 |
|
|
|
Защита данных с помощью Active Directory Rights Management Services
Защита данных с помощью Служба AD RMS была выпущена несколько лет назад, но до сих пор не получила широкого распространения. В этой статье я расскажу о функционале, архитектуре и возможностях данного программного продукта. Постановка вопроса Как известно, информация нуждается в защите. В основном защита является эшелонированной, то есть мы предотвращаем несанкционированный доступ к конфиденциальным данным на нескольких уровнях: на сетевом, закрывая доступ по различным портам и протоколам, на уровне приложений, запрещая пользователям доступ к определенным ресурсам, или с помощью шифрования. Применяем антивирусные системы, средства обнаружения и предотвращения вторжений. С недавних пор определенное развитие получили технологии контроля подключаемых к сети устройств (Network Admission Control), которые позволяют контролировать эти устройства на актуальность антивирусных баз, пакетов обновлений и других критически важных компонентов. Не стоит забывать и об обеспечении безопасности на физическом уровне, ведь во многих учреждениях на проходной не то что ноутбук нельзя внести, но даже флеш-носители и КПК приходиться сдавать. Разнообразные средства защиты, описанные выше, способны при грамотной настройке свести к минимуму вероятность несанкционированного проникновения и последующей утечки конфиденциальных данных. Но что делать, если злоумышленнику никуда проникать не нужно по той простой причине, что он сам является сотрудником организации и у него по долгу службы есть доступ ко всем корпоративным данным. Типичным «злоумышленником» является сотрудник, собравшийся сменить работу и решивший забрать с собой конфиденциальные документы. То есть данный сотрудник может без труда скопировать любой документ себе на флешку и передать, например, конкурентам, что может привести к серьезным экономическим последствиям для организации. Решить проблему с помощью стандартных средств шифрования нельзя, так как сотрудник должен иметь доступ к данным документам. Запрет доступа к USB-порту тоже не является полноценным решением, так как во многих компаниях USB-устройства используются для производственных нужд. Существующие решения На данный момент существует ряд продуктов, предназначенных для решения проблемы. Однако я предлагаю рассмотреть средство, входящее в состав операционной системы Windows 2003/2008, не требующее каких-либо дополнительных финансовых затрат и позволяющее создавать системы защиты данных различного уровня сложности. Промышленными решениями, предназначенными для предотвращения утечек данных, получившими распространение, являются Rights Management Services (RMS, cлужба управления правами) от Microsoft и Information Rights Management. Собственно, эти два продукта являются дополнением друг друга. RMS представляет собой технологию защиты информации, которая используется с такими приложениями, как Microsoft Office 2003. RMS обеспечивает защиту данных от ее неправомочного использования независимо от того, где и как она используется: автономно, в закрытой брандмауэром сети или за пределами этой сети. Служба управления правами на доступ к данным IRM расширяет возможности использования службы RMS в приложениях Microsoft Office 2003, а также в обозревателе Microsoft Internet Explorer. Служащие, работающие с информацией, теперь могут указывать тех, кому разрешено использовать документ. Также они могут определять действия, которые разрешено производить с документом. Например, они могут предоставить права на открытие, внесение изменений, печать, пересылку документа, а также на выполнение ряда других действий. Подробнее о работе связки RMS и IRM вы можете прочесть в статье [1]. Подробнее об RMS Теперь мы рассмотрим более детально службу RMS, а затем поговорим о нововведениях в Windows Server 2008. RMS появилась в 2003 году в качестве службы, позволяющей предотвратить несанкционированное обращение к электронной информации в онлайновом и автономном режиме. Основой технологии RMS является Extensible Rights Markup Language (XrML, расширяемый язык разметки прав доступа) версии 1.2.1. (К слову, в настоящее время доступна версия 2.0.) Разметка XrML позволяет серверному и клиентскому компонентам, которые работают совместно с приложениями RMS, обеспечивать проверку правомочности доступа и защиту документов, электронной почты и даже контента интернет-сайтов. Служба RMS плотно интегрирована в Active Directory, поэтому перед началом проектирования внедрения необходимо продумать ряд вопросов. В частности, будет ли RMS работать только внутри организации или же будет взаимодействовать с другими компаниями-партнерами. RMS позволяет указывать для каждого сервера по два URL: один для использования в корпоративной сети предприятия, другой – для предоставления услуг внешним пользователям через Интернет. Адрес URL для корпоративной сети указывается в момент установки, и изменить его потом достаточно сложно. Значение локатора URL для внешней сети, которое определяется после завершения установки, можно изменить в любое время. Серверная часть RMS представляет собой веб-службу, использующую для работы Windows .NET Framework, она может взаимодействовать с любой версией Windows Server 2003; для работы требуется установить Microsoft IIS 6.0, ASP .NET и службу очередей сообщений Microsoft Message Queue Services (MSMQ). Клиентский компонент RMS может выполняться на любой версии Windows, начиная с Windows 98 Second Edition; для коммуникаций с серверным компонентом RMS использует стандартные протоколы – HTTP и HTTPS (HTTP Secure), при этом коммуникации являются защищенными вне зависимости от того, используется HTTPS или HTTP. Для работы сервера RMS требуется ADO-совместимая база данных, например, Microsoft SQL Server 2000 (желательно с пакетом обновлений SP3 или более новым). База данных служит для хранения конфигурации и журналов, а также для кэширования расширенных списков рассылки DL (distribution list). RMS и сервер баз данных должны принадлежать одному и тому же домену Active Directory. Клиенты обращаются к серверу сертификации при активации и в момент получения RAC (Rights Management Account Certificate). При аутентификации пользователей сервер сертификации RMS обращается к серверу глобального каталога GC, к службе Microsoft Enrollment Service при развертывании и обновлении собственного сертификата издателя лицензий и к службе активации для клиентов RMS. Таким образом, сервер RMS должен быть помещен в центральное, физически защищенное от доступа посторонних место и находиться в одном сетевом сегменте с сервером глобального каталога GC и сервером баз данных, имеющих хорошие соединения с клиентами по локальной сети и через Интернет. Специалисты Microsoft рекомендуют размещать службу RMS на отдельном сервере [3]. Посмотрим, что происходит при открытии защищенного RMS документа. При попытке открытия защищенного контента в RMS-приложении производится обращение к серверу RMS, указанному в лицензии публикации, для получения разрешения на использование этих данных. Далее приложение использует полученную лицензию для предоставления конкретному лицу возможности работать с контентом в соответствии с правами, описанными в лицензии на использование. Для ее получения необходимо сначала получить действующий сертификат учетной записи управления доступом XrML RAC (Rights Management Account Certificate). Этот сертификат выдает особый сервер сертификации RMS (RMS certification server) – впрочем, функции лицензирования и сертификации могут быть объединены на одном физическом сервере. Все действия по получению сертификата доступа RAC, если пользователь еще не имеет собственного сертификата, направляются RMS-приложением. Если на компьютере пользователя отсутствуют приложения, поддерживающие технологию RMS, можно установить модуль расширения RMA (Rights Management Add-on) для Internet Explorer. Эта бесплатная надстройка позволяет просматривать защищенный документ без возможности редактирования. Из приведенного выше описания работы RMS очевидно, что, если организация планирует взять на вооружение RMS, до начала внедрения системы необходимо тщательно спланировать и проработать все аспекты использования технологии. RMS в Windows Server 2008: подготовка Active Directory Прежде чем приступить непосредственно к установке Rights Management Service, необходимо подготовить доменную среду Active Directory. Так как в качестве рабочей операционной системы у нас используется Windows Server 2008, то я вкратце опишу развертывание контроллера домена Active Directory и создание необходимой для работы RMS учетной записи. Итак, в целом процесс развертывания Active Directory в Windows Server 2008 похож на аналогичный процесс в Windows Server 2003. Но есть и некоторые изменения. Для запуска процесса установки можно воспользоваться командой dcpromo. Далее выбираем создание нового домена в новом лесу. Указываем имя домена (см. рис. 1).
Рисунок 1. Создание домена Active Directory На следующем шаге нам необходимо указать функциональный уровень леса. Здесь необходимо выбрать уровень Windows 2003. Если в вашем каталоге Active Directory находятся только контроллеры домена под управлением Windows Server 2008, то вы можете указать уровень Windows 2008, однако тогда вы не сможете добавить в домен контроллеры под управлением Windows 2003 (см. рис. 2).
Рисунок 2. Функциональный уровень леса Далее указываем, где будут храниться файлы хранилища и журналы событий. Для тестового развертывания можно использовать пути по умолчанию. Однако для реальных промышленных систем рекомендуется под хранилище и log-файлы использовать разные диски (см. рис. 3).
Рисунок 3. Пути к файлам Active Directory На следующем шаге начинается непосредственно установка. По завершении установки вы получите соответствующее сообщение. Теперь необходимо создать учетную запись для RMS. Для этого в Administrative Tools выбираем Active Directory Users And Computers. После этого Action -> New -> User (см. рис. 4).
Рисунок 4. Создание пользователя RMS При создании доменного пользователя для RMS необходимо учесть тот факт, что данная учетная запись должна отличаться от используемой для установки данной службы. Что касается прав, необходимых данной учетной записи, то членства в группе Domain Users будет вполне достаточно. Теперь все готово для установки службы RMS. RMS в Windows Server 2008: установка и настройка В отличие от предыдущих версий Windows Server, в 2008 компонента RMS интегрирована в операционную систему. Поэтому для установки RMS достаточно добавить серверную роль в окне Server Management в разделе Roles Summary (см. рис. 5).
Рисунок 5. Добавление роли RMS Как видно, при выборе роли RMS автоматически указывается роль веб-сервера IIS. Как уже упоминалось ранее, данный компонент является необходимым для работы RMS. После выбора RMS на экран выводится полный список необходимых компонетов, которые должны быть установлены (см. рис. 6).
Рисунок 6. Компоненты, необходимые для работы RMS На следующем шаге нам необходимо выбрать, какие дополнительные компоненты RMS требуется установить. Как видно из рис. 7, выбор у нас невелик. Компонент Identity Federation Support необходим для взаимодействия со сторонними организациями. Сейчас он нам не потребуется, так что предлагаю оставить настройки по умолчанию.
Рисунок 7. Компоненты RMS После этого нужно определиться с хранилищем данных. В случае если вам не нужно разворачивать кластерную систему, будет вполне достаточно использования внутреннего хранилища RMS. Тогда все данные будут храниться на этом сервере. В случае если вам необходимо развернуть кластер RMS, содержащий несколько серверов, лучше использовать внешнее хранилище. Для тестового развертывания RMS нам будет вполне достаточно первого варианта (см. рис. 8).
Рисунок 8. Выбор хранилища На следующем шаге нам необходимо указать учетную запись, под которой будет работать RMS. Выбираем учетную запись, которую мы создали ранее (см. рис. 9).
Рисунок 9. Выбор учетной записи Прежде чем мы пойдем далее, я хотел бы остановиться на одном странном сбое, который может проявиться на этом шаге установки RMS. После указания учетной записи и введения правильного пароля мы получаем сообщение о том, что пароль неправильный (The password could not be validated). Для решения данной проблемы необходимо включить пользователя, используемого для RMS (в нашем случае это пользователь rms), в группу Administrators. После этого установка продолжится без проблем. По окончании инсталляции RMS пользователя можно удалить из группы администраторов. После этого нужно указать, как мы хотим хранить ключи, используемые для создания сертификатов. Можно использовать AD RMS-хранилище или же внешний криптографический провайдер (CSP). Будем использовать первый режим (см. рис. 10).
Рисунок 10. Хранилище ключей Теперь нам необходимо указать настройки веб-сервера RMS. Для соединения можно использовать http или https. Также нужно указать имя веб-сервера. (см. рис. 11).
Рисунок 11. Настройки WEB для RMS После этого нам остается только подтвердить правильность указанных настроек для установки RMS и запустить процесс установки. Настройка RMS Теперь проверим работоспособность компонентов RMS и произведем дополнительные настройки. Для этого в консоли Administrative Tools откройте Active Directory Rights Management Services (см. рис. 12).
Рисунок 12. Интерфейс администрирования RMS В административном интерфейсе присутствуют шесть основных разделов:
В Trusted Policies содержатся Trusted User Domains, в которых находятся списки пользователей из других доменов, которым доверяет данный сервер RMS. Также в этом разделе присутствует Trusted Publishing Domains, в котором приводятся списки доменов в других лесах, которым доверяет данный RMS. Для того чтобы добавить новые данные в каждый из этих разделов, можно воспользоваться средствами экспорта. Раздел Rights Policy Templates содержит шаблоны, которые определяют Права пользователей для работы с теми или иными документами (Word, Excel). Здесь также можно указать, какое время должны действовать эти правила. Следующий раздел – Rights Account Certificate Policies – определяет правила для сертификатов. В частности, здесь определяется срок, в течение которого сертификат может использоваться. Exclusion Policies представляет собой политики для исключений. В частности, здесь можно определить исключения для приложений, к которым применяется RMS, также можно исключить определенных пользователей и версии операционной системы. Политики Security Policies определяют, какие действия могут производить пользователи. Например, кто является суперпользователем, кто может изменять свой пароль на документы и т.д. Раздел Reports предназначен для настройки отчетов, в которых содержится информация об учетных записях, использованных сертификатах, а также об использовании федеративных отношений. Клиентская часть RMS Теперь поговорим о том, что должно быть установлено на клиентской рабочей станции для функционирования RMS. Клиент службы AD RMS входит в стандартную поставку ОС Windows Vista. Предыдущие версии этого клиента, предназначенные для других операционных систем семейства Windows, можно загрузить из Интернета. После этого для обеспечения доступности шаблонов политик прав необходимо провести дополнительную настройку рабочей станции клиента службы AD RMS. Для этого необходимо скопировать шаблоны политик прав службы AD RMS на клиентский компьютер и создать параметр реестра, указывающий на расположение этих шаблонов. Клиент службы AD RMS сможет находить шаблоны политик прав службы AD RMS только после создания параметра реестра и локальной копии шаблонов. Для решения этих задач перед организацией защиты документа необходимо выполнить следующие изменения в реестре. Чтобы автоматизировать процесс, можно подготовить reg-файл для внесения изменений в следующий раздел реестра. В ветке HKEY_CURRENT_USER\Software\Microsoft\Office\12.0\Common\DRM необходимо добавить параметр AdminTemplatePath. В этом параметре нужно указать значение %UserProfile%\AppData\Microsoft\DRM\Templates, где %UserProfile% является псевдонимом пути C:\Users\<имя_пользователя>. После этого убедитесь, что все папки, указанные в данном пути, существуют. Затем с сервера \\имя_сервера_RMS\ADRMSTemplates необходимо скопировать в указанную выше папку созданные шаблоны политик. RMS в работе В качестве примера создадим тестовый шаблон и проверим его работу на тестовой рабочей станции. В консоли администрирования Active Directory Rights Management Services выберите запись LocalHost. В секции Tasks (задачи) области результатов выберите пункт Manage rights policy templates (управление шаблонами политики прав). Для того чтобы разрешить экспорт шаблонов политик прав службы AD RMS, нажмите кнопку Properties в области Actions (действия). После этого необходимо установить флажок Enable export (разрешить экспорт), введите путь \\имя_сервера_RMS\ADRMSTemplates в поле Specify templates file location (расположение файла шаблонов (UNC)), после чего нажмите кнопку OK. Чтобы предоставить группе EMPLOYEES@DOMAIN.COM доступ на чтение ко всем документам, созданным с помощью данного шаблона политики прав службы AD RMS, установите флажок View. Нажмите кнопку Finish. После этого нужно осуществить доступ на рабочую станцию под учетной записью пользователя. Далее запустить Microsoft Word, ввести в документе какой-либо текст. Далее нажмите кнопку Microsoft Office, выберите Finish, затем Restrict Permission (ограничить разрешение) и, наконец, Restrict Permission as (ограничить разрешение как). Указав адрес имя_пользователя@domain.com в диалоговом окне Select User (выбор пользователя), нажмите кнопку OK. После открытия диалогового окна Permission установите флажок Restrict permission to this document (ограничить разрешения на работу с документом), выберите пункт Read и введите имя пользователя или группы, которой предполагается предоставить выбранный вид разрешения. В нашем случае следует ввести адрес имя_пользователя@domain.com, а затем дважды нажать кнопку OK. После этого сохраните созданный файл. Проверим защищенность нашего документа. Для этого необходимо зайти на ту же рабочую станцию под другой учетной записью и попытаться открыть созданный ранее документ. На экране появится следующее сообщение: «Permission to this document is currently restricted. Microsoft Office must connect to https://adrms-srv.domain.com/_wmcs/licensing to verify your credentials and download your permission» («Разрешение на работу с данным документом ограничено. Microsoft Office необходимо подключиться к https://adrms-srv.domain.com:443/_wmcs/licensing для проверки ваших учетных данных и загрузки сведений о ваших разрешениях»). Затем будет произведена проверка учетных данных. После этого документ откроется, печать будет недоступна. Если открыть View Permissions, то можно увидеть, что к данному документу применен шаблон политики RMS. Заключение В этой статье я постарался подробно описать Active Directory Rights Management Services, основные функции и компоненты данной службы. Стоит отметить, с помощью RMS можно строить различные решения, позволяющие, к примеру, осуществить интеграцию с MS Exchange для контроля за распространением сообщений электронной почты. Также RMS имеет SDK, позволяющий дорабатывать данный продукт под свои нужды. К сожалению, пока RMS по различным причинам не получил широкого распространения. Но стоит отметить, что проблема утечки информации и ее несанкционированного распространения инсайдерами становится все острее, и поэтому в будущем технологии, аналогичные RMS, получат более широкое распространение.
|
Андрей Бирюков
Комментарии отсутствуют
| Добавить комментарий |
|
Комментарии могут оставлять только зарегистрированные пользователи |
|
