (вкладывает) исходное сообщение, защита будет применяться к новому сообщению. Исходное сообщение, которое теперь сохранено в виде вложения в новом сообщении, повторно не шифруется. Получатель такого сообщения может открыть вложенное сообщение и выполнить по отношению к нему определенное действие, например переслать или ответить, независимо от наличия прав.

Настройка расшифровки транспорта

Службу расшифровки транспорта можно настроить с помощью командлета Set-IRMConfiguration в командной консоли Exchange. Тем не менее, чтобы настроить расшифровку транспорта, необходимо предоставить серверам Exchange 2010 разрешение на расшифровку содержимого, защищенного сервером AD RMS организации. Для этого необходимо добавить почтовый ящик федеративной доставки в группу суперпользователей, настроенную в кластере AD RMS организации.

Важно!
В развертываниях перекрестного леса AD RMS, в которых кластер AD RMS развернут в каждом лесу, необходимо добавить почтовый ящик федеративной доставки в группу суперпользователей в кластер AD RMS каждого леса, чтобы разрешить транспортному серверу-концентратору Exchange 2010 расшифровывать сообщения, защищенные в каждом кластере AD RMS.

Дополнительные сведения см. в разделе Добавление почтового ящика федеративной доставки в группу суперпользователей службы управления правами Active Directory.

В Exchange 2010 существует два параметра включения расшифровки транспорта.

  • Mandatory   Если для расшифровки транспорта установлен параметр Mandatory, агент расшифровки отклоняет сообщение и возвращает отправителю отчет о недоставке при возникновении постоянной ошибки во время расшифровки сообщения. Если в организации запрещается доставка сообщения при невозможности его успешной расшифровки, а также выполняется проверка антивирусными программами и применяются правила транспорта, необходимо выбрать этот параметр.

  • Optional   Если для расшифровки транспорта установлен параметр «Optional», агент расшифровки использует лучший метод расшифровки. Сообщения, которые можно расшифровать, расшифровываются, но сообщения, во время расшифровки которых произошла постоянная ошибка, также доставляются. Если в организации приоритет в определении правил доставки сообщений имеет политика обмена сообщениями, необходимо использовать этот параметр.

Дополнительные сведения о настройке расшифровки транспорта см. в разделе Включение и отключение расшифровки транспорта.