Exchange Server 2013信息权限保护（IRM）

1.关于信息权限管理

信息工作人员每天都会使用电子邮件交换敏感信息，例如财务报告和数据、法律合同、机密产品信息、销售报告和规划、竞争分析、研究和专利信息，以及客户和员工信息。因为用户现在随处都可以访问他们的电子邮件，所以邮箱已成为包含大量潜在敏感信息的存储库。因此，信息泄露可能对组织构成严重威胁。为防止信息泄露，Microsoft Exchange Server 2013 包括了信息权限管理 (IRM) 功能，此功能可对电子邮件和附件提供持久联机和脱机保护。

IRM功能出现在Exchange 2010种，在Exchange 2013的IRM中加强了加密模式，可兼容加密模式 2，既AD RMS加密模式，该模式支持强大的加密功能，允许为 RSA 使用 2048 位密钥并为 SHA-1 使用 256 位密钥。还支持使用SHA-2 哈希算法。

在 Exchange Server 2013 中，可使用信息权限管理 (IRM) 功能对邮件和附件应用持久保护。

通过与RMS的集成，Exchange邮件用户可以控制收件人对电子邮件拥有的权限，允许或限制某些收件人操作，例如向其他收件人转发邮件、打印邮件或附件，或者是通过复制和粘贴提取邮件或附件内容。

IRM 可以实现：

1. 防止受 IRM 保护的内容的授权收件人转发、修改、打印、传真、保存或剪切和粘贴该内容；
2. 用与邮件相同的保护级别保护所支持的附件文件格式；
3. 支持受 IRM 保护的邮件和附件的过期，使其在指定时间段之后，无法再进行查看；
4. 防止使用 Windows 中的截图工具复制受 IRM 保护的内容。

但是，IRM 无法防止：

1. 第三方屏幕捕获程序；
2. 使用照相机等图像处理设备对显示在屏幕上的受 IRM 保护的内容进行照相；
3. 用户记住或手动抄录信息。

IRM信息权限保护功能是通过AD RMS来实现的，所以需要先安装AD RMS服务。在安装之前需要先准备一个RMS服务账户，该账户不能是Domain Admin，为Domain User即可，需要为服务器本地Administrators成员。

2.部署环境准备

DC：

系统：windows server 2012 Standard

安装介质：SW_DVD5_Win_Svr_Std_and_DataCtr_2012_64Bit_ChnSimp_Core_MLF_X18-27580

IP：192.168.50.10

Exchange:

系统：windows server 2012 Standard

安装介质：SW_DVD5_Exchange_Svr_2013_MultiLang_Std_Ent_MLF_X18-54275

IP:192.168.50.20

3.部署过程

1. 登陆到DC服务器，打开服务器管理器，添加Active Directory Rights management services角色。下一步。

   

2. 选择功能，默认即可。下一步。

   

3. AD RMS角色服务，在这里因为不需要联合身份认证，默认不变。下一步。

   

4. 进行安装，等待完成。

   

5. 完成角色添加后，需要打开仪表板上方的旗帜来完成AD RMS的配置。如下图。

   

6. 选择创建新的AD RMS 根集群。下一步。

   

7. 配置数据库。选择Windows 内部数据库。下一步。

   

8. 选择服务账户，需要使用一个domain user用户，该用户需要为本地administrators成员。

   

9. 选择加密模式 2。下一步

   

10. 默认下一步。

    

11. 创建 AD RMS集群密钥密码。

    

12. 选择集群网站。

    

13. 指定集群地址，这里选择SSL加密的地址。

    

14. 选择域证书。

    

15. 默认，下一步。

    

16. 注册SCP站点。

    

17. 进行安装，等待安装完成即完成了RMS的配置，需要注销后重新登陆。

    

18. 重新登陆后，打开AD RMS工具，就可看到如下的界面。