Технологии и продукты Microsoft в обеспечении ИБ

Слайд 0

Технологии и продукты Microsoft в обеспечении ИБ Лекция 22. Управление доступом на основе Windows Rights Management Services

Слайд 1

2 Цели Рассмотреть новый подход к управлению правами доступа RMS Познакомиться с форматом представления данных XrML (Extensible Rights Markup Language) Проанализировать ограничения технологии stridE

Слайд 2

3 IRM и RMS Цель: предотвратить неавторизованное использование цифровых документов Запретить пересылку Запретить печать Защитить intranet IRM – клиент-серверная технология, встроенная в Office 2003 и значительно упрощенная в Office 2007, интегрирована в IE Использует цифровые сертификаты Rights Management Services в Windows 2003/Longhorn Пробная версия доступна на базе Passport/Live ID

Слайд 3

4 Технология, которая позволяет организациям создавать и применять политики использования информации Для любого приложения В любом формате Политика использования, которая «живёт» вместе с информацией Куда и каким бы способом ни перемещалась защищенная информация WRMS – это:

Слайд 4

5 Основы IRM В IRM документы «привязываются»к пользователям и машинам Форма DRM (Digital Rights Management) Известна как ERM (Enterprise Rights Management) Для защиты ключей можно использовать смарткарты Начиная с RMS SP1 Защита ключей – на основе обфускации Так называемый механизм Lockbox Не подходит для обеспечения конфиденциальности IRM на платформе Vista/Office 2007 не использует TPM

Слайд 5

6 Алгоритмы IRM IRM - не для шифрования данных! Сертифицированные алгоритмы FIPS-140-1 AES для шифрования RSA для обмена ключами Аутентификация пользователей - смарткарты Должно быть установлено соответствие между пользователем и его сертификатом X.509 в AD

Слайд 6

7 Windows Rights Management Services (WRMS) Дополнительный компонент Windows Server 2003/2008 http://www.microsoft.com/rms Клиентская часть WRMS Rights Management APIs для всех версий Windows (98SE, 2000, XP, 2003, Vista, 7) Rights Management Add-on для Internet Explorer Software Development Kit Инструментарий разработчика для серверной и клиентской частей Приложения, поддерживающие RM Любое приложение, созданное с использованием RM SDK Microsoft Office 2003/2007 Компоненты RMS

Слайд 7

8 Схема взаимодействия узлов на основе технологии RMS в Windows Server 2003

Слайд 8

9 Усовершенствования в Windows Server 2008 Использование приложения AD RMS на основе службы федерации Active Directory (ADFS) позволяет обеспечить унифицированный контроль доступа к документам не только со стороны сотрудников, но и со стороны клиентов, партнеров и поставщиков Значительно упростилась процедура инсталляции

Слайд 9

10 Для установки WRMS необходимы Windows Server 2003/2008 Active Directory Internet Information Services 6.0 ASP.Net Microsoft SQL Server (версия от 2000 SP3 / MSDE) MSMQ в режиме “Active Directory Integration” Для первоначальной регистрации корневого сервера RMS в Microsoft Enrollment Center необходимо подключение к Интернет Для каждого пользователя RMS необходимо приобрести клиентскую лицензию (RMS CAL) Установка

Слайд 10

11 Интернет Для инициализации корневого сервера WRMS необходимо подключение к Интернет и связь с сервером Microsoft Для активации каждой клиентской машины необходима связь с Центром Активации Microsoft После инициализации сервера и активации всех машин, для работы WRMS/IRM доступ к Интернету не требуется

Слайд 11

12 Конфиденциальность и Microsoft В процессе работы корпоративной службы WRMS никакая информация в Microsoft не передается При регистрации корневого сервера WRMS на UDDI.microsoft.com, ему лишь выдается цифровой сертификат, определяющий корень доверяемой инфраструктуры При активации клиентской машины в Центр Активации Microsoft передается только хеш информации из оборудования машины

Слайд 12

13 Производительность RMS Базовые требования аналогичны Windows 2003 Минимум = P3-800 MHz, 256MB RAM, 20GB Рекомендуемый = Dual P4-1.5 GHz, 512MB RAM, 40GB RMS в основном нагружает ЦПУ RMS так же требует дополнительной памяти RMS кэширует обращения к RMS серверу так же как и MS SQL базе данных DirectoryServices

Слайд 13

14 Примеры RMS шаблонов Корпоративные шаблоны RMS доступны через меню Разрешения в Outlook, Word, PowerPoint, и Excel

Слайд 14

15 IRM не в силах побороть «аналоговый» барьер ?

Слайд 15

16 Использованные источники Сердюк В. Современные технологии защиты от утечки конфиденциальной информации //"Век качества", 2005, №3, стр. 62-67. Technical Overview of Windows Rights Management Services for Windows Server 2003. Microsoft Corporation. November 2003. Available at: http://www.microsoft.com/windowsserver2003/technologies/rightsmgmt/default.mspx Lukawiecki R. A-to-Z of Data Protection on the Windows Platform // Microsoft TechEd IT Forum, 2006.

Слайд 16

Спасибо за внимание! Вопросы?