1 / 17

Технологии и продукты Microsoft в обеспечении ИБ

Лекция 22. Управление доступом на основе Windows Rights Management Services. Технологии и продукты Microsoft в обеспечении ИБ. Цели. stridE. Рассмотреть новый подход к управлению правами доступа RMS Познакомиться с форматом представления данных XrML (Extensible Rights Markup Language)

chumani-walker
Download Presentation

Технологии и продукты Microsoft в обеспечении ИБ

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Лекция 22. Управлениедоступомнаоснове Windows Rights Management Services Технологии и продукты Microsoft в обеспечении ИБ

  2. Цели stridE Рассмотреть новый подход к управлению правами доступа RMS Познакомиться с форматом представления данных XrML (Extensible Rights Markup Language) Проанализировать ограничения технологии

  3. IRM и RMS • Цель: предотвратить неавторизованное использование цифровых документов • Запретить пересылку • Запретить печать • Защитить intranet • IRM – клиент-серверная технология, встроенная в Office 2003 и значительно упрощенная в Office 2007, интегрирована в IE • Использует цифровые сертификаты Rights Management Services в Windows 2003/Longhorn • Пробная версия доступна на базе Passport/Live ID

  4. WRMS – это: • Технология, которая позволяет организациям создавать и применять политики использования информации • Для любого приложения • В любом формате • Политика использования, которая «живёт» вместе с информацией • Куда и каким бы способом ни перемещалась защищенная информация

  5. Основы IRM • В IRM документы «привязываются»к пользователям и машинам • Форма DRM (Digital Rights Management) • Известна как ERM (Enterprise Rights Management) • Для защиты ключей можно использовать смарткарты • Начиная с RMS SP1 • Защита ключей – на основе обфускации • Так называемый механизм Lockbox • Не подходит для обеспечения конфиденциальности • IRM на платформе Vista/Office 2007 не использует TPM

  6. Алгоритмы IRM • IRM - не для шифрования данных! • Сертифицированные алгоритмы FIPS-140-1 • AES для шифрования • RSA для обмена ключами • Аутентификация пользователей - смарткарты • Должно быть установлено соответствие между пользователем и его сертификатом X.509 в AD

  7. Компоненты RMS • Windows Rights Management Services (WRMS) • Дополнительный компонент Windows Server 2003/2008 • http://www.microsoft.com/rms • Клиентская часть WRMS • Rights Management APIs длявсех версий Windows (98SE, 2000, XP, 2003, Vista, 7) • Rights Management Add-on для Internet Explorer • Software Development Kit • Инструментарий разработчика для серверной и клиентской частей • Приложения, поддерживающие RM • Любое приложение, созданное сиспользованием RM SDK • Microsoft Office 2003/2007

  8. Схема взаимодействия узлов на основе технологии RMS в Windows Server 2003

  9. Усовершенствования в Windows Server 2008 • Использование приложения AD RMS на основе службы федерации Active Directory (ADFS) позволяет обеспечить унифицированный контроль доступа к документам не только со стороны сотрудников, но и со стороны клиентов, партнеров и поставщиков • Значительно упростилась процедура инсталляции

  10. Установка • Для установки WRMS необходимы • Windows Server 2003/2008 • Active Directory • Internet Information Services 6.0 • ASP.Net • Microsoft SQL Server (версия от 2000 SP3/ MSDE) • MSMQ в режиме “Active Directory Integration” • Для первоначальной регистрации корневого сервера RMS в Microsoft Enrollment Centerнеобходимо подключение к Интернет • Для каждого пользователя RMS необходимо приобрести клиентскую лицензию (RMS CAL)

  11. Интернет • Для инициализации корневого сервера WRMS необходимо подключение к Интернет и связь с сервером Microsoft • Для активации каждой клиентской машины необходима связь с Центром Активации Microsoft • После инициализации сервера и активации всех машин, для работы WRMS/IRM доступ к Интернету не требуется

  12. Конфиденциальность и Microsoft • В процессе работы корпоративной службы WRMS никакая информация в Microsoft не передается • При регистрации корневого сервера WRMS на UDDI.microsoft.com,ему лишь выдается цифровой сертификат, определяющий корень доверяемой инфраструктуры • При активации клиентской машины в Центр Активации Microsoft передается только хеш информации из оборудования машины

  13. Производительность RMS • Базовые требования аналогичны Windows 2003 • Минимум = P3-800 MHz, 256MB RAM, 20GB • Рекомендуемый = Dual P4-1.5 GHz, 512MB RAM, 40GB • RMS в основном нагружает ЦПУ • RMS так же требует дополнительной памяти • RMS кэширует обращения к RMS серверу так же как и MS SQL базе данных DirectoryServices

  14. Корпоративные шаблоны RMS доступны через меню Разрешенияв Outlook, Word, PowerPoint, и Excel Примеры RMS шаблонов

  15. IRM не в силах побороть «аналоговый» барьер

  16. Использованныеисточники • Сердюк В. Современные технологии защиты от утечки конфиденциальной информации //"Век качества", 2005, №3, стр. 62-67. • Technical Overview of Windows Rights Management Services for Windows Server 2003. Microsoft Corporation. November 2003. Available at: http://www.microsoft.com/windowsserver2003/technologies/rightsmgmt/default.mspx • Lukawiecki R. A-to-Z of Data Protection on the Windows Platform // Microsoft TechEd IT Forum, 2006.

  17. Спасибо за внимание! Вопросы?

More Related