A Windows tartalomvédelmi szolgáltatása (RMS) Szalontay Zoltán vezető rendszermérnök Microsoft Magyarország

TechNet események 2004 tavaszán 2004. március 17. Nagyvállalati ügyfélmenedzsment a Systems Management Server 2003 segítségével 2004. március 31. Kiszolgálók felügyelete a Microsoft Operations Manager 2000 SP1 segítségével 2004. április 14. A Windows Tartalomvédelmi szolgáltatása (Rights Management Services, RMS) 2004. április 28. Nagyvállalati tűzfal megoldások az ISA Server 2004 segítségével 2004. május 12. Üzemeltetői konferencia

A mai napirend A bizalmas információ Igazgatói rendelkezések Akciós ajánlat részletei a kereskedők számára A felhasználó gépén nincs RMS ügyfél Az RMS komponensei Az RMS adminisztrációja Sablonok Otthoni felhasználók Külső, egyéni felhasználók Más cég felhasználói Összehasonlítás más titkosítási technológiákkal

A bizalmas információ… …kijutása üzleti vagy erkölcsi kárt okozhat …kijutását megakadályozni nem lehet belső szabályzat? tűzfal? motozás?

A fokozott ellenőrzés nem megoldás

USB dugó „Pendrive”

A Pendrive letiltása nem oldja meg a problémát usbstor.sys [HKEY_LOCAL_MACHINE\SYSTEM\ CurrentControlSet\Services\USBSTOR] "Start"=dword:00000004 Az adat továbbra is kivihető hajlékonylemez, CD, DVD PCMCIA CompactFlash/SmartMedia/SD kártyák infra port, Bluetooth, firewire nem installálható fájlrendszerek ActiveSync  PocketPC és SmartPhone speciális nyomtató szoftverek (pl. HP Photosmart)

demó Két dokumentum kijut a cégtől az egyiket meg tudják nyitni a másik RMS-sel készült  demó

A mai napirend A bizalmas információ Igazgatói rendelkezések Akciós ajánlat részletei a kereskedők számára A felhasználó gépén nincs RMS ügyfél Az RMS komponensei Az RMS adminisztrációja Sablonok Otthoni felhasználók Külső, egyéni felhasználók Más cég felhasználói Összehasonlítás más titkosítási technológiákkal

A feladat Az igazgató bizalmas dokumentumot küld körbe Csak a címzettek olvashatják el A tartalmát tilos másoknak továbbítani átmásolni más alkalmazásba kinyomtatni

demó Tartalomvédelmi szolgáltatással védett igazgatói körlevél küldése fogadása demó

A mai napirend A bizalmas információ Igazgatói rendelkezések Akciós ajánlat részletei a kereskedők számára A felhasználó gépén nincs RMS ügyfél Az RMS komponensei Az RMS adminisztrációja Sablonok Otthoni felhasználók Külső, egyéni felhasználók Más cég felhasználói Összehasonlítás más titkosítási technológiákkal

A feladat Az akció 2004. április 30-ig érvényes a hirdetéseket ezt követően ne lehessen megnyitni A dokumentum tartalmát tilos továbbítani átmásolni Viszont szabad kinyomtatni

Az akció részleteit tartalmazó védett dokumentum elkészítése demó

A mai napirend A bizalmas információ Igazgatói rendelkezések Akciós ajánlat részletei a kereskedők számára A felhasználó gépén nincs RMS ügyfél Az RMS komponensei Az RMS adminisztrációja Sablonok Otthoni felhasználók Külső, egyéni felhasználók Más cég felhasználói Összehasonlítás más titkosítási technológiákkal

A feladat Új igazgatói körlevél Csak a központban dolgozók használnak Office 2003-mat A többieknek is el kell olvasniuk a védett dokumentumot

demó RMS Internet Explorer Add-on védett elektronikus levél olvasása OWA felületen védett Word melléklet olvasása web böngészővel demó

A mai napirend A bizalmas információ Igazgatói rendelkezések Akciós ajánlat részletei a kereskedők számára A felhasználó gépén nincs RMS ügyfél Az RMS komponensei Az RMS adminisztrációja Sablonok Otthoni felhasználók Külső, egyéni felhasználók Más cég felhasználói Összehasonlítás más titkosítási technológiákkal

Az RMS megvalósítása XrML 1.2.1 alapú .NET web szerviz A webszolgáltatás URL-jét az AD-ba publikálja Hierarchikus és redundáns architektúra Az ügyfél alkalmazás az RMS API-val éri el az RMS-t

Az RMS komponensei Kiszolgáló oldal Ügyfél oldal Konfiguráció kötelező: egy RMS Root server (certificate/licensing) Rights Management Services SQL (fürt javasolt) SSL kulcs a web szervizhez terheléstől függően NLBS farm terheléstől függően: egy vagy több RMS Licensing Server Ügyfél oldal RMS licenc Office 2003 Pro + RMS kliens és/vagy RMS Internet Explorer Add-on (angol) Opcionális: OWA Konfiguráció AD (2000 vagy 2003) E-mail cím minden User objektumhoz (Exchange nem kell) Az E-mail cím tulajdonság írási joga bizalmi kérdés! nincs séma bővítés de egy Service Discovery Point objektum keletkezik a konfigurációs konténerben

Mi kell az RMS-hez? Active Directory Office 2003 Internet Explorer a User objektumok e-mail tulajdonságát ki kell tölteni az RMS a Configuration konténerbe publikálja a címét Office 2003 az RMS-sel védett tartalom publikációjához az RMS-sel védett tartalom olvasásához Internet Explorer Internet kapcsolat az RMS kiszolgáló és a munkaállomások aktiválásához

Egyszerű RMS konfiguráció Logging Konfig. RMS cert/licensing Primary AD RMS ügyfél E-mail cím Service connection point

Növelt rendelkezésre állású RMS konfiguráció Logging Konfig. RMS cert/licensing Joined RMS cert/licensing Primary RMS cert/licensing Joined NLBS AD RMS ügyfél E-mail cím Service connection point

Elosztott RMS konfiguráció Root cluster Licensing cluster Logging/Konfig. Logging/Konfig. Cert/licensing Cert/licensing Licensing Licensing Licensing NLBS NLBS AD E-mail cím Service connection point RMS ügyfél

RMS tanúsítványok Server licensor certificate Lockbox felhatalmaz egy Licensing Servert az alábbiak kiadására: Publishing license, Use license, Client licensor certificate, sablonok Lockbox egy RMS által megbízható számítógép privát kulcsát tartalmazza %systemroot%/system32/secrep.dll RM machine certificate azonosít egy az RMS által megbízható számítógépet RM account certificate (RAC) azonosít egy az RMS által megbízható felhasználót, aki egy megbízható gépen dolgozik Publishing license (PL) egy védett dokumentumon elvégezhető tevékenységek listáját tartalmazza Use license (UL) egy azonosított felhasználónak egy védett dokumentumra vonatkozó jogait tartalmazza Client licensor certificate egy felhasználót felhatalmaz arra, hogy olyan védett dokumentumot készíthessen, amelyet céges hálózati kapcsolat nélkül is el lehet olvasni

Mi van egy védett fájlban? A fájl létrehozásakor keletkezik Miután egy licencelt felhasználó megnyitotta a dokumentumot Publishing License (PL) Use License (UL) Content Key (szimmetrikus) Meghatározott felhasználó jogai Encrypted with the user’s public key Az RMS kiszolgáló nyilvános kulcsával titkosítva jogosultsági információk (email-címekkel) Content Key (véletlenszám) A felhasználó nyilvános kulcsával titkosítva A file tartalma (szöveg, kép, stb.) Office 2003 rights-protected files that enable HTML clients to view will also have an HTML copy of the file contents in this compound document. A tartalomvédő kulccsal titkosítva (128 bites AES titkosítás) Az e-mail üzenetek védelmét szolgáló Use Licence-ek nem a levélben, hanem az RM gyorsítótárban helyezkednek el

Mi van az RMS-kiszolgálón? A kiszolgáló privát kulcsa igény szerint HW-védelem alatt nCipher kártya A felhasználók kulcsai és azonosítói a felhasználói kulcsokat a kiszolgáló generálja a felhasználók E-mail címei az Active Directory-ból jönnek Sablonok „Microsoft FTE Confidential” „Tilos nyomtatni” „Egy hétig érvényes” stb. Naplók minden licenckérés és kiadás naplózódik auditálási célokra is használható Server Private Key 0101100101… zoltansz@rmsdemo.hu Public Key Private Key “Tilos kinyomtatni” = No Print

Mi van a számítógépen? RM ügyfél Lock Box RM Account Certificate (RAC) Célja a számítógép hitelesítése. Megakadályozza, hogy más gépre átmásolt tartalom olvasható maradjon. RM ügyfél Lock Box számítógép privát kulcsa (rejtett, generált) alkalmazás privát kulcsa RM Account Certificate (RAC) Client Licensor Certificate Machine Certificate A számítógép azonosítója. Ezzel indul a hitelesítési folyamat. felhasználó privát kulcsa (a gép nyilvános kulcsa védi) fel-használó nyilvános kulcsa RMS kiszolgáló és az alkalmazás nyilvános kulcsa számítógép nyilvános kulcsa Off-line elérhető dokumentumokhoz

Egy munkaállomás aktiválása aktivációs proxy (RMS) tűzfal Microsoft aktivációs szolgáltatás Lockbox %systemroot%\system32\secrep.dll Lockbox RM machine cert

Méretezés Egy 4 processzoros, 1 GB RAM-os, 1 GHz-es Pentium 4 gép 100 licencet ad ki másodpercenként „Ha negyedik Béla másfél év alatt huszonöt rendeletet hozott, akkor hányadik Béla fog három év alatt hatvan rendeletet hozni?” Boncz Géza Gyenge terhelés 5.000 felhasználó 10%-a 20 percenként használja az RMS-t egy kiszolgáló elegendő Közepes terhelés 40.000 felhasználó 50%-a 8 percenként használja az RMS-t 3 RMS kiszolgáló kell 6 kiszolgáló megfelelő tartalékot is ad

kávé- szünet

A mai napirend A bizalmas információ Igazgatói rendelkezések Akciós ajánlat részletei a kereskedők számára A felhasználó gépén nincs RMS ügyfél Az RMS komponensei Az RMS adminisztrációja Sablonok Otthoni felhasználók Külső, egyéni felhasználók Más cég felhasználói Összehasonlítás más titkosítási technológiákkal

demó Az RMS adminisztrációja Bizalmi szabályzatok Jogmegadási sablonok Naplózási beállítások A fürt extranetes URL-címének megadása RMS fiók tanúsítási jelentés Biztonsági beállítások Tanúsítási beállítások Kizárási házirendek Az RMS szolgáltatás kapcsolódási pontja demó

A mai napirend A bizalmas információ Igazgatói rendelkezések Akciós ajánlat részletei a kereskedők számára A felhasználó gépén nincs RMS ügyfél Az RMS komponensei Az RMS adminisztrációja Sablonok Otthoni felhasználók Külső, egyéni felhasználók Más cég felhasználói Összehasonlítás más titkosítási technológiákkal

RMS jogosultsági sablonok Központilag definiált jogosultsági beállítások a kiszolgáló által aláírt XrML dokumentum az RMS nem juttatja el az ügyfélhez SMS, Csoport házirend, megosztásra publikálás A sablonok helye HKCU\Software\Microsoft\Office\11.0\DRM\ AdminTemplatePath %HOMEPATH%\Local Settings\Application Data\Microsoft\DRM\templates

RMS sablon készítése terjesztése használata demó

A mai napirend A bizalmas információ Igazgatói rendelkezések Akciós ajánlat részletei a kereskedők számára A felhasználó gépén nincs RMS ügyfél Az RMS komponensei Az RMS adminisztrációja Sablonok Otthoni felhasználók Külső, egyéni felhasználók Más cég felhasználói Összehasonlítás más titkosítási technológiákkal

A feladat Az igazgató otthonról is el akarja érni a védett dokumentumokat a dokumentum a notebookján van a dokumentum az otthoni gépén van

A megoldás A gép tagja a céges hálózatnak és a felhasználó a cégnél már megnyitotta a dokumentumot van érvényes UL, a dokumentum megnyitható sablonban állítható, hogy meddig legyen érvényes A felhasználó gépe rajta van az Interneten az RMS kiszolgálót publikálni kell az Internetre már aktivált céges gépről szerezhetünk UL-t az extranet címről még nem aktivált gép ideiglenes licencet kérhet, ha az RMS off-line használat engedélyezve van

A mai napirend A bizalmas információ Igazgatói rendelkezések Akciós ajánlat részletei a kereskedők számára A felhasználó gépén nincs RMS ügyfél Az RMS komponensei Az RMS adminisztrációja Sablonok Otthoni felhasználók Külső, egyéni felhasználók Más cég felhasználói Összehasonlítás más titkosítási technológiákkal

A feladat A cég egyik partnerének kell elküldeni egy védett dokumentumot A partnernek van hotmail-es email címe

Megoldás A dokumentum levédésekor ne Active Directory felhasználót, hanem a partner hotmail-es címét adjuk meg (Passport) A partner regisztráljon be a Passport RAC szolgáltatásba ingyenes, de bizonytalan, hogy meddig él A vállalat RMS kiszolgálóján bízzon meg a Passport RAC szolgáltatásban alapértelmezés szerint letiltva

Védett dokumentumok elérése a Passport RAC szolgáltatás segítségével dokumentum levédése a partner számára dokumentum megnyitása egy Passport fiók és Internet kapcsolat segítségével demó

A mai napirend A bizalmas információ Igazgatói rendelkezések Akciós ajánlat részletei a kereskedők számára A felhasználó gépén nincs RMS ügyfél Az RMS komponensei Az RMS adminisztrációja Sablonok Otthoni felhasználók Külső, egyéni felhasználók Más cég felhasználói Összehasonlítás más titkosítási technológiákkal

A feladat Két cég védett dokumentumokat akar küldeni egymásnak Mindkét cégben van már AD és RMS

A megoldás RMS Trust kapcsolatot kell létrehozni a két rendszer között Teendők a kiszolgáló extranetes URL-jeinek publikálása az Internetre (ISA) a kiszolgáló tanúsítványainak exportálása átvitelük a másik rendszerbe importálás External konnektor licenc kell hozzá mindkét oldalon!

RMS Trust bizalmi kapcsolat létrehozása egy másik cég RMS rendszerével demó

A mai napirend A bizalmas információ Igazgatói rendelkezések Akciós ajánlat részletei a kereskedők számára A felhasználó gépén nincs RMS ügyfél Az RMS komponensei Az RMS adminisztrációja Sablonok Otthoni felhasználók Külső, egyéni felhasználók Más cég felhasználói Összehasonlítás más titkosítási technológiákkal

Mi az az RMS? DRM IRM WRM RMS R.M.S. Titanic Digital Rights Management elektronikus licenccel védett Windows Media és eBook tartalom IRM név: Information Rights Management az RMS Office 2003-ban lévő ügyfele a Passport RAC Service neve WRM ilyen nincs RMS Windows Rights Management Services vállalati felhasználók számára nyújtott tartalomvédelmi szolgáltatás R.M.S. Titanic Royal Mail Streamer Titanic

RMS kontra PKI Az RMS XrML alapú Kulcs párok és tanúsítványok itt is vannak, de a lényeg a tanúsítvány kiadási folyamaton van a tanúsítványok XML formátumúak az X.509v3 EKU-jánál jóval több információt tartalmaz Az algoritmusok hasonlóak RSA, AES Az RMS-hez nem kell PKI bevezetés csak egy X.509v3 tanúsítvány kell az SSL web szolgáltatáshoz

RMS kontra titkosított levél/dokumentum A titkosított levél/dokumentum a címzett privát kulcsának birtokában dekódolható Miután dekódolta, szabadon továbbíthatja nyomtathatja másolhatja

RMS kontra titkosított fájlrendszer (EFS) Az EFS csak addig véd, amíg a dokumentum a fájlrendszerben marad amint elhagyja, a fájl nyilvánossá válik Az EFS nem véd a továbbítás, másolás, nyomtatás ellen erre NTFS jogokat szokás adni ha például CD-n kikerül a dokumentum, még ez a védelem is megszűnik

Egyéb információ Mit szállít a Microsoft? Windows Rights Management Services (RMS) ingyenesen letölthető frissítés a Windows Server 2003-hoz RMS Ügyfél Ingyenesen letölthető Office 2003 kiegészítés Ingyenesen letölthető kiegészítés az Internet Explorerhez Rights Management API Windows 98 SE és újabb operációs rendszerekhez RMS fejlesztőkészlet (SDK) Client SDK: alkalmazások fejlesztéséhez és kiegészítéséhez Server SDK: automatizált feladatokhoz (pl. portálok) Ügyfél licenc kell a használatához!

Egyéb információ RMS kompatibilis alkalmazások Létrehozás Használat Office 2003 Professional Igen Office 2003 Standard Nem Egyedi Office 2003 alkalmazások Office XP Office 2000 Rights Management Add-on for Internet Explorer

Egyéb információ Konfiguráció Gép kézzel történő aktiválása %systemroot%\system32\drm\actmachine RMS Toolkit 1.0 http://www.microsoft.com/rms alól letölthető hibakereső eszközök gyűjteménye

Egyéb információ RMS weboldal XrML 1.2.1 http://www.microsoft.com/rms http://www.xrml.org

Összefoglalás vállalat információk munkatársak ACL ACL külső személyek

Összefoglalás Könnyen bevezethető, nyílt tartalomvédő szolgáltatás Általános célú nemcsak egy bizonyos gyártó egyetlen alkalmazásához Szabványos XrML, X.509 Kiiktatja a véletlen szerepét csak szándékos kiszivárogtatás fordulhat elő

Get Inside!