• Artigo

Os arquivos da área de trabalhoPrevenção da perda de dados com o Gerenciamento de Direitos Empresariais

Wes Miller

Sumário

Pensando na prevenção da perda de dados
Componentes essenciais do gerenciamento de direitos
Como funciona?
Onde estão as falhas?
Você está protegendo seus ativos?

Trabalho para uma empresa que produz um aplicativo de listagem de itens aceitos, o que basicamente reverte a abordagem típica de segurança usada na proteção de computadores. Existe uma outra abordagem de segurança, também considerada atípica, que eu gostaria de discutir este mês — o Gerenciamento de Direitos Empresariais. Explicarei por que essa é a única forma efetiva de proteger informações confidenciais.

Na Conferência da RSA deste ano, em São Francisco, quando visitava o salão de exposição e comparava os produtos oferecidos pelos diversos fornecedores, tenho de admitir que fiquei confuso. Com raras exceções, os fornecedores presentes vendiam soluções de segurança reativas, e não proativas. Deixe-me explicar. Se você construir um prédio, vai protegê-lo colocando trancas nas portas e nas janelas. Se quiser mais segurança, comprará um sistema de alarme. Precisa de ainda mais segurança? Acrescente uma cerca. O que você não faria, se quisesse proteger um prédio, seria deixar de lado as trancas, o alarme e a cerca, e simplesmente contratar um ou dois seguranças para fazer a ronda. Isso, por si só, não protegeria nada.

Recursos adicionais

Gerenciamento de Direitos de Informação no 2007 Microsoft Office system

office.microsoft.com/en-us/help/HA101029181033.aspx

Gerenciamento de Direitos de Informação no Windows SharePoint Services

msdn.microsoft.com/library/ms458245

Windows Rights Management Services

microsoft.com/windowsserver2003/technologies/rightsmgmt

Windows Server 2003 Rights Management Services

technet2.microsoft.com/windowsserver/en/technologies/featured/rms/default.mspx

RMS: protegendo seus ativos

blogs.technet.com/rmssupp/default.aspx

Parceiros do Windows Rights Management Services

microsoft.com/windowsserver2003/partners/rmspartners.mspx

Pensando na prevenção da perda de dados

Eis um exemplo mais realista. Muitos clientes já me perguntaram sobre o bloqueio das portas USB para impedir o vazamento de informações da empresa (depois de eliminadas as preocupações com ameaças internas). Mas a verdade é que tentar interromper o fluxo de dados nas portas propriamente ditas não representa proteção. É como deixar um prédio totalmente desprotegido, e então contratar um segurança. Claro, ele é um bom sujeito, mas simplesmente não tem condições de dar cobertura a todas as entradas e saídas. No fim das contas, nesses dois cenários, trata-se da ferramenta errada para o serviço.

O problema do bloqueio de acesso às portas — e de todas as outras soluções que pretendem ajudá-lo a examinar ou proteger seus compartilhamentos UNC, fazer inspeção de pacotes com monitoração de estado ou outros tipos de inspeção — é que são todas reativas. Todas essas soluções tentam capturar os dados quando saem da organização. Só que geralmente já é tarde demais.

Isso me lembra de um cenário que costumava ocorrer na Microsoft (e tenho certeza de que também lhe parecerá familiar). Na era anterior ao IRM (Gerenciamento de Direitos de Informação) no Microsoft Office e ao RMS (Rights Management Services) no Windows, qualquer email interessante, mesmo que estivesse claramente marcado como confidencial, acabava sendo encaminhado à imprensa no final do expediente. Infelizmente, diretivas, senhas fortes, inspeção de pacotes, segurança de compartilhamento e até mesmo ameaça de demissão não resolvem essa questão. É preciso algo mais — e esse "algo mais" pode ser fornecido pelas tecnologias de gerenciamento de direitos da Microsoft, capazes de ajudá-lo a proteger seu conteúdo do Office. Tornei-me um entusiasta do IRM e, principalmente, do RMS, à medida que passei a respeitá-los como soluções de segurança, e não apenas como tecnologias de auditoria, monitoramento ou conformidade.

Quais são as vantagens do IRM/RMS para proteger o conteúdo do Office em relação à simples proteção por senha desse conteúdo?

  • Existem mecanismos de força bruta capazes de comprometer a proteção por senha usada em documentos do Office.
  • O conteúdo protegido apenas por senha não é criptografado da mesma forma que os documentos protegidos por IRM/RMS.
  • O IRM e o RMS atuam em conjunto para proteger o conteúdo nos níveis inferiores do Windows.
  • O IRM e o RMS permitem proteger o conteúdo usando controles de acesso muito granulares, atribuídos a contas do Active Directory.

Mas o que são exatamente o IRM e o RMS? Essas tecnologias, fornecidas inicialmente com o Microsoft Office 2003, permitem proteger a propriedade intelectual armazenada em documentos do Office, inclusive emails lidos no Microsoft Outlook, Outlook Mobile Access e Outlook Web Access via Internet Explorer, criptografando os documentos e controlando o acesso ao conteúdo propriamente dito.

A maioria dos tipos de documentos do Office pode ser criptografada, inclusive os novos documentos baseados em XML, e também os emails, embora os arquivos .msg (mensagens de email geralmente anexadas a outras mensagens de email) não possam (visite office.microsoft.com/en-us/help/HA101029181033.aspx para obter uma lista completa dos tipos de arquivos que podem ser gerenciados com o IRM). O documento não é descriptografado até ser aberto por um usuário que tenha sido autorizado por seu criador.

O IRM é basicamente o front-end do gerenciamento de direitos, exposto por meio de um aplicativo habilitado para RMS, enquanto o RMS é o back-end. Um servidor RMS retém as informações usadas para identificar os direitos concedidos aos usuários e verifica as credenciais desses usuários. O componente IRM no aplicativo habilitado para RMS permite definir e gerenciar esses direitos. Juntos, o IRM e o RMS permitem que os usuários autorizados leiam, alterem ou exerçam total controle de edição sobre um documento (dependendo dos direitos atribuídos).

Quando um usuário autorizado abre conteúdo protegido por IRM em um aplicativo do Office, o conteúdo é descriptografado e tornado legível ou editável naquele aplicativo. Lembre-se de que, embora o IRM e o RMS trabalhem para manter as informações seguras, sempre é possível que um usuário realmente empenhado em comprometer a segurança consiga fazer isso. Se um usuário decidir usar a "brecha analógica" (uma câmera digital ou outro software de captura de tela, ou mesmo redigitar manualmente informações essenciais), não haverá muito que o IRM possa fazer para proteger as informações. Contudo, na maioria dos cenários essa segurança é muito eficaz.

Componentes essenciais do gerenciamento de direitos

A solução de gerenciamento de direitos da Microsoft consiste em quatro componentes, que explicarei em detalhes. Também descreverei resumidamente o SDK do RMS e o útil RMS Toolkit. O primeiro componente é interno; os demais podem ser baixados de microsoft.com/windowsserver2003/technologies/rightsmgmt.

Gerenciamento de Direitos de Informação Esse componente interno do Microsoft Office 2003 e do 2007 Office system (e também das versões móveis de Outlook, Excel, Word e PowerPoint, no Windows Mobile 6x) permite que os usuários atribuam permissões a documentos do Word, pastas de trabalho do Excel, apresentações do PowerPoint, formulários do InfoPath, mensagens de email do Outlook e arquivos XPS (XML Paper Specification). Com isso, permite ou impede que os destinatários desses arquivos encaminhem, copiem, modifiquem, imprimam, enviem por fax, recortem, colem ou usem a tecla Print Screen. É possível definir permissões por usuário ou por documento.

Em um ambiente do Active Directory, também é possível definir permissões para grupos; e, se a sua organização utilizar o Microsoft Office SharePoint Server 2007, você poderá definir permissões para bibliotecas (observe que, tecnicamente, o conteúdo é descriptografado quando é armazenado no SharePoint, e depois criptografado novamente quando apresentado aos usuários). A menos que tenham um vencimento definido, as permissões do IRM permanecem com um documento, não importa quando ou para onde seja enviado.

O IRM não está disponível nas versões do Office para Apple Macintosh, mas existem meios para que os usuários do Mac utilizem conteúdo protegido por RMS. Aguarde a coluna do mês que vem para saber mais detalhes.

Rights Management Services (servidor) Está disponível para Windows Server 2003 e é uma função disponível no Windows Server 2008. O servidor RMS é o elemento central do Gerenciamento de Direitos Empresariais da Microsoft. Ele se encarrega de certificar entidades confiáveis (usuários, computadores clientes e servidores), definir e publicar direitos e condições de uso, inscrever servidores e usuários, autorizar o acesso a informações protegidas e fornecer as funções administrativas necessárias para permitir que os usuários autorizados acessem informações protegidas por direitos.

A Figura 1 mostra a tela do Gerenciador de Servidores, que permite instalar a função RMS em um sistema Windows Server 2008. Embora o RMS tenha poucas dependências, o assistente o orientará em todo o processo, instalando para você todas as dependências necessárias.

fig01.gif

Figura 1. Selecionando a função de servidor Rights Management Services (clique na imagem para ampliá-la)

A função de servidor RMS (no Windows Server 2003 ou no Windows Server 2008) requer um sistema de servidor com:

  • MSMQ (Microsoft Message Queue Server)
  • IIS com ASP.NET habilitado
  • Active Directory
  • SQL Server Enterprise Edition (em ambientes de produção), MSDE (Microsoft SQL Desktop Engine) ou SQL Server Express (ótimo para ambientes de teste)

Como já foi mencionado, mesmo que você não tenha nenhum desses componentes instalados, eles serão configurados para você durante a instalação do Windows Server 2008. Em uma implementação de produção, convém ter um certificado digital SSL válido para seus servidores, de forma que o RMS possa manter a segurança adequada entre clientes e servidores. Contudo, para testes, o RMS pode fornecer um certificado de teste, instalado como parte da instalação da função. A Figura 2 mostra a aparência do console do RMS em execução no Windows Server 2008.

fig02.gif

Figura 2. O console do RMS (clique na imagem para ampliá-la)

Rights Management Services (cliente) Permite que aplicativos habilitados para RMS atuem em conjunto com o servidor RMS para possibilitar a publicação e o consumo de conteúdo protegido por direitos. O cliente é incorporado no Windows Vista e no Windows Server 2008; em versões anteriores do Windows, pode ser baixado e instalado para incluir os recursos de RMS nesses sistemas operacionais.

Se você está desenvolvendo sua própria implantação empresarial, é muito provável que queira implantar o cliente RMS por meio de novos sistemas, da Diretiva de Grupo ou do SCCM (System Center Configuration Manager), em vez de encarregar os usuários de implantá-lo manualmente.

Complemento do Rights Management para o Internet Explorer No Internet Explorer 6.0 e versões posteriores, permite exibir conteúdo protegido por direitos no Internet Explorer.

SDK do RMS Permite que os desenvolvedores criem seus próprios aplicativos para proteger conteúdo personalizado usando a API baseada em SOAP do Rights Management Services.

RMS Toolkit Provavelmente você descobrirá, como eu descobri, que o RMS Toolkit é extremamente útil para implantar e solucionar problemas da sua infra-estrutura de RMS. O Toolkit contém vários programas úteis, que o ajudarão a verificar se o seu sistema RMS funciona como deveria. Observe que o RMS Toolkit não faz parte do RMS e, portanto, não tem suporte oficial da Microsoft.

Como funciona?

Quando você protege um documento usando o RMS, clicando em Proteger Documento na guia Revisão do Word 2007 ou em Proteger Pasta de Trabalho no Excel 2007, você precisa especificar a conta que deseja usar como autor do documento — a conta com privilégios de propriedade sobre o documento. O ideal seria uma conta do Active Directory, embora o RMS permita o uso de uma conta de avaliação do Windows Live — que provavelmente você não vai querer usar em um sistema de produção.

Depois de autenticado com uma conta (veja a Figura 3), você poderá especificar essa conta ou adicionar contas como proprietário. Depois, poderá especificar rapidamente direitos de alto nível (veja a Figura 4) ou direitos mais granulares para os usuários aos quais deseja conceder permissões para ler ou alterar o documento que você está protegendo.

fig03.gif

Figura 3. Especificando a conta a ser usada (clique na imagem para ampliá-la)

fig04.gif

Figura 4. Configurando permissões (clique na imagem para ampliá-la)

Você protegeu o documento. Como resultado, qualquer usuário que tente abri-lo precisará primeiro apresentar suas credenciais. Além disso, os privilégios definidos pelo proprietário do documento serão impostos.

O RMS usa o IIS e o ASP.NET para autenticar qualquer usuário que abra o documento, verificar sua identidade e seus direitos de acesso e transmitir essas informações ao cliente RMS e à infra-estrutura de IRM no Office. Com base no Active Directory e nos direitos definidos pelo servidor RMS, o usuário final terá permissão para o acesso total ou limitado ao documento, ou então não terá permissão para acessá-lo.

O RMS usa uma infra-estrutura que depende do XrML (eXtensible rights Markup Language) para descrever os direitos atribuídos aos usuários finais do conteúdo protegido por IRM. Na verdade, esses direitos estão contidos em uma licença XrML que pode ser anexada ao conteúdo digital e persistir nessa forma. Como o XrML é um padrão, essa linguagem também pode ser usada por outros aplicativos para proteger conteúdo de forma semelhante. Você encontra mais informações sobre isso em xrml.org.

Onde estão as falhas?

Como já mencionei, o RMS e o IRM não são infalíveis; se um usuário "autorizado" mal-intencionado se empenhar em comprometer conteúdo protegido por IRM, terá um pouco de trabalho, mas alcançará seu objetivo.

Além disso, o conteúdo é potencialmente suscetível à interceptação por malware subversivo e por software de captura de tela operando de formas não convencionais. Embora o RMS se concentre em impedir capturas de tela e atividades não autorizadas do tipo copiar-e-colar, não pode fazer muito mais do que isso. Já vi algumas soluções que tentam ir um pouco além do IRM e do RMS, protegendo tipos de conteúdo adicionais. Para conhecer outros ISVs que criam soluções em torno do RMS, visite microsoft.com/windowsserver2003/partners/rmspartners.mspx.

Acredito que o Gerenciamento de Direitos Empresariais seja a única forma racional de proteger efetivamente o conteúdo "que não está em repouso" nos sistemas atuais. Se examinarmos os tipos de conteúdo comprometidos na atualidade — email, documentos do Office, e assim por diante — perceberemos que a maioria deles poderia ser facilmente protegida com o IRM e o RMS, mas não é. Embora as tecnologias de criptografia de volume completo, como o BitLocker no Windows Vista, permitam proteger conteúdo em repouso e, de forma geral, mantê-lo em segurança no caso de um comprometimento do sistema, elas não protegem o conteúdo em compartilhamentos, servidores de email ou servidores SharePoint.

Como em geral o conteúdo não pode ser protegido "em campo aberto", as soluções evoluíram no sentido de tentar controlar o conteúdo e eliminá-lo. O IRM e o RMS foram bem projetados para se conectar ao Active Directory, ao Exchange, ao Office e ao Windows. Assim, não exigem uma curva de aprendizado acentuada, especialmente para os usuários finais que realmente consomem o conteúdo, e são capazes de fornecer um alto nível de proteção. Consulte a barra lateral "Recursos adicionais" para obter mais informações.

Você está protegendo seus ativos?

Você utiliza o RMS e o IRM na sua organização? Mande-me sua avaliação do RMS e do IRM. Eu gostaria muito de saber dos leitores como e por que implantaram (ou não) o RMS e o IRM, ou se acreditam que sua organização está protegida contra a perda de dados com o uso de algum outro mecanismo.

Wes Miller é gerente sênior de produto técnico da CoreTrace (CoreTrace.com), em Austin, no Texas. Já trabalhou na Winternals Software e como gerente de programa da Microsoft. Entre em contato com ele pelo email technet@getwired.com.