Exchange themablog
RSS
Overzicht van artikelen >
Om het risico te verlagen dat informatie gelekt kan worden heeft Microsoft Information Rights Management (IRM) geïntroduceerd. IRM gebruiken i.c.m. Exchange is al mogelijk vanaf Exchange 2003 maar wat is er nu allemaal veranderd wanneer je het wil gebruiken i.c.m. Exchange 2010?
In dit artikel leg ik uit wat je met IRM kunt doen en wat de mogelijkheden zijn met Exchange 2010.
Met IRM wordt het mogelijk om informatie te beveiligen zodat het lekken van informatie moeilijker wordt gemaakt. Het lekken van informatie kan ernstige gevolgen hebben voor een bedrijf, denk hierbij aan:
Het client gedeelte zit voor een deel verwerkt in het OS en voor een ander deel in de applicatie(s). Windows Vista en 7 bevatten deze client standaard voor Windows XP en Windows 2000 dien je eerst de client te downloaden en te installeren. Wanneer je bijvoorbeeld naar het Office pakket kijkt dan zul je, wanneer ADRMS aanwezig is binnen de Active Directory, onder voorbereiden, XXXXXXXXXX vinden. Hier kan een gebruiker kiezen om zelf de beveiligingsinstellingen in te stellen of dit middels de vooraf gedefinieerde templates te doen. Een beheerder kan er voor kiezen vooraf gedefinieerde templates te maken zodat gebruikers makkelijk documenten kunnen beveiligen met deze templates.
Maar nu zul je je afvragen wat kan ik dan aan een document of e-mail beveiligen? Onderstaand een overzicht met de mogelijkheden:
In Exchange 2010 zijn er echter een aantal nieuwe features om IRM te gebruiken:
Wanneer je alleen van plan bent om interne berichten te beveiligen middels IRM is het uitvoeren van onderstaande commando’s voldoende:
Get-OwaMailboxPolicy | Set-OwaMailboxPolicy –IRMEnabled $true
Get-OwaMailboxPolicy | Set-OwaVirtualDirectory – IRMEnabled $true
Set-IRMConfiguration –OWAEnabled $true
Set-IRMConfiguration –SearchEnabled $true
Set-IRMConfiguration –InternalLicensingEnabled $true
Mocht je een liever alle commando’s in één keer uit willen voeren kopieer dan bovenstaande regels even in Notepad en sla dit op als een PS1 bestand. Wanneer je nu Outlook Web Apps opent zul je zien dat er een extra optie bij is gekomen wanneer je een nieuw bericht maakt:
In bovenstaande afbeelding is te zien dat er een aantal categorieën beschikbaar zijn. Alleen de no restriction en do not forward templates zijn standaard, de overige drie zijn templates heb ik zelf aangemaakt in ADRMS.
Stel dat we dit bericht nu verzenden met de do not forward template geselecteerd wat krijgt een ontvanger dan te zien ?
Wanneer we in de mailbox van de ontvanger kijken met bijvoorbeeld Outlook dan zien we dat het het standaard mail icoontje is veranderd en dat er bovenaan de mail een omschrijving staat van de template.
De template die nu is toegepast zal voorkomen dat deze gebruiker dit mailtje door kan sturen naar andere personen.
In Exchange 2010 is het mogelijk om transport rules automatisch RMS templates toe te laten passen aan de hand van kenmerken van mails. Deze regels kunnen zowel via de Exchange Management Console als Exchange Management Shell aangemaakt worden. Met bijvoorbeeld onderstaand Powershell commando maken we een regel aan:
New-TransportRule -Name "Protect mails with bankaccountnumbers" -SubjectOrBodyMatchesPatterns"\w\w\w\w\w\w\w\w" -ApplyRightsProtectionTemplate "Do Not Forward"
Deze regel zal op elk bericht met daarin een bankrekeningnummer beveiligen met de Do Not Forward template.
Outlook 2010 bevat een nieuwe feature welke het mogelijk maakt voordat het bericht wordt verzonden het bericht automatisch te beveiligen. Outlook maakt hierbij gebruik van een kleine rule engine, deze regels worden opgehaald door de Exchange Web Services (EWS) site te benaderen op de CAS server.
Aan de hand van bijvoorbeeld de afzender en ontvanger wordt een transport rule toegepast welke op zijn beurt weer een RMS template toepast.
Exchange 2010 en Information Rights Management
Geplaatst op 1-2-2010 14:31 door Johan VeldhuisJe hebt de berichten vast weleens gelezen in kranten of op websites: E-mail blijft het grootste digitale middel om bedrijfsgeheimen mee te lekken. Bij 43 procent van de Amerikaanse bedrijven ontstond daardoor een lek in het afgelopen jaar. Daardoor ontsloegen 31 procent van de bedrijven een werknemer. (Bron: nuzakelijk.nl)Om het risico te verlagen dat informatie gelekt kan worden heeft Microsoft Information Rights Management (IRM) geïntroduceerd. IRM gebruiken i.c.m. Exchange is al mogelijk vanaf Exchange 2003 maar wat is er nu allemaal veranderd wanneer je het wil gebruiken i.c.m. Exchange 2010?
In dit artikel leg ik uit wat je met IRM kunt doen en wat de mogelijkheden zijn met Exchange 2010.
Wat is IRM?
| NGN Evenement |
| "Exchange Middag"
op 9 februari
Je kan je hier inschrijven Johan Veldhuis zal hier als 'Ask the Expert' en als spreker aanwezig zijn |
| Leden gratis,-, Niet-leden €75,-
Lid worden kan hier |
- Financiële schade, een bedrijf kan inkomsten mislopen
- Imago beschadiging, een bedrijf kan in diskrediet gebracht worden wanneer verkeerde informatie uitlekt.
- Zakelijke schade, bijvoorbeeld een overname van een concurrent welke vroegtijdig uitlekt.
Het client gedeelte zit voor een deel verwerkt in het OS en voor een ander deel in de applicatie(s). Windows Vista en 7 bevatten deze client standaard voor Windows XP en Windows 2000 dien je eerst de client te downloaden en te installeren. Wanneer je bijvoorbeeld naar het Office pakket kijkt dan zul je, wanneer ADRMS aanwezig is binnen de Active Directory, onder voorbereiden, XXXXXXXXXX vinden. Hier kan een gebruiker kiezen om zelf de beveiligingsinstellingen in te stellen of dit middels de vooraf gedefinieerde templates te doen. Een beheerder kan er voor kiezen vooraf gedefinieerde templates te maken zodat gebruikers makkelijk documenten kunnen beveiligen met deze templates.
Maar nu zul je je afvragen wat kan ik dan aan een document of e-mail beveiligen? Onderstaand een overzicht met de mogelijkheden:
- Doorsturen
- Printen
- Bewerken
- Faxen
- Kopiëren
- Opslaan
Exchange en IRM
Vanaf Exchange 2007 Service Pack 1 is het mogelijk om de prelicensing agent te gebruiken om berichten automatisch te versleutelen. D.m.v. deze prelicensing agent wordt het mogelijk voor gebruikers om versleutelde berichten te openen middels Outlook zonder zich te hoeven authenticeren richting de ADRMS server. Dit maakt het mogelijk om versleutelde berichten ook offline te lezen. Deze agent bevindt zich op elke Hub Transport server binnen de Exchange omgeving maar is in Exchange 2007 standaard uitgeschakeld, in Exchange 2010 is de agent automatisch ingeschakeld.In Exchange 2010 zijn er echter een aantal nieuwe features om IRM te gebruiken:
- IRM ondersteuning voor OWA, dit geeft de mogelijkheid voor gebruikers om berichten ook te beveiligen wanneer berichten worden verstuurd vanuit OWA.
- Protected UM, biedt de mogelijkheid om voicemail berichten welke worden afgeleverd door de Exchange UM rol te beveiligen middels IRM.
- Transport decryption, dit maakt het mogelijk om berichten te ontsleutelen zodat een virusscanner/spam oplossing het bericht kan controleren en dit vervolgens weer beveiligd door kan sturen.
- Journal decryption, het kan zijn dat een bedrijf ervoor kiest om Journaling in te schakelen, dit maakt het natuurlijk wel wat lastiger i.c.m. IRM. In Exchange 2010 is het mogelijk een bericht te versturen naar een Journal box en hier zowel een versleutelde als ontsleutelde versie te bewaren.
- Search decryption, maakt het mogelijk om berichten te ontsleutelen voor content indexing, hiermee wordt het mogelijk om ook een discovery search ook uit te voeren op versleutelde berichten.
- Automatic e-mail protection, deze feature werkt alleen in combinatie met Outlook 2010 en beveiligd een bericht automatisch. De gebruiker zal hiervan op de hoogte worden gebracht middels een melding bovenaan in het scherm.
| Commando | Uitleg |
| Set-OwaMailboxPolicy –IRMEnabled $true | Zorgt ervoor dat IRM ingeschakeld wordt in de OWA Mailbox policy. Het is bijvoorbeeld mogelijk dit voor bepaalde gebruikers uit te schakelen en slechts voor een selecte groep gebruikers beschikbaar te stellen. |
| Set-OwaVirtualDirectory – IRMEnabled $true | Zorgt ervoor dat IRM gebruik in OWA wordt toegelaten. |
| Set-IRMConfiguration –OWAEnabled $true | Schakelt IRM gebruik voor OWA in, standaard is deze optie ingeschakeld. |
| Set-IRMConfiguration –SearchEnabled $true | Wanneer dit commando wordt gebruikt wordt toegestaan dat IRM beveiligde berichten wel doorzocht kunnen worden m.b.v. een discovery |
| Set-IRMConfiguration – TransportDecryptionSetting $true | Met deze waarde kan de configuratie van transport decryptie ingesteld
worden:
|
| Set-IRMConfiguration – JournalDecryptionEnabled $true | Hiermee kan ingesteld worden of er een niet geëncrypte versie naast de encrypte versie wordt opgeslagen in de journal mailbox. |
| Set-IRMConfiguration –InternalLicensingEnabled $true | Schakelt IRM gebruik in voor interne berichten. Standaard zal IRM namelijk niks doen met berichen welke naar gebruikers binnen de Exchange omgeving worden verstuurd. |
| Set-IRMConfiguration – ExternalLicensingEnabled $true | Schakelt IRM gebruik in voor externe berichten. Standaard worden berichten welke naar gebruikers buiten de Exchange omgeving worden verstuurd niet versleuteld. |
Wanneer je alleen van plan bent om interne berichten te beveiligen middels IRM is het uitvoeren van onderstaande commando’s voldoende:
Get-OwaMailboxPolicy | Set-OwaMailboxPolicy –IRMEnabled $true
Get-OwaMailboxPolicy | Set-OwaVirtualDirectory – IRMEnabled $true
Set-IRMConfiguration –OWAEnabled $true
Set-IRMConfiguration –SearchEnabled $true
Set-IRMConfiguration –InternalLicensingEnabled $true
Mocht je een liever alle commando’s in één keer uit willen voeren kopieer dan bovenstaande regels even in Notepad en sla dit op als een PS1 bestand. Wanneer je nu Outlook Web Apps opent zul je zien dat er een extra optie bij is gekomen wanneer je een nieuw bericht maakt:
In bovenstaande afbeelding is te zien dat er een aantal categorieën beschikbaar zijn. Alleen de no restriction en do not forward templates zijn standaard, de overige drie zijn templates heb ik zelf aangemaakt in ADRMS.
Stel dat we dit bericht nu verzenden met de do not forward template geselecteerd wat krijgt een ontvanger dan te zien ?
Wanneer we in de mailbox van de ontvanger kijken met bijvoorbeeld Outlook dan zien we dat het het standaard mail icoontje is veranderd en dat er bovenaan de mail een omschrijving staat van de template.
De template die nu is toegepast zal voorkomen dat deze gebruiker dit mailtje door kan sturen naar andere personen.
In Exchange 2010 is het mogelijk om transport rules automatisch RMS templates toe te laten passen aan de hand van kenmerken van mails. Deze regels kunnen zowel via de Exchange Management Console als Exchange Management Shell aangemaakt worden. Met bijvoorbeeld onderstaand Powershell commando maken we een regel aan:
New-TransportRule -Name "Protect mails with bankaccountnumbers" -SubjectOrBodyMatchesPatterns"\w\w\w\w\w\w\w\w" -ApplyRightsProtectionTemplate "Do Not Forward"
Deze regel zal op elk bericht met daarin een bankrekeningnummer beveiligen met de Do Not Forward template.
Outlook 2010 bevat een nieuwe feature welke het mogelijk maakt voordat het bericht wordt verzonden het bericht automatisch te beveiligen. Outlook maakt hierbij gebruik van een kleine rule engine, deze regels worden opgehaald door de Exchange Web Services (EWS) site te benaderen op de CAS server.
Aan de hand van bijvoorbeeld de afzender en ontvanger wordt een transport rule toegepast welke op zijn beurt weer een RMS template toepast.
Wel nodig?
Veel bedrijven en mensen zullen zich afvragen of het wel nodig is om dit soort beveiligingsmaatregelen te nemen. In Amerika zie je dat ADRMS al veel meer in gebruik is dan in Nederland. Hoogstwaarschijnlijk komt dat door alle regelgeving die daar geldt bijvoorbeeld Sarbanes Oxley. Zolang dit soort regels in Nederland nog niet van toepassing zijn is de vraag maar of je dit in Nederland veel tegen zal komen. Daarnaast zullen naast de technische maatregelen die je treft ook organisatorische maatregelen genomen moeten worden. Het management van het bedrijf moet namelijk wel achter deze maatregelen staan. Als dit niet het geval is dan heeft het inzetten van dit soort oplossingen geen/weinig effekt.
Reacties
Reageer op dit artikel |
Jetze Mellema is Infrastructure Consultant bij 
Peter Noorderijk is Infrastructuur Consultant bij 
Johan Veldhuis is Technical Consultant bij 
Kay Sellenrode is technical consultant bij