Compartilhar via

Noções Básicas Sobre o Gerenciamento de Direitos de Informação

  • Artigo

Aplica-se a: Exchange Server 2010

Tópico modificado em: 2010-02-01

Todos os dias, funcionários que lidam com informações usam emails para trocar informações importantes, como relatórios e dados financeiros, contratos, informações confidenciais de produtos, relatórios e projeções de vendas, análises da concorrência, informações de pesquisas e patentes e informações sobre clientes e empregados. Como as pessoas podem acessar seus emails de praticamente qualquer lugar, as caixas de correio se transformaram em repositórios contendo grandes quantidades de informações potencialmente confidenciais. Como resultado, o vazamento de informações representa uma séria ameaça para a maioria das organizações. Para evitar o vazamento de informações, o Exchange 2010 inclui recursos de Gerenciamento de Direitos de Informação (IRM) que oferecem proteção persistente online e offline de mensagens e anexos de email.

Sumário

O que é o vazamento de informações?

Soluções tradicionais para vazamento de informações

Gerenciamento de Direitos de Informação no Exchange 2010

Modelos de diretiva de direitos do AD RMS

Aplicar proteção IRM a mensagens

Descriptografando mensagens protegidas com IRM para impor diretivas de mensagens

Pré-licenciamento

Agentes IRM

Requisitos de IRM

Configurando e testando o IRM

O que é o vazamento de informações?

O vazamento de informações potencialmente confidenciais pode ser oneroso para uma organização em várias frentes e ter um amplo impacto na organização e em seus negócios, funcionários, clientes e parceiros. Além disso, regulamentos locais e industriais controlam, cada vez mais, como certos tipos de informações são armazenadas, transmitidas e protegidas. Para não violar as regulamentações aplicáveis, as organizações devem se proteger contra vazamentos intencionais, inadvertidos e acidentais de informações.

Estas são algumas conseqüências do vazamento de informações:

  • Danos financeiros   Dependendo do tamanho, setor e regulamentações locais, o vazamento de informações pode também resultar em impactos financeiros, devido a perdas de negócios, ou multas e punições impostas por cortes e autoridades de regulamentação. As companhias de capital aberto também se arriscam a perder valor no mercado, devido à cobertura negativa na mídia.
  • Danos à imagem e credibilidade   Um vazamento de informações pode prejudicar a imagem e a credibilidade que uma organização tem diante dos seus clientes. Mais do que isso, dependendo da natureza das informações, os emails vazados podem ser uma fonte de embaraços para o remetente e a organização.
  • Perda de vantagem competitiva   Um dos maiores perigos do vazamento de informações é a perda de vantagens competitivas nos negócios. Se informações sobre planos estratégicos ou fusões e aquisições forem divulgadas, pode haver perda de lucros ou capitalização no mercado. Dentre os outros riscos, estão a perda de dados de pesquisas ou análises e outras propriedades intelectuais.

Soluções tradicionais para vazamento de informações

Apesar de algumas soluções tradicionais para vazamento de informações poderem proteger o acesso inicial a dados, elas frequentemente não oferecem proteção constante. Por exemplo, a tabela a seguir lista algumas das soluções tradicionais e suas limitações

Solução Descrição Limitações

Protocolo TLS

O TLS é um protocolo-padrão de Internet usado para proteger as comunicações em uma rede, usando criptografia. Em um ambiente de mensagens, o TLS é usado para proteger as comunicações entre servidores e/ou entre clientes e servidores.

Por padrão, o Exchange 2010 usa o TLS para todas as transferências de mensagens internas. O TLS Oportunista também é habilitado, por padrão, para sessões com hosts externos, ou seja, o Exchange tenta primeiro usar a criptografia TLS para a sessão, mas, se não for possível estabelecer uma conexão TLS com o servidor de destino, o Exchange usa SMTP. Você também pode configurar a Segurança do Domínio para forçar o TLS mútuo com organizações externas. Para mais informações, consulte Noções Básicas Sobre Segurança de Domínio.

O TLS protege apenas a sessão SMTP entre dois hosts SMTP. Em outras palavras, ele protege as informações em movimento. Ele não fornece proteção no nível de mensagem ou para informações em "repouso". A menos que as mensagens sejam criptografadas com outro método, os emails nas caixas de correio de destinatários e remetentes permanecem desprotegidos. Para emails enviados fora da organização, você pode exigir o TLS somente para o primeiro salto. Depois que um host SMTP remoto fora da sua organização receber a mensagem, ele pode retransmiti-la para outro host SMTP em uma sessão sem criptografia. Como o TLS é uma tecnologia de camada de transporte, ela não oferece controle sobre o que o destinatário faz com a mensagem.

Criptografia de email

Os usuários podem usar tecnologias como S/MIME para criptografar mensagens.

Eles decidem se uma mensagem é criptografada. Isso também causa mais gastos com uma implantação de infraestrutura de chave pública (PKI), com a consequente sobrecarga de gerenciamento de certificados para usuários e proteção de chaves privadas. Além disso, quando a mensagem é descriptografada, não há controle sobre o que o destinatário pode fazer com as informações. Informações descriptografadas podem ser copiadas, impressas ou encaminhadas. Por padrão, anexos salvos não serão protegidos.

As mensagens criptografadas com tecnologias como S/MIME não podem ser acessadas pela sua organização. E, como a organização não pode inspecionar o conteúdo das mensagens, também não pode impor diretivas de envios de mensagens, procurar vírus ou conteúdo prejudicial ou qualquer outra ação que exija acessar o conteúdo.

Finalmente, as soluções tradicionais geralmente não têm as ferramentas de imposição que aplicam as diretivas de mensagens uniformes para evitar o vazamento de informações. Por exemplo, um usuário envia uma mensagem contendo informações importantes e a marca como confidencial da companhia e avisa para NÃO ENCAMINHAR. Entretanto, após a mensagem ser entregue ao destinatário, o remetente ou a organização não tem mais controle sobre as informações. O destinatário pode encaminhar a mensagem, propositalmente ou não (usando recursos como regras de encaminhamento automático) para contas de email externas, expondo sua organização a grandes riscos de vazamento de informações.

Gerenciamento de Direitos de Informação no Exchange 2010

No Exchange 2010, você pode usar os recursos de Gerenciamento de Direitos de Informação (IRM) para aplicar proteção persistente a mensagens e anexos. O IRM usa o AD RMS (Serviços de Gerenciamento de Direitos do Active Directory), uma tecnologia de proteção de informações do Windows Server 2008. Com os recursos do IRM no Exchange 2010, a sua organização e seus usuários podem controlar os direitos que os destinatários têm sobre os emails. O IRM também ajuda a proteger ou restringir as ações do destinatário, como encaminhar uma mensagem para outros destinatários, imprimir uma mensagem ou anexo ou extrair conteúdo da mensagem ou do anexo via copiar-e-colar. A proteção do IRM pode ser aplicados a usuários do Microsoft Outlook ou do Outlook Web App ou pode ser baseada nas diretivas de mensagens da sua organização e aplicada usando regras de proteção de transporte ou regras de proteção do Outlook. Ao contrário de outras soluções de criptografia de emails, o IRM também permite que a sua organização descriptografe conteúdo protegido, para impor a conformidade com as diretivas.

O AD RMS usa certificados e licenças baseados em XrML (eXtensible Rights Markup Language) para certificar computadores e usuários e para proteger conteúdo. Quando conteúdo, como um documento ou uma mensagem, é protegido com AD RMS, é anexada uma licença XrML contendo os direitos que os usuários autorizados têm para o conteúdo anexado. Para acessar o conteúdo protegido por IRM, os aplicativos habilitados para AD RMS devem conseguir uma licença de uso para o usuário autorizado do cluster AD RMS.

Dica

No Exchange 2010, o agente de pré-licenciamento anexa uma licença de uso a mensagens protegidas usando o cluster AD RMS na sua organização. Para mais informações, consulte Pré-licenciamento, posteriormente neste tópico.

Os aplicativos usados para criar conteúdo devem estar habilitados para RMS, para aplicar proteção persistente a conteúdos usando AD RMS. Aplicativos do Microsoft Office, como Microsoft Word, Microsoft Excel e Microsoft PowerPoint são habilitados para RMS e podem ser usados para criar conteúdo protegido.

O IRM ajuda a fazer o seguinte:

  • Evitar que um destinatário autorizado de conteúdo protegido por IRM encaminhe, modifique, imprima, envie por fax, salve ou copie-e-cole o conteúdo.
  • Proteger os formatos de arquivos anexos suportados com o mesmo nível de proteção da mensagem.
  • Suportar a expiração das mensagens e anexos protegidos por IRM, para que eles não possam mais ser exibidos após o período especificado.
  • Evitar que conteúdo protegido por IRM seja copiado usando a Ferramenta de Captura do Windows.

No entanto, o IRM não pode impedir que informações sejam copiadas usando estes métodos:

  • Programas de captura de tela de terceiros
  • Uso de dispositivos de imagem, como câmeras, para fotografar o conteúdo protegido por IRM exibido na tela
  • Usuários lembrando ou transcrevendo manualmente as informações

Para mais informações sobre o AD RMS, consulte Active Directory Rights Management Services.

Modelos de diretiva de direitos do AD RMS

O AD RMS usa modelos de diretiva de direitos baseados em XrML para permitir que aplicativos habilitados para IRM apliquem diretivas de proteção consistentes. No Windows Server 2008, o servidor do AD RMS oferece um serviço web que pode ser usado para enumerar e adquirir modelos. O Exchange 2010 é fornecido com o modelo Não Encaminhar. Quando o modelo Não Encaminhar é aplicado a uma mensagem, somente os destinatários da mensagem podem descriptografá-la. Os destinatários não podem encaminhar a mensagem para mais ninguém, copiar conteúdo dela ou imprimi-la. Você pode criar mais modelos RMS no servidor do AD RMS, na sua organização, para cumprir os requisitos de proteção do IRM.

A proteção de IRM é aplicada, aplicando-se um modelo de diretiva de direitos do AD RMS. Usando modelos de diretiva, você pode controlar as permissões que os destinatários têm sobre uma mensagem. Ações como responder, responder a todos, encaminhar, extrair informações de uma mensagem ou salvar uma mensagem, imprimir uma mensagem podem ser controladas, aplicando-se o modelo de diretiva de direitos apropriada à mensagem.

Para mais informações sobre modelos de diretiva de direitos, consulte AD RMS Rights Policy Template Considerations.

Para mais informações sobre criar modelos de diretiva de direitos do AD RMS, consulte Guia Passo a Passo Criando e Implantando Modelos de Diretiva de Direitos do Active Directory Rights Management Services.

Aplicar proteção IRM a mensagens

No Exchange 2010, a proteção IRM pode ser aplicada a mensagens nestes estágios:

  1. Manualmente por usuários do Outlook   Seus usuários do Outlook podem proteger as mensagens com IRM, usando os modelos de diretiva de direitos do AD RMS disponíveis para eles. Esse processo usa a funcionalidade do IRM no Outlook, não no Exchange. Entretanto, você pode usar o Exchange para acessar mensagens e pode executar ações (como aplicar as regras de transporte) para impor a diretiva de mensagens da sua organização. Para mais informações sobre usar o IRM no Outlook, consulte Introduction to using IRM for e-mail messages.

  2. Manualmente, por usuários do Outlook Web App   Quando você habilita o IRM no Outlook Web App, os usuários podem proteger, com IRM, mensagens que eles enviam e ver mensagens protegidas por IRM que eles recebem. Para mais informações sobre o IRM no Outlook Web App, consulte Noções Básicas Sobre Gerenciamento de Direitos de Informação no Outlook Web App.

  3. Automaticamente no Outlook 2010   Você pode criar regras de proteção do Outlook para proteger automaticamente com IRM as mensagens no Outlook 2010. As regras de proteção do Outlook são implantadas automaticamente para clientes do Outlook 2010, e a proteção com IRM é aplicada pelo Outlook 2010 quando o usuário compõe uma mensagem. Para mais informações sobre regras de proteção do Outlook, consulte Noções Básicas Sobre Regras de Proteção do Outlook.

  4. Automaticamente nos servidores de Transporte de Hub   Você pode criar regras de proteção de transporte para proteger com IRM automaticamente as mensagens nos servidores de Transporte de Hub do Exchange 2010. Para mais informações sobre regras de proteção de Transporte, consulte Noções Básicas Sobre Regras de Proteção de Transporte.

    Dica

    A proteção de IRM não é aplicada novamente a mensagens que já estão protegidas por IRM. Por exemplo, se um usuário proteger com IRM uma mensagem no Outlook ou no Outlook Web App, a proteção com IRM não é aplicada à mensagem, usando uma regra de proteção de Transporte.

Cenários com suporte para proteção com IRM

No Exchange 2010, a proteção com IRM é suportada nas seguintes situações.

Cenário Proteção com IRM suportada?

Mensagens enviadas para usuários de caixa de correio em sua organização do Exchange

Sim

Mensagens enviadas para os grupos de distribuição dentro da organização

Sim

Dd638140.note(pt-br,EXCHG.140).gifObservação:
Se o grupo de distribuição incluir destinatários fora da organização do Exchange, consulte "Mensagens enviadas para destinatários fora da organização".

Mensagens enviadas para destinatários fora da organização

Não

Dd638140.note(pt-br,EXCHG.140).gifObservação:
O Exchange 2010 não inclui uma solução para enviar mensagens protegidas com IRM para destinatários externos. O AD RMS oferece soluções usando diretivas de confiança. Você pode configurar uma diretiva de confiança entre seu cluster AD RMS e sua Windows Live ID. Para mensagens enviadas entre duas organizações, você pode criar uma confiança federada entre as duas florestas do Active Directory, usando o AD FS (Serviços de Federação do Active Directory). Para mais informações, consulte Noções básicas de diretivas de segurança de AD RMS.

Mensagens enviadas para grupos ou listas de distribuição fora da organização do Exchange

Não

Dd638140.note(pt-br,EXCHG.140).gifObservação:
A expansão da lista ou do grupo de distribuição externa não ocorre dentro da organização do Exchange. As mensagens protegidas com IRM enviadas para grupos de distribuição externos contêm uma licença para o grupo, mas não para membros do grupo. Os membros do grupo não poderão acessar a mensagem.

Descriptografando mensagens protegidas com IRM para impor diretivas de mensagens

Para impor diretivas de mensagens e para conformidade regulamentar, você deve poder acessar o conteúdo da mensagem criptografada. Além disso, para cumprir requisitos de descoberta eletrônica, devido a litigações, auditorias regulamentares ou investigações internas, você deverá poder pesquisar mensagens criptografadas. Para ajudar com essas tarefas, o Exchange 2010 inclui os seguintes recursos do IRM:

  1. Descriptografia de transporte   Para aplicar diretivas de mensagens, os agentes de transporte, como o agente de Regras de Transporte, devem ter acesso ao conteúdo da mensagem. As descriptografia de transporte permite que os agentes de transporte instalados nos servidores do Exchange 2010 acessem o conteúdo da mensagem. Para mais informações, consulte Noções Básicas Sobre Descriptografia de Transporte.
  2. Descriptografia do relatório de registro em diário   Para cumprir os requisitos de conformidade ou negócios, as organizações podem usar o Registro em diário para preservar o conteúdo da mensagem. O agente de Registro no diário cria um relatório de registro no diário para mensagens sujeitas a esse registro e inclui metadados sobre a mensagem no relatório. A mensagem original é anexada ao relatório de registro no diário. Se a mensagem em um relatório de registro no diário for protegida com IRM, a descriptografia de relatório de registro no diário anexa uma cópia em texto simples da mensagem ao relatório de registro no diário. Para mais informações, consulte Noções Básicas Sobre Descriptografia do Relatório de Diário.
  3. Descriptografia do IRM para a Pesquisa do Exchange   Com a descriptografia do IRM para a Pesquisa do Exchange, a Pesquisa pode indexar o conteúdo de mensagens protegidas com IRM. Quando um gerenciador de descobertas usa a Pesquisa em Várias Caixas de Correio para executar uma pesquisa de descoberta, as mensagens protegidas com IRM que tiverem sido indexadas são retornadas nos resultados da pesquisa. Para mais informações, consulte Noções Básicas Sobre a Pesquisa do Exchange. Para mais informações sobre a Pesquisa em Várias Caixas de Correio, consulte Noções Básicas Sobre Pesquisa em Várias Caixas de Correio.

Para habilitar esses recursos de descriptografia, os servidores do Exchange devem ter acesso à mensagem. Isso é conseguido adicionando-se a Caixa de Correio de Entrega Federada, uma caixa de correio do sistema criada pela Configuração do Exchange, para o grupo de superusuários no servidor AD RMS. Para detalhes, consulte Adicionar uma caixa de correio de entrega federada ao grupo de usuários AD RMS Super.

Pré-licenciamento

Exibir mensagens e anexos protegidos com IRM, o Exchange 2010 automaticamente anexa uma pré-licença às mensagens protegidas. Isso evita que o cliente tenha que fazer repetidas viagens ao servidor do AD RMS para recuperar uma licença de uso e também habilita a visualização offline de mensagens e anexos protegidos por IRM. O pré-licenciamento também permite que as mensagens protegidas por IRM sejam exibidas no Outlook Web App. Quando você ativa recursos do IRM, o pré-licenciamento é ativado por padrão.

Agentes IRM

No Exchange 2010, a funcionalidade do IRM é habilitada nos servidores de Transporte de Hub usando os agentes de transporte. Os agentes do IRM são instalados pela Instalação do Exchange no servidor de Transporte de Hub. Não é possível controlar agentes IRM usando as tarefas de gerenciamento de agentes de transporte.

Dica

No Exchange 2010, os agentes IRM são agentes internos. Agentes integrados não estão incluídos na lista de agentes retornados pelo cmdlet Get-TransportAgent. Para mais informações, consulte Noções Básicas Sobre Agentes de Transporte.

A tabela a seguir lista os agentes IRM implementados em servidores de Transporte de Hub.

Agente Evento Função

Agente de descriptografia do RMS

OnEndOfData (SMTP) & OnSubmittedMessage

Descriptografa mensagens para permitir o acesso a agentes de transporte.

Agente de Regras de Transporte

OnRoutedMessage

Sinaliza mensagens que correspondam às condições da regra em uma regra de proteção de Transporte a ser protegida com IRM pelo agente de criptografia do RMS.

Agente de criptografia do RMS

OnRoutedMessage

Aplica a proteção do IRM às mensagens sinalizadas pelo agente de Regras de Transporte e recriptografa as mensagens criptografadas para transporte.

Agente de pré-licenciamento

OnRoutedMessage

Anexa uma pré-licença a mensagens protegidas por IRM.

Agente de descriptografia do relatório de registro no diário

OnCategorizedMessage

Descriptografa mensagens protegidas por IRM anexadas a relatórios de registros no diário e inclui versões em texto simples com as mensagens criptografadas originais.

Para mais informações sobre agentes de transporte, consulte Noções Básicas Sobre Agentes de Transporte.

Requisitos de IRM

A implantação do IRM na sua organização do Exchange 2010 deve cumprir estes requisitos:

Servidor Requisito

Cluster do AD RMS
  • Windows Server 2008 R2
  • Windows Server 2008 SP2 com o seguinte hotfix.
  • Ponto de Conexão de Serviço (SCP)   Aplicativos para Exchange 2010 e AD RMS usam o SCP registrado no Active Directory para descobrir o cluster AD RMS e as URLs. O AD RMS permite que você registre o SCP de dentro da configuração do AD RMS. Se a conta usada para configurar o AD RMS não for membro do grupo de segurança Administradores de empresa, o registro do SCP poderá ser executado após a instalação. Há apenas um SCP para AD RMS na floresta do Active Directory.
  • Permissões   O grupo de Servidores do Exchange ou os servidores individuais devem receber permissões de Leitura e Execução para a o pipeline de certificação do servidor do AD RMS (o caminho-padrão é \inetpub\wwwroot\_wmcs\certification\ServerCertification.asmx em servidores do AD RMS).
  • SuperUsuários do AD RMS   Para habilitar a descriptografia do transporte, a descriptografia do relatório de registro no jornal, o IRM no Outlook Web App e o IRM para Pesquisa do Exchange, você deve adicionar a Caixa de Correio de Entrega Federada, um sistema de caixa de correio criada pela Instalação do Exchange 2010, ao grupo de superusuários do cluster AD RMS. Para detalhes, consulte Adicionar uma caixa de correio de entrega federada ao grupo de usuários AD RMS Super.

Exchange Server
  • Exchange Server 2010
  • Recomendado: Este hotfix para .Net Framework 2.0 SP2

Outlook
  • Os usuários podem proteger mensagens no Outlook com IRM. O Outlook 2003 e posteriores suportam os modelos do AD RMS para proteger mensagens com IRM.
  • As regras de proteção do Outlook são um recurso do Exchange 2010 e do Outlook 2010. Versões anteriores do Outlook não oferecem suporte a esse recurso.

Windows Mobile 
  • Windows Mobile 6.0 ou posterior. Para habilitar o IRM em um dispositivo com Windows Mobile, o usuário deve conectar o dispositivo a um computador executando o Windows 7, o Windows Vista ou o Windows XP e ativar o dispositivo usando o Windows Mobile Device Center ou o Exchange ActiveSync. Para ativar o IRM, o computador ao qual o dispositivo está conectado deve ter acesso aos controladores de domínio do Active Directory, para conseguir localizar o cluster AD RMS na sua organização. Para mais informações, consulte Overview of Information Rights Management.
  • Habilite a certificação de dispositivos móveis no cluster do AD RMS. Para mais informações, consulte Habilitar a certificação de dispositivos móveis.

Dica

ClusterAD RMS é o termo usado para a implantação do AD RMS em uma organização, incluindo uma implantação de um servidor único. O AD RMS é um serviço da web. Você não precisa configurar um cluster de failover do Windows Server 2008. Para alta disponibilidade e equilíbrio de carga, você pode implantar vários servidores do AD RMS no cluster e usar Balanceamento de Carga de Rede.

Importante

Em um ambiente de produção, não é possível instalar o AD RMS e o Exchange no mesmo servidor.

Configurando e testando o IRM

Você deve usar o Shell para configurar os recursos do IRM no Exchange 2010. Para configurar recursos individuais do IRM, use o cmdlet Set-IRMConfiguration. Você pode habilitar ou desabilitar o IRM para mensagens internas, habilitar ou desabilitar a descriptografia do transporte, a descriptografia do relatório do registro no diário, IRM para a Pesquisa do Exchange e o IRM no Outlook Web App. Para mais informações sobre como configurar recursos do IRM, consulte Gerenciando Proteção de Direitos.

Depois de você configurar um servidor do Exchange 2010, você poderá usar o cmdlet Test-IRMConfiguration para executar testes de ponta a ponta da sua implantação do IRM. Esses testes são úteis para verificar a funcionalidade do IRM imediatamente após a configuração inicial do IRM e também continuamente. O cmdlet executa os testes a seguir:

  • Inspeciona a configuração do IRM para sua organização do Exchange 2010
  • Examina o servidor do AD RMS para obter informações de versão e hotfix.
  • Verifica se um servidor do Exchange pode ser ativado por RMS, recuperando um Certificados de Contas de Direitos e e um Certificado de Licenciante do Cliente (CLC)
  • Adquire modelos de diretiva de direitos do AD RMS do servidor do AD RMS
  • Verifica se o remetente especificado pode enviar mensagens protegidas com IRM
  • Recupera uma licença de uso de superusuário para o destinatário especificado
  • Adquire uma pré-licença para o destinatário especificado