Verwenden von AD RMS mit Hardwaresicherheitsmodulen

 

Veröffentlicht: September 2016

Gilt für: Windows Server 2008, Windows Server 2008 R2, Windows Server 2012 R2, Windows Server 2012

Active Directory-Rechteverwaltungsdienste (Active Directory Rights Management Services, AD RMS)ist eine Informationen Protection Plattform, mit der Dokumente für Schutz freigegeben werden, damit nur autorisierte Benutzer können auf diese bestimmte Aktionen ausführen kann. Um sicherzustellen, dass der Inhalt, bleibt geschützt,AD RMSverwendet Kryptografietechnologien, für die die Generierung und Speicherung von öffentlichen und privaten Schlüsseln erforderlich. Verwalten von Schlüsseln kann beide serverleistung beeinträchtigen sowie potenziell Bedenken hinsichtlich der Sicherheit der privaten Schlüssel beteiligten auslösen, wie eine Beeinträchtigung der solche Schlüssel Schutz Vorteile von verursachenAD RMSverloren. WährendAD RMSbietet sichere kennwortbasierte Schutz für ihre Serverschlüssel dieser Option davon abhängig, ob gut Verfahrensweisen und enge Management-Server und Kennwörter für die Aufrechterhaltung der Sicherheit der Schlüssel, einschränkt, die in einigen Organisationen nicht genügend Garantien bieten können.

Eine Möglichkeit, die diese Auswirkungen adressiert werden können, ist durch die Verwendung von Hardwaresicherheitsmodulen (HSMs) von Drittanbieterprodukten, die im Zusammenhang mit Ihrer vorhandenen verwendet werden kannAD RMSInfrastruktur. Durch Entlastung der wichtigsten Verwaltungsaufgaben sowie eine kryptografische Verarbeitung aus IhrerAD RMSein HSM-Server, können Sie reduzieren Verarbeitungsaufwand für die einzelnenAD RMSServer und außerdem sicherstellen, dass die privaten Schlüssel verwendet nicht offen gelegt oder gestohlen werden, wenn die AD RMS-Bereitstellung jemals verletzt oder vom Administrator gefährdet.

Dieses Handbuch richtet sich an zusätzliche allgemeine Hilfestellungen zur Verwendung von HSMs mitAD RMS. Es enthält außerdem einige Anweisungen zum Erweitern einer Basisinstallation von einer AD RMS-Testlabor HSMs einschließen.

Vollständige Nutzung der Lab-Setup-Anweisungen für das Einrichten und Konfigurieren von HSMs mitAD RMSSie müssen zuerst die folgenden zusätzlichen Test Lab-Handbücher abgeschlossen haben:

AD RMSist ein Schutz Informationsplattform, die es ermöglicht Autoren und Verlegern Verwendungsrichtlinien für ihre Dokumente definieren, die festlegen, wer auf diese Dokumente zugreifen können und welche Vorgänge darauf ausgeführt werden können. Um diese Art von Dokumentschutz zu erreichen, die Inhalte geschütztAD RMSwird verschlüsselt, durch die Unterstützung von Clientanwendungen mit 128 oder 256-Bit-AES (Advanced Encryption Services) symmetrische Verschlüsselung, schnelle und verstärkte Sicherheit bereitzustellen.

Damit Sie am besten verstehen, wieAD RMSkönnen die Vorteile der Verwendung von Hardwaresicherheitsmodulen hilft, damit ein tieferes Verständnis dafür, wieAD RMSverwendet AES-Verschlüsselung und die Verschlüsselungsschlüssel, die zu ihrer Unterstützung erforderlich sind.

Wie AD RMS Verschlüsselung durchführt und Verschlüsselungsschlüssel

Verschlüsselung mit symmetrischen Schlüsseln verwendet den gleichen Schlüssel zum Ver- und Entschlüsseln von Inhalt. Aber wie die Entschlüsselungsschlüssel für den Inhalt, den die Clients verfügbar gemacht werden, die sie nutzen müssenAD RMSasymmetrischen Verschlüsselung mit öffentlichem und privatem Schlüssel verwendet, um den Verschlüsselungsschlüssel zu schützen. AlleAD RMSServer, Clientcomputer und Benutzerkonten verfügen über die öffentlichen und privaten 1024-Bit- oder 2.048 Bit RSA-basierte Verschlüsselungsschlüssel (je nach Bereitstellungsoptionen).AD RMSverwendet seinen privaten Schlüssel zum Verschlüsseln des symmetrischen Schlüssels der Verschlüsselung von Inhalten sowie die Daten der Rechte in der Veröffentlichungslizenz und die Lizenz in den einzelnen Dokumenten.AD RMSverwendet auch die privaten Schlüssel zum digitalen SignierenAD RMSZertifikate und Lizenzen, die Sicherstellung der Zertifikate nicht manipuliert bei zum Zeitpunkt Benutzer verwenden sie den Zugriff auf geschützte Informationen anfordern.

Wie HSMs Server Leistungssteigerung beitragen

Während die symmetrische Verschlüsselung von verwendetenAD RMSClients zum Verschlüsseln und Entschlüsseln der geschützte Inhalt relativ ist schnelle und effiziente, asymmetrische Verschlüsselung und Signatur sind viel größere Prozesse. Moderne Server CPUs bieten leistungsstarke Zahlenanalyse, aber imAD RMSServer-Vorgänge bei starker Auslastung möglicherweise die kryptografische Verarbeitung der Faktor, dass die meisten beschränkt die Leistung.

HSMs bei der Verschiebung der kryptografischen Verarbeitung auf dedizierter Hardware-Einheit, die die Verarbeitung von Kryptografiealgorithmen höherer Geschwindigkeit als aktuelle CPUs abschließen kann. Auf diese Weise könnenAD RMSServer zum Verarbeiten von lizenzierungsanforderungen mit reduzierten CPU-Aufwand.

System_CAPS_ICON_note.jpg Hinweis


Während der kryptografischen Vorgänge an ein HSM die Netzwerklatenz zwischen verbessert die Leistung, kann derAD RMSServer und das HSM möglicherweise zu Leistungseinbußen führen. Gibt an, ob eine HSM Leistung positiv oder negativ beeinflusst, hängt von der Leistung des Servers CPU, die Geschwindigkeit Ihrer HSM, die Netzwerklatenz und die Geschwindigkeit zwischen den HSM und dieAD RMSServer und welche kryptografiemodus dieAD RMSBereitstellung arbeitet unter (mit diejenigen, die unter kryptografiemodus 2 sehen den maximalen Nutzen ausgeführt werden).

Wie HSMs helfen, um sicherzustellen, dass die Sicherheit der Private Schlüssel

Kryptografie mit öffentlichem und privatem ist die private Schlüsselkomponente die wichtigste Komponente. InAD RMSder private Schlüssel wird zum Entschlüsseln alle Inhaltsschutz Schlüssel effektiv ermöglicht Personen Zugriff auf diesen Schlüssel Zugriff auf alle Dokumente, die von diesem geschützten hatAD RMSCluster. Der private Schlüssel ermöglicht außerdem dieAD RMSCluster zum Signieren von Lizenzen und Zertifikate, die dann von allen Clients und Servern vertraut werden. Damit Zugriff auf den privaten Schlüssel auch die Möglichkeit, den Namen der Lizenzen erteilen würde dieAD RMSCluster. Dies alles bedeutet dies, dass der private Schlüssel des derAD RMSCluster muss gewahrt und geschützt werden, in der Reihenfolge für dieAD RMSDienst um sinnvolle Schutz zu bieten.

MitAD RMSin der Standardkonfiguration werden die privaten Schlüssel von gemeinsamAD RMSServer innerhalb einerAD RMSCluster werden sicher über die Data Protection API (DPAPI) mit dem sicheren Speicherdienst gespeichert. WennAD RMSServer verknüpft sind, eineAD RMSCluster, sie alle verfügen über einen einzigen Cluster Stammschlüssel, die in der Konfigurationsdatenbank in verschlüsselter Form gespeichert werden, damit dieser Schlüssel nie übertragen wird auf eine Weise zugegriffen werden kann, der von externen Drittanbietern. Da die Sicherheit dieses Schlüssels die Sicherheit Ihrer gesamten AD RMS-Bereitstellung abhängig ist von zentraler Bedeutung für diesen Schlüssel so weit wie möglich zu schützen. Andernfalls, wenn ein Benutzer eine Kopie dieses Schlüssels sie konnte zugreifen alle Inhalte, die zuvor veröffentlicht und geschützten ohne Autorisierung und unabhängig voneinander Lizenzen ausstellen, die gültig sindAD RMSLizenzen unter dem Namen des demAD RMSCluster.

HSMs bietet daher auch einen Vorteil hinsichtlich der Sicherheit fürAD RMS-Bereitstellungen Isolieren der direkten Zugriff auf den privaten Schlüssel, die in der Konfiguration des HSM immer sicher ausgegeben und in der Hardwaregerät selbst gespeichert.

HSMs zusätzlichen Schutz für private Schlüssel bereitstellen, indem Sie alle kryptografischen Vorgänge intern durchführen, ohne jemals Freigabe des privaten Schlüssels an alle Benutzer oder das System, einschließlich derAD RMSServer. Der private Schlüssel wird immer in das HSM in einem Formular gespeichert werden, die logisch und physisch vor nicht autorisiertem Zugriff geschützt ist. Die HSMs bieten auch physischen Schutz gegen Manipulationen mit Geräten, die beim Versuch, die physisch gegen das Gerät oder den integrierten Sicherheitsmaßnahmen manipulieren erkennen des privaten Schlüssels gelöscht.

Zwar HSMs können erhebliche zusätzliche Datenschutz sowie optimierte LeistungAD RMSServer haben sie bestimmte Implikationen für die Implementierung und den Betrieb einerAD RMSInfrastruktur. In diesem Abschnitt werden wir besprechen Sie diese Aufgaben und bietenAD RMSbest Practices für die Arbeit mit HSMs innerhalb der Bereitstellung IhrerAD RMSDesign.

Wir suchen auf optimale Methoden für die Bereitstellung von HSMs und betrachten Sie Vorbehalte, die für andere Prozesse wie das Außerbetriebsetzen entweder zuerst einenAD RMSServer oder ein HSM-Gerät. Danach dauert es, einen kurzen Blick auf alle empfohlenen für Betriebsanleitung, z. B. diese bewährten Methoden, die für die laufende Verwaltung und Wartung von HSMs innerhalb gelten dieAD RMSBereitstellung.

Implementierungsleitfaden

Dieser Abschnitt behandelt Implementierungsleitfaden.

Bereitstellung

Beim Arbeiten mit einem HSM und gruppierteAD RMS-Servern die folgende Anleitung gilt:

  • Es ist zwar möglich, eine lokale verwenden (d. h. entweder PCI oder USB-basiertes) HSM auf jedem physischen Server innerhalb eines Clusters, wird im Allgemeinen empfohlen, ein Netzwerk-HSM verwenden, mit einem gemeinsamen Schlüssel, die auf alle Server zugreifen, können einfach und effizient. Im folgenden sind jedoch einige Situationen, in denen PCI-basierte HSMs vorzuziehen sind:

    • Ein Netzwerk-HSM erfordert, dass das Netzwerk zwischen denAD RMSServer und Netzwerk-HSM vertrauenswürdig ist und dieser sollte kann die IP-Adresse spoofen derAD RMSServer. Wenn dies nicht möglich ist, wäre eine PCI-basierte HSM-Karte eine bessere Option.

    • Wenn Sie statische IP-Adressen zuweisen können IhreAD RMSServer, anschließend ein Netzwerk-HSM nicht arbeiten und eine PCI-basierte HSM wäre nur die Möglichkeit.

    • Wenn Sie hoch habenAD RMSDatenverkehr, der viele erfordertAD RMSServer unter Umständen mehrere netzwerkbasierte HSMs, um die Auslastung zu berücksichtigen. Es ist zwar möglich, mehrere netzwerkbasierte HSMs zu verwenden, um eine einzelne serviceAD RMSBereitstellung kommen Ausgangspunkt bei der einfachen arbeiten mit und das Hinzufügen von netzwerkbasierte HSMs für eine optimale Leistung Gegenüberstellung sein, das ist möglich, wenn die PCI-Karten verwendet werden muss.

  • Der erste Server für einen AD RMS-Cluster muss mit den Treibern für das HSM-Produkt und den Kryptografiedienstanbieter (CSP) installiert werden, bevor dieses Servers zum Erstellen des Clusters verwendet wird.

  • Jeden zusätzlichen Server für einen AD RMS-Cluster muss installiert sein, mit den Treibern für das HSM-Produkt, den Kryptografiedienstanbieter (CSP) und eine Kopie des Clusters Schlüsselbereich Kennung, bevor dieses Servers mit AD RMS-Cluster verknüpft ist. Verwalten die Details der Schlüsselbereich Kennung abhängig von der die Einzelheiten für jeden Lieferanten HSM z. B. in Thales nCipher-Produkten, diese Daten werden als "Security World" für jedes Gerät bezeichnet. Bei Safenet Produkten Klonen Sie alle HSMs derselben "Domäne". Den HSM-Anbieter für weitere Details finden Sie in der Dokumentation.

Für reine LizenzierungsclusterAD RMSCluster, ohne besondere Berücksichtigung sind erforderlich, wie das Arbeiten mit HSMs identisch ist als auch für Zertifizierungscluster. Das Lizenzgeberzertifikat selbst wird von den Stammcluster signiert, aber Schlüssel werden auf die gleiche Weise erstellt wie für einen Zertifizierungscluster, unabhängig davon, ob eine HSM am Prozess beteiligt ist.

Bei der Verwendung von HSMs zur UnterstützungAD RMSin einer virtualisierten Umgebung der einzige Faktor zu berücksichtigen ist, die bei der physischenAD RMSClustern auf physischen Computern verteilt können gemeinsam nutzen die gleiche Security World mithilfe von entweder lokal oder Netzwerk-HSMs, virtualisierte Cluster können nur Netzwerk HSMs verwenden, wie virtuelle Computer funktionieren nicht mit lokalen HSM-Geräte, die auf dem Hostcomputer installiert.

Konfiguration

Im Allgemeinen gibt es keine speziellen Konfigurationen, die Sie bei der Konfiguration anwenden müssenAD RMSmit einem HSM-Gerät funktioniert. In einigen Fällen haben Microsoft Support-Mitarbeiter Probleme gesehen, bei Kunden mit Thales nCipher-Produkten zum Einrichten der Sicherheit Welten für ihre HSM verwenden den Operator-Karten für eine bestimmte Einstellung auf das HSM verwalten, anstatt Modul geschützt ausgewählt haben. Wenn diese Einstellung verwendet wird, kann das HSM auffordern, für die Karte und das Kennwort während derAD RMSInstallations- und diese Aufforderung unterdrückt werden können. Wenn die Aufforderung unterdrückt wird, und dieAD RMSInstaller nicht reagiert, die Installation ggf. ein Timeout.

Vertrauen

Beim Konfigurieren der Vertrauensstellung mitAD RMSbestehen einige Unterschiede bei der Implementierung Vertrauenswürdige Veröffentlichungsdomänen (Vertrauenswürdige Veröffentlichungsdomänen), wenn eine HSM beteiligt ist. Eine vertrauenswürdige Veröffentlichungsdomäne wird verwendet, um bieten einAD RMSCluster mit der Möglichkeit zum Ausstellen von Lizenzen für die Nutzung der Inhalte, die mit einem anderen geschützt wurdeAD RMSCluster. Eine vertrauenswürdige Veröffentlichungsdomäne Exchange umfasst im Wesentlichen die gemeinsame Nutzung des private Schlüssels Cluster sowie andere unterstützende Informationen wie z. B. Vorlagen für Benutzerrechterichtlinien.

Als Erstes eine vertrauenswürdige Veröffentlichungsdomäne mit einem Schlüssel HSM-basierten schließt nicht tatsächlich den Clusterschlüssel aber stattdessen verweist es auf einen Zeiger auf den Schlüssel in das HSM. Daher beim Exportieren oder eine vertrauenswürdige Veröffentlichungsdomäne importieren, müssen Sie zum Exportieren oder importieren den HSM-Schlüssel getrennt vom Quellserver, eine wichtige Kennung (auch als "Security World" in den HSMs von nCipher "Domäne" Safenet HSM-Produkte bezeichnet), die auf den ursprünglichen Schlüssel entspricht, sodass die vertrauenswürdige Veröffentlichungsdomäne erwartungsgemäß funktioniert auf dem Zielserver erstellen. Dies bietet Vorteile in Szenarien, in denen verschiedene Parteien Vertrauenswürdige Veröffentlichungsdomänen austauschen müssen jedoch "diese später erinnern" nach Beendigung die Partnerschaft möchten. Durch die Bereitstellung von der vertrauenswürdigen Veröffentlichungsdomäne mit einer HSM steuert auf eine andere Partei entfernt die Wiederaufnahme des HSM effektiv Zugriff auf die Partei auf alle Inhalte, die mit dieser vertrauenswürdigen Veröffentlichungsdomäne geschützt.

Ein weiterer Vorteil der Austausch von HSM-geschützte Vertrauenswürdige Veröffentlichungsdomänen ist, dass durch den Austausch von der vertrauenswürdigen Veröffentlichungsdomäne aus dem Austausch des privaten Schlüssels, Informationen über die Rechte Richtlinienvorlagen, wenn eine vertrauenswürdige Veröffentlichungsdomäne freigegeben wurde erfolgen können, indem Sie einfach erneut exportieren und importieren Sie die vertrauenswürdige Veröffentlichungsdomäne erneut ohne zu exportieren erneuern Entkopplung, speichern, transportieren oder Importieren des privaten Schlüssels, wodurch potenziell wiederkehrende einen wichtigen Vorgang austauschen.

Dies wird davon ausgegangen, dass der Clusterschlüssel in erster Linie von der HSM exportiert werden kann. HSM-Anbieter ermöglichen Ihnen jedoch das in der Regel um einen zwischen HSMs desselben Typs (vorausgesetzt, Sie dazu berechtigt sind).

Im Gegensatz dazu ist eine vertrauenswürdigen Benutzerdomäne im Grunde einen Austausch von öffentlichen Schlüsseln und Serverzertifikate, die nicht den privaten Schlüssel enthalten. Aus diesem Grund den Export und Import von einer vertrauenswürdigen Benutzerdomäne, die normalerweise genutzt wird, dass Benutzer Inhalte Lizenz von RMS-Cluster außerhalb ihrer eigenen Gesamtstruktur können erfolgt in einer HSM-Umgebung genau die gleiche Weise wie bei einer nicht-HSM-Umgebung.

Außer Betrieb

Der Prozess zum Außerbetriebsetzen von einemAD RMSServer, in denen eine HSM sich nicht wesentlich unterscheidet von außer Betrieb in einer nicht-HSM-Umgebung. Ein zusätzlicher Schritt ist, dass die IP-Adresse (Thales HSMs von nCipher) oder das Zertifikat (für Safenet HSMs) von allen Ihren HSMs, zukünftige Missbrauch zu verhindern entfernen müssen. Auch wenn Sie eine vorhandene ersetzenAD RMS-cluster, exportieren und Importieren der HSM-Kennnummer-Einstellungen (bekannt als "Security World" für Thales-Produkte, "Domäne" für Safenet Produkte) kann zusätzliche Schritte wie im vorherigen Abschnitt beschrieben, in der Vertrauensstellung enthalten.

System_CAPS_ICON_important.jpg Wichtig


Achten Sie darauf, dass die Kennnummer-Einstellungen (d. h. "Security World" für "Domain" für Safenet Produkte Thales-Produkte) alle außer Betrieb gesetzten HSMs vor werden gelöscht und alle Administrator Karten zerstören (oder sicher archivieren).

Betrieb

In diesem Abschnitt werden Implementierungsleitfaden für die Verwaltung und Wartung von HSMs unterstützenAD RMS.

Verwaltung

Der wichtigste Aspekt zur Sicherstellung Ihrer HSMs können zur Unterstützung IhrerAD RMSgut Installation besteht darin, Ihre Clusterschlüssel Schutz zu gewährleisten. Finden Sie in der Dokumentation Ihrer HSM für Diskussionen Schlüsselschutz z. B. Implementierung mit Schlüssel Karten oder andere Mechanismen entsprechend der Empfehlungen des Herstellers.

Wartung

So weit wie Routinewartung HSMs Unterstützung von einem installiertenAD RMS-cluster, die kryptografische Dienstanbieter (CSP)-Dienstkonfiguration gesichert oder nach Bedarf dokumentiert werden. Testen Sie auch, dass Sie eine Sicherung der bewährte und Funktion und eine Sicherung des Space Sicherheit wiederherstellen (für Produkte von nCipher, ist dies die "Security World" umfasst alle Einstellungen unter %nfast_kmdata%\local auf jedem Server im Cluster genannt) und setzen Sie alle Karten-Administrator oder Operator an einem sicheren Ort, und notieren Sie ihre Kennwörter).

System_CAPS_ICON_tip.jpg Tipp


Zusätzliche Unterstützung für die Wiederherstellung Ihrer HSM gespeicherten Schlüssel verwenden k des Quorums N für die Administrator-Karten und haben zwei vollständige Quorumtypen sollte der Administrator Cards (plus Ersatzteile) zwei verschiedenen sicheren Orten gespeichert.

Notfallwiederherstellung

Sichern einerAD RMScluster für die Wiederherstellung im Notfall besteht im Sichern derAD RMS-Konfigurationsdatenbank und dieAD RMSClusterschlüssel.

In einem Szenario mit Cluster softwarebasierte Schlüssel derAD RMSDatenbank enthält den Clusterschlüssel und Wiederherstellen derAD RMScluster Sie brauchen nur nach einem Fehler oder Ausfall derAD RMSCluster Schlüsselschutz-Kennwort, das müssen Sie auch neue Knoten zum Cluster hinzufügen, wenn die alten Knoten verloren gehen oder beschädigt werden.

In einem Szenario mit HSM müssen Sie auch Zugriff auf das HSM wiederherstellen zu können. Wenn das HSM verloren geht, müssen Sie es wiederherstellen aus einer Sicherung HSM eines Prozesses ist, das stark abhängig von der HSM-Implementierung ist. Wenn das HSM funktionsfähig ist, müssen Sie eine Kopie der Schlüssel verwendet, um den Schlüsselbereich zum Entsperren derAD RMSCluster im HSM (in nCipher-HSMs "Security World" bezeichnet). Der Schlüssel können abhängig von der HSM und Sicherheitsoptionen erforderlich, ein Kennwort auf einer Smartcard oder mehrere Smartcards zwischen unterschiedliche Formularen in Anspruch nehmen. Wie Sie sehen können, ist der Prozess der Wiederherstellung Zugriff auf die HSM-Schlüssel selbst also auch vollständig von der HSM-Implementierung. Aber die Logik ist üblich: Sie müssen immer die Konfigurationsdatenbank wiederherstellen, installieren und konfigurieren den neuen Knoten der cryptographic Provider verwendet das HSM Zugriff auf, und geben Sie die erforderlichen Zugriff auf die vom verwendeten Schlüssel entsperrt DatenAD RMS. Genauere Informationen zu diesem Prozess finden Sie in der Dokumentation zu Ihrem HSM.

Anzeigen: