Les fichiers sur le Bureau Prévention de perte de données avec Gestion des droits d'entreprise

Wes Miller

Contenu

Vous envisagez de prévention de perte de données
Blocs de construction de la gestion des droits
Comment il fonctionne ?
Où sont les trous ?
Les vous protection de vos immobilisations ?

À mon travail jour, je travaille pour une société qui fait une application whitelisting qui fondamentalement annule l'approche typique de sécurité qui protège votre ordinateur. Il existe une autre approche de sécurité, peut-être également atypique que je souhaite aborder ce mois-ci, gestion de droits d'entreprise et pourquoi c'est le seul moyen de réellement protéger les informations confidentielles.

À la conférence RSA de cette année de San Francisco, j'a été parcours le plancher du diaporama, comparer les wares soit proposés par chacun des fournisseurs, et je dois dire que j'étais confounded. À quelques rares exceptions près, les fournisseurs à l'étage afficher ont été vente réactif — pas proactive, solutions de sécurité. Laissez-moi expliquer. Lorsque vous construisez un immeuble, vous le sécuriser en incluant des verrous sur les portes et fenêtres. Si vous souhaitez plus sécurité, vous obtenez un système d'alarme. Vous souhaitez encore plus ? Ajouter une plage. Ce que vous ne pas faire pour sécuriser un bâtiment, laissez les verrous, l'alarme et la plage de gestion et simplement engagez une protection ou deux pour remonter autour c'est. En soi, qui ne sont pas protéger tout.

Ressources supplémentaires

Gestion des droits à l'information dans Microsoft Office system 2007

Office.Microsoft.com/en-us/Help/HA101029181033.aspx

Gestion des droits d'information dans Windows SharePoint Services

MSDN.Microsoft.com/library/ms458245

Windows Rights Management Services

Microsoft.com/windowsserver2003/technologies/rightsmgmt

Services de gestion des droits relatifs à Windows Server 2003

technet2.microsoft.com/WindowsServer/en/technologies/Featured/RMS/default.mspx

RMS: protection de vos immobilisations

blogs.technet.com/rmssupp/default.aspx

Partenaires des services Windows Rights Management

Microsoft.com/windowsserver2003/partners/rmspartners.mspx

Vous envisagez de prévention de perte de données

Voici un exemple plus réaliste. J'AI avez eu de nombreux clients demander de blocage des ports USB à conserver des informations de fuite de leur société (après que nous ont éliminé les problèmes sur les menaces entrants). Mais la réalité est que tentative d'arrêt de flux de données sur le port lui-même n'est pas protéger tout. En fait, c'est simplement comme en laissant un bâtiment totalement non sécurisé, puis Embauche cette protection. Bien sûr, il est un personne bon, mais il a simplement ne peut pas manière réaliste survoler toutes les entrées et se ferme. À la fin de la journée, dans les deux scénarios, il est l'outil incorrect pour le travail.

Le problème de blocage accès au port et toutes les solutions qui tentent de vous aider à analyser ou sécuriser vos partages UNC, ou faire des paquets avec état, ou faire d'autres types de contrôle, est que tous sont réactif. Il tout tente d'intercepter les données qu'il quitte votre organisation. Mais là, il est généralement trop tard.

Cela me rappelle d'un scénario utilisé pour se produire à Microsoft (et je suis sûr est son familier pour vous, ainsi). À l'ère avant relatifs à l'information Rights Management (IRM) dans Microsoft Office et Rights Management Services (RMS) de Windows, tout message intéressant, même si repéré confidentiel, serait transféré à la presse à la fin de la journée. Malheureusement, stratégies, mots forts, des paquets, sécurité de partage et même la menace d'arrêt peuvent uniquement Accédez jusqu'à présent. Quelque chose plus est nécessaire, et que quelque chose peut être simplement les technologies de gestion des droits de Microsoft, qui peut vous aider à protègent votre contenu d'Office. J'ai deviennent un ventilateur de gestion des droits relatifs à l'information (IRM) et RMS principalement, que j'ai développé pour respecter les solutions de sécurité au lieu de simplement les technologies d'audit, surveillance et la conformité.

Quels sont les avantages de gestion des droits relatifs à l'information (IRM) / RMS dans la protection de contenu Office sur la protection par ordinaire mot de passe de ce contenu ?

• Il existe par force brute des mécanismes qui peuvent compromettre la protection par mot de passe est utilisé par les documents Office.
• Contenu protégé par mot de passe ordinaire n'est pas chiffré de la même manière que les documents protégés par IRM/RMS sont.
• Gestion des droits relatifs à l'information (IRM) et RMS collaborent pour protéger le contenu aux niveaux le plus bas dans Windows.
• Gestion des droits relatifs à l'information (IRM) / RMS vous permet de vous protéger du contenu utilisant contrôles d'accès très précises, qui sont affectées à des comptes Active Directory.

Mais quels sont exactement Gestion des droits relatifs à l'information (IRM) et RMS ? Ces technologies, premier livrés avec Microsoft Office 2003, permettent de protéger la propriété intellectuelle est stockée dans les documents Office, notamment messagerie lu via Microsoft Outlook, Outlook Mobile Access et Outlook Web Access via Internet Explorer, par le cryptage de documents et contrôler l'accès au contenu lui-même.

La plupart des types de documents Office, y compris les nouveaux documents basés sur XML, ainsi que message électronique, peuvent être chiffrés, bien que les fichiers .msg (messages électroniques souvent joints à des autres messages électroniques) ne peut pas. (Reportez-vous au Office.Microsoft.com/en-us/Help/HA101029181033.aspx Pour une liste complète des types de fichiers vous pouvez gérer avec l'IRM.) Le document n'est pas déchiffré jusqu'à ce qu'il est ouvert par un utilisateur qui a été autorisé par l'expéditeur du document.

Gestion des droits relatifs à l'information (IRM) est essentiellement la droits Gestion avant fin, exposée via une application activée de RMS, tandis que RMS est le principal. Un serveur RMS conserve les informations utilisées pour identifier les droits qui ont été accordées à utilisateurs et vérifie les informations d'identification de ces utilisateurs. Le composant Gestion des droits relatifs à l'information (IRM) de l'application activée de RMS permet de définir et de gérer ces droits. Ensemble de gestion des droits relatifs à l'information (IRM) et de RMS permettent aux utilisateurs autorisés de lire, modifier ou exercer contrôle d'édition complète sur un document (selon les droits affectés).

Lorsqu'un contenu utilisateur autorisé Ouvre protégé par IRM, via une application Office, le contenu est décrypté et effectué lisible ou modifiables au sein de cette application. Gardez à l'esprit que bien que Gestion des droits relatifs à l'information (IRM) et RMS fonctionnent à conserver des informations sécurisées, il est toujours le potentiel d'un utilisateur qui est réellement dédié à compromettre la faire. Si un utilisateur choisit d'utiliser le « analogique trou » (un appareil photo numérique ou autre d'une capture d'écran logiciels ou même de retaper les informations essentielles à la main), il est peu IRM peut faire pour protéger les informations. Pour la plupart des scénarios, cependant, ceci est assez forte de sécurité.

Blocs de construction de la gestion des droits

La solution de gestion de droits Microsoft comprend quatre composants j'aborderai en détail. Je décrirai brièvement le SDK RMS et la boîte à outils RMS utiles. Le premier composant est intégré ; les autres peuvent être téléchargés à partir Microsoft.com/windowsserver2003/technologies/rightsmgmt.

Gestion des droits relatifs à l'information Un composant intégré de Microsoft Office 2003 et Office system 2007 (en tant qu'ainsi que les versions mobiles d'Outlook, Excel, Word et PowerPoint via Windows Mobile 6 x), il permet aux utilisateurs d'affecter des autorisations à Word de documents, Excel classeurs, présentations PowerPoint, InfoPath les formulaires, messages électroniques Outlook et fichiers XML Paper Specification (.xps), ainsi autoriser ou empêcher les destinataires de ces fichiers de transférer, copier, modification, l'impression, télécopie, couper et coller et à l'aide de la clé Print Screen. Vous pouvez définir les autorisations sur une base par utilisateur et par document.

Dans un environnement Active Directory, vous pouvez également définir des autorisations pour les groupes et si votre organisation utilise Microsoft Office SharePoint Server 2007, vous pouvez définir des autorisations sur les bibliothèques (Notez que techniquement, contenu est décrypté lorsque stocké dans SharePoint, puis re-encrypted lorsque fournie pour les utilisateurs). À moins que configuré pour expirer, autorisations IRM restent avec un document quel lorsque ou où il est envoyé.

Gestion des droits relatifs à l'information (IRM) n'est pas disponible pour les versions d'Office pour Macintosh Apple, mais il existe moyens pour les utilisateurs Mac utilisent le contenu protégé par le RMS. Restez connecté de colonne du mois suivant pour plus d'informations.

Services de gestion de droits (serveur) Il est disponible pour Windows Server 2003 et un rôle disponible dans Windows Server 2008. Serveur RMS est le cœur de Microsoft Enterprise Rights Management. Il s'occupe de certification entités fiables (utilisateurs, ordinateurs et serveurs), définition et la publication des droits d'utilisation et des conditions, Inscription des serveurs et utilisateurs, autorisant l'accès aux informations protégées et en fournissant que le nécessaire d'administration fonctions qui permettent aux utilisateurs autorisés accéder aux informations protégées par des droits.

la figure 1 illustre l'écran Gestionnaire de serveur qui vous permet d'installer le rôle RMS sur un système Windows Server 2008. Bien que RMS comporte un certain dépendances, l'Assistant vous guide l'ensemble du processus, l'installation de toutes les dépendances pour vous.

La figure 1 sélection le rôle de serveur Rights Management Services (cliquez sur l'image pour l'agrandir)

Le rôle de serveur RMS (sur Windows Server 2003 ou Windows Server 2008) nécessite un système serveur avec :

• Microsoft Message Queue Server (MSMQ)
• IIS avec ASP.NET activée
• Active Directory
• Soit SQL Server Enterprise Edition (pour un environnement de production), le Microsoft Desktop Engine MSDE (SQL) ou SQL Server Express (fine pour un environnement de test)

Comme nous l'avons vu, même si vous n'en avez un de ces composants installés, ils seront configurés pour vous lors de l'installation sur Windows Server 2008. Pour une implémentation de production, vous devez un certificat numérique SSL valide pour vos serveurs afin que RMS peut gérer correctement sécurité entre les clients et les serveurs. Toutefois, pour tester, RMS peut fournir un test de certificat installé dans le cadre de l'installation du rôle. la figure 2 montre à quoi la console RMS ressemble en cours d'exécution sous Windows Server 2008.

La figure 2 RMS la console (cliquez sur l'image pour l'agrandir)

Services de gestion des droits (client) Cela permet aux applications activées RMS de travailler avec le serveur RMS pour activer publier et consommation de contenu protégé par des droits. Le client est intégré à Windows Vista et Windows Server 2008 ; pour les versions antérieures de Windows, il peut être téléchargé et installé pour donner à ces systèmes d'exploitation fonctionnalité RMS.

Si vous créez des votre propre déploiement d'entreprise, vous serez plus que probable que pour déployer le client RMS via les nouveaux systèmes, stratégie de groupe ou System Center Configuration Manager (SCCM) au lieu de devoir utilisateurs déployer manuellement.

Module complémentaire de Gestion des droits pour Internet Explorer Pour Internet Explorer 6.0 et versions ultérieures, il permet en mode protégé par des droits contenu à partir de dans Internet Explorer.

KIT DE DÉVELOPPEMENT LOGICIEL RMS Permet aux développeurs de créer leurs propres applications peuvent protéger leur contenu personnalisé à l'aide l'API de services de gestion des droits basés sur SOAP.

boîte à outils RMS Vous probablement constaterez, que J'AI, c'est-à-dire la trousse à outils RMS immensely utile dans le déploiement et le dépannage de votre propre infrastructure RMS. La boîte à outils affiche un numéro de programmes pratiques qui vous vérifiez que votre système RMS fonctionne comme il doit être permet. Notez que la boîte à outils RMS ne fait pas réellement partie de RMS et, par conséquent, n'est pas officiellement pris en charge par Microsoft.

Comment il fonctionne ?

Lorsque vous protégez un document à l'aide de RMS en cliquant sur Protéger le document sous l'onglet Révision dans Word 2007 ou protéger le classeur dans Excel 2007, vous devez spécifier le compte que vous souhaitez utiliser en tant qu'auteur du document, au compte disposant de privilèges d'appartenance sur le document. Cela doit être idéalement un compte Active Directory, bien que RMS vous autorise à utiliser un compte Windows Live d'évaluation, qui ne peut ne pas forcément à utiliser pour un système de production réel.

Une fois que vous avez authentifié avec un compte (voir figure 3 ), vous pouvez spécifier ce compte ou ajouter des comptes en tant que propriétaire. Ensuite, vous pouvez rapidement spécifier droits de haut niveau (voir figure 4 ) ou plus granulaire droits des utilisateurs pour avoir des autorisations lire ou modifier le document que vous protégez.

La figure 3 spécification le compte à utiliser (cliquez sur l'image pour l'agrandir)

La figure 4 paramètres autorisations (cliquez sur l'image pour l'agrandir)

Vous avez maintenant protégé le document. Par conséquent, tous les utilisateurs qui essaie d'ouvrir le document devrez fournir les informations d'identification avant pouvoir l'ouvrir. En outre, les privilèges définis par le propriétaire du document sont appliquées.

RMS utilise IIS et ASP.NET pour authentifier tout utilisateur qui ouvre le document, pour vérifier ses droits identités et des accès, pour transmettre ces informations vers le client RMS et l'infrastructure de gestion des droits relatifs à l'information (IRM) dans Office. En fonction des Active Directory et les droits définis par le serveur RMS, l'utilisateur final soit pourront complète un accès ou au document, ou aucun limité tout.

RMS utilise une infrastructure qui repose sur XrML (extensibles droits gestion Language) pour décrire les droits détenus par les utilisateurs finaux du contenu protégé par IRM. En effet, ces droits sont contenus dans une licence XrML qui peut être associée à du contenu numérique et conserver ainsi. XrML étant une norme, cette langue peut également être utilisée par d'autres applications à protéger le contenu de manière similaire. Vous trouverez plus d'informations à xrml.org.

Où sont les trous ?

Comme je L'AI mentionné précédemment, RMS et Gestion des droits relatifs à l'information (IRM) ne sont pas infaillible ; si un utilisateur malveillant "autorisé est dédié à compromettre le contenu protégé par IRM, il vous prendre un travail, mais il peut le faire.

En outre, le contenu est potentiellement susceptibles d'interception par subversive logiciels malveillants et un capture logiciel écran travaillant dans les méthodes non standard. Pendant que RMS travaille dur pour empêcher les captures d'écran et activité copier-coller non autorisée, il pouvez uniquement accéder jusqu'à présent. J'ai vu quelques solutions qui tentent d'aller un peu plus loin que Gestion des droits relatifs à l'information (IRM) et RMS et protéger des types de contenu supplémentaires. Pour d'autres éditeurs de logiciels développant des solutions autour RMS, voir la rubrique Microsoft.com/windowsserver2003/partners/rmspartners.mspx.

Gestion de droits d'entreprise est, je pense, la seule rational façon de réellement sécuriser contenu « pas à reste » sur des systèmes aujourd'hui. Si vous examinez les types de contenu compromis dès aujourd'hui, courrier électronique, les documents Office, etc. — la plupart d'entre eux peut facilement être protégée par IRM et RMS, mais ils ne sont pas. Tandis que le chiffrement de volume complet technologies telles que BitLocker dans Windows Vista vous permettent de contenu sécurisé au reste et généralement conserver sécurisé en cas d'un système compromis, ils n'est pas protéger le contenu qui est sur des partages, serveurs de messagerie ou les serveurs SharePoint.

Car contenu ne peut généralement être protégé « dans le caractère", solutions ont évolué Qu'essayez de repérer contenu et éliminer. Gestion des droits relatifs à l'information (IRM) et RMS ont été bien conçus brancher dans Active Directory, Exchange, Office et Windows et par conséquent, n'est pas tirer partie une courbe de formation, en particulier pour les utilisateurs fin réellement consommant le contenu, et la protection qu'ils peuvent fournir est immense. Consultez l'encadré « Ressources supplémentaires » pour plus d'informations.

Les vous protection de vos immobilisations ?

Utilisez-vous RMS et Gestion des droits relatifs à l'information (IRM) dans votre organisation aujourd'hui ? M'envoyer vos réflexions sur RMS et Gestion des droits relatifs à l'information (IRM), j'aimerions entendre de certains lecteurs comme comment et pourquoi vous avez (ou n'avez pas) déployé RMS et Gestion des droits relatifs à L'INFORMATION, ou si vous pensez que votre organisation est sécurisée de perte de données par le biais d'un autre mécanisme.

Wes Miller est technique produit responsable senior au CoreTrace ( CoreTrace.com) à Austin, Texas. Auparavant, il a travaillé chez Winternals Software et qu'un responsable de programme chez Microsoft. Wes est joignable au l'adresse suivante : technet@getwired.com.