Expertem na AD RMS za 75 minut. MIROSLAV KNOTEK Microsoft MVP IT Senior Consultant KPCS CZ, s.r.o. knotek@kpcs.cz www.kpcs.cz

Expertem na AD RMS za 75 minut MIROSLAV KNOTEK Microsoft MVP IT Senior Consultant KPCS CZ, s.r.o. knotek@kpcs.cz www.kpcs.cz

Cíle přednášky Představit základy ochrany informací prostřednictvím AD RMS Seznámit s možnostmi rozšíření funkcionality AD RMS ve spolupráci s dalšími produkty Vysvětlit jakým způsobem a jakými šifrovacími operacemi dochází ochraně v RMS AD RMS je ve skutečnosti velmi jednoduchá technologie Jakmile člověk jednou pochopí základy, není problém pochopit i pokročilejší funkce a scénáře

Co očekávat od přednášky Nebudeme vysvětlovat hluboké detaily technologie ani pokročilé funkce ani specifickou konfiguraci Cílem je porozumět základům technologie

Předpoklady Znáte rozhraní IRM v MS Office Základy Active Directory Základy IIS a webových služeb Základy kryptografie Symetrické a asymetrické šifrování Digitální podepisování Certifikáty Základy PKI Jste už probuzeni a máte 75 minut času

Nemůžeme věřit, že uživatelé vždy správně ochrání data Top 10 threats to Enterprise Security - IDC 80% of all data leaks occur because of accidents that is users, being unaware of data policies, as opposed to having malicious intent. - Forrester, 2008

Jak NEchránit informace

Co je AD RMS Technologie pro ochranu informací Poskytuje trvalou ochranu dokumentů Ochrana cestuje s dokumenty Nezávisí na technologii uložení dokumentu Ochrana proti záměrným i nechtěným únikům Založeno na 2 pilířích: šifrování + politiky Spolupracuje s celou MS infrastrukturou AD poskytuje idenity a skupiny Windows poskytuje ochranu klíčů a další funkce Office poskytuje uživatelské rozhraní a vynucení politik Exchange, Sharepoint a další rozšiřují možnosti využití

Co neumí AD RMS Existují sofistikované útoky, kterým RMS nezabrání

Tradiční přístup k ochraně přístupu Autorizovaní uživatelé Únik informací Přístupová práva Neautorizovaní uživatelé Neautorizovaní uživatelé

Jak to řeší AD RMS Ochrana dokumentu Centrální politiky pomocí šablon Šifrování dat Vynucení politik při otevření dokumentu Dešifrování pro autorizované osoby Možnost omezit Předat dál Tisk Kopírovat&vložit

Ochrana Autor automaticky získá AD RMS credentials ( rights account certificate a client licensor certificate ) při první ochraně informace 2. Machine cert And RAC AD RMS Workflow AD RMS Server 1 Publishing License And RAC Konzumace Use License Bob@abc.com: Read,Print AD RMS Protected (Decrypted) Aplikace otevře soubor a vynutí práva ` ` RMS Author RMS Consumer Publishing License Bob@abc.com: Read,Print Cathy@abc.com: Read Lawyers@abc.com:Read Aplikace pracuje s RMS klientem při vytvoření licence k publikování, šifruje soubor, licenci přidává k souboru RMS Protected (Encrypted) AD RMS autor distribuuje soubor Příjemce klikne pro otevření souboru. Aplikace posílá credentials a licenci k publikování na AD RMS server, který autorizuje uživatele a vydá licenci k užití

Příklad: chráněný dokument Word, Excel nebo PowerPoint Vytvořena, když je dokument opatřen ochranou Licence k publikování Licence k použití Šifrováno veřejným klíčem serveru Šifrováno veřejným klíčem serveru Šifrováno klíčem k obsahu, kryptograficky 128-bit AES (symetrické šifrování) Klíč k obsahu Práva pro všechny a Práva pro uživatele Klíč k obsahu Obsah souboru (Text, obrázek, metadata, atp.) Šifrováno veřejným klíčem uživatele Šifrováno veřejným klíčem uživatele

RMS certifikáty AD RMS používá certifikáty pro identity a licence AD RMS nepoužívá X.509 certifikáty! AD RMS používá XrML certifikáty Podobné jako X.509 ale s prostorem pro politiky Identita certifikátu: Toto je uživatel X a jeho e-mail je Ještě jsou tu počítačové certifikáty

Licence k publikování Dokument chráněný IRM má přímo v sobě vloženu licenci k přečtení Seznam oprávnění (podobně jako je v ACL) Subjektem práv jsou e-mailové adresy Uživatelé i skupiny Práva jsou operace View Edit Copy Print Forward Atp.

Licence k užití Při konzumaci obsahu, uživatelé získají licenci k užití z RMS serveru Licence k užití je vystavena na základě informací uvedených v licenci k publikování Obsahuje seznam oprávnění pro uživatele, který o přístup žádá Licence k užití Nedá se přenášet Funguje pouze na zařízení ze které byla zaslána žádost Může být cacheovaná (nebo nemusí) Má omezenou platnost

Šablony Místo detailní definice práv je možné použít šablonu Licence k publikování pak obsahuje GUID šablony, nikoliv seznam práv Šablona na serveru obsahuje definici práv pro různé uživatele a skupiny Server vyhodnocuje šablonu ve chvíli, kdy uživatel konzumuje obsah Klient na které chráněný obsah vzniká potřebuje mít kopii šablony, aby věděl co aplikuje Šablony se spravují centrálně Mohou být aktualizovány Šablony zrcadlí určené politiky pro práci s informacemi

Šablony v akci Šablona SQL Server udržuje poslední šablony AD RMS server Ochrana informace Dokument chráněn na základě šablony Aplikace s podporou RMS požaduje licenci k užití Konzument

Přehled AD RMS komponent AD RMS server Certifikuje uživatelské identity Licencuje AD RMS chráněný obsah AD RMS klient Instalovaný na klientském počítači Zajišťuje komunikaci mezi RMS-enabled apliakcí a AD RMS serverm AD RMS-enabled aplikace Umožňuje konzumovat AD RMS chráněný obsah U aplikací se podpora může lišit dle edicí Možný vlastní vývoj - AD RMS SDK AD RMS Server AD RMS klient

AD RMS Server - terminologie Certifikační server (nebo cluster) První AD RMS server (cluster) v prostředí Poskytuje certifikace a licencování Licenční server (volitelně) Poskytuje pouze licence Závisí na certifikačním serveru Cluster Skupina stejných AD RMS serverů sdílející stejné databáze Nejedná se o Windows Server Clustering Services

Topologie AD RMS Databáze AD RMS Root Server AD RMS Root Cluster Databáze Databáze License-only Server License-only Server Cluster

AD RMS komponenty infrastruktury Active Directory SQL AD RMS Server RMS klient RM-enabled aplikace Sharepoint Exchange Server

AD RMS Server Windows Server 2008/2008 R2 v rámci IIS Je to webová služba! Typicky běží přes SSL Využívá IIS s ASP.NET Bezstavový Využívá Microsoft Message Queuing Zodpovědnost za transakce zapisované do SQL databáze Poskytuje řešení pro situaci, kdy je ztraceno připojení mezi AD RMS serverem a SQL Serverem AD RMS Server

AD RMS databáze AD RMS webová služba je stateless Všechny trvalé informace jsou uloženy v SQL serveru Tři oddělené databáze Configuration: konfigurační data, cluster a uživatelské klíče Caching: AD identity a členství ve skupinách Logging: logování o operacích s licencemi Většina operací se vykonává asynchroně Data se zapisují do MSMQ, zápis do DB až když je to možné Pokud DB není dostupná, AD RMS pracuje téměř normálně

Active Directory Poskytuje autentizaci Každý účet používající AD RMS musí mít e- mailovou adresu Poskytuje Service Connection Point (SCP) pro nalezení služby Určuje členství ve skupinách Active Directory by měla být v nativním módu Jeden AD RMS root cluster per AD forest AD RMS certifikace je limitována na uživatele v rámci AD forestu Active Directory

AD RMS: Hardware požadavky Požadavky One Pentium 4 3 GHz processor or higher Doporučení Two Pentium 4 3 GHz processors or higher 512 MB of RAM 1024 MB of RAM 40 GB of free hard disk space 80 GB of free hard disk space

AD RMS: Software požadavky Operating system File system Messaging Web services Requirement Windows Server 2008/2008 R2 NTFS file system is recommended Message Queuing Internet Information Services (IIS) ASP.NET must be enabled. Active Directory or AD DS AD RMS must be installed in an Active Directory domain in which the domain controllers are running Windows Server 2000 with Service Pack 3 (SP3), Windows Server 2003, or Windows Server 2008. All users and groups who use AD RMS to acquire licenses and publish content must have an e-mail address configured in Active Directory. Database server AD RMS requires a database server, such as Microsoft SQL Server 2008, and stored procedures to perform operations.

AD RMS: RMS klient Jeho základní funkcí je zprostředkovávat komunikaci mezi aplikací s podporou RMS a RMS serverem. AD RMS klient je integrovanou součástí Windows Vista a Windows 7. AD RMS klient může být instalován jako samostatná aplikace pro systémy Windows 2000 SP4 a vyšší Zprostředkovává aktivaci počítače, kde není nutný kontakt s AD RMS serverem

AD RMS: RMS aplikace Zajišťuje praktickou implementaci IRM pro ochranu citlivých informací. Typicky běžná aplikace, která je rozšířena o podporu tvorby či otevírání chráněného obsahu Typickými aplikacemi s podporou jsou vybrané aplikace Office 2003/2007 a 2010 ve vyšších edicích jako je Professional Plus nebo Enterprise Pro podporu dalších formátů jako například pdf je možné využití nástrojů třetích stran

AD RMS inicializace klienta Uživatel poprvé iniciuje IRM operaci Klient nalezne AD RMS certifikační URL Klient se ověří proti certifikačnímu URL via AD Server vydá počítačový a uživatelský certifikát (SPC and RAC) Klient je přesměrován na licenční URL Klient získá CLC (umožňuje uživateli vytvářet chráněný obsah) Klient získává licenci k užití pokud ji vyžaduje

Jak klient najde AD RMS Klient se dotáže AD (AD RMS Service Connection Point), kde se dozví, kde AD RMS certifikace pro AD forest běží Klient se pokusí otevřít dokument s použitím licenčního URL, které je součástí dokumentu Je možné zapsat přímo do registry (např. PC mimo doménu) Jakmile klient nalezne jednu službu, může najít druhou dotazem na webovou službu ServiceLocator

AD RMS certifikáty a licence AD RMS klíče Vydavatel je SLC Server Identity Vydavatel Veřejný klíč Vydavatel je Podpis User Identity Vydavatel je UL Issuer Content key Signature Šifrováno s RAC Issuer Pub key Prv key Signature Šifrováno s CLC Issuer Pub key Prv key Signature Vydavatel je PL Issuer Content key Signature Šifrováno s Šifrováno s SPC Machine Identity Certificate key pairs : RSA-1024 Content key: AES-128 SLC: Server Licensor Certificate RAC: Rights Account Certificate CLC: Client Licensor Certificate SPC: Security Processor Certificate PL: Publish License UL: Use License Issuer Pub key Prv key Signature Chráněno pomocí DPAPI a RSAVault

Kdo je SuperUser? A co dělá s mými dokumenty? Skupina SuperUser může být zapnuta a nastavena v AD RMS Serveru Zjednodušeně, AD RMS bude akceptovat všechny žádosti o licence pro členy této skupiny SuperUser tak může otevřít libovolný dokument a dělat s ním jakoukoliv operaci Ve výchozí stavu je tato funkce vypnutá Používají některé technologie Bulk protection tool Exchange transport scanning Exchange journaling

Důležitá omezení RMS musí být nasazen v každém AD Forest, kde chci RMS používat Trusted User Domain (cluster public key import) dovoluje clusteru rozuměnt RACs z jiného forestu Licenční služba nemůže otevřít obsah z jiného clusteru Trusted Publishing Domain (cluster private key import) to umožní AD RMS nemůže obsluhovat uživatele v AD forestech bez AD RMS Microsoft poskytuje AD RMS službu pro Windows Live ID uživatele AD RMS umožňuje integraci s AD FS! Tím se rozšiřují hranice AD RMS na všechny trusted AD Foresty

Exchange Prelicensing Speciální případ: Exchange 2007+ posílá chráněný e-mail uživateli E-mail (a přílohy) jsou doručeny rovnou s licencí k užití Jak to Exchange dělá? Exchange Hub Transport Servers ví o chráněné zprávě Žádá o licenci za uživatele pomocí prelicensing služby RMS server má kopii uživatelského RAC, může tak vydávat licence bez komunikace s klientem

Možnosti Exchange v oblasti IRM (1) Exchange 2010 může zobrazit chráněný obsah v OWA IIS je klient Zpráva je renderovaná na straně serveru a zobrazena v prohlížeči Prohlížeč má plnou podporu RMS Forefront Protection for Exchange může kontrolovat chráněné zprávy Exchange 2010 používá SuperUser funkci pro získání licence k dané zprávě Forefront kontroluje nechráněnou zprávu a vrací výsledek Exchange serveru Exchange indexuje chráněnou zprávu Také se používá SuperUser

Možnosti Exchange v oblasti IRM (2) Automatizovaná ochrana obsahu Transport Protection Rule Protected Voice Message Outlook Protection Rule Uživatelsky komfortní RMS Integration in OWA Protected Attachment viewing in OWA EAS support for RMS Neomezuje IT infrastrukturu Transport Pipeline Decryption Journal Report Decryption

Integrace s SharePointem SharePoint může ukládat chráněné dokumenty Ale nemůže je indexovat SharePoint 2007 a 2010 umí chránit dokumenty automatizovaně Dokumenty jsou opatřeny ochranou až v době stahování uživatelem! Dokumenty jsou uloženy v nechráněném formátu Pokud dojde k re-upload, dokumenty jsou odrmskovány Umožňuje indexovat, skenovat na přítomnost malware atp. Dokumenty jsou chráněny právy pro uživatele, který dokument stahuje

Shrnutí AD RMS je jednoduše PKI + šifrování dokumentu + politiky AD RMS je webová služba, která vydává certifikáty a licence uživatelům Aplikace šifruje dokumenty a aplikuje politiky (licence k publikaci) Uživatelé konzumují dokumenty díky licenci k užití Servery kontrolují identity a práva, vydávají licence Aplikace vynucuje práva Zbytek jen jen obslužná logika kolem

Školení této oblasti naleznete v nabídce Počítačové školy Gopas na www.gopas.cz Každý odevzdaný dotazník bude v místě registrace odměněn tričkem s hlavou plnou vědomostí. Vaše spokojenost je pro nás vždy na prvním místě.