360 likes | 582 Views
SEC331 - 利用 Windows Rights Management Services 保护安全. 课程目标. 了解 RMS 商业场景 了解 RMS 组件 & 技术 学习部署 RMS. $40 在 Afghanistan 你可以买什么 ?. $40. 在 Kabul 的五星级酒店一晚的住宿 送一个孩子读五年的书 或者 …. $40. 前往 US 空军基地附近的一个市场 … 花 40$ 买那些被偷来的 USB 设备 : US 武装当地代理的身份信息 US 士兵的个人信息 敌军目标的列表 美国军事基地的列表
E N D
课程目标 了解RMS 商业场景 了解 RMS 组件 & 技术 学习部署 RMS
$40 • 在Kabul的五星级酒店一晚的住宿 • 送一个孩子读五年的书 • 或者…
$40 • 前往US空军基地附近的一个市场… • 花40$买那些被偷来的USB设备: • US武装当地代理的身份信息 • US士兵的个人信息 • 敌军目标的列表 • 美国军事基地的列表 Source: BBC News http://news.bbc.co.uk/2/hi/south_asia/4905052.stm LA times http://www.latimes.com/news/opinion/editorials/la-ed-bagram14apr14,1,4404976.story
财产 法律 Victoria’s Secret 被 State of New York 罚款$50万,并不得不对于那些被泄漏的未经授权的访问而接受赔偿. 规章制度 T-Mobile的漏洞导致数千客户的社会安全号码泄漏 信息丢失的代价 无论是有意还是无意的信息丢失,它所带来的损失都是巨大的 美国司法部门表示在2004年发生在企业中的 IP 窃取 $500亿 Eli Lilly 由于网上缴费无意见将自己的个人信息暴露给了600多个网上的用户 图象 & 可信度
63% 36% 35% 22% 22% 20% 信息漏洞的商业风险 Virus infection Unintended forwarding of emails Loss of mobile devices Password compromise Email piracy Loss of digital assets, restored Frequency of Reference “在病毒入侵后面,商业邮件和移动设备丢失越来越成为非常严重的安全隐患” Jupiter Research Report, 2004
信息平台 Home USB Drive Mobile Devices Independent Consultant Partner Organization 信息流没有边界 失控的信息共享,存储和访问 主机和网络控件不能很好的解决这些问题 8
保护初始连接的传统解决方案 授权用户 Yes 信息漏洞 No 访问控制列表 未授权用户 未授权用户 Firewall Perimeter 但是现在不再使用…
什么是 Rights Management Services? Windows 平台信息保护技术 • 更好的保护敏感信息 • 保护未授权的访问,编辑,拷贝,打印或者其它信息的传递 • 限制只有授权用户可以访问文件 • 对保护文件的访问进行审核 • 持久的保护 • 保护你的敏感数据,无论它在何地 • 使用技术强制组织策略 • 作者可以定义收件人如何使用信息 • 灵活,自定义的技术 • RMS 与应用程序的整合,便于使用 • 用户可以为一个信任组分配 “Full Control” 权限 • ISVs 可以由 SDKs 定制解决方案
平台功能性 减轻 减轻 减轻 减轻 减轻 功能 风险 稳固的加密特性 被分发的敏感内容 知道文件访问 通过传输或者存储嗅探信息 稳固的策略 用户不遵守策略 共享文档缺少策略 策略强制执行 不受限使用 用户无意的违反策略 信息整合 临时信息 资源信息不清 全面的审核 无法审核用户的行为 组织不能服从验证 11
会议目标 了解RMS 商业场景 了解 RMS 组件 & 技术 学习部署 RMS
系统工作流 • 高级别的查看 • 证书角色 • 密钥使用 • 应用程序 / RMS 客户端交互作用 • RMS 客户端 / RMS 服务器交互作用 • RMS感知的应用程序和直接使用RMS客户端APIs的应用程序 • 应用程序可以是桌面端或者是基于服务器的 • 基于端对端的系统工作流 • 部署 • 用户证明 • 发布信息 • 用户许可 • 信息消费量
SQL 系统架构 RMS Client RMS Server RMS Administration AD 应用程序 Admin APIs RMS Server OS 平台 MMC Host Admin Snap-in HTTP/SOAP HTTP/SOAP 客户 API 安全处理机 存储
HTTP/SOAP Proxies 客户架构 E12 3rd Party • 安全处理机 • 机器 & 用户密钥保护 • 应用程序授权 & 强制完整性 • 本地 RMS 客户端 APIs • 安全处理机接口 • 服务器接口 • 保护信息访问 • 策略处理 & 操作 • 管理 RMS 客户 APIs • 创建,操作 RMS-保护的 XPS 包 (Office 12 formats, etc.) Office SharePoint Pocket Office Windows Pres. Foundation Managed RMS Client API 本地 RMS 客户 API 安全处理机 移动 桌面 服务
HTTP/SOAP Proxies SQL 服务器架构 Logging • Web 服务 • ASP.Net 应用程序 • 98% 管理代码 • 服务器 API • 商业逻辑 • 许可发行 • 策略授权 • XrML 处理 • Active Directory • 组的扩展 • 帐户属性 • MSMQ • 异步日志 • SQL • 配置 & 策略 • 用户密钥 • 日志数据 MSMQ 公共组件 商业逻辑 Certify License Admin … Pre-license ASP.Net AD IIS Administration
管理 • Snap-in 界面 • Vista & Longhorn Server 重写的 MMC snap-in • 管理脚本化 APIs • 远程管理服务器接口 HTTP/SOAP Proxies 管理 APIs MMC Snap-in 界面 & 商业逻辑
证书缩写参考 证书缩写 • 定义我们的证书结构 • 所有的证书为 XrML 1.2 格式
System Workflow • Deployment • User certification • Publishing information • Licensing • Information consumption 部署目标: 企业为RMS准备桌面机及服务器 • 客户机部署 • Vista 内置RMS 客户端 • 产生 SPC • Machine key • Machine identity • Protected by Security Processor • 服务器部署 & 供应 • Longhorn Server 内置 RMS Server • 产生 SLC • Enterprise key • Enterprise identity 企业桌面端 企业服务器
System Workflow • Deployment • User certification • Publishing information • Licensing • Information consumption 用户证书目标: 应用程序使用 RMS 客户端 • RAC • Proof of user identity • Used for encryption of information key • RAC key encrypted by SPC • Signed by SLC • CLC • Authorization to publish in enterprise • Used to sign PL • CLC key encrypted by RAC • Signed by SLC • SPC • Windows 身份认证 User is ready to consume and publish
System Workflow • Deployment • User certification • Publishing information • Licensing • Information consumption 发布目标: 应用程序使用 RMS 客户端来授权信息和进行保护 • RMS 客户端使用策略保护信息 • 客户产生新的对称密钥 • 客户通过该密钥加密信息 • 客户产生一个PL • 标识 all使用策略 • 通过SLC 密钥加密对称密钥 • 由 CLC标记PL • 应用程序关联信息 保护分布式信息
System Workflow • Deployment • User certification • Publishing information • Licensing • Information consumption 许可目标: 应用程序使用 RMS 客户端来授权保护信息的用户消费 • RAC • PL • UL • 使用策略来鉴别用户信息并通过RAC密钥加密 • SLC标记 保护标准的信息 User is authorized to consume information
权限保护文章 a 当文件被保护时被创建 只有在用户打开了一个 server licenses 后才能添加这项 Publishing License End User Licenses Content Key Rights for a particular user 用 server’s public key加密 使用 user’s public key加密 Rights Info w/ email addresses Content Key (大随即数) 用 server’s public key加密 文件内容 (文本,照片,元数据,等等) 使用 user’s public key加密 用 Content Key加密,一个128-bit AES 对称加密密钥 E-mail ULs are stored in the local RMS license cache, not in the e-mails directly
System Workflow • Deployment • User certification • Publishing information • Licensing • Information consumption 信息消费目标: 使用 RMS 客户端的应用程序信息访问强制执行策略 • 用户拥有 • 保护信息 • UL • RAC • 安全处理机 • 应用程序使用 RMS 客户端 • 为授权消费评估 UL • 使用Security Processor & Machine key解密 RAC private key • 使用RAC key解密 UL 对称密钥 • 使用对称密钥解密被保护的信息 • 特定应用程序授权 (打印, 编辑, 传递, 等等.)
RMS Vista/Longhorn 消费者特性 • 外部协作 • 支持 ADFS 传递受保护的内容 • 自身注册 • RMS Server 注册步骤被省略 – 不再需要连接到 Microsoft 与 Longhorn 的整合 • Vista 内置了RMS客户端. • 更加容易的客户端部署 • 64位的支持 • RMS 服务器是 Longhorn Server 角色时 • 更加容易的服务器部署 • 自动安装组件 • MMC 管理控制台 • 脚本化管理 • Quality gates
ADFS的外部联合 • 场景: • Fabrikam 是 Contoso 的一个供应商 • 它们使用 ADFS 创建了同盟信任关系 • 访问 SharePoint 文档库, 内网站点, 等等. • 当 Contoso 部署了 RMS 用来保护它的知识产权时, 它们可以对共享给 Fabrikam 员工的信息进行保护 • Contoso 的RMS 服务器将为使用Contoso 内容的Fabrikam员工发布 RACs 和 ULs
AD AD FS-A RAC RAC CLC CLC 10 12 11 1 9 2 3 5 6 7 8 4 PL UL ADFS的外部联合如何工作 假设作者已经完成引导指令 作者向 Fabrikam的接受者发送受保护的邮件 接受者连接 RMS 服务器 WebSSO 代理截获请求 RMS 客户端重定向到 FS-R 去寻找主发现区域 RMS 客户端重定向到 FS-A 去做授权 RMS 客户端重定向返回 FS-R 完成授权 RMS 客户端向RMS 服务器发出请求 WebSSO 代理截获请求,检查授权身份并发送请求给 RMS 服务器 RMS 服务器返回引导指令授权给接受方 RMS 服务器返回 use license 给接受方 接受方访问受保护的内容 Contoso Fabrikam FS-R WebSSO RMS
会议目标 了解RMS 商业场景 了解 RMS 组件 & 技术 学习部署 RMS
基本RMS 软件准备条件 RMS 服务器… • Windows Rights Management Services (RMS) service • Windows Server 2003 (Standard, Enterprise, Web 或 Datacenter) • Internet Information Services, ASP.NET, Message Queuing installed 环境… • Active Directory service (Windows Server 2000 SP3 或更高) • AD中要有E-mail属性 • Microsoft SQL Server 2000 SP3或更高版本数据库来存储配置数据和审核日志 • 测试环境可以使用Microsoft SQL Desktop Engine (MSDE) 桌面端 (客户)… • Windows Rights Management client software • RMS API’s 和 “Lockbox”, 运行在 Windows 2000 和更高版本 • RMS可用应用程序 • 可以使用 RMS SDK的任意应用程序 • Microsoft Office Professional Edition 2003 • 带有权限管理的Internet Explorer
RMS 服务器硬件要求 • RMS 利用群集模式 • RMS 服务器 = 单节点的群集 RMS 群集 Log DB • RMS Web Services • Certification • Publishing • Licensing HSM NLB
MSIT RMS 部署 从2003年6月发布后使用日益增长 部署场景范围越来越广 客户使用文档全新的模式
总结 RMS 提供了 稳固 策略 强制执行 更加容易的部署和管理