Exchange 2003에서 Right Management Service를 사용하여 메시지 보안구현하기

  • Article

이 문서에서는 Exchange 2003에서 어떻게 RMS 서비스를 사용하고 이를 통해 보안을 향상시킬 수 있는 지 알아보겠습니다.

Right Management Service(RMS)는 많은 RMS 를 사용하는 Application들에서 애드온으로 사용됩니다.

먼저 혼동하기 쉬운 두가지 보안 기능인 RMS 와 S/MIME을 통한 암호화는 많은 차이가 있습니다.

S/MIME의 경우 최종 수신자가 암호화를 해독한 메시지에 대해서 어떤 작업이라도 가능합니다.
RMS의 경우, 최종 수신자 역시 초기 RMS로 권한이 설정된 메시지에 대해 발송자가 사용한 Template 상에 정의한 권한밖에 사용할 수 없습니다.

다음 그림처럼 모니터를 복사한다면 가능할지도 모르겠습니다. ^^

clip_image001

Windows 2003에서 RMS 기술은 다음 문서를 참고하시면 됩니다.

https://www.microsoft.com/windowsserver2003/technologies/rightsmgmt/default.mspx

개요

RMS 기술은 민감한 정보와 내부 자료를 보호하기 위해서 사용됩니다.
문서 작성자는 RMS 기술을 사용하여 파일 에 대한 접근을 제한하고 Global Address List 상의 일부 사용자에 한하여 이메일을 열람할 수 있게 허용합니다. 이러한 권한은 문서 또는 이메일에 embeded 됩니다. 누군가 RMS로 보호된 문서를 열려고 시도하면 RMS 클라이언트는 RMS 서버에 확인 및 적절한 사용자 licence를 요청하게 됩니다. 내장된 접근 권한 (embedded access permission)에 이름이 등록된 사용자만이 파일을 열 수 있습니다. 인증에 실패한 사용자는 접근 거부 메시지를 받게 되며 이 정보는 모두 SQL Database에 로깅됩니다.

RMS 구성 요소

RMS 기술은 크게 RMS 서버와 RMS 클라이언트로 구성됩니다. RMS 서버는 Rights Management Service를 운영하는 머신이 됩니다. Rights Management Service는 Windows 2003 STD, Ent , Web, Datacenter Edition에 모두 설치할 수 있습니다. RMS 서버의 주기능은 인증서를 제공하고 클라이언트를 검증(Validation) 하는 것입니다. RMS 서버는 SQL 또는 MSDE Database를 필요로 합니다.

RMS 기술은 Active Directory에 깊이 의존합니다. 조직내에 RMS 기술을 사용하기 위해서는 최소 Windows 2000 SP3 이상의 Active Directory가 필요합니다.
작성자가 사용자를 접근 권한 목록에 추가하려 할때 Global Address List를 사용하여 적절한 사용자를 찾게 됩니다. 이러한 정보는 모두 Active Directory 에 저장됩니다. 또한 RMS 기술을 사용한 문서에 권한을 할당하기 위해서 Active Directory 상의 메일 사용 가능 사용자가 필요합니다.

RMS 서버 소프트웨어는 다음 위치에서 다운로드 할 수 있습니다.
(서비스 팩 2이 설치된 Microsoft Windows RMS(Rights Management Services)

https://www.microsoft.com/downloads/details.aspx?displaylang=ko&FamilyID=5794538f-e572-4542-a5bd-901b2720f068

RMS 클라이언트는 데스크톱 소프트웨어로 보호된 문서나 이메일을 생성하고 볼 수 있게 합니다. 다음 위치에서 다운로드 받을 수 있습니다.
(서비스 팩 2이 설치된 Microsoft Windows RMS(Rights Management Services) 클라이언트

https://www.microsoft.com/downloads/details.aspx?displaylang=ko&FamilyID=02da5107-2919-414b-a5a3-3102c7447838

RMS 클라이언트는 그룹정책을 통해서 배포될 수 있습니다. RMS는 RMS aware 소프트웨어를 통해서만 사용됩니다. 다음은 IE 6.0SP1 및 IE 5.5 SP2에서 사용가능한 RMS add-on 입니다.
https://www.microsoft.com/downloads/details.aspx?displaylang=ko&FamilyID=b48f920b-5af0-46b4-994f-2f62582cc86f

RMS SDK는 다음 위치에서 다운로드 가능합니다.
https://www.microsoft.com/downloads/details.aspx?familyid=48529F43-3BD8-46B4-9091-A0161E022856&displaylang=en

In the following sections, I will explain the details of installing and provisioning an RMS server, Service Connection Point (SCP) registration in Active Directory and installing RMS client. 

RMS 설치

랩 구성은 다음과 같습니다.

Windows 2000 SP4 Active Directory Domain

Exchange 2003 Server + SP2
SQL 2005 Server + SP3
Windows 2003 Member Server

Windows XP SP3 + Office 2007 SP2 Client

1. RMS 서버에 MSMQ를 설치합니다.
clip_image002

2. RMS 서버를 다운로드 받습니다.

3. WindowsRightsManagementServicesSP2-KB917275-Server-KOR.exe 를 설치합니다.
clip_image003

4. 설치 과정에서 RMS Service Group이라는 보안 그룹이 로컬 컴퓨터에 추가됩니다.
RMS 를 서버에 Provision 할 때 , RMS Service Account는 RMS Service Group에 추가됩니다.
clip_image005

RMS Server Provisioning

시작 -> 모든 프로그램 -> Windows RMS 메뉴의 Windows RMS Installation을 클릭합니다.
clip_image006
기본 관리 포트는 5720 입니다. (Provisioing을 구성으로 번역함.)

1. “이 웹사이트에 RMS를 구성합니다.” 를 클릭합니다.

clip_image008

2. 구성 데이터 베이스 구성
clip_image010

3. RMS 서비스 계정 설정
clip_image012

4. 클러스터 URL 설정
clip_image014

5. 개인 키 보호 및 등록
clip_image016

6. 서버의 인터넷 연결
clip_image018

7. 구성 진행 화면
clip_image020

8. 설치가 완료됨.
clip_image022

9. 다음과 같이 3개의 Database 가 생성됩니다.
clip_image023

10. 오프라인으로 설정한 경우 다음 작업을 추가로 진행합니다.

a. Offiline을 선택한 경우 다음의 작업을 추가로 진행해야 합니다. “이 웹사이트에서 RMS 관리”를 클릭합니다.
clip_image025

b. 다음 화면에서 등록을 클릭합니다.
clip_image027

c. 내보내기를 클릭합니다.
clip_image028

d. Export 된 XML 파일을 다음 위치에 전송합니다.
https://activation.drm.microsoft.com/OfflineEnroll/Enrollment.aspx
clip_image030

e. ServerCert.xml 파일을 저장합니다.
clip_image031

f. 찾아보기 후 다운로드 한 ServerCert.xml 파일을 가져오기 함.
clip_image032

g. 서버 사용 허가자 인증서를 가져오기 합니다.
clip_image033

h. 서버 사용 허가지 인증서 등록이 완료되었습니다.
clip_image035

RMS Service Connection Point를 등록합니다.

1. 클러스터 관리 à RMS 서비스 연결 지점을 클릭합니다.

2. URL등록을 클릭합니다.
clip_image037

3. 다음과 같이 SCP를 확인할 수 있습니다.
clip_image039

4. ADSIEDIT 상에 다음위치에서 SCP관련 Attributes 들을 확인할 수 있습니다.
clip_image041

RMS 템플릿 만들기

Windows RMS 실행 -> 권한 정책 템플릿 실행

clip_image043

clip_image045

clip_image047

다음과 같이 템플릿이 생성됩니다.

clip_image049

RMS 클라이언트 소프트 웨어 설치

1. WindowsRightsManagementServicesSP2-KB917275-Client-KOR.exe를 클릭해서 설치합니다.
clip_image050

2. 설치가 완료되었습니다.
clip_image051

3. 다음과 같이 파일들이 설치된 것을 확인할 수 있습니다.
clip_image053

4. 다음의 레지스트리 설정을 통해서 RMS Template 의 위치를 지정할 있습니다.

https://technet.microsoft.com/ko-kr/library/dd772637(WS.10).aspx

Microsoft Office 2007: HKEY_CURRENT_USER\Software\Microsoft\Office\12.0\Common\DRM
clip_image054

clip_image056

Outlook 에서 새 메시지를 만들고 다음과 같이 템플릿을 지정할 수 있게 됩니다.
clip_image057

5. 수신자 쪽에서 다음과 같이 권한이 제한된 메시지가 수신된 것을 확인할 수 있습니다.

clip_image059

메시지를 열면 다음과 같이 SCP에 접속함을 알려줍니다.
clip_image060

다음과 같이 전달 메뉴가 Gray로 설정되어 있습니다.
clip_image062

클라이언트 인증서는 다음 위치에서 확인할 수 있습니다.

clip_image064

1. CLC-
Client Licensor Certificate (CLC): Certifies clients to encrypt with RMS Server Public Key

2. CERT-

Machine Certificate: Unique per user on a machine; used to protect the RAC

3. GIC-

Rights Account Certificate (RAC): User’s RSA key pair issued and signed by server

4. EUL-

End User License or Use License: Signed proof of a Principal’s Rights plus the enabling bits for content usage by Grantee

사용자는 하나의 Right Account Certificate(RAC) 와 Certificate Licensor Certificate(CLC)를 가지지만 Access 하는 Contents에 따라 여러개의 End UserLicense(EUL) 을 가집니다.

By shsong