• Articolo

I file desktop Programmi di perdita dei dati con gestione autorizzazioni dell'organizzazione

Wes Miller

Contenuto

Pensando a programmi di perdita di dati
Blocchi di generazione di Gestione autorizzazioni
Come si funziona?
Dove sono i fori?
Si È protezione di risorse

Nel processo di giorno, lavoro per una società che rende un'applicazione whitelisting, che fondamentalmente inverte l'approccio tipico di protezione che consente di proteggere il computer. C'è un altro approccio alla protezione, forse anche atipico che si desidera discutere di questo mese, il servizio Enterprise Rights Management e perché è l'unico modo per proteggere realmente le informazioni riservate.

In RSA nella conferenza quest'anno San Francisco, in era esame floor Mostra, confronto wares da offerti da ciascuno dei fornitori e ho a dire che è confounded. Con poche eccezioni, i fornitori nel produttivo presentazione sono state vendita reattivo, non attivo, soluzioni di protezione. Consente di descrivere. Quando si costruisce un edificio, è possibile proteggerlo includendo blocchi sulle porte e finestre. Se si desidera più protezione, è possibile ottenere un sistema di avviso. Si desidera ancora più? Aggiungere un recinto. Le operazioni non eseguire per proteggere un edificio è lasciare i blocchi, l'avviso e il recinto e solo assumere una guardia o due scorrere intorno a. Da solo, che non proteggere nulla.

Risorse aggiuntive

Servizio Information Rights Management di Microsoft Office system 2007

Office.Microsoft.com/en-us/Help/HA101029181033.aspx

Il servizio Information Rights Management in Windows SharePoint Services

msdn.microsoft.com/library/ms458245

Windows Rights Management Services

Microsoft.com/windowsserver2003/technologies/rightsmgmt

Windows Server 2003 Rights Management Services

technet2.microsoft.com/WindowsServer/en/Technologies/Featured/RMS/default.mspx

RMS: l'attività di protezione

blogs.technet.com/rmssupp/default.aspx

Partner di Windows Rights Management Services

Microsoft.com/windowsserver2003/partners/rmspartners.mspx

Pensando a programmi di perdita di dati

Ecco un esempio più realistico. È stato necessario molti clienti di richiedere sul blocco porte USB conservare le informazioni da perdite esaurito la propria azienda (dopo che si sono eliminata problemi sulle minacce in entrata). Ma la realtà è che il tentativo di arrestare il flusso dei dati alla porta di se stesso non protezione affatto. Infatti, è come lasciando un edificio non completamente protetto, quindi assunzione tale protezione. Certo, ha è un ragazzo interessante, ma ha semplicemente non può realisticamente coprire tutte le ingressi e chiusura. Alla fine del giorno, in entrambi i casi, è lo strumento non valido per il processo.

Il problema di blocco accesso alla porta e con tutte le altre soluzioni che tentano consentono di analizzare o proteggere le condivisioni UNC, eseguire l'ispezione del pacchetto con stato o eseguire altri tipi di controllo, essi sono reattivo. Essi provare a rilevare i dati come lascia l'organizzazione. Ma da allora, in genere troppo in ritardo.

Questo ti ricorda più di uno scenario consente si verificano a Microsoft (e sto che verrà sembrare familiare, nonché). Era prima di Information Rights Management (IRM) in Microsoft Office e Rights Management Services (RMS) di Windows, posta elettronica interessante, anche se chiaramente contrassegnato riservate, sarebbe essere inoltrata premere al termine del giorno lavorativo. Sfortunatamente, criteri, parole sicuro, ispezione del pacchetto, protezione condivisione e anche il rischio di terminazione può solo vedere finora. Qualcosa di più necessaria, e un solo potrebbe essere tecnologie di gestione dei diritti di Microsoft, che consente di proteggere il contenuto di Office. È stato diventano una ventola e di IRM RMS principalmente, come È stato raggiunto per rispettare le come soluzioni di protezione invece di tecnologie semplicemente controllo, monitoraggio e conformità.

Quali sono i vantaggi di IRM e RMS nella protezione del contenuto di Office sulla protezione con password normale di tale contenuto?

  • Sono disponibili meccanismi massiccio che possono compromettere la password di protezione utilizzato dai documenti di Office.
  • Normale contenuto protetto da password non è crittografato nello stesso modo in cui sono documenti/RMS con tecnologie IRM protetto.
  • IRM e RMS collaborano per proteggere il contenuto ai livelli più bassi in Windows.
  • Consente IRM e RMS proteggere contenuto utilizzando controlli di accesso molto granulare, che vengono assegnati agli account di Active Directory.

Ma che cosa sono esattamente IRM e RMS? Queste tecnologie, fornite con Microsoft Office 2003, consentono di proteggere proprietà intellettuale è memorizzato in documenti di Office, ad esempio posta elettronica letto tramite Microsoft Outlook, Outlook Mobile Access e Outlook Web Access tramite Internet Explorer da crittografare i documenti e controllo dell'accesso al contenuto stesso.

La maggior parte dei tipi di documento Office, inclusi i nuovi documenti basati su XML, e messaggi di posta elettronica, possono essere crittografati, anche se non di file con estensione msg (messaggi di posta elettronica spesso allegati a altri messaggi di posta elettronica). (Visita Office.Microsoft.com/en-us/Help/HA101029181033.aspx Per un elenco completo dei tipi di file è possibile gestire con IRM.) Il documento non viene decrittografato finché non è in quanto aperto da un utente è stato autorizzato da parte del creatore del documento.

IRM è essenzialmente la diritti gestione front-end fine, esposta tramite un'applicazione attivata RMS mentre RMS è il back-end. Un server RMS contiene le informazioni utilizzate per identificare i diritti che hanno concesso a utenti e verifica le credenziali di tali utenti. Il componente IRM nell'applicazione attivata RMS consente di impostare e gestire tali diritti. Insieme IRM e RMS consentire agli utenti autorizzati di leggere, modificare o esercitare il controllo di modifica completa su un documento (a seconda dei diritti assegnati).

Quando l'utente autorizzato apre protetto da IRM contenuto di un tramite un'applicazione di Office, il contenuto viene decrittografato e reso leggibile o modificabile all'interno dell'applicazione. Tenere presente che sebbene IRM e RMS per mantenere informazioni protetta, vi è sempre la possibilità che un utente che effettivamente dedicato a compromettere la farlo. Se un utente decide di utilizzare il "analogico buca" (una fotocamera digitale o altro acquisizione schermo software o anche consente di reimmettere manualmente informazioni essenziali), vi è leggermente che possono eseguire IRM per proteggere le informazioni. Per la maggior parte degli scenari, tuttavia, questa è piuttosto protezione.

Blocchi di generazione di Gestione autorizzazioni

La soluzione di gestione dei diritti di Microsoft è costituito da quattro componenti che È necessario coprire in dettaglio. Verrà inoltre sintetico SDK RMS e utile Toolkit di RMS. Il primo componente è incorporato e gli altri possono essere scaricati da Microsoft.com/windowsserver2003/technologies/rightsmgmt.

Il servizio Information Rights Management Un componente incorporato in Microsoft Office 2003 e Office system 2007 (così come le versioni mobili di Outlook, Excel, Word e PowerPoint tramite Windows Mobile 6 x), consente agli utenti di assegnare autorizzazioni per documenti, Excel le cartelle di lavoro, presentazioni di PowerPoint, InfoPath moduli, messaggi di posta elettronica di Outlook e file XML Paper Specification (estensione xps), pertanto consentire o impedire i destinatari di tali file di inoltro, copia, modifica, la stampa, fax, tagliare e incollare e utilizzando la chiave Print Screen di Word. È possibile impostare le autorizzazioni su base per utente e per ciascun documento.

In un ambiente Active Directory, è inoltre possibile impostare autorizzazioni per i gruppi e se l'organizzazione utilizza Microsoft Office SharePoint Server 2007, è possibile impostare autorizzazioni su raccolte (si noti che dal punto di vista tecnico, contenuto viene decrittografato se memorizzata su SharePoint e quindi re-encrypted quando viene pubblicato per gli utenti). A meno che non impostata per scadere, autorizzazioni IRM rimangono un documento indipendentemente quando o in cui viene inviato.

IRM non è disponibile per le versioni di Office per Apple Macintosh, ma esistono modi per gli utenti Macintosh utilizzare contenuto protetto da RMS. Rimangono ottimizzato per colonna dettagli del mese successivo.

Servizi di gestione dei diritti (server) Questo è disponibile per Windows Server 2003 ed è un ruolo disponibile in Windows Server 2008. Server RMS è il fulcro di Microsoft Enterprise Rights Management. Si occupa di certificazione attendibile entità utenti, computer client e server, definizione e pubblicazione di diritti di utilizzo e di condizioni, registrazione dei server e utenti, l'autorizzazione di accesso alle informazioni protette e fornendo che amministrative necessarie funzioni che consentono agli utenti autorizzati di accedere alle informazioni protetto da diritti.

La figura 1 Mostra la schermata Gestione server che consente di installare il ruolo RMS in un sistema di Windows Server 2008. Sebbene RMS ha molto poche dipendenze, la procedura guidata verrà dettagliatamente è l'intero processo, l'installazione di tutte le dipendenze per è.

fig01.gif

Nella figura 1 selezione il ruolo di server Rights Management Services fare clic su Immagine per una visualizzazione ingrandita

Il ruolo del server RMS (in Windows Server 2003 o Windows Server 2008) richiede un sistema di server con:

  • Microsoft Message Queue Server (MSMQ)
  • IIS con ASP.NET abilitato
  • Active Directory
  • Sia SQL Server Enterprise Edition (per un ambiente di produzione), il SQL Desktop Engine (MSDE) o SQL Server Express (fine per un ambiente di test

Come osservato, anche se non dispongono questi componenti installati, verrà configurati per l'utente durante l'installazione in Windows Server 2008. Per un'implementazione di produzione, sarà necessario un certificato digitale SSL valido per il server in modo che RMS può gestire correttamente protezione tra client e server. Tuttavia, per il testing, RMS possono fornire un test certificato installato come parte dell'installazione del ruolo. Nella figura 2 illustrato l'la console RMS aspetto in esecuzione in Windows Server 2008.

fig02.gif

Nella figura 2 RMS la console fare clic su Immagine per una visualizzazione ingrandita

Servizi di gestione dei diritti (client) Ciò consente attivate RMS alle applicazioni utilizzare server RMS per attivare la pubblicazione e l'utilizzo di contenuto protetto da diritti. Il client è incorporato in Windows Vista e Windows Server 2008; per le versioni precedenti di Windows, può essere scaricata e installata per fornire funzionalità RMS tali sistemi operativi.

Se si sta creando all'esterno della propria distribuzione dell'organizzazione, sarà più probabile che si desidera di distribuire il client RMS tramite nuovi sistemi, criteri di gruppo o SCCM (sistema Center Configuration Manager) anziché agli utenti di distribuire manualmente.

Componente aggiuntivo di gestione dei diritti per Internet Explorer Per Internet Explorer 6.0 e versioni successive, sarà possibile alla visualizzazione protetto da diritti contenuto all'interno di Internet Explorer.

SDK RMS Consente agli sviluppatori di creare i propri applicazioni che è possono proteggere il proprio contenuto personalizzato mediante utilizzando l'API base SOAP Rights Management Services.

Toolkit RMS Sono probabilmente disponibili, è possibile disporre, ovvero il Toolkit RMS immensely utile per la distribuzione e risoluzione dei problemi infrastruttura RMS personalizzati. Il Toolkit contiene un numero di programmi utili che consentono di verificare che il sistema RMS sia funzionante come dovrebbe. Si noti che il Toolkit RMS non effettivamente fa parte di RMS e, di conseguenza, non è ufficialmente supportato da Microsoft.

Come si funziona?

Quando si protegge un documento utilizzando RMS facendo Proteggi documento nella scheda Verifica in Word 2007 o Proteggi cartella di lavoro in Excel 2007, è necessario specificare l'account che si desidera utilizzare come autore del documento, l'account con privilegi proprietario per il documento. In teoria deve essere un account di Active Directory, Sebbene RMS consentono di utilizzare un account Windows Live prova, che potrebbe non si desidera utilizzare per un sistema di produzione effettivo.

Dopo che è stato autenticato con un account (vedere nella Figura 3 ), è possibile specificare l'account o aggiungere gli account come proprietario. Quindi, è possibile rapidamente specificare diritti ad alto livello (vedere la Figura 4 ) o autorizzazioni più granulari per utenti che si desidera disporre di autorizzazioni leggere o modificare il documento da proteggere.

fig03.gif

Nella figura 3 che specifica il conto da utilizzare fare clic su Immagine per una visualizzazione ingrandita

fig04.gif

Nella figura 4 impostazioni autorizzazioni fare clic su Immagine per una visualizzazione ingrandita

È ora protetto il documento. Di conseguenza, qualsiasi agli utenti che tentano di aprire il documento dovrà fornire le credenziali prima di poter essere aperto. Inoltre, i privilegi definiti dal proprietario del documento verranno applicati.

RMS utilizza IIS e ASP.NET per autenticare qualsiasi utente che apre il documento per verificare relativi diritti di accesso e identità e per comunicare queste informazioni al client RMS e l'infrastruttura IRM in Office. Base di Active Directory e i diritti definiti dal server RMS, l'utente finale oppure potrà accesso completo o limitata il documento o Nessuna affatto.

RMS utilizza un'infrastruttura basata su XrML (extensible diritti gestione Language) per descrivere i diritti contenuti agli utenti finali di contenuto protetto tramite IRM. In effetti, questi diritti sono contenuti in una licenza XrML che può essere collegata a contenuto digitale e pertanto rendere persistenti. Poiché XrML è uno standard, tale lingua può essere utilizzata anche da altre applicazioni che desiderano per proteggere il contenuto in modo simile. Ulteriori informazioni sono disponibili in xrml.org.

Dove sono i fori?

Come già anticipato, RMS e IRM non bulletproof; se un utente malintenzionato "autorizzato è dedicato per compromettere contenuto protetto tramite IRM, verrà fornita operazioni, ma è possibile farlo.

Inoltre, il contenuto è potenzialmente soggetto a intercettazione subversive malware e software di acquisizione dello schermo in modalità non standard. Mentre RMS utilizza disco rigido per impedire acquisizioni dello schermo e attività non autorizzate Taglia e Incolla, è possibile solo accedervi finora. HO visto alcune soluzioni che tentano di passare un po'ulteriormente da IRM e RMS e proteggere altri tipi di contenuto. Per creare soluzioni intorno a RMS altri gli ISV, vedere Microsoft.com/windowsserver2003/partners/rmspartners.mspx.

Enterprise Rights Management è, ritiene, l'unico modo razionale per proteggere realmente contenuto "non al resto" nei sistemi oggi. Se si esaminano i tipi di contenuto compromesso oggi, posta elettronica, documenti di Office e così via, la maggior parte di essi può essere facilmente protetti con IRM e RMS, ma non sono. Mentre le tecnologie di crittografia completa dei volumi ad esempio BitLocker in Windows Vista consentono di contenuti protetti inattivi e in genere viene protetto in caso di un problema di sistema, non protetti contenuto che si trova su condivisioni, sui server di posta elettronica o sul server di SharePoint.

Poiché contenuto non è in genere essere protetto in circolazione", soluzioni sono si sono evoluti che tenta di individuare contenuto ed eliminare. IRM e RMS e sono stati progettati per inserire in Active Directory, Exchange, Office e Windows e di conseguenza, non eseguire gran parte di una curva di formazione, soprattutto per gli utenti fine effettivamente Utilizzo di contenuto, e la protezione può offrono è notevole. Consultare "Risorse di altre" nella barra laterale per ulteriori informazioni.

Si È protezione di risorse

Utilizzi RMS e IRM nell'organizzazione di oggi? Invia le tue opinioni su RMS e IRM, sarebbe AMO emesso da alcuni lettori come a come e perché dispone (o non dispongono) distribuzione RMS e IRM, o se si ritiene che l'organizzazione è protetto dall'eventuale perdita dei dati tramite un altro meccanismo.

Wes Miller è un Senior Technical Product Manager in CoreTrace ( CoreTrace.com) ad Austin, Texas. Ha ha lavorato in precedenza Winternals Software e come un Program Manager presso Microsoft. È possibile contattarlo all' indirizzo technet@getwired.com.