Habilitando a proteção de informações no Microsoft Office 2003 com o Rights Management Services e o Information Rights Management

  • Artigo

Habilitando a proteção de informações no Microsoft Office 2003 com o Rights Management Services e o Information Rights Management

Microsoft Office 2003

Informe oficial técnico

Data de publicação: Dezembro de 2003

Resumo: o IRM (Information Rights Management) é uma tecnologia de proteção de informações de nível de arquivo persistente que ajuda a proteger a propriedade intelectual digital e informações confidenciais do uso não autorizado. O IRM estende o Microsoft® Windows® Rights Management Services (RMS) para Windows Server™ 2003 no Microsoft Office 2003 Editions e no Microsoft Internet Explorer. Esse documento fornece uma visão geral dos benefícios e das considerações quanto à implementação do IRM.

Para informações mais recentes, consulte https://office.microsoft.com/home/default.aspx (inglês)

Conceitos principais

Microsoft® Windows® Rights Management Services (RMS) para Windows Server™ 2003 –O Microsoft Windows Rights Management Services (RMS) para Windows Server 2003 é uma tecnologia de proteção de informações que funciona com aplicativos habilitados por RMS, como o Microsoft Office 2003 Editions, para ajudar a proteger informações digitais do uso não autorizado, online e offline, dentro e fora do firewall. Combinando recursos do Windows Server 2003, ferramentas do desenvolvedor e tecnologias de segurança da indústria – incluindo criptografia, certificados com base em XrML (eXtensible rights Markup Language) e autenticação – o RMS amplia uma estratégia de segurança de uma organização fornecendo proteção de informações por diretivas de uso persistentes que permanecem com a informação, não importando aonde ela vá.

Information Rights Management (IRM) – O Information Rights Management (IRM) estende o RMS nos programas do Microsoft Office 2003 Editions e no Microsoft Internet Explorer. Os usuários podem agora estipular quem pode abrir um documento e especificar como os destinatários podem usar esse documento; por exemplo, eles podem conceder direitos para abrir, modificar, imprimir, encaminhar ou executar outras ações. As organizações podem criar modelos de diretivas de uso personalizados, como “Confidencial – Somente Leitura” que pode ser aplicado diretamente a relatórios financeiros, especificações de produtos, dados do cliente, mensagens de e-mail e outros documentos confidenciais.

Sinopse

Um dos critérios da Computação Confiável é a disponibilidade da tecnologia que pode proteger de forma confiável o conteúdo e manter as informações digitais particulares. O Information Rights Management (IRM) do Microsoft Office System fornece às organizações e aos profissionais do conhecimento outro mecanismo para ajudar a proteger informações confidenciais.

Esse documento abrange a operação do RMS dentro da infra-estrutura de uma organização e como ele oferece suporte ao IRM e estende os recursos de proteção de informações no Microsoft Office 2003 Editions. O objetivo principal desse documento é fornecer um único recurso para compreender as decisões e tarefas associadas à habilitação da proteção de informações por IRM e RMS. Embora o documento não seja, de forma alguma, abrangente em cada tópico, são fornecidos detalhes suficientes aqui para implantar e gerenciar uma configuração típica e o documento aponta para tópicos relevantes no arquivo de Ajuda do RMS e no site do RMS para obter mais detalhes. Esses recursos fornecem maiores detalhes sobre assuntos como os benefícios comerciais do RMS e do IRM, a arquitetura, as possibilidades de topologia e assim por diante, e devem fazer parte de qualquer plano de implantação.

Visão geral do IRM e do RMS

O RMS é um recurso de proteção de informações do Windows que funciona com aplicativos habilitados por RMS para ajudar a proteger informações confidenciais do uso não autorizado — não importando para onde elas irão. Respondendo à demanda do cliente para uma melhor proteção do conteúdo, a Microsoft projetou o RMS para combinar os recursos do Windows Server 2003, ferramentas do desenvolvedor e tecnologias de segurança da indústria — incluindo criptografia, certificados com base em XrML e autenticação — para ajudar as organizações a criar soluções de proteção de informações confiáveis. Para obter mais informações sobre o valor e os benefícios do IRM e RMS, consulte o principal site do RMS em https://www.microsoft.com/windowsserver2003/technologies/rightsmgmt/default.mspx.

O IRM estende os recursos de proteção de informações do RMS para a área de trabalho. O IRM é uma tecnologia de proteção de informações de nível de arquivo persistente que permite aos usuários especificarem quem pode acessar e usar documentos ou e-mails e ajuda a proteger a propriedade intelectual digital da impressão, do encaminhamento e da cópia não autorizada. Observe que o IRM não é como a nova funcionalidade de Proteger Documento do Microsoft Office Word 2003, que permite aos usuários definirem restrições de formatação e concederem permissões de edição seletivamente para seções especificadas de um documento para usuários e grupos.

Como as proteções do IRM trafegam com um arquivo, depois que um documento ou e-mail estiver protegido com essa tecnologia, os direitos de uso são aplicados, não importando para onde a informação vá — mesmo se o arquivo for enviado fora do firewall. Para uma visão geral sobre como o IRM e o RMS trabalham juntos, consulte o documento intitulado Information Rights Management in Microsoft Office 2003 em https://www.microsoft.com/technet/prodtechnol/office/Office2003/Plan/Of03IRM.mspx (site em inglês).

Depois que forem concedidos direitos de uso a um arquivo para um operador de informações, a interface do usuário do aplicativo e o modelo do objeto aplicarão as restrições ou direitos concedidos àquele usuário (não copiar, por exemplo). Entretanto, como o IRM não é um recurso de segurança, como outras ferramentas de diretivas, essas restrições não poderão impedir toda forma de má utilização.

Funções típicas para o IRM e o RMS

O IRM pode ajudar a proteger informações em vários cenários. Existem duas experiências de usuário básicas ao usar o IRM no Office 2003 Editions:

E-mail - O e-mail é um dos principais métodos de comunicação dentro e pelas organizações. Os usuários usam o e-mail para se comunicarem com membros da equipe, outros grupos, clientes e fornecedores. As equipes de vendas de campo utilizam o e-mail para se comunicarem e colaborarem com o escritório corporativo em novos planos de preços e atualizações do produto. O gerenciamento executivo usa o e-mail para se comunicar dentro de uma organização. O e-mail pode ser exibido offline em aviões ou em hotéis, facilitando a um trabalhador móvel ler e redigir documentos, mesmo quando fora do escritório.

É essa facilidade de comunicação, no entanto, que aumenta o risco de vazamento de informações. Os e-mails que contêm informações confidenciais (por exemplo, um novo plano de produto ou uma fusão pendente) podem ser facilmente encaminhados, mesmo acidentalmente, a um concorrente, fornecedor ou à mídia. O impacto negativo de tal vazamento de informação pode incluir perda de vantagem competitiva, perda de receita e perda da confiança do cliente. e-mail protegido por direitos ajuda a proteger contra vazamentos, encaminhamentos acidentais e, no mínimo, dificulta a um infrator alegar ignorância. A figura abaixo mostra um e-mail protegido com o modelo Não Encaminhar. Os destinatários desse e-mail não podem encaminhar a mensagem e não podem copiar ou imprimir seu conteúdo.

Dd569878.RMSI01(pt-br,TechNet.10).gif

Figura 1 E-mail protegido com modelo Não Encaminhar do IRM

Documentos - A grande maioria das informações criadas e consumidas por profissionais do conhecimento aparece em documentos de aplicativos de área de trabalho comuns. Equipes de gerenciamento, vendas, finanças, recursos humanos, produtos e de pesquisa usam os programas do Office 2003 Editions para criar previsões financeiras, planos de vendas, projeções de receita, avaliações dos funcionários, planos de ciclo de vida do produto e análises de pesquisa — informações que poderiam comprometer uma organização se caíssem em mãos erradas. O IRM fornece aos usuários uma ferramenta fácil dentro do programa do Office 2003 Editions para estabelecer proteção de direitos a informações confidenciais, ajudando assim a controlar quem pode abrir ou modificar o documento dentro de um intervalo específico.

O ponto de entrada para o IRM é um botão na barra de ferramentas principal, conforme exibido na figura abaixo:

 Dd569878.RMSI02(pt-br,TechNet.10).gif

Figura 2 O botão de Permissão nos programas do Office 2003 Editions

Clicar no botão, depois que o RMS foi implantado na empresa, exibe a caixa de diálogo Permissão apresentada abaixo:

 Dd569878.RMSI03(pt-br,TechNet.10).gif

Figura 3 Caixa de diálogo Permissão com usuários com direitos atribuídos

A caixa de permissão principal oferece uma maneira rápida e fácil de conceder permissões de Leitura e Alteração a diferentes usuários. Os usuários devem ser especificados por endereço de e-mail armazenado no Windows Server Active Directory e isso pode incluir listas de distribuição de grupo. Pode incluir também endereços externos, se a organização habilitou uma diretiva de confiança que inclui os endereços externos. Clicar em Mais Opções exibe a caixa de diálogo mostrada na figura 4.

Dd569878.RMSI04(pt-br,TechNet.10).gif

Figura 4 Mais opções

A primeira opção adicional é a validade definida para o documento. Após a data especificada, aqueles que tinham permissões anteriores à validade não poderão mais abrir o documento. Além da expiração, a caixa de diálogo Mais Opções permite aos autores conceder seletivamente a outros os direitos de imprimir, copiar e acessar conteúdo de forma programática. Por padrão, o campo Configurações adicionais é preenchido com o endereço de e-mail para permitir aos destinatários solicitarem direitos adicionais ao documento (o link Solicitar permissões adicionais é exibido na figura 5). Os autores podem optar também por permitir ou não permissões de leitura para aqueles com versões anteriores do Office. Finalmente, os autores podem exigir uma conexão cada vez que o arquivo for aberto. Por padrão, um destinatário somente precisa conectar-se ao servidor do RMS uma vez (em uma dada máquina) para verificar a permissão.

Quando Vitória, a quem foi dada permissão de Leitura, receber esse documento e o abrir, o Word 2003 irá se conectar ao servidor do RMS corporativo dela e irá verificar se ela possui direitos. Ele abre o documento (não abriria se ela não possuísse os direitos). Ela não pode copiar, imprimir ou modificar o documento. Mas pode exibir suas permissões clicando no painel de tarefas:

 Dd569878.RMSI05(pt-br,TechNet.10).gif

Figura 5 Exibindo permissões em um arquivo protegido por direitos

No IRM, os direitos de uso sempre permanecerão com as informações, mesmo depois que elas deixarem a rede. Isso significa que os direitos de uso serão aplicados às informações protegidas, mesmo se o operador de informações abrir o e-mail ou documento offline ou o tiver salvado em um disco.

Visão geral técnica do IRM e do RMS

No servidor, o Windows RMS manipula o licenciamento principal, a ativação da máquina, a inscrição e as funções administrativas. O RMS confia no serviço de diretório do Windows Server Active Directory® (Windows Server 2000 ou posterior) e usa um banco de dados SQL como o Microsoft SQL Server™ para armazenar dados de configuração.

Nos computadores de mesa, criar ou exibir conteúdo protegido por direitos requer um programa habilitado por RMS. O Microsoft Office 2003 Editions inclui os primeiros programas habilitados por RMS disponíveis da Microsoft. Para criar ou exibir documentos, planilhas, apresentações e mensagens de e-mail do Microsoft Office protegidos por direitos, é exigido o Microsoft Office Professional Edition 2003. Outros Office 2003 Editions permitem que destinatários designados trabalhem com documentos protegidos por direitos (mas não criem conteúdo) se tiverem recebido direitos pelo autor. O Complemento do Rights Management (RMA) para Internet Explorer permite que usuários designados exibam informações protegidas por direitos se não possuírem um Microsoft Office 2003 Edition.

Arquitetura do IRM e do RMS

O RMS é um Web Service gerenciado que alavanca a implementação do ASP.NET, SOAP HTTP e XrML para permitir que organizações criem e implantem soluções de proteção de informações personalizadas. Com alta escalabilidade, topologias flexíveis, administração simples e facilidade de uso, o RMS foi desenvolvido para atender às necessidades de qualquer organização interessada em proteção de informações.

A chave para a tecnologia do Windows RMS é: diretivas de uso persistentes (também conhecidas como direitos de uso e condições). Autores de informações podem estabelecer diretivas de uso persistentes no nível do arquivo. Depois que o autor ou proprietário aplicam essas diretivas a um arquivo, elas permanecem com esse arquivo mesmo quando o arquivo viaja para fora da rede corporativa.

Um sistema RMS atinge uma aplicação de diretiva persistente estabelecendo os seguintes elementos essenciais:

  • Entidades confiáveis. As organizações podem especificar as entidades, incluindo pessoas, grupos de usuários, computadores ou aplicativos que sejam participantes confiáveis em um sistema RMS. Estabelecendo entidades confiáveis, um sistema RMS pode proteger informações habilitando acesso somente a participantes autenticados adequadamente.
     
  • Direitos de uso e condições. As organizações e pessoas podem atribuir direitos de uso e condições definindo como uma entidade confiável específica pode usar informações protegidas. Exemplos de direitos nomeados são permissões para exibir, copiar, imprimir, salvar, armazenar, encaminhar e modificar. Os direitos de uso podem também especificar quando essas permissões expiram e que aplicativos e entidades são excluídas (não confiáveis) de acessar as informações protegidas.
     
  • Criptografia. A criptografia é o processo pelo qual os dados são bloqueados com chaves eletrônicas. O sistema RMS criptografa informações, tornando seu acesso e uso condicionais à autenticação bem-sucedida das entidades confiáveis e à aplicação das diretivas de uso especificadas. Depois que as informações forem bloqueadas, somente entidades confiáveis às quais foram concedidos direitos de uso sob as condições especificadas (se houver) podem desbloquear ou descriptografar as informações e exercer os direitos de uso atribuídos.

Noções básicas: como funciona o RMS

A tecnologia do Windows RMS, que inclui componentes servidor e cliente, fornece os seguintes recursos:

  • Criar recipientes e arquivos protegidos por direitos. Os usuários designados como entidades confiáveis em um sistema RMS podem facilmente criar e gerenciar arquivos protegidos usando programas de criação familiares e ferramentas que incorporam os recursos da tecnologia do Windows RMS. Por exemplo, usando barras de ferramentas de aplicativos familiares, os usuários podem atribuir direitos de uso e condições para informações como mensagens de e-mail e documentos.
    Além disso, aplicativos habilitados por RMS podem usar modelos de diretivas de direitos autorizadas oficialmente e definidas centralmente para ajudar os usuários a aplicar com eficiência um conjunto predefinido de diretivas de uso organizacionais.
     

  • Licenciar e distribuir informações protegidas por direitos. Certificados com base em XrML emitidos por um sistema RMS identificam entidades confiáveis que podem publicar informações protegidas por direitos. Os usuários designados como entidades confiáveis em um sistema RMS podem atribuir direitos de uso e condições para as informações que eles queiram proteger. Essas diretivas de uso especificam quem pode acessar e usar as informações.
    Em um processo transparente aos usuários, o sistema RMS valida as entidades confiáveis e emite as licenças de publicação que contêm os direitos de uso especificados e as condições definidas pelo autor das informações. As informações são criptografadas usando as chaves eletrônicas dos aplicativos e dos certificados com base em XrML das entidades confiáveis. Depois que as informações são bloqueadas por esse mecanismo, somente as entidades confiáveis especificadas nas licenças de publicação podem desbloquear e usar aquelas informações.
    Os usuários podem então distribuir as informações protegidas por direitos a outros de sua organização ou a um usuário externo confiável por e-mail, compartilhamento de arquivo em um servidor ou um disquete.
     

  • Adquirir licenças para descriptografar informações protegidas por direitos e aplicar diretivas de uso. Os usuários que são entidades confiáveis podem abrir informações protegidas por direitos usando clientes confiáveis. Esses clientes são computadores e aplicativos habilitados por RMS que permitem aos usuários exibirem e interagirem com informações protegidas por direitos, aplicando diretivas de uso.

    Em um processo transparente ao destinatário, o servidor RMS, que possui a chave pública usada para criptografar as informações, valida as credenciais do destinatário e então emite uma licença de uso que contém os direitos de uso e as condições especificadas na licença de publicação. As informações são descriptografadas usando as chaves eletrônicas da licença de uso e dos certificados com base em XrML das entidades confiáveis. Os direitos de uso e as condições são então introduzidos pelo aplicativo habilitado por RMS. Os direitos de uso e as condições são persistentes e aplicáveis aonde quer que a informação vá.

Partes do componente do RMS

A tecnologia RMS inclui os seguintes softwares de cliente e de servidor com os SDKs:

  • Software de servidor do Windows RMS é um serviço da Web para Windows Server 2003 que manipula a certificação com base em XrML de entidades confiáveis, o licenciamento de informações protegidas por direitos, inscrição de servidores e usuários e funções administrativas.
     
  • Software de cliente Windows Rights Management é um grupo de APIs do Windows que facilitam o processo de ativação da máquina e permitem que aplicativos habilitados por RMS trabalhem com o servidor RMS para fornecer licenças para publicar e consumir informações protegidas por direitos.
     
  • Software Development Kits (SDKs) para os componentes do servidor e do cliente incluem documentação e exemplos de códigos que permitem aos desenvolvedores de software personalizarem seus ambientes de servidor do Windows RMS e criarem aplicativos habilitados por RMS.

Software de servidor do RMS

No núcleo do Windows RMS está o componente de servidor que manipula a certificação de entidades confiáveis, o licenciamento de informações protegidas por direitos, a inscrição e a subscrição de servidores e usuários e funções administrativas. O software de servidor facilita as etapas de instalação que habilitam as entidades confiáveis a usarem informações protegidas por direitos. Os seguintes recursos do RMS são fornecidos pelo software de servidor:

  • Configuração para entidades confiáveis. O Windows RMS fornece as ferramentas para estabelecer e configurar os computadores servidores, clientes e as contas dos usuários para entidades confiáveis em um sistema RMS. Esse processo de configuração inclui o seguinte:

    • Inscrição do servidor. A inscrição do servidor é parte do processo de configuração. Durante a inscrição do servidor, uma chave pública de um servidor RMS raiz de uma organização é enviada ao Serviço de Inscrição do Servidor RMS hospedado pela Microsoft. O serviço de inscrição cria e retorna um certificado de licenciador XrML para aquela chave pública da organização. O Serviço de Inscrição do Servidor RMS não emite o par de chaves públicas/particulares a um servidor raiz da organização; ele meramente assina a chave pública. O Serviço de Inscrição do Servidor RMS não pode ser usado para desbloquear o conteúdo de uma organização. Não existe atestação de identidade durante esse processo.
       

    • Inscrição de sub-servidor. Depois que uma organização configura o servidor de instalação raiz para seu sistema RMS, ela pode então subscrever e configurar servidores adicionais que serão parte do sistema. O processo de subscrição estabelece os certificados com base em XrML que habilitam os servidores adicionais a emitirem licenças confiáveis pelo sistema RMS.
       

    • Ativação de computador cliente. Uma organização deve ativar todos os computadores clientes que serão usados para criar ou acessar informações protegidas por direitos. Durante esse processo único, ao computador cliente é emitida uma lockbox única do RMS . A lockbox do RMS é quem aplica a segurança do cliente. É única para a máquina e não pode ser executada em outra máquina.
       

    • Certificação do usuário. As organizações devem identificar os usuários que são entidades confiáveis dentro de seus sistemas RMS. Para isso, o Windows RMS emite certificados com base em XrML de conta de gerenciamento de direitos (RACs) que associam contas do usuário a computadores específicos.

       Dd569878.RMSI06(pt-br,TechNet.10).gif

      Figura 6 O processo único de obtenção de RAC

      Esses certificados permitem que os operadores acessem e usem arquivos protegidos e informações. Cada certificado único contém uma chave pública usada para licenciar informações destinadas ao consumo daquele operador de informações.
       

    • Inscrição do cliente. Os computadores clientes podem às vezes ser usados para publicar informações protegidas por direitos quando não estiverem conectados à rede corporativa. Nesse caso, um processo de inscrição local será necessário. Os computadores clientes se inscrevem com o servidor de instalação raiz ou um servidor de licenciamento do Windows RMS e recebem certificados de licenciador do cliente de gerenciamento de direitos. Isso permite que os usuários certificados publiquem informações protegidas por direitos a partir daqueles computadores sem estarem conectados à rede corporativa.
       

  • Licenças de publicação que definem direitos de uso e condições. Entidades confiáveis podem usar ferramentas simples em aplicativos habilitados por RMS para atribuir direitos de uso e condições específicas às suas informações, consistentes com as diretivas comerciais de sua organização. Esses direitos de uso e essas condições são definidos dentro das licenças de publicação que especificam os funcionários autorizados que podem exibir as informações e como estas podem ser usadas e compartilhadas. O RMS usa um vocabulário XML para expressar direitos de uso e condições, o XrML (eXtensible rights Markup Language), versão 1.2.1.
     
  • Licenças de uso que aplicam direitos de uso e condições. Cada entidade confiável que seja destinatária de informações protegidas por direitos solicita e recebe de forma transparente uma licença de uso do servidor RMS ao tentar abrir as informações. Uma licença de uso é concedida a destinatários autorizados, especificando os direitos de uso e as condições para aquele indivíduo. Um aplicativo habilitado por RMS usa os recursos da tecnologia do Windows RMS para ler, interpretar e aplicar os direitos de uso e as condições definidas na licença de uso.
     
  • Criptografia e chaves. Informações protegidas sempre são criptografadas. Um aplicativo habilitado por RMS usa uma chave simétrica para criptografar as informações. Todos os servidores RMS, computadores clientes e contas de usuário possuem um par público/particular de chaves RSA de 1024 bits. O Windows RMS usa essas chaves públicas/particulares para criptografar a chave simétrica em licenças de publicação e uso e para assinar licenças e certificados com base em XrML de gerenciamento de direitos — ajudando a garantir acesso a somente entidades confiáveis adequadamente.
     
  • Modelos de diretivas de direitos. Os administradores podem criar e distribuir modelos de diretivas de direitos oficiais definindo direitos de uso e condições para um conjunto predefinido de funcionários. Consulte a seção “Modelos de diretivas de direitos de uso” para obter mais informações. Esses modelos fornecem uma maneira gerenciável para as organizações estabelecerem hierarquias de classificação de documentos para suas informações. Por exemplo, uma organização pode criar modelos de diretivas de direitos para seus funcionários que atribuem condições e direitos de uso separados para dados confidenciais, secretos e particulares da empresa. Aplicativos habilitados por RMS podem usar esses modelos, fornecendo uma maneira simples e consistente para os funcionários aplicarem diretivas predefinidas para as informações.
     
  • Listas de revogação. Os administradores podem criar e distribuir listas de revogação identificando as entidades confiáveis comprometidas invalidadas e removidas do sistema RMS. (Entidades confiáveis são indivíduos, grupos de usuários, computadores ou programas que sejam participantes confiáveis em um sistema RMS.) Uma lista de revogação de uma organização pode invalidar os certificados para computadores específicos ou contas de usuário. Por exemplo, quando um funcionário for demitido, as entidades confiáveis envolvidas poderão ser adicionadas à lista de revogação e não poderão mais ser usadas por nenhuma operação relacionada ao RMS.
     
  • Diretivas de exclusão. Os administradores podem implementar diretivas de exclusão do servidor para negar solicitações de licenças com base na identificação de usuário do solicitador (credencial de logon do Windows ou identificação do .NET Passport), certificados de contas de gerenciamento de direitos ou versões de lockbox de gerenciamento de direitos. As diretivas de exclusão negam novas solicitações de licença feitas por entidades confiáveis comprometidas, mas diferentemente da revogação, as diretivas de exclusão não invalidam as entidades confiáveis. Os administradores podem também excluir aplicativos potencialmente prejudiciais ou comprometidos para que não possam descriptografar conteúdo protegido por direitos.
     
  • Logon. Os administradores podem rastrear e auditar o uso de informações protegidas por direitos dentro de uma organização. O RMS instala suporte para logon para que as organizações possuam um registro de atividades relacionadas ao RMS, incluindo licenças de uso e de publicação emitidas ou negadas.

RMS Software Development Kit (SDK)

A tecnologia do Windows RMS inclui o Windows RMS SDK, um conjunto de ferramentas, documentação e códigos de amostra que permite às organizações personalizar o Windows RMS. O SDK inclui interfaces SOAP (simple object access protocol, protocolo de acesso a objeto simples) que permitem aos desenvolvedores criarem componentes para vários objetivos, incluindo o seguinte:

  • Aplicar diretivas de uso do Windows RMS em tempo real para quaisquer dados
  • Emitir licenças a destinatários além da distribuição real das informações protegidas por direitos (pré-licenciamento)
  • Uma fila de pós-processamento usando o MSMQ (Microsoft Message Queue) permite o registro, a auditoria, vigilância e outros serviços administrativos. Essas interfaces e esses serviços fornecem o meio para controlar, integrar e ampliar o Windows RMS.

SDK cliente do RMS

A tecnologia do Windows RMS inclui o SDK cliente do RMS, um conjunto de ferramentas, documentação e códigos de amostra que permite aos desenvolvedores de software criar aplicativos habilitados por RMS. Usando o SDK e as APIs (application programming interfaces, interfaces de programação de aplicativos) clientes associadas, os desenvolvedores podem criar aplicativos clientes confiáveis capazes de licenciar, publicar e consumir informações protegidas por direitos.

O SDK cliente do RMS consiste nos seguintes componentes:

  • Um módulo redistribuível que implementa interfaces clientes
  • Arquivos de cabeçalhos associados para desenvolvimento
  • Uma biblioteca de vínculo
  • As ferramentas para criar o(s) manifesto(s) assinado(s) solicitado(s) para aplicativos habilitados por RMS para carregar módulos que implementam interfaces clientes.

Software cliente RMS

Cada computador cliente em um sistema RMS deve possuir o software cliente Windows Rights Management instalado. Esse componente cliente, solicitado para usar aplicativos habilitados por RMS, é um grupo de APIs do Windows Rights Management que podem ser pré-instaladas ou baixadas a partir do site do Windows Update. O cliente Rights Management também é usado durante o processo de ativação do computador.

Partes do componente do IRM

O Office 2003 Editions fornece os primeiros aplicativos habilitados por RMS. Como tal, os programas do Office 2003 Editions simplesmente estendem os recursos do RMS.

Usando o RMS/IRM: o que acontece

Para proteger dados com o Windows RMS, os usuários simplesmente seguem o mesmo fluxo de trabalho interligado lógica e fundamentalmente que já usam para suas informações.

O seguinte diagrama resume como o Windows RMS funciona quando os usuários publicam e consomem informações protegidas por direitos.

 Dd569878.RMSI07(pt-br,TechNet.10).gif

Figura 7 Publicando e consumindo dados protegidos

O processo de publicação e consumo inclui as seguintes etapas, conforme numerado na figura acima:

  1. Antes que os autores possam proteger um documento com direitos, eles devem em primeiro lugar inscrever-se no sistema RMS, recebendo uma lockbox, um RAC e um certificado de publicação cliente em suas máquinas.

  2. Usando um aplicativo habilitado por RMS, como o Office Professional Edition 2003, um autor cria um arquivo e define um conjunto de direitos de uso e condições para esse arquivo.

  3. O aplicativo então criptografa o arquivo com uma chave simétrica que é criptografada usando a chave pública do servidor Windows RMS do autor. A chave é inserida na licença de publicação que é, por sua vez, vinculada ao arquivo. Somente o servidor Windows RMS do autor pode emitir licenças de uso para descriptografar esse arquivo.

    A figura abaixo mostra o que há em um arquivo de programa protegido do Office 2003 Editions depois que os direitos forem atribuídos a ele.

    Dd569878.RMSI08(pt-br,TechNet.10).gif

    Figura 8 O conteúdo de um arquivo protegido

  4. O autor distribui o arquivo.

  5. Um destinatário recebe um arquivo protegido por um canal de distribuição regular e o abre usando um navegador ou aplicativo habilitado por RMS. Se o destinatário não possuir um certificado de conta no computador atual ou dispositivo, nesse momento será emitido um (presumindo-se que o destinatário tenha acesso ao servidor RMS raiz e possua uma conta na empresa).

  6. O aplicativo envia uma solicitação para uma licença de uso ao servidor que emitiu a licença de publicação para os dados protegidos. A solicitação inclui o certificado de conta do destinatário (que contém a chave pública do destinatário) e a licença de publicação (que contém a chave simétrica que criptografou o arquivo). Uma licença de publicação emitida por um certificado de licenciador cliente inclui a URL do servidor que emitiu o certificado. Nesse caso, a solicitação para uma licença de uso vai para o servidor Windows RMS que emitiu o certificado de licenciador cliente e não para o computador real que emitiu a licença de publicação.

  7. O servidor de licenciamento Windows RMS valida que o destinatário está autorizado, verifica se o destinatário é um usuário com nome e cria uma licença de uso. Durante esse processo, o servidor descriptografa a chave simétrica usando a chave particular do servidor, a criptografa novamente usando a chave pública do destinatário e a adiciona à licença de uso. O servidor também adiciona quaisquer condições relevantes à licença de uso, como validade ou exclusão de um aplicativo ou sistema operacional. Executando esta etapa, somente o destinatário pretendido poderá descriptografar a chave simétrica e, portanto, descriptografar o arquivo protegido.

  8. Quando a validação estiver concluída, o servidor de licenciamento retornará a licença de uso ao computador cliente do destinatário.

  9. Após receber a licença de uso, o aplicativo examina o certificado de conta do destinatário e o licenciamento para determinar se qualquer certificado em qualquer cadeia de confiança requer uma lista de revogação.

    Se sim, o aplicativo verifica uma cópia local da lista de revogação que não tenha expirado. Se necessário, ele recupera uma cópia atual da lista de revogação. O aplicativo então aplica quaisquer condições de revogação que sejam relevantes no contexto atual. Se nenhuma condição de revogação bloquear acesso ao arquivo, o aplicativo processará os dados e o usuário poderá exercer os direitos que recebeu.

Requisitos de implantação do IRM e RMS

O RMS é projetado para obter o máximo dos investimentos de infra-estrutura existentes, usando o Active Directory para descoberta de serviço e autenticação NTLM (Windows NT® LAN Manager). Com a flexibilidade da autenticação do Windows, o RMS pode utilizar dispositivos biométricos e cartões inteligentes, bem como outros métodos de autenticação alternativos suportados pelo Windows. É necessário o seguinte para executar o RMS:

No nível do servidor:

  1. Windows Server 2003 com software de servidor Windows RMS. (O Windows RMS é um novo serviço premium para Windows Server 2003 edições Standard, Enterprise, Web e Datacenter.)
  2. Internet Information Services
  3. Serviço de diretório do Active Directory do Windows Server (Windows Server 2000 ou posterior). As contas do Active Directory são usadas para adquirir e usar licenças.
  4. Um banco de dados, como o Microsoft SQL Server™, para armazenar dados de configuração.

No nível do computador de mesa:

  1. Software cliente do Windows RMS.
  2. Um aplicativo habilitado por RMS é necessário para criar ou exibir conteúdo protegido por direitos.
    • O Microsoft Office 2003 Editions inclui os primeiros aplicativos habilitados por RMS disponíveis da Microsoft.
    • O Microsoft Office 2003 Professional Edition é necessário para criar ou exibir documentos do Microsoft Office System protegidos por direitos, como planilhas, apresentações e mensagens de e-mail.
    • Outros Office 2003 Editions permitem que usuários designados exibam e editem documentos protegidos por direitos se tiverem recebido direitos pelo autor. Eles não podem criar conteúdo protegido por direitos.

A tabela 1 mostra as configurações de hardware mínimas necessárias para implantar o RMS:

Tabela 1 Requisitos de hardware

Requisito Recomendação
Processador único com um processador Pentium III (800 MHz ou superior) Computador com processador duplo com dois processadores Pentium 4 (1500 MHz ou superior)
256 MB de RAM 512 MB de RAM
20 GB de espaço livre no disco rígido 40 GB de espaço livre no disco rígido
Uma placa de interface de rede Uma placa de interface de rede

A tabela 2 mostra a plataforma de software necessária para operar o RMS.

Tabela 2 Requisitos de software

Componente Requisito
Sistema operacional Windows Server 2003 edições Standard, Enterprise, Web ou Datacenter
Logon Message Queuing (anteriormente conhecido como MSMQ), conforme incluído no Windows Server 2003. Para oferecer suporte a logon, um servidor de banco de dados deve ser configurado.
Serviços da Web Internet Information Services (IIS), os serviços da Web fornecidos com a família do Windows Server 2003. ASP.NET deve ser habilitado.

A tabela 3 mostra elementos adicionais que devem existir na infra-estrutura para executar o RMS.

Tabela 3 Requisitos da infra-estrutura

Componente Requisito
Serviços de diretório Active Directory em execução em um domínio do Windows 2000 SP3 ou posterior, (o mesmo domínio no qual o RMS foi instalado). Todos os usuários e grupos que usam o RMS para adquirir licenças e publicar conteúdo devem possuir um endereço de e-mail configurado no Active Directory.
Servidor de banco de dados Um banco de dados, como o Microsoft SQL Server 2000 (edição Standard ou Enterprise) com SP3 ou posterior

Ou

Para implantação de teste ou outra de único servidor, MSDE (Microsoft SQL Server Desktop Engine) com SP3.

Implantando IRM e RMS

Como a funcionalidade IRM é uma extensão do RMS, a implantação do IRM é contingente sob a implantação do RMS. Depois que o RMS for implantado, a implantação do IRM será uma simples questão de instalar o cliente do Windows Rights Management na área de trabalho. A máquina cliente e cada operador de informações recebe um certificado permitindo o uso do IRM.

O processo de implantar o RMS e o IRM consiste das seguintes etapas básicas:

  1. Atender aos requisitos de hardware, software e infra-estrutura descritos em “Requisitos de implantação do IRM e RMS”
  2. Obter e instalar o software de servidor do RMS
  3. Inscrever o servidor obtendo um Certificado de Licenciador do Windows RMS da Microsoft. Esse certificado é único para cada organização.
  4. Registrar a URL do servidor no Active Directory.
  5. Implantar o software de cliente do Rights Management no computador de cada operador de informações. Scripts do Microsoft Systems Management Server (SMS) ou da Diretiva de Grupo podem ser usados para automatizar a distribuição a cada computador.
    1. O processo de ativação da máquina acontece durante a instalação do software cliente do RMS. Durante este processo, uma única certificação de máquina e Lockbox do RMS é emitida para cada computador.
  6. Certificar usuários do RMS. Quando um operador de informações tentar usar o RMS (por exemplo, usando IRM nos programas do Microsoft Office 2003 Editions), ocorrerá o seguinte:
    1. A máquina obtém um certificado que a ativa como um computador capaz de criar conteúdo protegido
    2. O operador de informações obtém um certificado que o associa àquele computador e habilita a criação de conteúdo protegido

A seção final dessa discussão sobre implantação aborda a habilitação de máquinas clientes para fazerem publicação offline.

A topologia padrão do sistema RMS

A topologia padrão do sistema RMS consiste de um ou mais servidores físicos que formam o cluster ou a instalação raiz do Windows RMS. A instalação raiz fornece serviços de licenciamento e certificação. Para implantações maiores, podem existir vários servidores físicos configurados como um cluster atrás de uma URL compartilhada única (veja exemplo abaixo).

 Dd569878.RMSI09(pt-br,TechNet.10).gif

Figura 9 Exemplo de topologia RMS

Todas as solicitações para certificados e licenças são transmitidas ao cluster raiz pela URL compartilhada definida para aquele conjunto de servidores. Existem várias implementações de endereçamento virtual, como round robin DNS, serviço de balanceamento de carga do Windows, soluções de hardware e assim por diante. O endereçamento virtual fornece balanceamento de carga pelos servidores e remove a dependência de qualquer servidor para licenciamento e publicação para tolerância a falhas.

O Windows RMS usa um banco de dados, como o Microsoft SQL Server 2000 com Service Pack 3 (SP3) ou o Microsoft SQL Server 2000 Desktop Engine (MSDE 2000) com SP3 para suas informações de diretivas e configuração. O MSDE é recomendado somente para uma configuração de único servidor. O banco de dados de configuração armazena, compartilha e recupera configurações e outros dados. Existe um banco de dados de configuração para cada cluster de servidor do Windows RMS. Os bancos de dados de configuração e de logon podem ser localizados em um dos servidores físicos no cluster ou em um servidor separado fornecendo uma instância remota do SQL Server.

De maneira funcional, o processo principal de implantar o RMS nessa topografia de amostra é o mesmo de uma implantação de servidor único. Para clarificar, discutiremos a implantação de um servidor único. Para obter mais informações sobre como escolher uma topologia, consulte o tópico Projetos de topologia no arquivo de Ajuda.

Instalando o software de servidor do RMS

Existem duas etapas muito simples para instalar o software de servidor do RMS, depois que os requisitos de hardware, software e infra-estrutura forem atendidos.

  1. Obtenha o software do RMS. Consulte https://www.microsoft.com/windowsserver2003/technologies/rightsmgmt/default.mspx (site em inglês).
  2. Instale o software de servidor do Windows RMS no servidor raiz.
    • Um arquivo de ajuda sobre implantação detalhado está incluído com o software de servidor do RMS para auxiliar mais com o planejamento da implantação e a instalação do RMS.

Inscrevendo servidores em um sistema RMS

O processo de instalação do Windows RMS cria um site de Administração Global do Windows RMS que permite aos administradores configurarem os servidores e serviços em um sistema RMS. Esse site é acessível no grupo de programas do Windows RMS (Iniciar, Todos os programas).

É recomendável que exista somente um site no servidor que será criado ou inscrito com o RMS. A página de Administração Global mostrará todos os sites do servidor. Supondo que exista somente o site padrão do RMS, clicar em Criar RMS neste site inicia a página Criar, conforme exibido abaixo.

 Dd569878.RMSI10(pt-br,TechNet.10).gif

Figura 10 Parte da página Criar

Após preencher as informações e clicar em Enviar, o RMS é criado. Durante este processo, o RMS determina se ele é o primeiro servidor RMS no sistema para configurar o cluster raiz do Windows RMS. O servidor envia uma solicitação para um Certificado de Licenciador do Servidor RMS ao Serviço de Inscrição do RMS, um serviço da Web hospedado pela Microsoft. Essa solicitação é feita usando segurança SSL (Secure Socket Layer, camada de soquete seguro). O Serviço de Inscrição do RMS usa as informações somente para emitir o Certificado de Licenciador do Windows RMS à organização fazendo a solicitação.

A inscrição do servidor usando o Serviço de Inscrição do RMS é necessária para pelo menos um servidor dentro de cada sistema RMS. Servidores subseqüentes adicionados ao cluster raiz do Windows RMS usam o mesmo Certificado de Licenciador do RMS. Quando você adiciona um novo servidor a uma instalação raiz existente ou a um cluster de servidor somente de licenciamento, o novo servidor não está explicitamente inscrito porque ele adota a configuração existente do cluster.

Para obter instruções passo a passo sobre como inscrever um servidor, consulte o tópico Configurar o primeiro servidor de certificação raiz no arquivo de Ajuda do RMS.

Registre a URL do servidor

Os clientes precisam saber a localização do servidor RMS. A principal maneira para realizar isso é registrar a URL do servidor como um ponto de conexão no Active Directory. Para isso, o administrador primeiro abre a página de Administração Global. Depois que o servidor for configurado (inscrito), esta página exibirá o link Administre o RMS neste site. Clicar nisso abre a página de administração principal mostrada abaixo.

 Dd569878.RMSI11(pt-br,TechNet.10).gif

Figura 11 A principal página de administração do RMS

A partir da página de administração principal, o administrador simplesmente clica no link Ponto de conexão do serviço RMS a partir da página de Administração Global e clica em Registrar URL. Isso cria uma entrada no Active Directory que contém a URL do servidor RMS. Nenhuma outra alteração no Active Directory é feita (como alterações de esquema). Por padrão, os clientes usarão o valor publicado no Active Directory. Podem existir momentos (como quando existem vários sites ou domínios) nos quais uma organização desejará que os clientes usem um servidor específico como o servidor RMS principal. Alguns clientes podem precisar ter uma chave do Registro configurada para substituir o processo normal de conectar à URL do servidor registrada no Active Directory. A chave do Registro é:

Nome do valor: CorpCertificationServer

Tipo de valor: REG_SZ

Dados do valor: <URL>

Configurando computadores clientes

Cada computador cliente participando do sistema RMS deve ser configurado como uma entidade confiável dentro do sistema RMS. A configuração do computador cliente consiste em verificar a presença do componente cliente do Windows Rights Management e ativar o(s) computador(es) cliente(s). Depois que um computador cliente é configurado, a infra-estrutura está no lugar para permitir que aplicativos habilitados por RMS publiquem e consumam informações protegidas por direitos.

O software cliente do Rights Management está disponível em https://www.microsoft.com/downloads/search.aspx?displaylang=en (procure “Rights Management Client”).

As organizações podem usar ferramentas de implantação de software padrão, como o Microsoft SMS, para garantir que seus computadores clientes possuam o componente cliente ou possam confiar na instalação de um aplicativo habilitado por RMS para iniciar a solicitação ao site do Windows Update para o componente.

Certificando usuários do RMS

O processo de certificação cria um certificado de conta de gerenciamento de direitos que associa uma conta de usuário a um computador específico e permite ao operador de informações acessar e usar informações protegidas por direitos a partir daquele computador. Na primeira vez em que um operador de informações publicar informações protegidas por direitos ou tentar acessá-las em um computador cliente, o aplicativo habilitado por RMS enviará uma solicitação para um certificado de conta para a instalação raiz do Windows RMS.

A instalação raiz do Windows RMS valida a identidade da pessoa usando a autenticação do Windows e cria um certificado de conta, incluindo um par de chaves pública/particular, com base nas credenciais validadas do operador de informações. Ela criptografa a chave particular do operador com a chave pública do certificado do computador cliente e inclui a chave criptografada no certificado da conta do usuário. Em seguida, emite o certificado da conta ao aplicativo solicitante. O aplicativo armazena o certificado da conta no computador ou no dispositivo para que ele esteja disponível para solicitações de licença de uso ou publicação subseqüentes.

Como é necessário que o certificado do computador cliente solicite o certificado da conta, a certificação do usuário segue o processo de ativação do computador cliente. Os usuários devem adquirir um certificado de conta para cada computador usado. Se um operador usa mais de um computador, a cada computador é emitido um único certificado de conta, mas todos contêm o mesmo par de chaves particular/pública único para aquele indivíduo.

Quando um aplicativo solicita uma licença de uso, ele inclui o certificado de conta na solicitação. O servidor de licenciamento do Windows RMS usa a chave pública do certificado de conta para criptografar a chave simétrica na licença de publicação, que foi inicialmente criptografada com a chave pública do servidor do Windows RMS. Esse processo garante que somente a entidade confiável possa acessar e usar a licença de uso.

Inscrevendo computadores clientes para publicação offline

Os computadores clientes podem inscrever-se com a instalação raiz ou um servidor de licenciamento para receber um certificado de licenciador cliente de gerenciamento de direitos. Esse certificado permite que usuários publiquem informações protegidas quando seus computadores não estiverem conectados à rede corporativa. Nesse caso, o computador cliente, e não o servidor de licenciamento, assina e emite as licenças de publicação contendo os direitos de uso e as condições para informações protegidas por direitos publicadas a partir daquele computador.

A inscrição local inclui as seguintes etapas:

  1. O computador cliente envia o certificado de conta do operador de informações e uma solicitação de inscrição ao servidor RMS.
  2. O servidor valida que a subscrição é permitida, com base nas configurações do administrador de rede, e que o certificado de conta não está em uma lista de exclusão no banco de dados de configuração.
  3. O servidor cria um par de chaves pública/particular especificamente para conceder direitos de publicação offline para o operador de informações fazendo a solicitação. Ele cria um certificado de licenciador cliente e coloca a chave pública naquele certificado. Em seguida, ele criptografa a chave particular com a chave pública do certificado de conta e coloca o resultado no certificado.
  4. A instalação raiz emite um certificado de licenciador cliente ao computador local.

Gerenciando o ambiente IRM/RMS

A discussão da implantação fornecida em seções anteriores concentrava-se no que é necessário para colocar em funcionamento os serviços principais do RMS e IRM. Além da implantação, entretanto, existe o gerenciamento e o uso efetivo. Como com qualquer componente de infra-estrutura, existem várias maneiras nas quais os consumidores irão usar o RMS e o IRM e existem vários recursos e configurações relevantes a diferentes cenários de uso. Por exemplo, alguns cenários requerem o uso de Diretivas de Confiança ou Exclusão, enquanto outros não.

Como uma rápida visão geral, as principais atividades de gerenciamento disponíveis a partir da página de Administração do RMS (mostrada na figura 11 acima) são:

  • Estabelecer diretivas de confiança. Clique no link para abrir a página da Web Diretivas de confiança a partir da qual você pode adicionar ou remover domínios de usuário e domínios de publicação confiáveis. Adicione ou remova usuários da lista de exclusão de um domínio de usuário confiável. Exporte seu certificado de licenciador de servidor a um arquivo para importar por outra instalação RMS.
     
  • Configurar modelos de diretivas de direitos. Clique no link para abrir a página da Web Modelos de diretivas de direitos a partir da qual você pode criar e modificar modelos de diretivas de direitos para a empresa.
     
  • Configurar logon. Clique no link para abrir a página da Web Configurações de logon a partir da qual você pode ativar e desativar o logon e exibir o servidor de logon e o banco de dados.
     
  • Especificar a URL de cluster da extranet. Clique no link para abrir a página da Web de configurações da URL de cluster da extranet a partir da qual você pode especificar a URL a ser usada para obter acesso a servidores de certificação e licenciamento a partir da extranet.
     
  • Rastrear o número de certificados de conta RMS distribuídos. Clique no link para abrir a página da Web de rastreamento de certificado de conta RMS a partir da qual você pode ver quantos certificados de conta RMS seu servidor de certificação distribuiu, o que pode ser usado como uma maneira de estimar o número de licenças de acesso para cliente que você solicitou.
     
  • Gerenciar configurações de segurança. Clique no link para abrir a página da Web Configurações de segurança a partir da qual você pode adicionar e remover membros do grupo de super usuários que possuem controle total sobre todo o conteúdo licenciado, bem como redefinir a senha da chave particular.
     
  • Exibir e definir configurações de certificado de conta. Clique no link para abrir a página da Web Configurações de certificação a partir da qual você pode especificar a duração da validade do certificado, além de especificar um contato de administrador.
     
  • Habilitar diretivas de exclusão. Clique no link para abrir a página da Web Diretivas de exclusão a partir da qual você pode habilitar diretivas de exclusão baseadas em versões da Lockbox do RM, versão do Windows, certificados de conta e aplicativos.
     
  • Registrar o ponto de conexão do serviço. Clique no link para abrir a página da Web Ponto de conexão do serviço a partir da qual você pode registrar e cancelar o registro do ponto de conexão do serviço para seu cluster.

Os administradores podem executar outras tarefas, incluindo o monitoramento de eventos e o gerenciamento do Active Directory, Internet Information Services (IIS) e SQL Server, usando o Microsoft Management Console (MMC).

As seções seguintes descrevem essas partes mais detalhadamente e oferecem orientação sobre quando elas precisam ser usadas, dependendo das necessidades da organização. Em primeiro lugar, entretanto, descreveremos alguns cenários comuns para obter uma melhor noção de como essas necessidades são traduzidas em requisitos de configuração.

Cenários de uso do IRM/RMS

Os cenários apresentados aqui são utilizados como estruturas para entender quando a configuração acima e além da implantação base é necessária ou recomendada. Os cenários são apresentados de uma maneira cumulativa.

Cenário de uso principal

Usando o IRM no Microsoft Office Outlook® 2003 como um exemplo, um operador de informações clica no botão de “Permissão” vermelho na barra de ferramentas e seleciona a opção para adicionar direitos à sua mensagem de e-mail. Ele especifica que os funcionários dentro do domínio corporativo podem abrir o anexo e o e-mail. Além disso, ele adiciona uma data de validade para a mensagem. À medida que os funcionários abrem o e-mail, o Outlook aplica de forma transparente seus direitos de uso e protege uma licença para o anexo. Após a data de validade, os funcionários não poderão mais abrir a mensagem ou o anexo. O mesmo padrão básico de adicionar direitos se aplica a outros programas do Office 2003 Editions.

Os principais elementos desse cenário são que:

  1. Todas as partes estão dentro do mesmo domínio
  2. Todas as partes estão usando o Office Professional Edition 2003
  3. O operador de informações configura as opções manualmente (expiração, quem obtém direitos, etc.)

Para esse cenário, a implantação básica do RMS e os componentes clientes são suficientes. Para esse cenário, e para todos os cenários, os administradores podem optar por usar modelos de diretivas de direitos, listas de revogação ou diretivas de exclusão, mas cenários de uso não requerem explicitamente o uso desses recursos.

Observação Os cenários descritos aqui podem também ser atingidos em um ambiente de Serviços de Terminal. A principal diferença é técnica, e não funcional: os usuários experimentarão o IRM da mesma maneira, mesmo que seus certificados de uso residam no(s) mesmo(s) servidor(es) físico(s).

Cenário entre domínios

Com o mesmo padrão de uso básico como acima – um operador de informações especifica direitos para um documento ou e-mail e o envia – nós iremos adicionar o cenário em que alguns destinatários não possuem contas dentro do domínio.

Para esse cenário, o administrador precisará configurar uma diretiva de confiança, conforme descrito em “Diretivas de confiança” abaixo.

Cenário de versões do Office anteriores

Continuando com o cenário entre domínios, se os usuários do domínio de parceiro confiável estiverem usando versões anteriores do Office, poderão ainda consumir conteúdo protegido por direitos com o Complemento do Rights Management para Internet Explorer (isso acontece por solicitação). Os administradores não necessitam configurar nada.

Quanto ao que o administrador precisa fazer, esses são os cenários básicos. As seguintes seções descrevem cada um dos recursos de gerenciamento em maiores detalhes e contêm orientação sobre como usá-los.

Modelos de diretivas de direitos

A partir do site de Administração no servidor do Windows RMS, os administradores podem criar modelos de diretivas de direitos oficiais, excluir ou modificar modelos existentes e especificar o local de modelos de diretivas de direitos no sistema RMS. Os modelos podem incluir várias condições, como destinatários específicos ou grupos do Active Directory, quanto tempo uma licença de uso para as informações permanece válida, por quanto tempo após a publicação as informações podem ser acessadas e até mesmo valores personalizados significativos para um aplicativo particular habilitado por RMS.

Um modelo pode também especificar uma lista de revogação (descrita na seção “Listas de revogação” abaixo). O modelo especifica a URL para o arquivo da lista e o número de dias que a lista é válida. Quando um destinatário solicita uma licença de uso baseada no modelo, o sistema irá verificar a lista de revogação antes que o operador possa acessar os dados protegidos.

Os modelos de diretivas de direitos são armazenados no banco de dados de configuração e em um compartilhamento de rede. Quando um autor solicita uma licença de publicação, o aplicativo habilitado por RMS copia o modelo de diretivas de direitos do compartilhamento de rede. Quando um destinatário solicita uma licença de uso, o servidor de licenciamento do Windows RMS aplica o modelo de diretivas de direitos do banco de dados. Esse processo assegura que os termos de uma licença de uso sempre reflitam a versão mais atual do modelo.

Criando modelos

Para adicionar um modelo de diretivas de direitos:

  1. Na área Links de administração da principal página de administração, clique em Modelos de diretivas de direitos.

     Dd569878.RMSI12(pt-br,TechNet.10).gif

    Figura 12 A principal página de modelos de diretivas de direitos  

  2. Clique em Adicionar um modelo de diretivas de direitos.

  3. Na página Configurações de modelo de diretivas de direitos, você pode especificar todas as configurações para o modelo, incluindo seu nome, que usuários ou grupos (por listas de distribuição) obtêm que permissões, diretivas de validade e assim por diante.

     Dd569878.RMSI13(pt-br,TechNet.10).gif

    Figura 13 Criando um modelo de diretivas de direitos

  4. Clique em Enviar.

Para obter mais detalhes sobre como criar um modelo de diretivas de direitos, consulte o arquivo de Ajuda do RMS.

Disponibilizando modelos por diretiva de grupo

Quando as diretivas de permissão estiverem prontas, deverão ser postadas a um compartilhamento de servidor onde todos os usuários poderão ter acesso a elas ou deverão ser copiadas a uma pasta local no computador do usuário. As configurações da diretiva do IRM disponíveis no modelo do Office11.adm podem ser usadas para apontar para o local onde essas diretivas de permissão são armazenadas (localmente ou em um compartilhamento de servidor disponível). Depois que as diretivas de permissão estiverem disponíveis e as configurações necessárias da Diretiva de Grupo implementadas e propagadas aos usuários, a opção do menu Permissões do IRM exibirá as diretivas de permissão personalizadas disponíveis em um submenu.

Para obter mais informações sobre como usar a Diretiva de Grupo com os programas do Office 2003 Editions, consulte o tópico Como as diretivas funcionam (inglês) no Office Resource Kit.

É possível habilitar e distribuir as diretivas configuradas fornecidas na seção Gerenciar permissões restritas do modelo de diretiva do Office11.adm. Quando a diretiva do IRM Especificar caminho da diretiva de permissão for implementada e propagada pelo serviço de diretório do Microsoft Active Directory, o IRM irá localizar automaticamente quaisquer modelos disponíveis armazenados no local especificado. Os programas do Office 2003 Editions habilitados por RMS exibirão as diretivas de permissão personalizadas.

Entradas do Registro do IRM

Essas são as principais entradas do Registro associadas ao IRM. A maioria delas possui entradas de diretivas paralelas.

As duas entradas de Registro seguintes estão sob HKLM\Software\Microsoft\Office\11.0\Common\DRM:

Nome do valor: CorpLicenseServer

Tipo de valor: REG_SZ

Dados do valor: <URL>

Essa configuração permite ao administrador substituir o local do servidor do Windows Rights Management especificado no Active Directory.

Nome do valor: CorpCertificationServer

Tipo de valor: REG_SZ

Dados do valor: <URL>

Essa configuração permite ao administrador substituir o local do servidor do Windows Rights Management especificado no Active Directory para certificação.

As entradas de Registro restantes estão sob HKCU\Software\Microsoft\Office\11.0\Common\DRM:

Nome do valor: Disable

Tipo de valor: DWORD

Dados do valor: [ 0 | 1 ]

Se essa chave for configurada para 1, as opções relacionadas ao Rights Management dentro da interface do usuário de todos os programas do Office 2003 Editions serão desabilitadas. Isso é idêntico à diretiva Desabilitar a interface do usuário do Information Rights Management.

Nome do valor: DisablePassportCertification

Tipo de valor: DWORD

Dados do valor: [ 0 | 1 ]

Se essa chave estiver configurada para 1, os usuários não poderão abrir o conteúdo criado por uma conta autenticada do Passport. Isso é idêntico à diretiva Desabilitar o serviço do Microsoft Passport para conteúdo com permissões restritas.

Nome do valor:IncludeHTML

Tipo de valor: DWORD

Dados do valor: [ 0 | 1 ]

Se essa chave estiver configurada para 1, os usuários sem os programas do Office 2003 Editions poderão exibir o conteúdo do Complemento do Rights Management para Internet Explorer. Isso é idêntico à diretiva Permitir que usuários com versões anteriores do Office leiam com navegadores.

Nome do valor: RequestPermissionURL

Tipo de valor: REG_SZ

Dados do valor: <URL ou endereço de e-mail>

Essa configuração permite ao administrador especificar um local onde um usuário pode obter mais informações sobre como obter acesso ao conteúdo do IRM. Pode ser uma URL ou um endereço de e-mail. Isso é idêntico à diretiva Permissões adicionais solicitam URL.

Nome do valor: RequireConnection

Tipo de valor: DWORD

Dados do valor: [ 0 | 1 ]

Se essa chave estiver configurada para 1, quaisquer usuários tentando abrir um documento do Office tendo permissões do IRM habilitadas serão forçados a conectar à Internet ou à rede local para ter sua licença confirmada pelo Passport ou pelo RMS. Isso é idêntico à diretiva Sempre solicitar aos usuários para conectarem para verificarem permissão.

Nome do valor: AutoExpandDLsEnable

Tipo de valor: DWORD

Dados do valor: [ 0 | 1 ]

Se essa chave estiver configurada para 1, qualquer usuário que tentar aplicar permissões a um arquivo encontrará comportamento diferente quando selecionar um nome de grupo na caixa de diálogo Permissões. Quando um grupo for selecionado, a caixa de diálogo será automaticamente ampliada para exibir todos os membros do grupo. Isso é idêntico à diretiva Sempre expandir grupos no Office ao restringir permissões para documentos.

Nome do valor: AdminTemplatePath

Tipo de valor: REG_SZ

Dados do valor: <UNC ou unidade com alias>

Se essa chave estiver presente, os programas do Office 2003 Editions usando IRM examinarão o caminho fornecido nessa entrada do Registro para ver se existe qualquer modelo de diretiva de permissão. Se houver, o título de cada um será exibido na caixa de diálogo Permissão (menu Arquivo). Isso é idêntico à diretiva Especificar caminho da diretiva de permissão.

Listas de revogação

Os administradores podem criar listas de revogação para especificar os usuários, aplicativos ou outras entidades confiáveis que não devem mais ter acesso a informações protegidas por direitos. Um ou mais certificados envolvidos no processo de emitir licenças de publicação ou uso podem especificar uma condição de lista de revogação. Os aplicativos clientes habilitados por RMS verificam a lista de revogação sempre que a condição for especificada e, se quaisquer das entidades confiáveis solicitantes estiverem na lista de revogação, a solicitação de licença será negada.

Qualquer certificado pode ser revogado. Por padrão, somente a entidade que emitiu o certificado pode revogá-lo, então somente uma lista de revogação assinada por aquela entidade pode revogar o certificado. Opcionalmente, um certificado também pode especificar:

  • Uma entidade ou lista de entidades que pode revogá-lo. A entidade de revogação poderia ser um terceiro.
  • Uma chave pública vazia como a chave de revogação para que o certificado não possa ser revogado.

Os modelos de diretivas de direitos também podem especificar uma condição de lista de revogação. Por exemplo, uma organização pode querer verificar a lista de revogação para um modelo aplicado a informações confidenciais da empresa e ignorar a verificação da lista de revogação para um modelo aplicado a dados menos confidenciais. Para proteger mais as informações, o modelo pode especificar um período de tempo válido para a lista de revogação. Por exemplo, o modelo pode especificar que a lista de revogação deve ter sido criada dentro dos últimos 10 dias ou ela não será aceita.

Uma lista de revogação é criada como arquivo de texto sem formatação em formato XML em conformidade com o vocabulário XrML e assinado por uma chave particular usando um utilitário fornecido pelo Windows RMS. A lista pode então revogar quaisquer entidades confiáveis nomeadas pelo proprietário da chave pública que corresponde à chave de assinatura particular. O arquivo é colocado em um local disponível a todos os trabalhadores que o solicitarem, como uma URL acessível a partir da rede corporativa e da Internet. Isso assegurará que os operadores internos e externos possam acessar o arquivo. Se uma condição de lista de revogação estiver presente e uma lista de revogação válida não puder ser localizada, o acesso às informações protegidas por direitos será negado.

Uma organização pode especificar entidades confiáveis em uma lista de revogação para as seguintes condições:

  • Sabe-se ou suspeita-se que uma chave particular está comprometida
  • Um proprietário solicita revogação de uma chave que se acredita não estar comprometida
  • Uma entidade confiável não é mais válida (por exemplo, um funcionário foi demitido)
  • Existe uma falha na aplicação da segurança (por exemplo, um certificado emitido a um computador cliente foi comprometido)
  • A recertificação é necessária devido a alterações na autorização

Criando e gerenciando listas de revogação

Implementar a revogação requer que você implante uma lista de revogação, um documento XML que usa a linguagem XrML e lista as entidades confiáveis que não devem mais acessar conteúdo protegido por direitos. Você deve criar listas de revogação que registram a hora e que sejam assinadas adequadamente usando a ferramenta de Assinatura de Lista de Revogação fornecida com o Windows RMS.

Como existem várias opções ao criar Listas de Revogação, o melhor plano é consultar o tópico Criando listas de revogação no arquivo de Ajuda do RMS.

Diretivas de exclusão

A partir do Administrator Console no Windows RMS, os administradores podem configurar diretivas de exclusão separadamente em cada servidor ou cluster de servidor no sistema RMS para impedir que entidades confiáveis específicas adquiram novas licenças desse servidor. As diretivas de exclusão interrompem as entidades confiáveis comprometidas de adquirirem licenças de uso de servidores do RMS. No entanto, diferente da revogação, a exclusão não invalida as entidades confiáveis. Quaisquer licenças existentes associadas a entidades confiáveis excluídas ainda são válidas, mas novas solicitações de licenciamento são negadas.

Os administradores podem excluir as seguintes entidades confiáveis:

  • Versões da lockbox do RMS. Um administrador pode especificar uma versão de lockbox contra à qual todas as solicitações de licenciamento serão verificadas. Se uma solicitação for feita de um computador cliente com uma versão de lockbox anterior, a solicitação será negada. A exclusão da lockbox também marca toda licença de uso com uma condição que ele pode somente vincular se a lockbox for atual. Aplicar essa condição na licença amplia o alcance de diretivas de exclusão a computadores que podem não ser usados para adquirir licenças de uso, mas são usados para descriptografar informações protegidas por direitos. Quando uma organização aplica essa diretiva de exclusão, os operadores não podem adquirir novas licenças de uso até reativarem seus computadores. Sua capacidade de acessar arquivos licenciados anteriormente, no entanto, não será afetada. Para preservar a experiência do usuário, os administradores devem implantar novas lockboxes por toda sua organização antes de habilitar as diretivas de exclusão. As diretivas de exclusão podem ser usadas então como meio de forçar atualizações para quaisquer computadores que não foram afetados pela nova implantação de lockbox.
     
  • Versões do Windows. O Windows 98 Second Edition e Windows Millennium Edition não oferecem suporte à Autenticação NTLM. Uma organização pode impedir que esses clientes possam adquirir licenças de uso.
     
  • Certificados de conta. Se um operador de informações for uma entidade confiável, mas se houver razão para acreditar que as chaves de certificado de conta do operador foram comprometidas, um administrador poderá excluir a chave pública para aquele certificado de conta. Nenhuma licença de uso nova será emitida a uma chave pública excluída, então o operador deve certificar novamente e receber um novo certificado de conta com um novo par de chaves. Esse novo certificado de conta será usado para todas as atividades futuras. Entretanto, o operador retém o certificado de conta excluída para acessar informações protegidas por direitos, licenciadas anteriormente.
     
  • Aplicativos. Pode-evitar que aplicativos adquiram licenças de uso. Os administradores podem especificar números de versão do aplicativo.

Criando diretivas de exclusão

A página Diretivas de exclusão sob a página Administração Global no servidor do RMS permite que os administradores configurem diretivas para qualquer uma das quatro entidades confiáveis descritas na seção anterior.

 Dd569878.RMSI14(pt-br,TechNet.10).gif

Figura 14 A página de diretivas de exclusão

Logon

O Windows RMS instala suporte para logon durante a configuração de sistema inicial do RMS. Esse serviço de logon é habilitado e iniciado automaticamente. Um banco de dados de logon do RMS é criado na instância do SQL Server usada também para o banco de dados de configuração, e uma fila de mensagens particular no MSMQ é criada para transmitir as mensagens do serviço de logon ao banco de dados.

Os administradores podem habilitar ou desabilitar o serviço de logon a qualquer momento. Quando habilitado, o serviço de logon enviará todos os dados sobre solicitações RMS para o banco de dados de logon. Os administradores podem escrever scripts SQL para reduzir as informações para que somente as informações específicas solicitadas pela organização sejam armazenadas. O RMS registra solicitações de licença de uso bem-sucedidas e com falhas. Esse registro permite que uma organização grave os usuários que acessaram com êxito informações protegidas por direitos e aqueles que tentaram um acesso não autorizado a informações protegidas por direitos.

Diretivas de confiança

Por padrão, o Windows RMS não atende a solicitações de usuários cujos certificados de conta de gerenciamento de direitos (RACs) foram emitidos por uma instalação do Windows RMS diferente. Entretanto, você pode adicionar domínios de usuário à lista de domínios de usuário confiáveis, que permite ao Windows RMS processar tais solicitações.

Para cada domínio confiável, você pode também adicionar e remover usuários específicos ou grupos de usuários. Além disso, você pode remover um domínio de usuário confiável, entretanto, não pode remover o cluster de certificação raiz para essa floresta do Active Directory dos domínios de usuário confiáveis. Todo servidor do Windows RMS em uma implantação, incluindo o servidor de certificação raiz, confia no cluster de certificação raiz de sua própria floresta.

Configurando e gerenciando diretivas de confiança

Para adicionar um domínio de usuário confiável:

  1. A partir da página principal de administração, clique em Diretivas de confiança.

     Dd569878.RMSI15(pt-br,TechNet.10).gif

    Figura 15 A página de diretivas de confiança  

  2. Na área de Domínios de usuários confiáveis, clique em Procurar, localize e clique duas vezes no certificado de licenciador do servidor do domínio de usuário que você deseja importar para estabelecer a relação de confiança e clique em Adicionar.

  3. O nome do domínio aparece na lista Domínios de usuários confiáveis.

  4. Para especificar que domínios de e-mail dentro do domínio de usuário confiável são confiáveis, clique em Domínios confiáveis próximo ao nome do certificado na lista para abrir a janela Domínios de e-mail confiáveis.

  5. Escolha uma das opções de confiança a seguir:

    Selecione a opção Confiar em todos os domínios de e-mail para confiar em todas as contas de usuário que são membros daquele domínio.

    - ou -

    Selecione a opção Confiar somente em domínios de e-mail especificados e digite o nome de domínio a confiar, como exemplo.com, e clique em Adicionar. Isso adiciona o domínio à lista Domínios de e-mail confiáveis. Para remover um nome da lista, selecione o nome e clique em Remover. Listar um domínio inclui todos os seus subdomínios.

Para obter mais informações passo a passo sobre Diretivas de Confiança, consulte o arquivo de Ajuda do RMS instalado com o software de servidor do RMS.

Conclusão

A implantação real do RMS, incluindo instalação e fornecimento, é surpreendentemente fácil e simples. Como esse documento descreve, existem opções de manutenção e gerenciamento após a instalação, sendo que algumas ou todas podem ser relevantes a um determinado ambiente.

Outras questões quanto à manutenção não cobertas no documento são mais genéricas e tratam dos bancos de dados RMS. Por exemplo, os administradores desejarão configurar planos de manutenção de banco de dados para executar backups de banco de dados e registro, verificações de consistência de banco de dados e remessa de log, conforme apropriado. A Microsoft, em sua implementação, escolheu um modelo de recuperação simples para os bancos de dados de logon e de serviços de diretório, com um modelo de recuperação total e remessa de log de transação no banco de dados de Configuração.

Como um todo, colocar os clientes do Office 2003 Editions em execução com o IRM é uma das tarefas de implantação empresarial mais fáceis que os administradores podem enfrentar. Os benefícios estão disponíveis imediatamente, uma vez que os usuários podem começar a incorporar a funcionalidade do IRM em seus processos colaborativos existentes com mínimo esforço.

Encontre informações adicionais

Para obter mais informações, consulte os seguintes sites (em inglês):

Microsoft Office System

https://office.microsoft.com/home/default.aspx

Windows Rights Management Services

https://www.microsoft.com/windowsserver2003/technologies/rightsmgmt/default.mspx

Complemento do Rights Management para Internet Explorer

https://www.microsoft.com/windows/ie/downloads/addon/

Criptografia e noções básicas sobre PKI

https://www.microsoft.com/technet/prodtechnol/windows2000serv/deploy/confeat/cryptpki.mspx ****

Infra-estrutura de chave pública

https://www.microsoft.com/windowsserver2003/technologies/pki/default.mspx

Suporte ao produto

Para acessar o suporte da Microsoft, conecte-se a https://support.microsoft.com. Para grandes empresas solicitando suporte gerenciado direto da Microsoft, os contratos estão disponíveis a partir do Suporte Principal da Microsoft, em https://www.microsoft.com/brasil/suporte.

Para obter informações sobre suporte internacional, clique no hiperlink de suporte internacional em https://support.microsoft.com.

Além disso, um guia de implantação abrangente, com uma extensa seção de resolução de problemas, é incluído com o RMS.

Observação Os serviços de suporte da Microsoft estão sujeitos às condições, aos termos e aos preços atuais, que estão sujeitos a alterações sem aviso prévio.

As informações contidas neste documento representam a posição atual da Microsoft Corporation no que diz respeito às questões abordadas na data de publicação. Como a Microsoft deve responder às condições de mudança de mercado, as informações não devem ser interpretadas como um compromisso por parte da Microsoft, sendo que esta não pode garantir a precisão de qualquer informação apresentada após a data de publicação.

Este documento é fornecido apenas para fins informativos. A MICROSOFT NÃO OFERECE QUAISQUER GARANTIAS, EXPLÍCITAS, IMPLÍCITAS OU ESTATUTÁRIAS NESTE DOCUMENTO.

Obedecer a todas as leis de direitos autorais aplicáveis é responsabilidade do usuário. Independentemente dos direitos autorais, nenhuma parte deste documento pode ser reproduzida, armazenada ou introduzida em um sistema de recuperação, ou transmitida de qualquer forma por qualquer meio (eletrônico, mecânico, fotocópia, gravação ou outro), ou para qualquer propósito, sem a permissão expressa, por escrito, da Microsoft Corporation.

A Microsoft pode ter patentes ou requisições para obtenção de patente, marcas comerciais, direitos autorais ou outros direitos de propriedade intelectual que abrangem o conteúdo deste documento. A posse deste documento não lhe confere direito algum sobre as citadas patentes, marcas comerciais, direitos autorais ou outros direitos de propriedade intelectual, salvo aqueles expressamente mencionados em um contrato de licença, por escrito, da Microsoft.

© 2003 Microsoft Corporation. Todos os direitos reservados.

Microsoft, Active Directory, o logotipo do Office, Outlook, SharePoint, SQL Server, Windows NT, Windows Server e Windows são marcas registradas ou marcas comerciais da Microsoft Corporation nos Estados Unidos e/ou em outros países.

Os nomes de empresas e produtos reais aqui mencionados podem ser marcas comerciais de seus respectivos proprietários.

Microsoft Corporation One Microsoft Way Redmond, WA 98052-6399 USA