• Artículo

Los archivos de escritorio Prevención de pérdidas de datos con Enterprise Rights Management

Wes Miller

Contenido

Pensar de prevención de pérdidas de datos
Bloques de creación de la administración de derechos
Es ¿cómo funciona?
¿Dónde están los perforaciones?
¿Se es protección los activos?

En mi trabajo día, trabajo de una compañía que hace que una aplicación whitelisting, que invierte fundamentalmente el enfoque típico de seguridad que protege el equipo. Hay otro enfoque a la seguridad, tal vez también atípico, que me gustaría tratar este mes, Enterprise Rights Management y por qué es la única manera de realmente proteger información confidencial.

En la conferencia este año de RSA en San Francisco, se ha recorrido el suelo mostrar, comparando las wares se ofrecidos por cada uno de los proveedores, y tengo que indicar que se confounded. Con muy pocas excepciones, los proveedores de la planta de presentación se vende reactivos, proactivo no, soluciones de seguridad. Voy a explicar. Al construir un edificio, se proteger mediante la inclusión de bloqueos en las puertas y ventanas. Si desea más seguridad, obtendrá un sistema de alarma. ¿Desea incluso más? Agregar un límite. ¿Qué no hacer para proteger un edificio es omita los bloqueos, la alarma y el límite y sólo contratar una protección o dos para recorrer alrededor. Por sí mismo, que no proteja nada.

Recursos adicionales

Information Rights Management en Microsoft Office 2007

Office.Microsoft.com/en-us/Help/HA101029181033.aspx

Information Rights Management en Windows SharePoint Services

msdn.microsoft.com/library/ms458245

Servicios de Windows Rights Management

Microsoft.com/windowsserver2003/technologies/rightsmgmt

Servicios de administración de derechos de Windows Server 2003

technet2.Microsoft.com/windowsserver/en/Technologies/Featured/RMS/default.mspx

RMS: proteger los activos

blogs.technet.com/rmssupp/default.aspx

Windows Rights Management asociados de servicios

Microsoft.com/windowsserver2003/Partners/rmspartners.mspx

Pensar de prevención de pérdidas de datos

Este es un ejemplo más realista. Han tenido muchos clientes que pregunte el bloqueo de puertos USB para mantener la información de pérdida de fuera de su compañía (después de que ha eliminado preocupa sobre las amenazas de entrada). Pero la realidad es que intentar detener el flujo de datos en el puerto de sí mismo no protegerse en absoluto. De hecho, es igual que salir de un edificio totalmente desprotegido, a continuación, contratación dicha protección. Sí, es un chico interesante, pero simplemente no modo realista cubrir todas las entradas y salidas. En el final del día, en ambos escenarios, es la herramienta incorrecta para el trabajo.

El problema de bloqueo acceso al puerto y con todas las soluciones que intenten para ayudarle a examinar o proteger los recursos compartidos de UNC, o realizar inspección de paquetes con estado, o realizar otros tipos de inspección, es que todos ellos están reactivas. Todos ellos intentan capturar los datos cuando deja la organización. Pero por entonces, es normalmente demasiado tarde.

Esto avisa me de un escenario que utiliza para que se producen en Microsoft (y estoy seguro de que se suena familiar, así). De la era antes de Information Rights Management (IRM) en Microsoft Office y Rights Management Services (RMS) de Windows, cualquier correo electrónico interesante, incluso si claramente marcado confidencial, se reenviarán a la imprenta al finalizar el día laborable. Por desgracia, las directivas, palabras seguras, inspección de paquetes, seguridad de recurso compartido y incluso la amenaza de terminación del pueden sólo visite hasta ahora. Algo más es necesario, y que algo puede ser sólo las tecnologías de administración de derechos de Microsoft, que puede ayudarle a proteger el contenido de Office. Se convierten haya en un ventilador de la funcionalidad IRM y RMS principalmente, tal como ha crecido para respetarlos como soluciones de seguridad en lugar de simplemente tecnologías de auditoría, supervisión y cumplimiento.

¿Qué son las ventajas de IRM y RMS de protección de contenido de Office sobre la protección con contraseña normales de ese contenido?

  • Hay mecanismos de fuerza bruta que pueden poner en peligro la protección de contraseña que está utilizando documentos de Office.
  • Contenido de protegido con contraseña normal no está cifrado de la misma manera que los documentos protegidos IRM o RMS son.
  • IRM y RMS funcionan conjuntamente para proteger el contenido en los niveles más bajos en Windows.
  • IRM o RMS permite proteger contenido mediante controles de acceso muy granular, que están asignados a las cuentas de Active Directory.

Pero ¿Qué son exactamente IRM y RMS? Estas tecnologías, en primer lugar se incluía con Microsoft Office 2003, permiten proteger la propiedad intelectual que se almacena en documentos de Office, incluidos correo electrónico lea Microsoft Outlook, Outlook Mobile Access y Outlook Web Access a través de Internet Explorer, al cifrar los documentos y controlar el acceso al contenido propio.

La mayoría de los tipos de documento de Office, incluidos los nuevos documentos basados en XML, así como correo electrónico, se pueden cifrar, aunque no archivos .MSG (mensajes de correo electrónico a menudo adjuntos a otros mensajes de correo electrónico). (Visite Office.Microsoft.com/en-us/Help/HA101029181033.aspx Para obtener una lista completa de los tipos de archivo puede administrar con IRM.) El documento no se descifra hasta que se se abre por un usuario que ha autorizado por el autor del documento.

IRM es esencialmente el derechos de administración frontal final, expuestas en una aplicación habilitadas para RMS, Aunque RMS es el back-end. Un servidor de RMS contiene la información utilizada para identificar los derechos que se han concedido a los usuarios y comprueba las credenciales de los usuarios. El componente IRM en las aplicaciones habilitadas para RMS permite establecer y administrar los derechos. Juntos IRM y RMS permiten a los usuarios autorizados leer, cambiar o ejercer el control de edición completa sobre un documento (en función de los derechos asignados).

Cuando una usuario autorizado abre protegidos por IRM contenido a través de una aplicación de Office, el contenido se descifra y realizado legible o modificable dentro de dicha aplicación. Tenga en cuenta que aunque IRM y RMS funcionan para mantener la información segura, hay siempre la posibilidad de que un usuario que realmente está dedicado a poner en peligro que ello. Si un usuario elige utilizar el "analógico agujero" (una cámara digital o otro software de captura de pantalla, o incluso a escribir información crucial manualmente), hay mucho que IRM puede hacer para proteger la información. La mayoría de las situaciones, sin embargo, esto es muy alta seguridad.

Bloques de creación de la administración de derechos

La solución de administración de derechos de Microsoft consta de cuatro componentes que abordaré en detalle. Asimismo brevemente describiré el SDK de RMS y el Kit de herramientas útiles de RMS. El primer componente es integrado; el resto se pueden descargar desde Microsoft.com/windowsserver2003/technologies/rightsmgmt.

el servicio Information Rights Management Un componente integrado en Microsoft Office 2003 y 2007 Office system (así como las versiones móviles de Outlook, Excel, Word y PowerPoint a través de Windows Mobile 6 x), permite a los usuarios asignar permisos a documentos, Excel los libros, las presentaciones de PowerPoint, InfoPath formularios, mensajes de correo electrónico de Outlook y archivos XML Paper Specification (.xps), por tanto, permitir o impedir que los destinatarios de esos archivos de reenviar, copiar, modificar, imprimir, enviar por fax, cortar y pegar y utilizando la clave Print Screen de Word. Puede establecer los permisos en una base por usuario y por documento.

En un entorno de Active Directory, también puede establecer permisos para los grupos y, si su organización utiliza Microsoft Office SharePoint Server 2007, puede establecer permisos en bibliotecas (tenga en cuenta que técnicamente, contenido es descifra cuando se almacenan en SharePoint, entonces re-encrypted cuando sirve a los usuarios). A menos que se establece para que caduque, permisos de IRM permanecen con un documento independientemente de cuándo o dónde se envía.

IRM no está disponible para versiones de Office para Macintosh de Apple, pero hay maneras para que los usuarios de MAC usan contenido protegido de RMS. Permanecer optimizada para columna del mes siguiente para obtener más información.

servicios de administración de derechos (servidor) Esto está disponible para Windows Server 2003 y es una función disponible en Windows Server 2008. Servidor RMS es el corazón de Microsoft Enterprise Rights Management. Encarga de certificación entidades de confianza (usuarios, equipos cliente y servidores), definir y publicación derechos de uso y condiciones, inscribir servidores y usuarios, autorización de acceso a la información protegida y proporcionar que funciones de la necesaria administrativa que permitan a los usuarios autorizados tener acceso a información protegida por derechos.

la figura 1 muestra la pantalla del administrador de servidores que permite instalar la función de RMS en un sistema de Windows Server 2008. Aunque RMS tiene bastantes dependencias, el asistente le guiará por todo el proceso, instalar todas las dependencias para.

fig01.gif

La figura 1 la selección de la función de servidor de Rights Management Services (haga clic en la imagen de una vista más grande)

La función de servidor RMS (en Windows Server 2003 o Windows Server 2008) requiere un sistema de servidor con:

  • Microsoft Message Queue Server (MSMQ)
  • IIS con ASP.NET habilitado
  • Active Directory
  • En SQL Server Enterprise Edition (para un entorno de producción), el Microsoft SQL Desktop Engine (MSDE) o SQL Server Express (bien para un entorno de pruebas)

Como se indicó, incluso si no tiene ninguno de estos componentes instalados, se configurará para usted durante la instalación en Windows Server 2008. Una implementación de producción, prefiera un certificado digital válido de SSL para los servidores de manera que RMS correctamente puede mantener la seguridad entre clientes y servidores. Sin embargo, para las pruebas, RMS puede proporcionar una prueba de certificado instalado como parte de la instalación de funciones. la figura 2 muestra el la consola de RMS aspecto ejecución en Windows Server 2008.

fig02.gif

La Figura 2 RMS la consola (haga clic en la imagen de una vista más grande)

servicios de administración de derechos (cliente) Esto permite aplicaciones habilitadas para RMS trabajar con el servidor RMS para habilitar la publicación y consumo de contenido protegido con derechos. El cliente está integrado en Windows Vista y Windows Server 2008; para las versiones anteriores de Windows, se puede descargar y instalado para dar a los sistemas operativos capacidad de RMS.

Si está generando su propia implementación de empresa, usted podrá más que probable que desee implementar el cliente RMS a través de nuevos sistemas, directivas de grupo, o con System Center Configuration Manager (SCCM) en lugar de tener usuarios implementarlo manualmente.

Complemento de administración de derechos de Internet Explorer Internet Explorer 6.0 o posterior, le permite ver protegida por derechos de contenido en Internet Explorer.

RMS SDK Permite a los desarrolladores crear sus propias aplicaciones que pueden proteger su propio contenido personalizado mediante la API de servicios de administración de derechos basados en SOAP.

Kit de herramientas de RMS Probablemente encontrará, como tienen, que el Kit de herramientas de RMS es extremadamente útil en implementar y solucionar problemas de su propia infraestructura de RMS. El Kit de herramientas contiene un número de programas útiles que puede ayudarle a asegurarse de que su sistema de RMS funciona como debería. Tenga en cuenta que el Kit de herramientas de RMS no es realmente una parte de RMS y, como tal, no es oficialmente compatible con Microsoft.

Es ¿cómo funciona?

Cuando se protege un documento con RMS haciendo clic en Proteger documento en la ficha Revisar en Word 2007 o proteger el libro en Excel 2007, debe especificar la cuenta de que desea utilizar como el autor del documento, la cuenta con privilegios de propiedad en el documento. Lo ideal es que debe ser una cuenta de Active Directory, aunque RMS podrá utilizar una cuenta de Windows Live prueba, que es posible que no desea utilizar para un sistema de producción real.

Una vez que ha autenticado con una cuenta (vea figura 3 ), puede especificar dicha cuenta o agregar cuentas como el propietario. A continuación, especificar rápidamente derechos de alto nivel (consulte la figura 4 ) o derechos más granulares para los usuarios que desea tener permisos leer o modificar el documento que se va a proteger.

fig03.gif

La figura 3 especificación de la cuenta que desea utilizar (haga clic en la imagen de una vista más grande)

fig04.gif

La figura 4 configuración de permisos (haga clic en la imagen de una vista más grande)

Ahora que ha protegido el documento. Como resultado, los usuarios que intentan abrir el documento se tienen que proporcionar credenciales antes de se puede abrir. Además, se aplicarán los privilegios definidos por el propietario del documento.

RMS utiliza IIS y ASP.NET para autenticar cualquier usuario que abra el documento, para comprobar sus derechos de identidades y acceso y para transmitir esta información volver a la infraestructura IRM en Office y el cliente RMS. Basándose en Active Directory y los derechos definidos por el servidor de RMS, el usuario final o bien se permite acceso completo o limitado al documento, o ninguno en absoluto.

RMS utiliza una infraestructura que depende el elemento XrML (derechos extensibles lenguaje de administración) para describir los derechos mantenidos por los usuarios finales de contenido protegido por IRM. En efecto, estos derechos se incluyen en una licencia XrML que se puede adjuntar al contenido digital y, por tanto, se conservan. Dado XrML es un estándar, también se puede utilizar este idioma por otras aplicaciones que desean para proteger el contenido de una manera similar. Encontrará más información en xrml.org.

¿Dónde están los perforaciones?

Como mencioné anteriormente, RMS y IRM no bulletproof; si un usuario malintencionado "autorizado" está dedicado a poner en peligro contenido protegido por IRM, que tardará algún trabajo, pero puede hacerlo.

Además, el contenido es potencialmente susceptible de interceptación mediante subversive malware y software de captura de pantalla en formas no estándar. Aunque RMS funciona duro para evitar que capturas de pantalla y actividades de cortar y pegar no autorizadas, puede sólo vaya hasta el momento. He visto algunas soluciones que intenten ir un poco más allá IRM y RMS y proteger otros tipos de contenido. Para otros ISV creación de soluciones de RMS, consulte Microsoft.com/windowsserver2003/Partners/rmspartners.mspx.

Enterprise Rights Management es, CREO que, la única racional forma de proteger realmente el contenido "no en el resto" en sistemas de hoy en día. Si examina los tipos de contenido que pone en peligro hoy en día, de correo electrónico, documentos de Office etc., la mayoría de ellos puede estar protegida fácilmente con IRM y RMS, pero no lo son. Mientras tecnologías de cifrado de volumen completo, como BitLocker de Windows Vista permiten a contenido seguro en reposo y suelen mantener seguro en caso de que se pone en peligro la seguridad del sistema, no protegen contenido que es en recursos compartidos, en los servidores de correo electrónico o en servidores de SharePoint.

Porque contenido generalmente no puede ser protegido "en el wild", las soluciones han evolucionado que intenta rastrear contenido y eliminarlo. IRM y RMS bien diseñadas para conectar a Active Directory, Exchange, Office y Windows y como resultado, no tienen gran parte de una curva de aprendizaje, especialmente para los usuarios finales realmente consume contenido, y la protección pueden proporcionar es inmensa. Por favor, consulte la barra de lateral de "Recursos adicionales" para obtener más información.

¿Se es protección los activos?

¿Utiliza RMS y IRM en su organización hoy en día? Enviarme sus ideas sobre RMS y IRM, me encantaría escuchar de algunos lectores como para cómo y por qué tiene (o no han) implementan RMS y IRM, o si piensa que la organización está protegida contra la pérdida de datos mediante otro mecanismo.

Wes Miller es un director de producto técnico en CoreTrace ( CoreTrace.com) en Austin, Texas. Anteriormente, trabajó en Winternals Software y como administrador de programas de Microsoft. Wes puede ponerse en TechNet@getwired.com.