安裝Exchange Server 2013信息權限保護（IRM）

1.關於信息權限管理

信息工做人員天天都會使用電子郵件交換敏感信息，例如財務報告和數據、法律合同、機密產品信息、銷售報告和規劃、競爭分析、研究和專利信息，以及客戶和員工信息。由於用戶如今隨處均可以訪問他們的電子郵件，因此郵箱已成爲包含大量潛在敏感信息的存儲庫。所以，信息泄露可能對組織構成嚴重威脅。爲防止信息泄露，Microsoft Exchange Server 2013 包括了信息權限管理 (IRM) 功能，此功能可對電子郵件和附件提供持久聯機和脫機保護。

IRM功能出如今Exchange 2010種，在Exchange 2013的IRM中增強了加密模式，可兼容加密模式 2，既AD RMS加密模式，該模式支持強大的加密功能，容許爲 RSA 使用 2048 位密鑰併爲 SHA-1 使用 256 位密鑰。還支持使用SHA-2 哈希算法。

在 Exchange Server 2013 中，可以使用信息權限管理 (IRM) 功能對郵件和附件應用持久保護。

經過與RMS的集成，Exchange郵件用戶能夠控制收件人對電子郵件擁有的權限，容許或限制某些收件人操做，例如向其餘收件人轉發郵件、打印郵件或附件，或者是經過複製和粘貼提取郵件或附件內容。

IRM 能夠實現：

1. 防止受 IRM 保護的內容的受權收件人轉發、修改、打印、傳真、保存或剪切和粘貼該內容；

2. 用與郵件相同的保護級別保護所支持的附件文件格式；

3. 支持受 IRM 保護的郵件和附件的過時，使其在指定時間段以後，沒法再進行查看；

4. 防止使用 Windows 中的截圖工具複製受 IRM 保護的內容。

可是，IRM 沒法防止：

1. 第三方屏幕捕獲程序；

2. 使用照相機等圖像處理設備對顯示在屏幕上的受 IRM 保護的內容進行照相；

3. 用戶記住或手動抄錄信息。

IRM信息權限保護功能是經過AD RMS來實現的，因此須要先安裝AD RMS服務。在安裝以前須要先準備一個RMS服務帳戶，該帳戶不能是Domain Admin，爲Domain User便可，須要爲服務器本地Administrators成員。

2.部署環境準備

DC：

系統：windows server 2012 Standard

安裝介質：SW_DVD5_Win_Svr_Std_and_DataCtr_2012_64Bit_ChnSimp_Core_MLF_X18-27580

IP：192.168.50.10

Exchange:

系統：windows server 2012 Standard

安裝介質：SW_DVD5_Exchange_Svr_2013_MultiLang_Std_Ent_MLF_X18-54275

IP:192.168.50.20

3.部署過程

1. 登錄到DC服務器，打開服務器管理器，添加Active Directory Rights management services角色。下一步。      

   
   

2. 選擇功能，默認便可。下一步。      

   
   

3. AD RMS角色服務，在這裏由於不須要聯合身份認證，默認不變。下一步。      

   
   

4. 進行安裝，等待完成。      

   
   

5. 完成角色添加後，須要打開儀表板上方的旗幟來完成AD RMS的配置。以下圖。      

   
   

6. 選擇建立新的AD RMS 根集羣。下一步。      

   
   

7. 配置數據庫。選擇Windows 內部數據庫。下一步。      

   
   

8. 選擇服務帳戶，須要使用一個domain user用戶，該用戶須要爲本地administrators成員。      

   
   

9. 選擇加密模式 2。下一步      

   
   

10. 默認下一步。      

    
    

11. 建立 AD RMS集羣密鑰密碼。      

    
    

12. 選擇集羣網站。      

    
    

13. 指定集羣地址，這裏選擇SSL加密的地址。      

    
    

14. 選擇域證書。      

    
    

15. 默認，下一步。      

    
    

16. 註冊SCP站點。      

    
    

17. 進行安裝，等待安裝完成即完成了RMS的配置，須要註銷後從新登錄。      

    
    

18. 從新登錄後，打開AD RMS工具，就可看到以下的界面。