1 / 62

A Windows tartalomvédelmi szolgáltatása (RMS)

A Windows tartalomvédelmi szolgáltatása (RMS). Szalontay Zoltán vezető rendszermérnök Microsoft Magyarország. TechNet események 2004 tavaszán. 2004. március 17. Nagyvállalati ügyfélmenedzsment a Systems Management Server 2 003 segítségével. 2004. március 31.

kirestin-barry
Download Presentation

A Windows tartalomvédelmi szolgáltatása (RMS)

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. A Windows tartalomvédelmi szolgáltatása (RMS) Szalontay Zoltán vezető rendszermérnök Microsoft Magyarország

  2. TechNet események 2004 tavaszán 2004. március 17. Nagyvállalati ügyfélmenedzsment a Systems Management Server 2003 segítségével 2004. március 31. Kiszolgálók felügyelete a Microsoft Operations Manager 2000 SP1 segítségével 2004. április 14. A Windows Tartalomvédelmi szolgáltatása (Rights Management Services, RMS) 2004. április 28. Nagyvállalati tűzfal megoldások az ISA Server 2004 segítségével 2004. május 12. Üzemeltetői konferencia

  3. A mai napirend A bizalmas információ Igazgatói rendelkezések Akciós ajánlat részletei a kereskedők számára A felhasználó gépén nincs RMS ügyfél Az RMS komponensei Az RMS adminisztrációja Sablonok Otthoni felhasználók Külső, egyéni felhasználók Más cég felhasználói Összehasonlítás más titkosítási technológiákkal

  4. A bizalmas információ… • …kijutása üzleti vagy erkölcsi kárt okozhat • …kijutását megakadályozni nem lehet • belső szabályzat? • tűzfal? • motozás?

  5. A fokozott ellenőrzés nem megoldás

  6. USB dugó„Pendrive”

  7. A Pendrive letiltásanem oldja meg a problémát • usbstor.sys [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR] "Start"=dword:00000004 • Az adat továbbra is kivihető • hajlékonylemez, CD, DVD • PCMCIA CompactFlash/SmartMedia/SD kártyák • infra port, Bluetooth, firewire • nem installálható fájlrendszerek • ActiveSync  PocketPC és SmartPhone • speciális nyomtató szoftverek (pl. HP Photosmart)

  8. demó • Két dokumentum kijut a cégtől • az egyiket meg tudják nyitni • a másik RMS-sel készült 

  9. A mai napirend A bizalmas információ Igazgatói rendelkezések Akciós ajánlat részletei a kereskedők számára A felhasználó gépén nincs RMS ügyfél Az RMS komponensei Az RMS adminisztrációja Sablonok Otthoni felhasználók Külső, egyéni felhasználók Más cég felhasználói Összehasonlítás más titkosítási technológiákkal

  10. A feladat • Az igazgató bizalmas dokumentumot küld körbe • Csak a címzettek olvashatják el • A tartalmát tilos • másoknak továbbítani • átmásolni más alkalmazásba • kinyomtatni

  11. demó • Tartalomvédelmi szolgáltatássalvédett igazgatói körlevél • küldése • fogadása

  12. A mai napirend A bizalmas információ Igazgatói rendelkezések Akciós ajánlat részletei a kereskedők számára A felhasználó gépén nincs RMS ügyfél Az RMS komponensei Az RMS adminisztrációja Sablonok Otthoni felhasználók Külső, egyéni felhasználók Más cég felhasználói Összehasonlítás más titkosítási technológiákkal

  13. A feladat • Az akció 2004. április 30-ig érvényes • a hirdetéseket ezt követően ne lehessen megnyitni • A dokumentum tartalmát tilos • továbbítani • átmásolni • Viszont szabad • kinyomtatni

  14. demó • Az akció részleteittartalmazó védett dokumentum elkészítése

  15. A mai napirend A bizalmas információ Igazgatói rendelkezések Akciós ajánlat részletei a kereskedők számára A felhasználó gépén nincs RMS ügyfél Az RMS komponensei Az RMS adminisztrációja Sablonok Otthoni felhasználók Külső, egyéni felhasználók Más cég felhasználói Összehasonlítás más titkosítási technológiákkal

  16. A feladat • Új igazgatói körlevél • Csak a központban dolgozók használnak Office 2003-mat • A többieknek is el kell olvasniuk a védett dokumentumot

  17. demó • RMS Internet Explorer Add-on • védett elektronikus levél olvasása OWA felületen • védett Word melléklet olvasása web böngészővel

  18. A mai napirend A bizalmas információ Igazgatói rendelkezések Akciós ajánlat részletei a kereskedők számára A felhasználó gépén nincs RMS ügyfél Az RMS komponensei Az RMS adminisztrációja Sablonok Otthoni felhasználók Külső, egyéni felhasználók Más cég felhasználói Összehasonlítás más titkosítási technológiákkal

  19. Az RMS megvalósítása • XrML 1.2.1 alapú .NET web szerviz • A webszolgáltatás URL-jét az AD-ba publikálja • Hierarchikus és redundáns architektúra • Az ügyfél alkalmazás az RMS API-val éri el az RMS-t

  20. Az RMS komponensei • Kiszolgáló oldal • kötelező: egy RMS Root server (certificate/licensing) • Rights Management Services • SQL (fürt javasolt) • SSL kulcs a web szervizhez • terheléstől függően NLBS farm • terheléstől függően: egy vagy több RMS Licensing Server • Ügyfél oldal • RMS licenc • Office 2003 Pro + RMS kliens és/vagy • RMS Internet Explorer Add-on (angol) • Opcionális: OWA • Konfiguráció • AD (2000 vagy 2003) • E-mail cím minden User objektumhoz (Exchange nem kell) • Az E-mail cím tulajdonság írási joga bizalmi kérdés! • nincs séma bővítés • de egy Service Discovery Point objektum keletkezik a konfigurációs konténerben

  21. Mi kell az RMS-hez? • Active Directory • a User objektumok e-mail tulajdonságát ki kell tölteni • az RMS a Configuration konténerbe publikálja a címét • Office 2003 • az RMS-sel védett tartalom publikációjához • az RMS-sel védett tartalom olvasásához • Internet Explorer • az RMS-sel védett tartalom olvasásához • Internet kapcsolat • az RMS kiszolgáló és a munkaállomások aktiválásához

  22. AD RMS cert/licensing Primary RMS ügyfél Egyszerű RMS konfiguráció Logging Konfig. E-mail cím Service connection point

  23. AD RMS cert/licensing Primary RMS cert/licensing Joined RMS cert/licensing Joined RMS ügyfél Növelt rendelkezésre állásúRMS konfiguráció Logging Konfig. NLBS E-mail cím Service connection point

  24. Logging/Konfig. Logging/Konfig. AD Cert/licensing Cert/licensing Licensing Licensing Licensing Elosztott RMS konfiguráció Root cluster Licensing cluster NLBS NLBS E-mail cím Service connection point RMS ügyfél

  25. RMS tanúsítványok • Server licensor certificate • felhatalmaz egy Licensing Servert az alábbiak kiadására: • Publishing license, Use license, Client licensor certificate, sablonok • Lockbox • egy RMS által megbízható számítógép privát kulcsát tartalmazza • %systemroot%/system32/secrep.dll • RM machine certificate • azonosít egy az RMS által megbízható számítógépet • RM account certificate (RAC) • azonosít egy az RMS által megbízható felhasználót, aki egy megbízható gépen dolgozik • Publishing license (PL) • egy védett dokumentumon elvégezhető tevékenységek listáját tartalmazza • Use license (UL) • egy azonosított felhasználónak egy védett dokumentumra vonatkozó jogait tartalmazza • Client licensor certificate • egy felhasználót felhatalmaz arra, hogy olyan védett dokumentumot készíthessen, amelyet céges hálózati kapcsolat nélkül is el lehet olvasni

  26. Mi van egy védett fájlban? a A fájl létrehozásakor keletkezik Miután egy licencelt felhasználó megnyitotta a dokumentumot Publishing License (PL) Use License (UL) Content Key(szimmetrikus) Meghatározottfelhasználójogai Encrypted with the user’s public key Az RMS kiszolgáló nyilvános kulcsával titkosítva jogosultságiinformációk(email-címekkel) Content Key (véletlenszám) A felhasználó nyilvános kulcsával titkosítva A file tartalma (szöveg, kép, stb.) A tartalomvédő kulccsal titkosítva(128 bites AES titkosítás) Az e-mail üzenetek védelmét szolgáló Use Licence-ek nem a levélben, hanem az RM gyorsítótárban helyezkednek el

  27. Mi van az RMS-kiszolgálón? • A kiszolgáló privát kulcsa • igény szerint HW-védelem alatt • nCipher kártya • A felhasználók kulcsai és azonosítói • a felhasználói kulcsokat a kiszolgáló generálja • a felhasználók E-mail címei azActive Directory-ból jönnek • Sablonok • „Microsoft FTE Confidential” • „Tilos nyomtatni” • „Egy hétig érvényes” • stb. • Naplók • minden licenckérés és kiadás naplózódik • auditálási célokra is használható Server Private Key 0101100101… zoltansz@rmsdemo.huPublic Key Private Key “Tilos kinyomtatni” = No Print

  28. Mi van a számítógépen? Célja a számítógép hitelesítése. Megakadályozza, hogy más gépre átmásolt tartalom olvasható maradjon. RM ügyfél Lock Box számítógépprivát kulcsa(rejtett, generált) alkalmazásprivát kulcsa RM Account Certificate(RAC) Client LicensorCertificate MachineCertificate A számítógép azonosítója. Ezzel indul a hitelesítési folyamat. felhasználóprivát kulcsa(a gép nyilvános kulcsa védi) fel-használónyilvánoskulcsa RMS kiszolgáló és az alkalmazás nyilvános kulcsa számítógépnyilvánoskulcsa Off-line elérhető dokumentumokhoz

  29. munkaállomás aktivációsproxy (RMS) tűzfal Microsoftaktivációsszolgáltatás Egy munkaállomás aktiválása • Lockbox • %systemroot%\system32\secrep.dll Lockbox RMmachine cert

  30. Méretezés • Egy 4 processzoros, 1 GB RAM-os, 1 GHz-es Pentium 4 gép 100 licencet ad ki másodpercenként • „Ha negyedik Béla másfél év alatt huszonöt rendeletet hozott, akkor hányadik Béla fog három év alatt hatvan rendeletet hozni?” Boncz Géza • Gyenge terhelés • 5.000 felhasználó 10%-a 20 percenként használja az RMS-t • egy kiszolgáló elegendő • Közepes terhelés • 40.000 felhasználó 50%-a 8 percenként használja az RMS-t • 3 RMS kiszolgáló kell • 6 kiszolgáló megfelelő tartalékot is ad

  31. kávé-szünet

  32. A mai napirend A bizalmas információ Igazgatói rendelkezések Akciós ajánlat részletei a kereskedők számára A felhasználó gépén nincs RMS ügyfél Az RMS komponensei Az RMS adminisztrációja Sablonok Otthoni felhasználók Külső, egyéni felhasználók Más cég felhasználói Összehasonlítás más titkosítási technológiákkal

  33. demó • Az RMS adminisztrációja • Bizalmi szabályzatok • Jogmegadási sablonok • Naplózási beállítások • A fürt extranetes URL-címének megadása • RMS fiók tanúsítási jelentés • Biztonsági beállítások • Tanúsítási beállítások • Kizárási házirendek • Az RMS szolgáltatás kapcsolódási pontja

  34. A mai napirend A bizalmas információ Igazgatói rendelkezések Akciós ajánlat részletei a kereskedők számára A felhasználó gépén nincs RMS ügyfél Az RMS komponensei Az RMS adminisztrációja Sablonok Otthoni felhasználók Külső, egyéni felhasználók Más cég felhasználói Összehasonlítás más titkosítási technológiákkal

  35. RMS jogosultsági sablonok • Központilag definiált jogosultsági beállítások • a kiszolgáló által aláírt XrML dokumentum • az RMS nem juttatja el az ügyfélhez • SMS, Csoport házirend, megosztásra publikálás • A sablonok helye • HKCU\Software\Microsoft\Office\11.0\DRM\AdminTemplatePath • %HOMEPATH%\Local Settings\Application Data\Microsoft\DRM\templates

  36. demó • RMS sablon • készítése • terjesztése • használata

  37. A mai napirend A bizalmas információ Igazgatói rendelkezések Akciós ajánlat részletei a kereskedők számára A felhasználó gépén nincs RMS ügyfél Az RMS komponensei Az RMS adminisztrációja Sablonok Otthoni felhasználók Külső, egyéni felhasználók Más cég felhasználói Összehasonlítás más titkosítási technológiákkal

  38. A feladat • Az igazgató otthonról is el akarja érni a védett dokumentumokat • a dokumentum a notebookján van • a dokumentum az otthoni gépén van

  39. A megoldás • A gép tagja a céges hálózatnak és a felhasználó a cégnél már megnyitotta a dokumentumot • van érvényes UL, a dokumentum megnyitható • sablonban állítható, hogy meddig legyen érvényes • A felhasználó gépe rajta van az Interneten • az RMS kiszolgálót publikálni kell az Internetre • már aktivált céges gépről szerezhetünk UL-t az extranet címről • még nem aktivált gép ideiglenes licencet kérhet, ha az RMS off-line használat engedélyezve van

  40. A mai napirend A bizalmas információ Igazgatói rendelkezések Akciós ajánlat részletei a kereskedők számára A felhasználó gépén nincs RMS ügyfél Az RMS komponensei Az RMS adminisztrációja Sablonok Otthoni felhasználók Külső, egyéni felhasználók Más cég felhasználói Összehasonlítás más titkosítási technológiákkal

  41. A feladat • A cég egyik partnerének kell elküldeni egy védett dokumentumot • A partnernek van hotmail-es email címe

  42. Megoldás • A dokumentum levédésekor ne Active Directory felhasználót, hanem a partner hotmail-es címét adjuk meg (Passport) • A partner regisztráljon be a Passport RAC szolgáltatásba • ingyenes, de bizonytalan, hogy meddig él • A vállalat RMS kiszolgálóján bízzon meg a Passport RAC szolgáltatásban • alapértelmezés szerint letiltva

  43. demó • Védett dokumentumok elérése aPassport RAC szolgáltatás segítségével • dokumentum levédése a partner számára • dokumentum megnyitása egy Passport fiók és Internet kapcsolat segítségével

  44. A mai napirend A bizalmas információ Igazgatói rendelkezések Akciós ajánlat részletei a kereskedők számára A felhasználó gépén nincs RMS ügyfél Az RMS komponensei Az RMS adminisztrációja Sablonok Otthoni felhasználók Külső, egyéni felhasználók Más cég felhasználói Összehasonlítás más titkosítási technológiákkal

  45. A feladat • Két cég védett dokumentumokat akar küldeni egymásnak • Mindkét cégben van már AD és RMS

  46. A megoldás • RMS Trust kapcsolatot kell létrehozni a két rendszer között • Teendők • a kiszolgáló extranetes URL-jeinek publikálása az Internetre (ISA) • a kiszolgáló tanúsítványainak exportálása • átvitelük a másik rendszerbe • importálás • External konnektor licenc kell hozzá mindkét oldalon!

  47. demó • RMS Trust • bizalmi kapcsolat létrehozása egy másik cég RMS rendszerével

  48. A mai napirend A bizalmas információ Igazgatói rendelkezések Akciós ajánlat részletei a kereskedők számára A felhasználó gépén nincs RMS ügyfél Az RMS komponensei Az RMS adminisztrációja Sablonok Otthoni felhasználók Külső, egyéni felhasználók Más cég felhasználói Összehasonlítás más titkosítási technológiákkal

More Related