Az előadás letöltése folymat van. Kérjük, várjon

Az előadás letöltése folymat van. Kérjük, várjon

A Windows tartalomvédelmi szolgáltatása (RMS) Szalontay Zoltán vezető rendszermérnök Microsoft Magyarország.

Hasonló előadás


Az előadások a következő témára: "A Windows tartalomvédelmi szolgáltatása (RMS) Szalontay Zoltán vezető rendszermérnök Microsoft Magyarország."— Előadás másolata:

1 A Windows tartalomvédelmi szolgáltatása (RMS) Szalontay Zoltán vezető rendszermérnök Microsoft Magyarország

2 TechNet események 2004 tavaszán március 31. Kiszolgálók felügyelete a Microsoft Operations Manager 2000 SP1 segítségével Kiszolgálók felügyelete a Microsoft Operations Manager 2000 SP1 segítségével április 14. A Windows Tartalomvédelmi szolgáltatása (Rights Management Services, RMS) A Windows Tartalomvédelmi szolgáltatása (Rights Management Services, RMS) április 28. Nagyvállalati tűzfal megoldások az ISA Server 2004 segítségével Nagyvállalati tűzfal megoldások az ISA Server 2004 segítségével május 12. Üzemeltetői konferencia Üzemeltetői konferencia március 17. Nagyvállalati ügyfélmenedzsment a Systems Management Server 2003 segítségével Nagyvállalati ügyfélmenedzsment a Systems Management Server 2003 segítségével

3 A mai napirend Igazgatói rendelkezések Akciós ajánlat részletei a kereskedők számára Az RMS komponensei A felhasználó gépén nincs RMS ügyfél Az RMS adminisztrációja Sablonok Otthoni felhasználók Külső, egyéni felhasználók Más cég felhasználói Összehasonlítás más titkosítási technológiákkal A bizalmas információ

4 A bizalmas információ…  …kijutása üzleti vagy erkölcsi kárt okozhat  …kijutását megakadályozni nem lehet  belső szabályzat?  tűzfal?  motozás?

5

6

7 A fokozott ellenőrzés nem megoldás

8 USB dugó „Pendrive”

9 A Pendrive letiltása nem oldja meg a problémát  usbstor.sys [HKEY_LOCAL_MACHINE\SYSTEM\ CurrentControlSet\Services\USBSTOR] "Start"=dword:  Az adat továbbra is kivihető  hajlékonylemez, CD, DVD  PCMCIA CompactFlash/SmartMedia/SD kártyák  infra port, Bluetooth, firewire  nem installálható fájlrendszerek –ActiveSync  PocketPC és SmartPhone –speciális nyomtató szoftverek (pl. HP Photosmart)

10 demó  Két dokumentum kijut a cégtől  az egyiket meg tudják nyitni  a másik RMS-sel készült  a másik RMS-sel készült

11 A mai napirend Igazgatói rendelkezések Akciós ajánlat részletei a kereskedők számára A felhasználó gépén nincs RMS ügyfél Otthoni felhasználók Külső, egyéni felhasználók Más cég felhasználói Összehasonlítás más titkosítási technológiákkal A bizalmas információ Az RMS komponensei Az RMS adminisztrációja Sablonok

12 A feladat  Az igazgató bizalmas dokumentumot küld körbe  Csak a címzettek olvashatják el  A tartalmát tilos  másoknak továbbítani  átmásolni más alkalmazásba  kinyomtatni

13 demó  Tartalomvédelmi szolgáltatással védett igazgatói körlevél  küldése  fogadása

14 A mai napirend Igazgatói rendelkezések Akciós ajánlat részletei a kereskedők számára A felhasználó gépén nincs RMS ügyfél Otthoni felhasználók Külső, egyéni felhasználók Más cég felhasználói Összehasonlítás más titkosítási technológiákkal A bizalmas információ Az RMS komponensei Az RMS adminisztrációja Sablonok

15 A feladat  Az akció április 30-ig érvényes  a hirdetéseket ezt követően ne lehessen megnyitni  A dokumentum tartalmát tilos  továbbítani  átmásolni  Viszont szabad  kinyomtatni

16 demó  Az akció részleteit tartalmazó védett dokumentum elkészítése

17 A mai napirend Igazgatói rendelkezések Akciós ajánlat részletei a kereskedők számára A felhasználó gépén nincs RMS ügyfél Otthoni felhasználók Külső, egyéni felhasználók Más cég felhasználói Összehasonlítás más titkosítási technológiákkal A bizalmas információ Az RMS komponensei Az RMS adminisztrációja Sablonok

18 A feladat  Új igazgatói körlevél  Csak a központban dolgozók használnak Office 2003-mat  A többieknek is el kell olvasniuk a védett dokumentumot

19 demó  RMS Internet Explorer Add-on  védett elektronikus levél olvasása OWA felületen  védett Word melléklet olvasása web böngészővel

20 A mai napirend Igazgatói rendelkezések Akciós ajánlat részletei a kereskedők számára A felhasználó gépén nincs RMS ügyfél Otthoni felhasználók Külső, egyéni felhasználók Más cég felhasználói Összehasonlítás más titkosítási technológiákkal A bizalmas információ Az RMS komponensei Az RMS adminisztrációja Sablonok

21 Az RMS megvalósítása  XrML alapú.NET web szerviz  A webszolgáltatás URL-jét az AD-ba publikálja  Hierarchikus és redundáns architektúra  Az ügyfél alkalmazás az RMS API-val éri el az RMS-t

22 Az RMS komponensei  Kiszolgáló oldal  kötelező: egy RMS Root server (certificate/licensing) –Rights Management Services –SQL (fürt javasolt) –SSL kulcs a web szervizhez –terheléstől függően NLBS farm  terheléstől függően: egy vagy több RMS Licensing Server  Ügyfél oldal  RMS licenc  Office 2003 Pro + RMS kliens és/vagy  RMS Internet Explorer Add-on (angol)  Opcionális: OWA  Konfiguráció  AD (2000 vagy 2003)  cím minden User objektumhoz (Exchange nem kell) –Az cím tulajdonság írási joga bizalmi kérdés!  nincs séma bővítés –de egy Service Discovery Point objektum keletkezik a konfigurációs konténerben

23 Mi kell az RMS-hez?  Active Directory  a User objektumok tulajdonságát ki kell tölteni  az RMS a Configuration konténerbe publikálja a címét  Office 2003  az RMS-sel védett tartalom publikációjához  az RMS-sel védett tartalom olvasásához  Internet Explorer  az RMS-sel védett tartalom olvasásához  Internet kapcsolat  az RMS kiszolgáló és a munkaállomások aktiválásához

24 Egyszerű RMS konfiguráció AD Logging Konfig. RMS cert/licensing Primary RMS ügyfél cím Service connection point

25 Növelt rendelkezésre állású RMS konfiguráció AD Logging Konfig. RMS cert/licensing Primary RMS cert/licensing Joined RMS cert/licensing Joined NLBS RMS ügyfél cím Service connection point

26 Elosztott RMS konfiguráció AD Cert/licensing NLBS RMS ügyfél cím Service connection point Licensing NLBS Licensing Root cluster Licensing cluster Logging/Konfig.

27 RMS tanúsítványok  Server licensor certificate  felhatalmaz egy Licensing Servert az alábbiak kiadására: –Publishing license, Use license, Client licensor certificate, sablonok  Lockbox  egy RMS által megbízható számítógép privát kulcsát tartalmazza  %systemroot%/system32/secrep.dll  RM machine certificate  azonosít egy az RMS által megbízható számítógépet  RM account certificate (RAC)  azonosít egy az RMS által megbízható felhasználót, aki egy megbízható gépen dolgozik  Publishing license (PL)  egy védett dokumentumon elvégezhető tevékenységek listáját tartalmazza  Use license (UL)  egy azonosított felhasználónak egy védett dokumentumra vonatkozó jogait tartalmazza  Client licensor certificate  egy felhasználót felhatalmaz arra, hogy olyan védett dokumentumot készíthessen, amelyet céges hálózati kapcsolat nélkül is el lehet olvasni

28 Mi van egy védett fájlban? a jogosultsági információk ( -címekkel) Content Key (szimmetrikus) Az RMS kiszolgáló nyilvános kulcsával titkosítva Publishing License (PL) A file tartalma (szöveg, kép, stb.) Use License (UL) Content Key (véletlenszám) A fájl létrehozásakor keletkezik Miután egy licencelt felhasználó megnyitotta a dokumentumot A tartalomvédő kulccsal titkosítva (128 bites AES titkosítás) Az üzenetek védelmét szolgáló Use Licence-ek nem a levélben, hanem az RM gyorsítótárban helyezkednek el Encrypted with the user’s public key A felhasználó nyilvános kulcsával titkosítva Meghatározott felhasználó jogai

29 “Tilos kinyomtatni” = No Print Public Key Private Key Mi van az RMS-kiszolgálón?  A kiszolgáló privát kulcsa  igény szerint HW-védelem alatt  nCipher kártya  A felhasználók kulcsai és azonosítói  a felhasználói kulcsokat a kiszolgáló generálja  a felhasználók címei az Active Directory-ból jönnek  Sablonok  „Microsoft FTE Confidential”  „Tilos nyomtatni”  „Egy hétig érvényes”  stb.  Naplók  minden licenckérés és kiadás naplózódik  auditálási célokra is használható Server Private Key …

30 Mi van a számítógépen? RM Account Certificate (RAC) felhasználó privát kulcsa (a gép nyilvános kulcsa védi) fel-használó nyilvános kulcsa Lock Box számítógép privát kulcsa (rejtett, generált) Machine Certificate számítógép nyilvános kulcsa Célja a számítógép hitelesítése. Megakadályozza, hogy más gépre átmásolt tartalom olvasható maradjon. A számítógép azonosítója. Ezzel indul a hitelesítési folyamat. Client Licensor Certificate RM ügyfél RMS kiszolgáló és az alkalmazás nyilvános kulcsa Off-line elérhető dokumentumokhoz alkalmazás privát kulcsa

31 Egy munkaállomás aktiválása  Lockbox  %systemroot%\system32\secrep.dll aktivációs proxy (RMS) munkaállomás tűzfalMicrosoft aktivációs szolgáltatás Lockbox RM machine cert

32 Méretezés  Egy 4 processzoros, 1 GB RAM-os, 1 GHz-es Pentium 4 gép 100 licencet ad ki másodpercenként  „Ha negyedik Béla másfél év alatt huszonöt rendeletet hozott, akkor hányadik Béla fog három év alatt hatvan rendeletet hozni?” Boncz Géza  Gyenge terhelés  felhasználó 10%-a 20 percenként használja az RMS-t  egy kiszolgáló elegendő  Közepes terhelés  felhasználó 50%-a 8 percenként használja az RMS-t  3 RMS kiszolgáló kell  6 kiszolgáló megfelelő tartalékot is ad

33 kávé- szünet

34 A mai napirend Igazgatói rendelkezések Akciós ajánlat részletei a kereskedők számára A felhasználó gépén nincs RMS ügyfél Otthoni felhasználók Külső, egyéni felhasználók Más cég felhasználói Összehasonlítás más titkosítási technológiákkal A bizalmas információ Az RMS komponensei Az RMS adminisztrációja Sablonok

35 demó  Az RMS adminisztrációja  Bizalmi szabályzatok  Jogmegadási sablonok  Naplózási beállítások  A fürt extranetes URL-címének megadása  RMS fiók tanúsítási jelentés  Biztonsági beállítások  Tanúsítási beállítások  Kizárási házirendek  Az RMS szolgáltatás kapcsolódási pontja

36 A mai napirend Igazgatói rendelkezések Akciós ajánlat részletei a kereskedők számára A felhasználó gépén nincs RMS ügyfél Otthoni felhasználók Külső, egyéni felhasználók Más cég felhasználói Összehasonlítás más titkosítási technológiákkal A bizalmas információ Az RMS komponensei Az RMS adminisztrációja Sablonok

37 RMS jogosultsági sablonok  Központilag definiált jogosultsági beállítások  a kiszolgáló által aláírt XrML dokumentum  az RMS nem juttatja el az ügyfélhez –SMS, Csoport házirend, megosztásra publikálás  A sablonok helye  HKCU\Software\Microsoft\Office\11.0\DRM\ AdminTemplatePath  %HOMEPATH%\Local Settings\Application Data\Microsoft\DRM\templates

38 demó  RMS sablon  készítése  terjesztése  használata

39 A mai napirend Igazgatói rendelkezések Akciós ajánlat részletei a kereskedők számára A felhasználó gépén nincs RMS ügyfél Otthoni felhasználók Külső, egyéni felhasználók Más cég felhasználói Összehasonlítás más titkosítási technológiákkal A bizalmas információ Az RMS komponensei Az RMS adminisztrációja Sablonok

40 A feladat  Az igazgató otthonról is el akarja érni a védett dokumentumokat  a dokumentum a notebookján van  a dokumentum az otthoni gépén van

41 A megoldás  A gép tagja a céges hálózatnak és a felhasználó a cégnél már megnyitotta a dokumentumot  van érvényes UL, a dokumentum megnyitható  sablonban állítható, hogy meddig legyen érvényes  A felhasználó gépe rajta van az Interneten  az RMS kiszolgálót publikálni kell az Internetre  már aktivált céges gépről szerezhetünk UL-t az extranet címről  még nem aktivált gép ideiglenes licencet kérhet, ha az RMS off-line használat engedélyezve van

42 A mai napirend Igazgatói rendelkezések Akciós ajánlat részletei a kereskedők számára A felhasználó gépén nincs RMS ügyfél Otthoni felhasználók Külső, egyéni felhasználók Más cég felhasználói Összehasonlítás más titkosítási technológiákkal A bizalmas információ Az RMS komponensei Az RMS adminisztrációja Sablonok

43 A feladat  A cég egyik partnerének kell elküldeni egy védett dokumentumot  A partnernek van hotmail-es címe

44 Megoldás  A dokumentum levédésekor ne Active Directory felhasználót, hanem a partner hotmail-es címét adjuk meg (Passport)  A partner regisztráljon be a Passport RAC szolgáltatásba  ingyenes, de bizonytalan, hogy meddig él  A vállalat RMS kiszolgálóján bízzon meg a Passport RAC szolgáltatásban  alapértelmezés szerint letiltva

45 demó  Védett dokumentumok elérése a Passport RAC szolgáltatás segítségével  dokumentum levédése a partner számára  dokumentum megnyitása egy Passport fiók és Internet kapcsolat segítségével

46 A mai napirend Igazgatói rendelkezések Akciós ajánlat részletei a kereskedők számára A felhasználó gépén nincs RMS ügyfél Otthoni felhasználók Külső, egyéni felhasználók Más cég felhasználói Összehasonlítás más titkosítási technológiákkal A bizalmas információ Az RMS komponensei Az RMS adminisztrációja Sablonok

47 A feladat  Két cég védett dokumentumokat akar küldeni egymásnak  Mindkét cégben van már AD és RMS

48 A megoldás  RMS Trust kapcsolatot kell létrehozni a két rendszer között  Teendők  a kiszolgáló extranetes URL-jeinek publikálása az Internetre (ISA)  a kiszolgáló tanúsítványainak exportálása  átvitelük a másik rendszerbe  importálás  External konnektor licenc kell hozzá mindkét oldalon!

49 demó  RMS Trust  bizalmi kapcsolat létrehozása egy másik cég RMS rendszerével

50 A mai napirend Igazgatói rendelkezések Akciós ajánlat részletei a kereskedők számára A felhasználó gépén nincs RMS ügyfél Otthoni felhasználók Külső, egyéni felhasználók Más cég felhasználói Összehasonlítás más titkosítási technológiákkal A bizalmas információ Az RMS komponensei Az RMS adminisztrációja Sablonok

51 Mi az az RMS?  DRM  Digital Rights Management  elektronikus licenccel védett Windows Media és eBook tartalom  IRM  név: Information Rights Management  az RMS Office 2003-ban lévő ügyfele  a Passport RAC Service neve  WRM  ilyen nincs  RMS  Windows Rights Management Services  vállalati felhasználók számára nyújtott tartalomvédelmi szolgáltatás  R.M.S. Titanic  Royal Mail Streamer Titanic

52 RMS kontra PKI  Az RMS XrML alapú  Kulcs párok és tanúsítványok itt is vannak, de a lényeg a tanúsítvány kiadási folyamaton van  a tanúsítványok XML formátumúak  az X.509v3 EKU-jánál jóval több információt tartalmaz  Az algoritmusok hasonlóak  RSA, AES  Az RMS-hez nem kell PKI bevezetés  csak egy X.509v3 tanúsítvány kell az SSL web szolgáltatáshoz

53 RMS kontra titkosított levél/dokumentum  A titkosított levél/dokumentum a címzett privát kulcsának birtokában dekódolható  Miután dekódolta, szabadon  továbbíthatja  nyomtathatja  másolhatja

54 RMS kontra titkosított fájlrendszer (EFS)  Az EFS csak addig véd, amíg a dokumentum a fájlrendszerben marad  amint elhagyja, a fájl nyilvánossá válik  Az EFS nem véd a továbbítás, másolás, nyomtatás ellen  erre NTFS jogokat szokás adni  ha például CD-n kikerül a dokumentum, még ez a védelem is megszűnik

55 Egyéb információ Mit szállít a Microsoft?  Windows Rights Management Services (RMS)  ingyenesen letölthető frissítés a Windows Server 2003-hoz  RMS Ügyfél  Ingyenesen letölthető Office 2003 kiegészítés  Ingyenesen letölthető kiegészítés az Internet Explorerhez  Rights Management API Windows 98 SE és újabb operációs rendszerekhez  RMS fejlesztőkészlet (SDK)  Client SDK: alkalmazások fejlesztéséhez és kiegészítéséhez  Server SDK: automatizált feladatokhoz (pl. portálok)  Ügyfél licenc kell a használatához!

56 Egyéb információ RMS kompatibilis alkalmazások AlkalmazásLétrehozásHasználat Office 2003 Professional  Igen Office 2003 Standard  N em  Igen Egyedi Office 2003 alkalmazások  Igen Office XP  N em Office 2000  N em Rights Management Add-on for Internet Explorer  N em  Igen

57 Egyéb információ Konfiguráció  Gép kézzel történő aktiválása  %systemroot%\system32\drm\actmachine  RMS Toolkit 1.0  alól letölthető  hibakereső eszközök gyűjteménye

58 Egyéb információ  RMS weboldal   XrML 

59 vállalat ACL Összefoglalás információkmunkatársak külső személyek

60 Összefoglalás  Könnyen bevezethető, nyílt tartalomvédő szolgáltatás  Általános célú  nemcsak egy bizonyos gyártó egyetlen alkalmazásához  Szabványos  XrML, X.509  Kiiktatja a véletlen szerepét  csak szándékos kiszivárogtatás fordulhat elő

61

62 Get Inside!


Letölteni ppt "A Windows tartalomvédelmi szolgáltatása (RMS) Szalontay Zoltán vezető rendszermérnök Microsoft Magyarország."

Hasonló előadás


Google Hirdetések