Rights Management Services. Обзор службы управления правами Active Directory::Журнал СА 7-8.2010
www.samag.ru
     
Поиск   
              
 www.samag.ru    Web  0 товаров , сумма 0 руб.
E-mail
Пароль  
 Запомнить меня
Регистрация | Забыли пароль?
Журнал "Системный администратор"
Журнал «БИТ»
Подписка
Архив номеров
Где купить
Наука и технологии
Авторам
Рекламодателям
Контакты
   

  Опросы
  Статьи

Событие  

В банке рассола ждет сисадмина с полей фрактал-кукумбер

Читайте впечатления о слете ДСА 2024, рассказанные волонтером и участником слета

 Читать далее...

Организация бесперебойной работы  

Бесперебойная работа ИТ-инфраструктуры в режиме 24/7 Как обеспечить ее в нынешних условиях?

Год назад ИТ-компания «Крок» провела исследование «Ключевые тренды сервисного рынка 2023». Результаты

 Читать далее...

Книжная полка  

Читайте и познавайте мир технологий!

Издательство «БХВ» продолжает радовать выпуском интересных и полезных, к тому же прекрасно

 Читать далее...

СУБД PostgreSQL  

СУБД Postgres Pro

Сертификация по новым требованиям ФСТЭК и роль администратора без доступа к данным

 Читать далее...

Критическая инфраструктура  

КИИ для оператора связи. Готовы ли компании к повышению уровня кибербезопасности?

Похоже, что провайдеры и операторы связи начали забывать о требованиях законодательства

 Читать далее...

Архитектура ПО  

Архитектурные метрики. Качество архитектуры и способность системы к эволюционированию

Обычно соответствие программного продукта требованиям мы проверяем через скоуп вполне себе понятных

 Читать далее...

Как хорошо вы это знаете  

Что вам известно о разработках компании ARinteg?

Компания ARinteg (ООО «АРинтег») – системный интегратор на российском рынке ИБ –

 Читать далее...

Графические редакторы  

Рисование абстрактных гор в стиле Paper Cut

Векторный графический редактор Inkscape – яркий представитель той прослойки open source, с

 Читать далее...

День сисадмина  

Учите матчасть! Или как стать системным администратором

Лето – время не только отпусков, но и хорошая возможность определиться с профессией

 Читать далее...

День сисадмина  

Живой айтишник – это всегда движение. Остановка смерти подобна

Наши авторы рассказывают о своем опыте и дают советы начинающим системным администраторам.

 Читать далее...

Виртуализация  

Рынок решений для виртуализации

По данным «Обзора российского рынка инфраструктурного ПО и перспектив его развития», сделанного

 Читать далее...

Книжная полка  

Как стать креативным и востребованным

Издательский дом «Питер» предлагает новинки компьютерной литературы, а также книги по бизнесу

 Читать далее...

Книжная полка  

От создания сайтов до разработки и реализации API

В издательстве «БХВ» недавно вышли книги, которые будут интересны системным администраторам, создателям

 Читать далее...

Разбор полетов  

Ошибок опыт трудный

Как часто мы легко повторяем, что не надо бояться совершать ошибки, мол,

 Читать далее...

1001 и 1 книга  
19.03.2018г.
Просмотров: 6210
Комментарии: 0
Машинное обучение с использованием библиотеки Н2О

 Читать далее...

12.03.2018г.
Просмотров: 6919
Комментарии: 0
Особенности киберпреступлений в России: инструменты нападения и защита информации

 Читать далее...

12.03.2018г.
Просмотров: 4203
Комментарии: 0
Глубокое обучение с точки зрения практика

 Читать далее...

12.03.2018г.
Просмотров: 3000
Комментарии: 0
Изучаем pandas

 Читать далее...

12.03.2018г.
Просмотров: 3803
Комментарии: 0
Программирование на языке Rust (Цветное издание)

 Читать далее...

19.12.2017г.
Просмотров: 3813
Комментарии: 0
Глубокое обучение

 Читать далее...

19.12.2017г.
Просмотров: 6308
Комментарии: 0
Анализ социальных медиа на Python

 Читать далее...

19.12.2017г.
Просмотров: 3160
Комментарии: 0
Основы блокчейна

 Читать далее...

19.12.2017г.
Просмотров: 3453
Комментарии: 0
Java 9. Полный обзор нововведений

 Читать далее...

16.02.2017г.
Просмотров: 7272
Комментарии: 0
Опоздавших не бывает, или книга о стеке

 Читать далее...

17.05.2016г.
Просмотров: 10636
Комментарии: 0
Теория вычислений для программистов

 Читать далее...

30.03.2015г.
Просмотров: 12359
Комментарии: 0
От математики к обобщенному программированию

 Читать далее...

18.02.2014г.
Просмотров: 13994
Комментарии: 0
Рецензия на книгу «Читаем Тьюринга»

 Читать далее...

13.02.2014г.
Просмотров: 9119
Комментарии: 0
Читайте, размышляйте, действуйте

 Читать далее...

12.02.2014г.
Просмотров: 7072
Комментарии: 0
Рисуем наши мысли

 Читать далее...

10.02.2014г.
Просмотров: 5383
Комментарии: 3
Страна в цифрах

 Читать далее...

18.12.2013г.
Просмотров: 4612
Комментарии: 0
Большие данные меняют нашу жизнь

 Читать далее...

18.12.2013г.
Просмотров: 3422
Комментарии: 0
Компьютерные технологии – корень зла для точки роста

 Читать далее...

04.12.2013г.
Просмотров: 3152
Комментарии: 0
Паутина в облаках

 Читать далее...

03.12.2013г.
Просмотров: 3398
Комментарии: 0
Рецензия на книгу «MongoDB в действии»

 Читать далее...

02.12.2013г.
Просмотров: 3021
Комментарии: 0
Не думай о минутах свысока

 Читать далее...

Друзья сайта  

 Rights Management Services. Обзор службы управления правами Active Directory

Архив номеров / 2010 / Выпуск №7-8 (92-93) / Rights Management Services. Обзор службы управления правами Active Directory

Рубрика: Безопасность /  Разграничение доступа

Дмитрий Пронькин ДМИТРИЙ ПРОНЬКИН, инженер-системотехник, ведущий специалист. Обладает статусом Microsoft Trainer (MCT). Главное направление деятельности – системы защиты информации. Хобби – изучение ИТ-технологий, гитара, бильярд

Rights Management Services
Обзор службы управления правами Active Directory

Служба управления правами – это технология защиты информации Microsoft Windows, предназначенная для защиты с помощью криптографии корпоративной почты, документов и веб-страниц. Все действия над вышеперечисленными объектами возможны только при наличии соответствующих прав пользователя

Впервые служба управления правами появилась как отдельный сервер под названием Rights Management Server (версия 1.0). На дистрибутивном диске поставлялся сам сервер и клиент для Windows 2000 и Windows XP.

С тех пор служба развивалась достаточно стремительно. Появилась поддержка мобильных пользователей, федеративных отношений, теперь возможно аутентифицировать пользователя по паспорту Live ID, а также с использованием смарт-карт.

С выходом Microsoft Windows 2008 служба управления правами стала ролью серверной операционной системы (версия 2.0), изменилось и название – служба управления правами Active Directory (Active Directory Rights Management Services – сокращенно AD RMS). Начиная с Windows Vista, клиент службы управления правами поставляется также вместе с операционной системой. Также клиент AD RMS поставляется с Windows Mobile 6.0 и выше.

В современном мире все более актуальной становится задача защиты конфиденциальной и иной коммерческой информации, принадлежащей организации, от раскрытия. Применение службы управления правами позволит организации расширить уже существующие способы защиты информации.

К примеру, если администратор поставил разрешения чтения на документ, ничто не помешает пользователю его сохранить на внешний носитель или распечатать. С помощью системы службы управления правами вы можете оставить разрешения именно чтения – копирование и печать будут запрещены. Если же все-таки документ будет скопирован как файл, то без доступа к серверной части службы управления правами его содержимое нельзя будет прочитать. На уровне защищаемого документа можно выставить права на чтение, открытие, изменение, печать, максимальный срок действия и другие разрешения, которые могут быть установлены на уровне поддерживаемого приложения.

Служба управления правами является достаточно гибкой технологией – с помощью пакета разработки SDK можно встроить поддержку клиента AD RMS в бизнес-приложение организации, реализовать политики использования, которые необходимы. Служба управления правами расширяет существующую стратегию безопасности организации с помощью применения постоянных политик использования.

Политики использования указывают, какие сущности – пользователи или группы пользователей, компьютеры или приложения – являются доверенными. На любую сущность могут быть наложены права использования.

Из чего же состоит служба управления правами?

Все достаточно просто. Есть два ключевых компонента:

  • сервер кластера службы управления правами – предоставляет возможность выдачи, хранения и проверки всех необходимых для работы сертификатов;
  • клиент службы управления правами – предоставляет возможность связи с кластером службы управления правами, со стороны клиентской операционной системы.

Служба управления правами использует формат сертификатов XrML (eXtensible rights Markup Language), отличный от распространенного стандарта X509v3. Стандарт XrML является расширением языка XML. Дополнительные сведения можно найти на сайте http://www.xrml.org.

Используется несколько видов сертификатов, указаных в таблице 1.

Таблица 1. Типы сертификатов AD RMS

Сертификат Префикс
Компьютер CERT-Machine.drm
Учетная запись службы управления правами GIC-<имя пользователя>
Лицензиар клиента CLC-<имя пользователя>
Лицензия на использование EUL-<имя пользователя>

Учетной записи пользователя соответствуют один сертификат компьютера, один файл сертификата учетной записи и один файл сертификата лицензиара клиента. Но может быть множество файлов лицензий на использование, по одному на каждый файл, используемый клиентом.

Понятие сертификата в службе управления правами точно такое же, как и в службе сертификации. Есть пара ключей – открытый и закрытый, которые находятся в цифровом сертификате. Сертификат находится в хранилище, доступ к которому защищается клиентом с помощью шифрования AES. Нужно заметить, что данные сертификаты не могут быть публичными, импортировать или экспортировать их нельзя. То есть сами документы могут быть расшифрованы только тогда, когда служба AD RMS достижима с рабочей станции или мобильного устройства пользователя. В случае отсутствия необходимых для работы сертификатов служба AD RMS предоставит их клиенту.

Можно посмотреть, как выглядят цифровые сертификаты, они находятся для Windows XP – %USERPROFILE%Local SettingsApplication DataMicrosoftDRM, для Windows Vista и выше – %USERPROFILE%AppDataLocalMicrosoftDRM.

Каждый пользователь должен иметь заполненное поле электронной почты в домене Active Directory.

Рисунок 1. Рабочий процесс использования AD RMS

Рисунок 1. Рабочий процесс использования AD RMS

Рассмотрим на примере, как работает AD RMS.

  1. Автор создает документ и получает сертификат учетной записи пользователя, а также сертификат лицензиара клиента (выдается на компьютер) в первый раз, когда он пытается защитить документ с помощью службы управления правами или с помощью приложения.
  2. С использованием приложения (например, Microsoft Word), поддерживающего клиента AD RMS, автор создает документ и указывает, какие права или состояния будут использоваться для этого файла.
  3. Приложение шифрует файл симметричным ключом, которым шифруется публичным ключ автора документа. Ключ вставляется в публикуемую лицензию и связывается с файлом. Только автор может использовать эту лицензию для расшифровки документа.
  4. Автор выкладывает файл, например, на внутренний ресурс компании.
  5. Пользователь, который желает получить доступ к содержимому документа, открывает его с использованием приложения, поддерживающего AD RMS. Если пользователь не имеет сертификата своей учетной записи, расшифровка будет невозможна. В таком случае происходит процесс выдачи сертификата учетной записи пользователя, а также сертификата лицензиара клиента – так, как описано в пункте 1.
  6. 6. Приложение посылает запрос кластеру AD RMS. Запрос включает сертификат учетной записи получателя (содержащий публичный ключ получателя) и публичную лицензию использования (содержит симметричный ключ для расшифровки файла).
  7. Кластер службы управления правами проверяет запрос и создает лицензию на использование. Во время данного процесса сервер расшифровывает симметричный ключ с использованием закрытого ключа кластера, перешифровывает симметричный ключ с использованием публичного ключа получателя и добавляет шифрованный симметричный ключ в лицензию. Операция проходит успешно только в том случае, если получатель имеет права на данный документ.
  8. Когда подтверждается использование, кластер возвращает лицензию на использование на компьютер получателя.
  9. После получения лицензии на использование приложение проверяет ее и сертификат учетной записи, делает проверку сертификатов. Если сертификаты действительны и не отозваны, а также не наблюдается состояние, блокирующее доступ к документу (например, конечная дата использования документа), приложение расшифровывает документ и возвращает пользователю в соответствии с правами, указанными в документе.

Приложения, поддерживающие AD RMS

Как можно заметить из описания работы службы управления правами, сама по себе она не используется. Использование может быть произведено с помощью приложения, которое поддерживает взаимодействие с клиентом службы управления правами.

На момент написания этой статьи существует целый ряд приложений, которые поддерживают службу управления правами [1]:

  • Microsoft Office System 2003 – Word, Excel, PowerPoint, Outlook;
  • Microsoft Office 2007 – Word, Excel, PowerPoint, Outlook, InfoPath;
  • Microsoft Office 2010 – Word, Excel, PowerPoint, Outlook, InfoPath;
  • Microsoft Office SharePoint Server 2003;
  • Microsoft Office SharePoint Server 2007;
  • Microsoft SharePoint Server 2010;
  • Microsoft Visio 2007 and Project 2007;
  • Adobe Acrobat Reader (сторонняя разработка компаний FoxIt Software, Liquid Machines);
  • Exchange Server 2007;
  • Exchange Server 2010;
  • XPS (XML Paper Specification) v1.0;
  • Internet Explorer (используется Add-on for IE);
  • IIS 6.0 (GigaTrust WebServer Add-on).

Пример использования AD RMS совместно c Microsoft Word 2010

Например, пользователь Егор Егоров должен переслать пользователю Сергею Сергееву секретный документ с использованием Microsoft Word 2010. Информация не должна быть никому раскрыта, что делать Егору Егорову? Но тут он узнает, что в организации есть такая возможность! Эта возможность предоставлена службой управления правами! Итак, начнем.

Пользователь Егор Егоров открывает Microsoft Word 2010 и набирает необходимый текст. Для того чтобы зашифровать документ, он переходит в ленте Microsoft Word на элемент «Файл -> Сведения -> Защитить документ -> Ограничить разрешения пользователей -> Ограниченный доступ» (см. рис. 2).

Рисунок 2. Включение ограничения доступа

Рисунок 2. Включение ограничения доступа

При первом обращению к кластеру службы управления правами на компьютер Егора Егорова будут получены все необходимые для работы сертификаты. Но сначала нужно пройти аутентификацию. В поле «Учетная запись» нужно написать адрес электронной почты пользователя Егора Егорова. Нужно заметить, что службе управления правами не нужно, хотя и желательно, присутствие в домене сервера Exchange, адрес электронной почты заполняется в учетной записи пользователя домена Active Directory. В качестве пароля нужно использовать пароль для входа в домен. Итак, пользователь Егор Егоров вводит свои и учетные данные (egorov@prod.local и пароль) и получает возможность использования службы управления правами на доступ к данным (см. рис. 3).

Рисунок 3. Основное окно разрешения ограничений доступа

Рисунок 3. Основное окно разрешения ограничений доступа

Для этого нужно поставить галочку «Ограничить разрешения на доступ к этому файлу документа» и выставить необходимые права пользователю Сергею Сергееву. Если нужно поставить дополнительные разрешения либо поменять существующие, можно нажать кнопки «Изменить разрешения -> Дополнительные параметры» (см. рис. 4).

Рисунок 4. Дополнительное окно разрешения ограничений доступа

Рисунок 4. Дополнительное окно разрешения ограничений доступа

В окне «Разрешения» можно добавить или удалить пользователя, поставить срок истечения действия документа, разрешить печать содержимого, разрешить или запретить пользователю с правами на чтение копировать содержимое, разрешить или запретить программный доступ к содержимому. Также можно разрешить пользователю отправлять сообщения по электронной почте владельцу документа для запроса дополнительных разрешений. Есть еще одна установка – «Обязательное подключение для проверки разрешений пользователя», применяется для того, чтобы исключить возможность использования просроченной лицензии на публикацию данного документа или отозванного сертификата пользователя.

Теперь пользователь Егор Егоров может быть уверен, что никто, кроме Сергея Сергеева, документ не откроет с помощью приложения Microsoft Word 2010.

***

Службу управления правами легко использовать и настраивать – она достаточно гибкая, и ее можно внедрять для защиты документов в организации.

  1. http://technet.microsoft.com/ru-ru/library/cc771234(WS.10).aspx.

Комментарии отсутствуют

Добавить комментарий

Комментарии могут оставлять только зарегистрированные пользователи

               Copyright © Системный администратор

Яндекс.Метрика
Tel.: (499) 277-12-45
E-mail: sa@samag.ru