Expertem na AD RMS za 75 minut MIROSLAV KNOTEK Microsoft MVP IT Senior Consultant | KPCS CZ, s.r.o.
[email protected] | www.kpcs.cz
Cíle přednášky • Představit základy ochrany informací prostřednictvím AD RMS • Seznámit s možnostmi rozšíření funkcionality AD RMS ve spolupráci s dalšími produkty • Vysvětlit jakým způsobem a jakými šifrovacími operacemi dochází ochraně v RMS • AD RMS je ve skutečnosti velmi jednoduchá technologie – Jakmile člověk jednou pochopí základy, není problém pochopit i pokročilejší funkce a scénáře
Co očekávat od přednášky • Nebudeme vysvětlovat hluboké detaily technologie ani pokročilé funkce ani specifickou konfiguraci • Cílem je porozumět základům technologie
Předpoklady • • • •
Znáte rozhraní IRM v MS Office Základy Active Directory Základy IIS a webových služeb Základy kryptografie – Symetrické a asymetrické šifrování – Digitální podepisování – Certifikáty • Základy PKI • Jste už probuzeni a máte 75 minut času
Nemůžeme věřit, že uživatelé vždy správně ochrání data Top 10 threats to Enterprise Security - IDC
“80% of all data leaks occur because of accidents — that is users, being unaware of data policies, as opposed to having malicious intent.” - Forrester, 2008
Jak NEchránit informace
Co je AD RMS
• Technologie pro ochranu informací • Poskytuje trvalou ochranu dokumentů – Ochrana “cestuje” s dokumenty – Nezávisí na technologii uložení dokumentu – Ochrana proti záměrným i nechtěným únikům
• Založeno na 2 pilířích: šifrování + politiky • Spolupracuje s celou MS infrastrukturou – – – –
AD poskytuje idenity a skupiny Windows poskytuje ochranu klíčů a další funkce Office poskytuje uživatelské rozhraní a vynucení politik Exchange, Sharepoint a další rozšiřují možnosti využití
Co neumí AD RMS
• Existují sofistikované útoky, kterým RMS nezabrání
Tradiční přístup k ochraně přístupu Autorizovaní uživatelé
Únik informací Přístupová práva Neautorizovaní uživatelé Neautorizovaní uživatelé
Jak to řeší AD RMS Ochrana dokumentu Centrální politiky pomocí šablon
Šifrování dat
Vynucení politik při otevření dokumentu
Dešifrování pro autorizované osoby Možnost omezit • Předat dál • Tisk • Kopírovat&vložit
Ochrana
AD RMS Workflow Konzumace
Autor automaticky získá AD RMS credentials (“rights account certificate” a “client licensor certificate”) při první ochraně informace
Machine cert And RAC
AD RMS Server
Use License
[email protected]: Read,Print
1
AD RMS Protected (Decrypted)
Aplikace otevře soubor a vynutí práva
Publishing License And RAC
2. `
`
RMS Consumer
RMS Author
Publishing License
[email protected]: Read,Print
[email protected]: Read
[email protected]:Read
Aplikace pracuje s RMS klientem při vytvoření licence k publikování, šifruje soubor, licenci přidává k souboru
RMS Protected (Encrypted)
AD RMS autor distribuuje soubor
Příjemce klikne pro otevření souboru. Aplikace posílá credentials a licenci k publikování na AD RMS server, který autorizuje uživatele a vydá licenci k užití
Příklad: chráněný dokument Word, Excel nebo PowerPoint Vytvořena, když je dokument opatřen ochranou
Šifrováno veřejným klíčem serveru
Licence k publikování
Licence k použití
Klíč k obsahu
Práva pro uživatele
Práva pro všechny Šifrováno veřejným klíčem serveru Šifrováno klíčem k obsahu, kryptograficky 128-bit AES (symetrické šifrování)
Klíč k obsahu a
Obsah souboru (Text, obrázek, metadata, atp.)
Šifrováno veřejným klíčem uživatele
Šifrováno veřejným klíčem uživatele
RMS certifikáty • AD RMS používá certifikáty pro identity a licence • AD RMS nepoužívá X.509 certifikáty! • AD RMS používá XrML certifikáty – Podobné jako X.509 ale s prostorem pro politiky
• Identita certifikátu: “Toto je uživatel X a jeho e-mail je…” • Ještě jsou tu počítačové certifikáty
Licence k publikování
• Dokument chráněný IRM má přímo v sobě vloženu “licenci k přečtení” • Seznam oprávnění (podobně jako je v ACL) • Subjektem práv jsou e-mailové adresy –
Uživatelé i skupiny
• Práva jsou operace – – – – – –
View Edit Copy Print Forward Atp.
Licence k užití
• Při konzumaci obsahu, uživatelé získají licenci k užití z RMS serveru – Licence k užití je vystavena na základě informací uvedených v licenci k publikování – Obsahuje seznam oprávnění pro uživatele, který o přístup žádá
• Licence k užití – – – –
Nedá se přenášet Funguje pouze na zařízení ze které byla zaslána žádost Může být cacheovaná (nebo nemusí) Má omezenou platnost
Šablony
• Místo detailní definice práv je možné použít šablonu – Licence k publikování pak obsahuje GUID šablony, nikoliv seznam práv – Šablona na serveru obsahuje definici práv pro různé uživatele a skupiny – Server vyhodnocuje šablonu ve chvíli, kdy uživatel konzumuje obsah – Klient na které chráněný obsah vzniká potřebuje mít kopii šablony, aby věděl co aplikuje
• Šablony se spravují centrálně – Mohou být aktualizovány – Šablony zrcadlí určené politiky pro práci s informacemi
Šablony v akci Šablona
SQL Server udržuje poslední šablony
AD RMS server
Ochrana informace
Dokument chráněn na základě šablony
Aplikace s podporou RMS požaduje licenci Konzument k užití
Přehled AD RMS komponent • AD RMS server
– “Certifikuje” uživatelské identity – Licencuje AD RMS chráněný obsah
• AD RMS klient – Instalovaný na klientském počítači – Zajišťuje komunikaci mezi RMS-enabled apliakcí a AD RMS serverm
AD RMS Server
• AD RMS-enabled aplikace – Umožňuje konzumovat AD RMS chráněný obsah – U aplikací se podpora může lišit dle edicí – Možný vlastní vývoj - AD RMS SDK
AD RMS klient
AD RMS Server - terminologie • Certifikační server (nebo cluster) – První AD RMS server (cluster) v prostředí – Poskytuje certifikace a licencování
• Licenční server (volitelně) – Poskytuje pouze licence – Závisí na certifikačním serveru
• Cluster – Skupina stejných AD RMS serverů sdílející stejné databáze – Nejedná se o Windows Server Clustering Services
Topologie AD RMS AD RMS Root Server
Databáze
AD RMS Root Cluster
Databáze
License-only Server
Databáze
License-only Server Cluster
AD RMS – komponenty infrastruktury
Active Directory
SQL
AD RMS Server
RMS klient RM-enabled aplikace
Sharepoint Exchange Server
AD RMS Server • Windows Server 2008/2008 R2 v rámci IIS – Je to webová služba! – Typicky běží přes SSL
• Využívá IIS s ASP.NET • Bezstavový • Využívá Microsoft Message Queuing – Zodpovědnost za transakce zapisované do SQL databáze – Poskytuje řešení pro situaci, kdy je ztraceno připojení mezi AD RMS serverem a SQL Serverem
AD RMS Server
AD RMS databáze
• AD RMS webová služba je stateless – Všechny trvalé informace jsou uloženy v SQL serveru
• Tři oddělené databáze – Configuration: konfigurační data, cluster a uživatelské klíče – Caching: AD identity a členství ve skupinách – Logging: logování o operacích s licencemi
• Většina operací se vykonává asynchroně – Data se zapisují do MSMQ, zápis do DB až když je to možné – Pokud DB není dostupná, AD RMS pracuje “téměř” normálně
Active Directory
• Poskytuje autentizaci – Každý účet používající AD RMS musí mít emailovou adresu
• Poskytuje Service Connection Point (SCP) pro nalezení služby • Určuje členství ve skupinách – Active Directory by měla být v nativním módu
• Jeden AD RMS root cluster per AD forest – AD RMS certifikace je limitována na uživatele v rámci AD forestu
Active Directory
AD RMS: Hardware požadavky Požadavky
Doporučení
One Pentium 4 3 GHz processor or higher
Two Pentium 4 3 GHz processors or higher
512 MB of RAM
1024 MB of RAM
40 GB of free hard disk space
80 GB of free hard disk space
AD RMS: Software požadavky Requirement Operating system
Windows Server 2008/2008 R2
File system
NTFS file system is recommended
Messaging
Message Queuing
Web services
Internet Information Services (IIS) ASP.NET must be enabled.
Active Directory or AD DS
AD RMS must be installed in an Active Directory domain in which the domain controllers are running Windows Server 2000 with Service Pack 3 (SP3), Windows Server 2003, or Windows Server 2008. All users and groups who use AD RMS to acquire licenses and publish content must have an e-mail address configured in Active Directory.
Database server
AD RMS requires a database server, such as Microsoft SQL Server 2008, and stored procedures to perform operations.
AD RMS: RMS klient • Jeho základní funkcí je zprostředkovávat komunikaci mezi aplikací s podporou RMS a RMS serverem. • AD RMS klient je integrovanou součástí Windows Vista a Windows 7. • AD RMS klient může být instalován jako samostatná aplikace pro systémy Windows 2000 SP4 a vyšší • Zprostředkovává aktivaci počítače, kde není nutný kontakt s AD RMS serverem
AD RMS: RMS aplikace • Zajišťuje praktickou implementaci IRM pro ochranu citlivých informací. • Typicky běžná aplikace, která je rozšířena o podporu tvorby či otevírání chráněného obsahu • Typickými aplikacemi s podporou jsou vybrané aplikace Office 2003/2007 a 2010 ve vyšších edicích jako je Professional Plus nebo Enterprise • Pro podporu dalších formátů jako například pdf je možné využití nástrojů třetích stran
AD RMS – inicializace klienta – – – –
Uživatel poprvé iniciuje IRM operaci Klient “nalezne” AD RMS certifikační URL Klient se ověří proti certifikačnímu URL via AD Server vydá počítačový a uživatelský certifikát (SPC and RAC) – Klient je přesměrován na licenční URL – Klient získá CLC (umožňuje uživateli vytvářet chráněný obsah) – Klient získává licenci k užití pokud ji vyžaduje
Jak klient najde AD RMS • Klient se dotáže AD (AD RMS Service Connection Point) , kde se dozví, kde AD RMS certifikace pro AD forest běží • Klient se pokusí otevřít dokument s použitím licenčního URL, které je součástí dokumentu • Je možné zapsat přímo do registry (např. PC mimo doménu) • Jakmile klient nalezne jednu službu, může najít druhou dotazem na webovou službu ServiceLocator
AD RMS – klíče SLC
AD RMS certifikáty a licence
Server Identity
Vydavatel Veřejný klíč
Vydavatel je
Podpis
User Identity
Vydavatel je Vydavatel je
RAC Issuer Pub key
CLC Šifrováno s
Issuer
Šifrováno s Vydavatel je
Pub key
UL
Prv key
Prv key
PL
Issuer
Signature
Signature
Issuer
Content key
Signature
Content key
Šifrováno s
Signature Machine Identity
Šifrováno s
SPC Issuer
•Certificate key pairs : RSA-1024 •Content key: AES-128 •SLC: Server Licensor Certificate •RAC: Rights Account Certificate •CLC: Client Licensor Certificate •SPC: Security Processor Certificate •PL: Publish License •UL: Use License
Pub key Prv key Signature
Chráněno pomocí DPAPI a RSAVault
Kdo je SuperUser? A co dělá s mými dokumenty? • Skupina SuperUser může být zapnuta a nastavena v AD RMS Serveru • Zjednodušeně, AD RMS bude akceptovat všechny žádosti o licence pro členy této skupiny • SuperUser tak může otevřít libovolný dokument a dělat s ním jakoukoliv operaci • Ve výchozí stavu je tato funkce vypnutá • Používají některé technologie – Bulk protection tool – Exchange transport scanning – Exchange journaling
Důležitá omezení • RMS musí být nasazen v každém AD Forest, kde chci RMS používat – Trusted User Domain (cluster public key import) dovoluje clusteru rozuměnt RACs z jiného forestu
• Licenční služba nemůže otevřít obsah z jiného clusteru – Trusted Publishing Domain (cluster private key import) to umožní
• AD RMS nemůže obsluhovat uživatele v AD forestech bez AD RMS – Microsoft poskytuje AD RMS službu pro Windows Live ID uživatele – AD RMS umožňuje integraci s AD FS! • Tím se rozšiřují hranice AD RMS na všechny trusted AD Foresty
Exchange Prelicensing • Speciální případ: Exchange 2007+ posílá chráněný e-mail uživateli – E-mail (a přílohy) jsou doručeny rovnou s licencí k užití
• Jak to Exchange dělá? – Exchange Hub Transport Servers ví o chráněné zprávě – Žádá o licenci za uživatele pomocí prelicensing služby – RMS server má kopii uživatelského RAC, může tak vydávat licence bez komunikace s klientem
Možnosti Exchange v oblasti IRM (1) • Exchange 2010 může zobrazit chráněný obsah v OWA – IIS je klient – Zpráva je renderovaná na straně serveru a zobrazena v prohlížeči – Prohlížeč má plnou podporu RMS
• Forefront Protection for Exchange může kontrolovat chráněné zprávy – Exchange 2010 používá SuperUser funkci pro získání licence k dané zprávě – Forefront kontroluje nechráněnou zprávu a vrací výsledek Exchange serveru
• Exchange indexuje chráněnou zprávu – Také se používá SuperUser
Možnosti Exchange v oblasti IRM (2) Automatizovaná ochrana obsahu Uživatelsky komfortní Neomezuje IT infrastrukturu
• Transport Protection Rule • Protected Voice Message • Outlook Protection Rule • RMS Integration in OWA • Protected Attachment viewing in OWA • EAS support for RMS
• Transport Pipeline Decryption • Journal Report Decryption
Integrace s SharePointem • SharePoint může ukládat chráněné dokumenty – Ale nemůže je indexovat
• SharePoint 2007 a 2010 umí chránit dokumenty automatizovaně – – – –
Dokumenty jsou opatřeny ochranou až v době stahování uživatelem! Dokumenty jsou uloženy v nechráněném formátu Pokud dojde k re-upload, dokumenty jsou odRMSkovány Umožňuje indexovat, skenovat na přítomnost malware atp.
• Dokumenty jsou chráněny právy pro uživatele, který dokument stahuje
Shrnutí • AD RMS je jednoduše PKI + šifrování dokumentu + politiky • AD RMS je webová služba, která vydává certifikáty a licence uživatelům • Aplikace šifruje dokumenty a aplikuje politiky (licence k publikaci) • Uživatelé konzumují dokumenty díky licenci k užití • Servery kontrolují identity a práva, vydávají licence • Aplikace vynucuje práva • Zbytek jen jen obslužná logika kolem
Školení této oblasti naleznete v nabídce Počítačové školy Gopas na www.gopas.cz Každý odevzdaný dotazník bude v místě registrace odměněn tričkem s hlavou plnou vědomostí. Vaše spokojenost je pro nás vždy na prvním místě.
