Технологии и продукты Microsoft в обеспечении ИБ Лекция 22. Управление доступом на основе Windows Rights Management Services
Цели § Рассмотреть новый подход к управлению правами доступа RMS § Познакомиться с форматом представления данных Xr. ML (Extensible Rights Markup Language) § Проанализировать ограничения технологии 2 Высшая школа экономики - 2009
IRM и RMS § Цель: предотвратить неавторизованное использование цифровых документов § Запретить пересылку § Запретить печать § Защитить intranet § IRM – клиент-серверная технология, встроенная в Office 2003 и значительно упрощенная в Office 2007, интегрирована в IE § Использует цифровые сертификаты Rights Management Services в Windows 2003/Longhorn § Пробная версия доступна на базе Passport/Live ID 3 Высшая школа экономики - 2009
WRMS – это: § Технология, которая позволяет организациям создавать и применять политики использования информации § Для любого приложения § В любом формате § Политика использования, которая «живёт» вместе с информацией § Куда и каким бы способом ни перемещалась защищенная информация 4 Высшая школа экономики - 2009
Основы IRM § В IRM документы «привязываются» к пользователям и машинам § Форма DRM (Digital Rights Management) § Известна как ERM (Enterprise Rights Management) § Для защиты ключей можно использовать смарткарты § Начиная с RMS SP 1 § Защита ключей – на основе обфускации § Так называемый механизм Lockbox § Не подходит для обеспечения конфиденциальности § IRM на платформе Vista/Office 2007 не использует TPM 5 Высшая школа экономики - 2009
Алгоритмы IRM § IRM - не для шифрования данных! § Сертифицированные алгоритмы FIPS-140 -1 § AES для шифрования § RSA для обмена ключами § Аутентификация пользователей - смарткарты § Должно быть установлено соответствие между пользователем и его сертификатом X. 509 в AD 6 Высшая школа экономики - 2009
Компоненты RMS § Windows Rights Management Services (WRMS) § Дополнительный компонент Windows Server 2003/2008 • http: //www. microsoft. com/rms § Клиентская часть WRMS § Rights Management APIs для всех версий Windows (98 SE, 2000, XP, 2003, Vista, 7) § Rights Management Add-on для Internet Explorer § Software Development Kit § Инструментарий разработчика для серверной и клиентской частей § Приложения, поддерживающие RM § Любое приложение, созданное с использованием RM SDK § Microsoft Office 2003/2007 7 Высшая школа экономики - 2009
Схема взаимодействия узлов на основе технологии RMS в Windows Server 2003 8 Высшая школа экономики - 2009
Усовершенствования в Windows Server 2008 § Использование приложения AD RMS на основе службы федерации Active Directory (ADFS) позволяет обеспечить унифицированный контроль доступа к документам не только со стороны сотрудников, но и со стороны клиентов, партнеров и поставщиков § Значительно упростилась процедура инсталляции 9 Высшая школа экономики - 2009
Установка § Для установки WRMS необходимы § Windows Server 2003/2008 • Active Directory § Internet Information Services 6. 0 • ASP. Net § Microsoft SQL Server (версия от 2000 SP 3 / MSDE) § MSMQ в режиме “Active Directory Integration” § Для первоначальной регистрации корневого сервера RMS в Microsoft Enrollment Center необходимо подключение к Интернет § Для каждого пользователя RMS необходимо приобрести клиентскую лицензию (RMS CAL) 10 Высшая школа экономики - 2009
Интернет § Для инициализации корневого сервера WRMS необходимо подключение к Интернет и связь с сервером Microsoft § Для активации каждой клиентской машины необходима связь с Центром Активации Microsoft § После инициализации сервера и активации всех машин, для работы WRMS/IRM доступ к Интернету не требуется 11 Высшая школа экономики - 2009
Конфиденциальность и Microsoft § В процессе работы корпоративной службы WRMS никакая информация в Microsoft не передается § При регистрации корневого сервера WRMS на UDDI. microsoft. com, ему лишь выдается цифровой сертификат, определяющий корень доверяемой инфраструктуры § При активации клиентской машины в Центр Активации Microsoft передается только хеш информации из оборудования машины 12 Высшая школа экономики - 2009
Производительность RMS § Базовые требования аналогичны Windows 2003 § Минимум = P 3 -800 MHz, 256 MB RAM, 20 GB § Рекомендуемый = Dual P 4 -1. 5 GHz, 512 MB RAM, 40 GB § RMS в основном нагружает ЦПУ § RMS так же требует дополнительной памяти § RMS кэширует обращения к RMS серверу так же как и MS SQL базе данных Directory. Services 13 Высшая школа экономики - 2009
Примеры RMS шаблонов § Корпоративные шаблоны RMS доступны через меню Разрешения в Outlook, Word, Power. Point, и Excel 14 Высшая школа экономики - 2009
IRM не в силах побороть «аналоговый» барьер 15 Высшая школа экономики - 2009
Использованные источники § Сердюк В. Современные технологии защиты от утечки конфиденциальной информации //"Век качества", 2005, № 3, стр. 62 -67. § Technical Overview of Windows Rights Management Services for Windows Server 2003. Microsoft Corporation. November 2003. Available at: http: //www. microsoft. com/windowsserver 2003/te chnologies/rightsmgmt/default. mspx § Lukawiecki R. A-to-Z of Data Protection on the Windows Platform // Microsoft Tech. Ed IT Forum, 2006. 16 Высшая школа экономики - 2009
Спасибо за внимание!
Скачать презентацию Технологии и продукты Microsoft в обеспечении ИБ Лекция
83410088264904a606977957fd528068.ppt