Скачать презентацию Технологии и продукты Microsoft в обеспечении ИБ Лекция Скачать презентацию Технологии и продукты Microsoft в обеспечении ИБ Лекция

83410088264904a606977957fd528068.ppt

  • Количество слайдов: 17

Технологии и продукты Microsoft в обеспечении ИБ Лекция 22. Управление доступом на основе Windows Технологии и продукты Microsoft в обеспечении ИБ Лекция 22. Управление доступом на основе Windows Rights Management Services

Цели § Рассмотреть новый подход к управлению правами доступа RMS § Познакомиться с форматом Цели § Рассмотреть новый подход к управлению правами доступа RMS § Познакомиться с форматом представления данных Xr. ML (Extensible Rights Markup Language) § Проанализировать ограничения технологии 2 Высшая школа экономики - 2009

IRM и RMS § Цель: предотвратить неавторизованное использование цифровых документов § Запретить пересылку § IRM и RMS § Цель: предотвратить неавторизованное использование цифровых документов § Запретить пересылку § Запретить печать § Защитить intranet § IRM – клиент-серверная технология, встроенная в Office 2003 и значительно упрощенная в Office 2007, интегрирована в IE § Использует цифровые сертификаты Rights Management Services в Windows 2003/Longhorn § Пробная версия доступна на базе Passport/Live ID 3 Высшая школа экономики - 2009

WRMS – это: § Технология, которая позволяет организациям создавать и применять политики использования информации WRMS – это: § Технология, которая позволяет организациям создавать и применять политики использования информации § Для любого приложения § В любом формате § Политика использования, которая «живёт» вместе с информацией § Куда и каким бы способом ни перемещалась защищенная информация 4 Высшая школа экономики - 2009

Основы IRM § В IRM документы «привязываются» к пользователям и машинам § Форма DRM Основы IRM § В IRM документы «привязываются» к пользователям и машинам § Форма DRM (Digital Rights Management) § Известна как ERM (Enterprise Rights Management) § Для защиты ключей можно использовать смарткарты § Начиная с RMS SP 1 § Защита ключей – на основе обфускации § Так называемый механизм Lockbox § Не подходит для обеспечения конфиденциальности § IRM на платформе Vista/Office 2007 не использует TPM 5 Высшая школа экономики - 2009

Алгоритмы IRM § IRM - не для шифрования данных! § Сертифицированные алгоритмы FIPS-140 -1 Алгоритмы IRM § IRM - не для шифрования данных! § Сертифицированные алгоритмы FIPS-140 -1 § AES для шифрования § RSA для обмена ключами § Аутентификация пользователей - смарткарты § Должно быть установлено соответствие между пользователем и его сертификатом X. 509 в AD 6 Высшая школа экономики - 2009

Компоненты RMS § Windows Rights Management Services (WRMS) § Дополнительный компонент Windows Server 2003/2008 Компоненты RMS § Windows Rights Management Services (WRMS) § Дополнительный компонент Windows Server 2003/2008 • http: //www. microsoft. com/rms § Клиентская часть WRMS § Rights Management APIs для всех версий Windows (98 SE, 2000, XP, 2003, Vista, 7) § Rights Management Add-on для Internet Explorer § Software Development Kit § Инструментарий разработчика для серверной и клиентской частей § Приложения, поддерживающие RM § Любое приложение, созданное с использованием RM SDK § Microsoft Office 2003/2007 7 Высшая школа экономики - 2009

Схема взаимодействия узлов на основе технологии RMS в Windows Server 2003 8 Высшая школа Схема взаимодействия узлов на основе технологии RMS в Windows Server 2003 8 Высшая школа экономики - 2009

Усовершенствования в Windows Server 2008 § Использование приложения AD RMS на основе службы федерации Усовершенствования в Windows Server 2008 § Использование приложения AD RMS на основе службы федерации Active Directory (ADFS) позволяет обеспечить унифицированный контроль доступа к документам не только со стороны сотрудников, но и со стороны клиентов, партнеров и поставщиков § Значительно упростилась процедура инсталляции 9 Высшая школа экономики - 2009

Установка § Для установки WRMS необходимы § Windows Server 2003/2008 • Active Directory § Установка § Для установки WRMS необходимы § Windows Server 2003/2008 • Active Directory § Internet Information Services 6. 0 • ASP. Net § Microsoft SQL Server (версия от 2000 SP 3 / MSDE) § MSMQ в режиме “Active Directory Integration” § Для первоначальной регистрации корневого сервера RMS в Microsoft Enrollment Center необходимо подключение к Интернет § Для каждого пользователя RMS необходимо приобрести клиентскую лицензию (RMS CAL) 10 Высшая школа экономики - 2009

Интернет § Для инициализации корневого сервера WRMS необходимо подключение к Интернет и связь с Интернет § Для инициализации корневого сервера WRMS необходимо подключение к Интернет и связь с сервером Microsoft § Для активации каждой клиентской машины необходима связь с Центром Активации Microsoft § После инициализации сервера и активации всех машин, для работы WRMS/IRM доступ к Интернету не требуется 11 Высшая школа экономики - 2009

Конфиденциальность и Microsoft § В процессе работы корпоративной службы WRMS никакая информация в Microsoft Конфиденциальность и Microsoft § В процессе работы корпоративной службы WRMS никакая информация в Microsoft не передается § При регистрации корневого сервера WRMS на UDDI. microsoft. com, ему лишь выдается цифровой сертификат, определяющий корень доверяемой инфраструктуры § При активации клиентской машины в Центр Активации Microsoft передается только хеш информации из оборудования машины 12 Высшая школа экономики - 2009

Производительность RMS § Базовые требования аналогичны Windows 2003 § Минимум = P 3 -800 Производительность RMS § Базовые требования аналогичны Windows 2003 § Минимум = P 3 -800 MHz, 256 MB RAM, 20 GB § Рекомендуемый = Dual P 4 -1. 5 GHz, 512 MB RAM, 40 GB § RMS в основном нагружает ЦПУ § RMS так же требует дополнительной памяти § RMS кэширует обращения к RMS серверу так же как и MS SQL базе данных Directory. Services 13 Высшая школа экономики - 2009

Примеры RMS шаблонов § Корпоративные шаблоны RMS доступны через меню Разрешения в Outlook, Word, Примеры RMS шаблонов § Корпоративные шаблоны RMS доступны через меню Разрешения в Outlook, Word, Power. Point, и Excel 14 Высшая школа экономики - 2009

IRM не в силах побороть «аналоговый» барьер 15 Высшая школа экономики - 2009 IRM не в силах побороть «аналоговый» барьер 15 Высшая школа экономики - 2009

Использованные источники § Сердюк В. Современные технологии защиты от утечки конфиденциальной информации // Использованные источники § Сердюк В. Современные технологии защиты от утечки конфиденциальной информации //"Век качества", 2005, № 3, стр. 62 -67. § Technical Overview of Windows Rights Management Services for Windows Server 2003. Microsoft Corporation. November 2003. Available at: http: //www. microsoft. com/windowsserver 2003/te chnologies/rightsmgmt/default. mspx § Lukawiecki R. A-to-Z of Data Protection on the Windows Platform // Microsoft Tech. Ed IT Forum, 2006. 16 Высшая школа экономики - 2009

Спасибо за внимание! Спасибо за внимание!