Защита информации
Download
Report
Transcript Защита информации
Технологии и продукты
Microsoft в обеспечении ИБ
Лекция 22. Управление доступом на основе Windows
Rights Management Services
Цели
Рассмотреть новый подход к управлению
правами доступа RMS
Познакомиться с форматом представления
данных XrML (Extensible Rights Markup
Language)
Проанализировать ограничения технологии
2
Высшая школа экономики - 2009
IRM и RMS
Цель: предотвратить неавторизованное
использование цифровых документов
Запретить пересылку
Запретить печать
Защитить intranet
IRM – клиент-серверная технология,
встроенная в Office 2003 и значительно
упрощенная в Office 2007, интегрирована в IE
Использует цифровые сертификаты Rights
Management Services в Windows 2003/Longhorn
Пробная версия доступна на базе Passport/Live ID
3
Высшая школа экономики - 2009
WRMS – это:
Технология, которая позволяет
организациям создавать и применять
политики использования информации
Для любого приложения
В любом формате
Политика использования, которая
«живёт» вместе с информацией
Куда и каким бы способом ни
перемещалась защищенная информация
4
Высшая школа экономики - 2009
Основы IRM
В IRM документы «привязываются»к пользователям
и машинам
Форма DRM (Digital Rights Management)
Известна как ERM (Enterprise Rights Management)
Для защиты ключей можно использовать смарткарты
Начиная с RMS SP1
Защита ключей – на основе обфускации
Так называемый механизм Lockbox
Не подходит для обеспечения конфиденциальности
IRM на платформе Vista/Office 2007 не использует
TPM
5
Высшая школа экономики - 2009
Алгоритмы IRM
IRM - не для шифрования данных!
Сертифицированные алгоритмы FIPS-140-1
AES для шифрования
RSA для обмена ключами
Аутентификация пользователей - смарткарты
Должно быть установлено соответствие между
пользователем и его сертификатом X.509 в AD
6
Высшая школа экономики - 2009
Компоненты RMS
Windows Rights Management Services (WRMS)
Дополнительный компонент Windows Server 2003/2008
• http://www.microsoft.com/rms
Клиентская часть WRMS
Rights Management APIs для всех версий Windows (98SE,
2000, XP, 2003, Vista, 7)
Rights Management Add-on для Internet Explorer
Software Development Kit
Инструментарий разработчика для серверной и клиентской
частей
Приложения, поддерживающие RM
Любое приложение, созданное с использованием RM SDK
Microsoft Office 2003/2007
7
Высшая школа экономики - 2009
Схема взаимодействия узлов на основе
технологии RMS в Windows Server 2003
8
Высшая школа экономики - 2009
Усовершенствования в Windows
Server 2008
Использование приложения AD RMS на
основе службы федерации Active Directory
(ADFS) позволяет обеспечить
унифицированный контроль доступа к
документам не только со стороны
сотрудников, но и со стороны клиентов,
партнеров и поставщиков
Значительно упростилась процедура
инсталляции
9
Высшая школа экономики - 2009
Установка
Для установки WRMS необходимы
Windows Server 2003/2008
• Active Directory
Internet Information Services 6.0
• ASP.Net
Microsoft SQL Server (версия от 2000 SP3 / MSDE)
MSMQ в режиме “Active Directory Integration”
Для первоначальной регистрации корневого
сервера RMS в Microsoft Enrollment Center
необходимо подключение к Интернет
Для каждого пользователя RMS необходимо
приобрести клиентскую лицензию (RMS
CAL)
10
Высшая школа экономики - 2009
Интернет
Для инициализации корневого сервера
WRMS необходимо подключение к Интернет
и связь с сервером Microsoft
Для активации каждой клиентской машины
необходима связь с Центром Активации
Microsoft
После инициализации сервера и активации
всех машин, для работы WRMS/IRM доступ к
Интернету не требуется
11
Высшая школа экономики - 2009
Конфиденциальность и Microsoft
В процессе работы корпоративной службы
WRMS никакая информация в Microsoft не
передается
При регистрации корневого сервера WRMS на
UDDI.microsoft.com, ему лишь выдается цифровой
сертификат, определяющий корень доверяемой
инфраструктуры
При активации клиентской машины в Центр
Активации Microsoft передается только хеш
информации из оборудования машины
12
Высшая школа экономики - 2009
Производительность RMS
Базовые требования аналогичны Windows
2003
Минимум = P3-800 MHz, 256MB RAM, 20GB
Рекомендуемый = Dual P4-1.5 GHz, 512MB RAM,
40GB
RMS в основном нагружает ЦПУ
RMS так же требует дополнительной памяти
RMS кэширует обращения к RMS серверу так же как
и MS SQL базе данных DirectoryServices
13
Высшая школа экономики - 2009
Примеры RMS шаблонов
Корпоративные шаблоны RMS доступны
через меню Разрешения в Outlook, Word,
PowerPoint, и Excel
14
Высшая школа экономики - 2009
IRM не в силах побороть «аналоговый»
барьер
15
Высшая школа экономики - 2009
Использованные источники
Сердюк В. Современные технологии защиты
от утечки конфиденциальной информации
//"Век качества", 2005, №3, стр. 62-67.
Technical Overview of Windows Rights
Management Services for Windows Server
2003. Microsoft Corporation. November 2003.
Available at:
http://www.microsoft.com/windowsserver2003/te
chnologies/rightsmgmt/default.mspx
Lukawiecki R. A-to-Z of Data Protection on the
Windows Platform // Microsoft TechEd IT Forum,
2006.
16
Высшая школа экономики - 2009
Спасибо за внимание!