Восстановление базы данных, зашифрованной TDE, на другом сервере

При попытке восстановления файла копии зашифрованной базы данных возникнет ошибка (рис. 17.12). Чтобы восстановить файл копии, необходимо восстановить на целевом сервере сертификат TDE.

О

. w»toi**it>lhwip*«te5ft564№:asafcC36U!»S5»7SW72EOtS6K?

R£5>WlfalfrHlB*w>v*twwiy MowaftSgLSvtv.&v-.XhlD

J

‘ 4

Puc. 17.12. Ошибка при попытке восстановления копии базы данных, зашифрованной TDE

Вот высокоуровневые шаги для восстановления базы данных, зашифрованной TDE, на Другом сервере:

1. Создайте на целевом сервере новый DMK. Каждый DMK уникален, поэтому просто создайте новый с помощью TSQL-сценария, приведенного ранее. Этот DMK не обязательно должен совпадать с DMK на исходном сервере.

2. Скопируйте сертификат и приватный ключ с исходного сервера с помощью TSQL-сценария, приведенного выше.

3. Восстановите сертификат TDE и приватный ключ на целевом сервере (DEK экспортировать не нужно, т.к. он находится в файле копии). Воспользуйтесь примерно таким сценарием:

USE master;

GO

CREATE CERTIFICATE CompanyABCtdeCert

FROM FILE = 'C:\Restore\CompanyABCtdeCert-cer'

^ fmerпечение безопасности, защита и оптимизация архитектуры SharePoint 416 ----

___ Часть III

WITH PRIVATE KEY (

FILE = 'C:\Restore\CompanyABCtdeCert.pvk',

DECRYPTION BY PASSWORD = ■ CrypticTDEpw4CompanyABC! •

)

4. B<остановите базу данных из копии.

Пароль дешифровки должен быть тем же, что и выбранный в предыдущих этапах. С помощью такого процесса администраторы могут шифровать важные данные SharePoint, не пользуясь сложными сторонними решениями.

Использование службы управления правами Active Directory (AD RMS) для библиотек документов SharePoint

Служба управления правами Active Directory (Active Directory Rights Management Services — AD RMS) представляет собой технологию предотвращения утечки данных (Data Leak Prevention — DLP), в которой используются концепции управления цифровыми правами (Digital Rights Management — DRM) для затруднения пересылки важных данных за пределы компании. AD RMS работает с помощью шифрования документов с последующим разрешением дешифровки только если клиентское приложение удовлетворяет политике прав. Например, политика прав может указывать, что документ нельзя распечатывать, сохранять в другом формате или копировать из него отдельные фрагменты. Может быть также указано, что документ устаревает после истечения указанного времени.

AD RMS не зависит от SharePoint и выполняется как служба на сервере Windows Server 2008 или Windows Server 2008 R2. Клиенты могут шифровать данные непосредственно из клиентских приложений Office, с помощью Outlook, при наличии или отсутствии SharePoint. Но при интеграции с SharePoint можно определить в SharePoint политики прав для всех документов из библиотеки документов и распространить эти политики в домене с помощью сервера AD RMS.

Требования и ограничения Ad RMS

Вначале важно уяснить, что может и что не может делать AD RMS в среде SharePoint. Для этого нужно знать следующие ключевые сведения:

• AD RMS не шифрует файлы в хранилище данных. Политики прав AD RMS вступают в действие только при извлечении документа из библиотеки документов. Это позволяет SharePoint индексировать все документы. Если требуется шифрование уровня хранилища данных, то для этого можно применить технологию наподобие SQL TDE, рассмотренной выше в данной главе.

• Для библиотеки документов можно задать только одну политику прав, которая затем применяется не только к существующим в библиотеке, но и к добавляемым впоследствии документам.

• Политики прав в библиотеках документов SharePoint определяют только, может ли пользователь распечатать-или скопировать программным образом данные. Другие ограничения прав к документам на самом деле зависят от прав SharePoint, которые пользователь имеет по отношению к библиотеке документов. При наличии прав автора контента он может сделать многое, а если у пользователя лишь права читателя, то он не сможет ничего.

1ащнта коп фиденциальных данИы'х'в^Т.аДгГбМ ‘Л1Ш Т" 1

— -----—--г 417 ’ Глава 17!

• Для существующего контента нельзя изменить полностью определенное имя (FQDN) для AD RMS. Хорошенько обдумайте, каким должно быть FQDN, и сразу же активируйте SSL-шифрование для RMS. Если вы выбрали в качестве URL простое имя наподобие http://rmsserver, то вы не сможете включить внешний доступ к RMS. Лучше с самого начала выбрать что-то вроде https: //rms. companyabc. com, даже если вы и не собираетесь открывать внешний доступ.

• Пользователи, которые обращаются к документам или библиотекам документов, защищенным правами, должны иметь веб-доступ к AD RMS FQDN, чтобы иметь возможность открывать документы. Например, если SharePoint опубликован для внешнего доступа, пользователям нужен доступ к FQDN сайта AD RMS. В предыдущем примере это означает возможность обращения по адресу rms.companyabc.сот, и он должен быть опубликован в качестве сайта.

• После публикации точки подключения службы (service connection point — SCP) в AD все пользователи сразу получают возможность использовать ее. Иногда лучше повременить с публикацией SCP до завершения полного тестирования среды. Протестировать AD RMS можно, заменив в реестре клиента SPC на сервер AD RMS.

Для обеспечения резервирования можно добавить дополнительные серверы AD RMS с балансировкой нагрузки между ними. Тогда тем более необходимо использовать FQDN, которое указывает на несколько серверов или VIP с балансировкой нагрузки, наподобие rms. companyabc. com. До опубликования SCP добавить в кластер второй сервер AD RMS невозможно.

Установка AD RMS

Для сред, в которых еще нет сервера AD RMS (для этого годится и устаревший Windows Server 2003 RMS), необходима новая среда Windows Server 2008 R2 AD RMS. Сервер RMS физически должен находиться на компьютере, отличном от серверов фермы SharePoint, и на нем должна присутствовать СУБД для базы данных AD RMS. Часто сервер базы данных AD RMS является тем же сервером, что и сервер баз данных SharePoint.

Перед установкой на сервер AD RMS и ее настройкой вначале нужно установить Windows Server 2008 R2 (годятся редакции Standard, Enterprise и Datacenter) со стандарт-ными параметрами установки, а затем добавить его в домен. Войдите в систему с учетной записью, у которой имеются права локального администратора на доступ к компьютеру, и выполните следующие шаги для установки AD RMS:

1. На сервере RMS из диспетчера серверов запустите мастер добавления ролей (Add Roles Wizard).

2. Щелкните на кнопке Next (Далее), чтобы начать работу мастера.

3. Установите флажок Active Directory Rights Management Services (Служба управления правами Active Directory).

4. После появления запроса выберите добавление необходимых служб ролей.

5. В диалоговом окне (рис. 17.13) проверьте, что отмечены службы AD RMS и Web Server, и щелкните на кнопке Next.

6. На экране приветствия мастера установки AD RMS щелкните на кнопке Next.

7. В разделе Role Services (Службы ролей) оставьте настройки по умолчанию и щелкните на кнопке Next.

8. В диалоговом окне RMS Cluster (Кластер RMS) выберите создание нового кластера RMS и щелкните на кнопке Next.

Select Serw Roles

Before tou Begti

Select one or rarerdo to kttbl on Ihii server Roie*: