Comienza la cuenta atrás para Keyfactor Tech Days | ¡Asegura tu plaza hoy mismo!

  • Inicio
  • Blog
  • El mayor reto de la implantación de AD RMS

El mayor reto de la implantación de AD RMS

El mayor reto en la implementación de AD RMS no es poner en marcha la infraestructura o conseguir que la configuración del cliente, los archivos y la aplicación se desplieguen a todos los usuarios. No se trata de hacer que RMS esté disponible a través de su cortafuegos o de conseguir que funcione con su servidor SharePoint. No, el mayor reto es conseguir que los usuarios utilicen realmente RMS para proteger los mensajes de correo electrónico y los documentos. Para los usuarios es muy sencillo aplicar las protecciones de RMS a un correo electrónico o a un documento (sólo hay que hacer un par de clics), pero es difícil enseñarles a acordarse de dar ese paso adicional. Por suerte, existen soluciones que le ayudarán a automatizar las protecciones, para que no dependa totalmente de sus usuarios a la hora de dar ese paso extra.

Exchange 2010

Microsoft Exchange 2010 introdujo dos funciones que le ayudan a aplicar protecciones al contenido: las protecciones RMS en las reglas de transporte de concentradores de Exchange y las reglas de protección de Outlook. De ellas, las reglas de transporte de concentrador son las más versátiles. Imagine cualquier cosa que pueda hacer con una regla de transporte de concentrador de Exchange -seleccionar un mensaje de correo electrónico basándose en palabras o texto coincidente en la línea de asunto o el cuerpo, basándose en el remitente o destinatario(s), basándose en archivos adjuntos, etc.- y aplicarle RMS. Por ejemplo, puede crear una regla que busque en el cuerpo de cada mensaje de correo electrónico enviado en su organización algo que se parezca a un número de la seguridad social, y cuando se encuentre un correo electrónico que parezca tener un número de la seguridad social, la regla le aplicará una plantilla de política de derechos para proteger ese contenido potencialmente sensible.

Sin embargo, lo que hay que recordar sobre las reglas de transporte de concentradores es que no se aplican hasta que un mensaje de correo electrónico llega al servidor Exchange para su procesamiento. Por lo tanto, el usuario redacta un mensaje de correo electrónico con contenido confidencial, como un número de la seguridad social, y pulsa el botón de envío sin acordarse de aplicar RMS al mensaje. Ese mensaje de correo electrónico viaja sin cifrar desde el escritorio del usuario hasta el servidor Exchange. En el servidor Exchange, la regla de transporte del concentrador se aplica al mensaje y, a continuación, entre el servidor Exchange y el buzón del destinatario, el mensaje de correo electrónico ya está cifrado y protegido.

Por otro lado, las reglas de protección de Outlook protegen el contenido de extremo a extremo. Las reglas de protección de Outlook se definen en el equipo cliente y, cuando un usuario redacta un mensaje de correo electrónico que coincide con una regla de protección, las protecciones de RMS se aplican automáticamente a ese mensaje de correo electrónico antes de que el usuario pulse el botón de envío, lo que hace que el mensaje de correo electrónico esté protegido y cifrado durante todo el trayecto hasta el destinatario. El inconveniente de las reglas de protección de Outlook es que no ofrecen tantas opciones de coincidencia de mensajes de correo electrónico como las reglas de transporte del concentrador. Las principales opciones de correspondencia son quiénes son los destinatarios y el departamento al que pertenece el remitente. Las reglas de protección de Outlook se configuran desde la línea command mediante comandos de PowerShell, en lugar de a través de una interfaz gráfica de usuario fácil de usar. Las reglas de protección de Outlook sólo se admiten en Outlook 2010 que funciona con Exchange 2010.

Para más información, véase:

Reglas de transporte de Exchange Hub
Reglas de protección de Outlook

SharePoint 2007 y 2010

Tanto Microsoft Office SharePoint Server (MOSS) 2007 como Microsoft SharePoint 2010 incluyen integración con AD RMS para automatizar la protección de los documentos almacenados en una biblioteca de documentos de SharePoint. La integración de AD RMS con SharePoint está diseñada para permitir que los documentos se almacenen en SharePoint en un estado sin cifrar, para soportar la indexación y facilitar la copia de seguridad y la recuperación. Las protecciones RMS se aplican automáticamente a un documento almacenado en una biblioteca de documentos protegida en el momento en que el documento se abre o se descarga de la biblioteca de documentos.

AD RMS en SharePoint funciona en conjunción con la estructura normal de permisos de SharePoint, por lo que un usuario al que se le concedan permisos de contribución sobre una biblioteca de documentos tendrá permisos de edición sobre un documento protegido por RMS extraído de esa biblioteca y un usuario al que se le concedan permisos de lectura sobre una biblioteca de documentos tendrá permisos de sólo lectura sobre un documento protegido por RMS extraído de esa biblioteca. Un usuario con permisos de control total sobre una biblioteca de documentos tendrá control total sobre un documento protegido por RMS extraído de esa biblioteca, incluidos los permisos para eliminar las protecciones RMS del archivo.

SharePoint no utiliza plantillas de políticas de derechos AD RMS. En su lugar, los controles de políticas de derechos se aplican individualmente en cada biblioteca de documentos.

En SharePoint 2007, se podía cargar un documento que ya estuviera protegido por derechos en una biblioteca de documentos habilitada para RMS. Si lo hacía, viviría en esa biblioteca de documentos en un estado cifrado y conservaría las protecciones originales aplicadas al documento. No heredaría los permisos asignados a la biblioteca de documentos. SharePoint 2010 ha añadido la opción de denegar la carga de documentos que ya están protegidos por derechos, lo que le permite controlar si se permitirá que cualquier documento viva en SharePoint en un estado cifrado. Si desactiva la función que prohíbe la carga de contenido previamente protegido con derechos en SharePoint 2010, los documentos que ya estén protegidos con RMS antes de cargarse en esta versión de SharePoint tampoco heredarán los permisos asignados a la biblioteca de documentos.

Herramienta de protección masiva RMS e infraestructura de clasificación de archivos

La herramienta de protección masiva RMS es una herramienta de línea command que le permite aplicar protecciones RMS a múltiples documentos que se encuentran en un sistema de archivos. También permite eliminar protecciones RMS en bloque. La herramienta puede utilizarse en un script para, por ejemplo, aplicar regularmente protecciones RMS a todos los documentos Word de un directorio determinado en un servidor de archivos.

La función Infraestructura de clasificación de archivos se añadió en Windows Server 2008 R2. Esta función le permite automatizar la clasificación de documentos que se encuentran en un servidor de archivos basándose, por ejemplo, en palabras clave de los documentos. Utilizada junto con la herramienta de protección masiva RMS, se puede utilizar para automatizar la aplicación de las protecciones RMS a los documentos que coincidan con la(s) regla(s) de clasificación.

Productos de terceros

También existen en el mercado productos de terceros que ayudan a automatizar la aplicación de las protecciones RMS. Por ejemplo, TITUS ofrece su paquete de productos de clasificación que puede, entre otras cosas, pedir a un usuario al enviar un mensaje de correo electrónico o guardar un documento que aplique una clasificación al contenido, y algunos o todos los niveles de clasificación pueden asociarse con plantillas de políticas de derechos RMS.