Технологии и продукты Microsoft в обеспечении ИБ Лекция 22. Управление доступом на основе Windows Rights Management Services. - презентация

1 Технологии и продукты Microsoft в обеспечении ИБ Лекция 22. Управление доступом на основе Windows Rights Management Services

2 Высшая школа экономики Цели Рассмотреть новый подход к управлению правами доступа RMS Познакомиться с форматом представления данных XrML (Extensible Rights Markup Language) Проанализировать ограничения технологии

3 Высшая школа экономики IRM и RMS Цель: предотвратить неавторизованное использование цифровых документов Запретить пересылку Запретить печать Защитить intranet IRM – клиент-серверная технология, встроенная в Office 2003 и значительно упрощенная в Office 2007, интегрирована в IE Использует цифровые сертификаты Rights Management Services в Windows 2003/Longhorn Пробная версия доступна на базе Passport/Live ID

4 Высшая школа экономики Технология, которая позволяет организациям создавать и применять политики использования информации Для любого приложения В любом формате Политика использования, которая «живёт» вместе с информацией Куда и каким бы способом ни перемещалась защищенная информация WRMS – это:

5 Высшая школа экономики Основы IRM В IRM документы «привязываются»к пользователям и машинам Форма DRM (Digital Rights Management) Известна как ERM (Enterprise Rights Management) Для защиты ключей можно использовать смарткарты Начиная с RMS SP1 Защита ключей – на основе обфускации Так называемый механизм Lockbox Не подходит для обеспечения конфиденциальности IRM на платформе Vista/Office 2007 не использует TPM

6 Высшая школа экономики Алгоритмы IRM IRM - не для шифрования данных! Сертифицированные алгоритмы FIPS AES для шифрования RSA для обмена ключами Аутентификация пользователей - смарткарты Должно быть установлено соответствие между пользователем и его сертификатом X.509 в AD

7 Высшая школа экономики Windows Rights Management Services (WRMS) Дополнительный компонент Windows Server 2003/ Клиентская часть WRMS Rights Management APIs для всех версий Windows (98SE, 2000, XP, 2003, Vista, 7) Rights Management Add-on для Internet Explorer Software Development Kit Инструментарий разработчика для серверной и клиентской частей Приложения, поддерживающие RM Любое приложение, созданное с использованием RM SDK Microsoft Office 2003/2007 Компоненты RMS

8 Высшая школа экономики Схема взаимодействия узлов на основе технологии RMS в Windows Server 2003

9 Высшая школа экономики Усовершенствования в Windows Server 2008 Использование приложения AD RMS на основе службы федерации Active Directory (ADFS) позволяет обеспечить унифицированный контроль доступа к документам не только со стороны сотрудников, но и со стороны клиентов, партнеров и поставщиков Значительно упростилась процедура инсталляции

10 Высшая школа экономики Для установки WRMS необходимы Windows Server 2003/2008 Active Directory Internet Information Services 6.0 ASP.Net Microsoft SQL Server (версия от 2000 SP3 / MSDE) MSMQ в режиме Active Directory Integration Microsoft Enrollment Center Для первоначальной регистрации корневого сервера RMS в Microsoft Enrollment Center необходимо подключение к Интернет Для каждого пользователя RMS необходимо приобрести клиентскую лицензию (RMS CAL) Установка

11 Высшая школа экономики Интернет Для инициализации корневого сервера WRMS необходимо подключение к Интернет и связь с сервером Microsoft Для активации каждой клиентской машины необходима связь с Центром Активации Microsoft После инициализации сервера и активации всех машин, для работы WRMS/IRM доступ к Интернету не требуется

12 Высшая школа экономики Конфиденциальность и Microsoft В процессе работы корпоративной службы WRMS никакая информация в Microsoft не передается При регистрации корневого сервера WRMS на UDDI.microsoft.com, ему лишь выдается цифровой сертификат, определяющий корень доверяемой инфраструктуры При активации клиентской машины в Центр Активации Microsoft передается только хеш информации из оборудования машины

13 Высшая школа экономики Производительность RMS Базовые требования аналогичны Windows 2003 Минимум = P3-800 MHz, 256MB RAM, 20GB Рекомендуемый = Dual P4-1.5 GHz, 512MB RAM, 40GB RMS в основном нагружает ЦПУ RMS так же требует дополнительной памяти RMS кэширует обращения к RMS серверу так же как и MS SQL базе данных DirectoryServices

14 Высшая школа экономики Примеры RMS шаблонов Корпоративные шаблоны RMS доступны через меню Разрешения в Outlook, Word, PowerPoint, и Excel

15 Высшая школа экономики IRM не в силах побороть «аналоговый» барьер

16 Высшая школа экономики Использованные источники Сердюк В. Современные технологии защиты от утечки конфиденциальной информации //"Век качества", 2005, 3, стр Technical Overview of Windows Rights Management Services for Windows Server Microsoft Corporation. November Available at: chnologies/rightsmgmt/default.mspx chnologies/rightsmgmt/default.mspx Lukawiecki R. A-to-Z of Data Protection on the Windows Platform // Microsoft TechEd IT Forum, 2006.

17 Спасибо за внимание!