Windows RMS einrichten

Server Enrollment

Im Rahmen der Installation ist auch ein digitales Zertifikat von Microsoft erforderlich, das mit dem öffentlichen Schlüssel der Microsoft Enrollment Services signiert ist. Mit diesem Zertifikat können weitere Schlüssel erstellt werden. Das Zertifikat von Microsoft ist erforderlich, um durch den RMS geschützte Informationen auch außerhalb des eigenen Unternehmens nutzen zu können.

Die Anforderung des Zertifikats kann online erfolgen, wenn der RMS-Server eine Internet-Verbindung hat. Optional kann aber auch mit Offline-Anforderungen gearbeitet werden. Die Anforderungsdatei lässt sich automatisch über die Administrations-Website generieren. Sie wird anschließend an einen URL auf Microsofts Website übergeben, von dem direkt anschließend das Zertifikat zurückgeliefert wird. Dieses muss nur noch beim RMS-Server importiert werden. Die Offline-Anforderung ist gut dokumentiert und innerhalb weniger Mausklicks abgeschlossen (Bild 2).

Bild 2: Das erforderliche Zertifikat für die RMS kann bei Microsoft angefordert werden.
Bild 2: Das erforderliche Zertifikat für die RMS kann bei Microsoft angefordert werden.

Administration

Danach kann die eigentliche Administration der RMS über die Verwaltungsschnittstelle (Bild 3) erfolgen. Im Bereich Trust Policies werden vertraute Domänen definiert. Damit lassen sich neben den Benutzern des aktuellen Active Directory-Forests auch andere Benutzer einbinden. Das Modell der Vertrauensstellungen ist dem vom Active Directory bekannten recht ähnlich.

Bild 3: Die Verwaltungsschnittstelle der Microsoft RMS.
Bild 3: Die Verwaltungsschnittstelle der Microsoft RMS.

Zusätzlich können auch Benutzer über Microsoft Passport integriert werden. Allerdings wird Passport relativ wenig genutzt, so dass das wenig Sinn macht. Es spricht einiges dafür, dass Microsoft in zukünftigen Versionen auf die Unterstützung von Federation-Standards umstellen wird.

Neben der Konfiguration von Vertrauensstellungen gilt es vor allem, Vorlagen für die Vergabe von Berechtigungen zu konfigurieren. Diese Vorlagen legen Standardzugriffsberechtigungen fest. Sie können später digitalen Informationen zugeordnet werden. Damit müssen nicht mehr für jedes einzelne Dokument Zugriffsberechtigungen definiert werden. Das vereinfacht die Administration deutlich.

Durch die Verwendung von Vorlagen wird auch eine einheitliche Klassifikation von Informationen einfacher. Das schließt nicht aus, dass einzelne Benutzer spezielle Informationen auch mit anderen Berechtigungen schützen. In der Praxis werden aber die meisten Informationen über wenige vorgegebene Vorlagen gesichert werden, in denen beispielsweise unterschiedliche Berechtigungen für Finanzinformationen, E-Mails mit sensiblem Inhalt oder einfach nur generell unternehmensinterne Daten definiert werden.

Neben diesen Vorlagen muss man auch noch die Revocation konfigurieren. Revocation bedeutet den Entzug von Berechtigungen. Das Konzept gibt es auch bei digitalen Zertifikaten mit den CRLs (Certificate Revocation Lists). Bei der Revocation wird in den Vorlagen definiert, welche Informationen nicht mehr genutzt werden dürfen. In zusätzlichen Revocation-Listen wird angegeben, welche Benutzer keinen Zugriff mehr haben. Beide Listen werden publiziert und von den RMS-Systemen in regelmäßigen Abständen abgerufen. Dieser Ansatz hat allerdings den Nachteil, dass einige Zeit zwischen der Bereitstellung der Listen und ihrer Aktivierung vergeht, weil die Listen nicht sofort nach Änderungen von allen Systemen gelesen werden. Im Bereich der digitalen Zertifikate gibt es einen von Microsoft bisher noch nicht implementierten Standard OCSP (Online Certificate Status Protocol), über den bei jeder Überprüfung von Zertifikaten auch abgefragt wird, ob diese noch gültig oder schon zurückgezogen sind. Ein ähnliches Verfahren würde auch bei den RMS Sinn machen, selbst wenn es die Netz- und Serverlast doch deutlich erhöht.

Bild 4: Die Konfiguration einer Vorlage für die Vergabe von Berechtigungen.
Bild 4: Die Konfiguration einer Vorlage für die Vergabe von Berechtigungen.

Nun müssen noch die Clients eingerichtet werden. Nach Installation der Client-Software kann man beispielsweise in Microsoft Word mit dem vierten Symbol von links in der Standardsymbolleiste den Schutz von Dokumenten konfigurieren. Die Verbindung zu den RMS-Servern erfolgt automatisch, weil diese im Active Directory publiziert werden. Wenn der Client also erst einmal eingerichtet und die Vorlagen für die Berechtigungen konfiguriert sind, lassen sich Informationen recht einfach schützen.