Add to collection(s) Add to saved
  1. No category

Технологии и продукты Microsoft в обеспечении ИБ Rights Management Services

advertisement 
Технологии и продукты
Microsoft в обеспечении ИБ
Лекция 22. Управление доступом на основе Windows
Rights Management Services
Цели
 Рассмотреть новый подход к управлению
правами доступа RMS
 Познакомиться с форматом представления
данных XrML (Extensible Rights Markup
Language)
 Проанализировать ограничения технологии
2
Высшая школа экономики - 2009
IRM и RMS
 Цель: предотвратить неавторизованное
использование цифровых документов
 Запретить пересылку
 Запретить печать
 Защитить intranet
 IRM – клиент-серверная технология,
встроенная в Office 2003 и значительно
упрощенная в Office 2007, интегрирована в IE
 Использует цифровые сертификаты Rights
Management Services в Windows 2003/Longhorn
 Пробная версия доступна на базе Passport/Live ID
3
Высшая школа экономики - 2009
WRMS – это:
 Технология, которая позволяет
организациям создавать и применять
политики использования информации
 Для любого приложения
 В любом формате
 Политика использования, которая
«живёт» вместе с информацией
 Куда и каким бы способом ни
перемещалась защищенная информация
4
Высшая школа экономики - 2009
Основы IRM
 В IRM документы «привязываются»к пользователям
и машинам
 Форма DRM (Digital Rights Management)
 Известна как ERM (Enterprise Rights Management)
 Для защиты ключей можно использовать смарткарты
 Начиная с RMS SP1
 Защита ключей – на основе обфускации
 Так называемый механизм Lockbox
 Не подходит для обеспечения конфиденциальности
 IRM на платформе Vista/Office 2007 не использует
TPM
5
Высшая школа экономики - 2009
Алгоритмы IRM
 IRM - не для шифрования данных!
 Сертифицированные алгоритмы FIPS-140-1
 AES для шифрования
 RSA для обмена ключами
 Аутентификация пользователей - смарткарты
 Должно быть установлено соответствие между
пользователем и его сертификатом X.509 в AD
6
Высшая школа экономики - 2009
Компоненты RMS
 Windows Rights Management Services (WRMS)
 Дополнительный компонент Windows Server 2003/2008
• http://www.microsoft.com/rms
 Клиентская часть WRMS
 Rights Management APIs для всех версий Windows (98SE,
2000, XP, 2003, Vista, 7)
 Rights Management Add-on для Internet Explorer
 Software Development Kit
 Инструментарий разработчика для серверной и клиентской
частей
 Приложения, поддерживающие RM
 Любое приложение, созданное с использованием RM SDK
 Microsoft Office 2003/2007
7
Высшая школа экономики - 2009
Схема взаимодействия узлов на основе
технологии RMS в Windows Server 2003
8
Высшая школа экономики - 2009
Усовершенствования в Windows
Server 2008
 Использование приложения AD RMS на
основе службы федерации Active Directory
(ADFS) позволяет обеспечить
унифицированный контроль доступа к
документам не только со стороны
сотрудников, но и со стороны клиентов,
партнеров и поставщиков
 Значительно упростилась процедура
инсталляции
9
Высшая школа экономики - 2009
Установка
 Для установки WRMS необходимы
 Windows Server 2003/2008
• Active Directory
 Internet Information Services 6.0
• ASP.Net
 Microsoft SQL Server (версия от 2000 SP3 / MSDE)
 MSMQ в режиме “Active Directory Integration”
 Для первоначальной регистрации корневого
сервера RMS в Microsoft Enrollment Center
необходимо подключение к Интернет
 Для каждого пользователя RMS необходимо
приобрести клиентскую лицензию (RMS
CAL)
10
Высшая школа экономики - 2009
Интернет
 Для инициализации корневого сервера
WRMS необходимо подключение к Интернет
и связь с сервером Microsoft
 Для активации каждой клиентской машины
необходима связь с Центром Активации
Microsoft
 После инициализации сервера и активации
всех машин, для работы WRMS/IRM доступ к
Интернету не требуется
11
Высшая школа экономики - 2009
Конфиденциальность и Microsoft
 В процессе работы корпоративной службы
WRMS никакая информация в Microsoft не
передается
 При регистрации корневого сервера WRMS на
UDDI.microsoft.com, ему лишь выдается цифровой
сертификат, определяющий корень доверяемой
инфраструктуры
 При активации клиентской машины в Центр
Активации Microsoft передается только хеш
информации из оборудования машины
12
Высшая школа экономики - 2009
Производительность RMS
 Базовые требования аналогичны Windows
2003
 Минимум = P3-800 MHz, 256MB RAM, 20GB
 Рекомендуемый = Dual P4-1.5 GHz, 512MB RAM,
40GB
 RMS в основном нагружает ЦПУ
 RMS так же требует дополнительной памяти
 RMS кэширует обращения к RMS серверу так же как
и MS SQL базе данных DirectoryServices
13
Высшая школа экономики - 2009
Примеры RMS шаблонов
 Корпоративные шаблоны RMS доступны
через меню Разрешения в Outlook, Word,
PowerPoint, и Excel
14
Высшая школа экономики - 2009
IRM не в силах побороть «аналоговый»
барьер 
15
Высшая школа экономики - 2009
Использованные источники
 Сердюк В. Современные технологии защиты
от утечки конфиденциальной информации
//"Век качества", 2005, №3, стр. 62-67.
 Technical Overview of Windows Rights
Management Services for Windows Server
2003. Microsoft Corporation. November 2003.
Available at:
http://www.microsoft.com/windowsserver2003/te
chnologies/rightsmgmt/default.mspx
 Lukawiecki R. A-to-Z of Data Protection on the
Windows Platform // Microsoft TechEd IT Forum,
2006.
16
Высшая школа экономики - 2009
Спасибо за внимание!
Related documents
RMS (Remote Messaging Service) Установка 1. Развертывание
RMS (Remote Messaging Service) Установка 1. Развертывание
Мониторинг профессионального роста педагогов эколого
Мониторинг профессионального роста педагогов эколого
сокращенный состав
сокращенный состав
МАУК «Центр Культуры и Искуств «Верх
МАУК «Центр Культуры и Искуств «Верх
НОВЫЙ СОВМЕСТНЫЙ ПРОЕКТ АКАДЕМИЧЕСКОЙ
НОВЫЙ СОВМЕСТНЫЙ ПРОЕКТ АКАДЕМИЧЕСКОЙ
График приема специалистов
График приема специалистов
Лабораторно-практическая по теме
Лабораторно-практическая по теме
Document71410 71410
Document71410 71410
приложение СПЕЦИФИКАЦИЯ ОБОРУДОВАНИЯ ДК пос. ЛИСИЙ НОС
приложение СПЕЦИФИКАЦИЯ ОБОРУДОВАНИЯ ДК пос. ЛИСИЙ НОС
Защита любого типа файлов
Защита любого типа файлов
Download
advertisement