Презентация на тему Active Directory Rights Management Services в Windows Server 2008

2008

2008

политики использования информации, которой они владеют
Для любого приложения
В любом

формате
Политика использования «живет» вместе с информацией
Куда и каким бы способом ни перемещалась защищенная информация

MP3
Не обеспечит гарантированно невзламываемую систему безопасности
Не защитит от аналоговых

атак

2008

Windows Server 2008
Клиентская часть RMS
Rights Management APIs для всех

версий Windows (98SE, 2000, XP, 2003)
Встроена в Windows Vista
Rights Management Add-on для Internet Explorer
Software Development Kit
Инструментарий разработчика для серверной и клиентской частей
Приложения, поддерживающие RMS
Microsoft Office 2003
Word, Excel, Outlook, PowerPoint
Microsoft Office 2007
+ InfoPath
Любое приложение, созданное с использованием RM SDK

Information Services
ASP.NET
Message Queuing
SQL Server 2000 SP4 или выше

и правил для документа (Publishing License). Приложение зашифровывает документ

с симметричным ключом
Приложение посылает Publishing License серверу RMS на подпись
RMS подписывает Publishing License и возвращает ее приложению
Автор пересылает файл получателям документа
Получатель открывает файл. Приложение посылает серверу RMS запрос на Use License. В этот запрос включаются RM Account Certificate (RAC) получателя и Publishing license документа
RMS проверяет запрос и RAC, идентифицирует получателя. При успешной проверке RMS выдает получателю лицензию на работу с документом
Приложение получает лицензию от RMS и отрабатывает правила, заложенные в ней. Получатель работает с документом

Автор документа

Получатель документа

RMS предприятия
Регистрируется в UDDI Microsoft
Дополнительный сервер лицензий уровня подразделения.

Регистрируется на корневом сервере
Каждая клиентская машина, участвующая в работе RMS активируется в Microsoft HW Activation Service и получает персональный Lockbox

Интранет предприятия

Enrollment
Service

HW Activation Service

HW Activation Proxy

RM Account Certificate

Enrollment

Licensing

Лицензии Шаблоны

Licensing

RMS Server подразделения

пользователя, выполняется ее Активация
Microsoft RMS HW Activation Service
Через корневой

сервер RMS предприятия или напрямую
Клиент посылает хеш уникальной информации от оборудования машины
Microsoft Activation Service генерирует пару ключей для этой машины
На основе присланной информации создает уникальный Lockbox, в котором зашифрован личный ключ машины

Выдает сертификат (Machine Certificate), в котором размещается открытый ключ

“Root” RMS Cluster

HW Activation Service

HW Activation Proxy

Account Certificate (RAC) для этой машины
Бывают Постоянные и Временные

сертификаты RAC
Сертификат RAC выдается корневым сервером RMS
Сервер RMS аутентифицирует пользователя в Active Directory
RAC содержит идентифицирующую информацию пользователя и его пару ключей
Открытый

Личный, зашифрованный на открытом ключе машины

“Root” RMS Cluster

RM Account Certificate

Active Directory

сервером RMS и содержит
Информацию о правах доступа к информации

документа и о правилах ее использования
Симметричный ключ для расшифровки документа, зашифрованный на открытом ключе сервера RMS
Вторую копию симметричного ключа, зашифрованную на открытом ключе автора документа

Publishing License подписана личным ключом сервера RMS

Автор

документа на основании Publishing License и его RAC, которые

он присылает серверу RMS в запросе
Лицензия на работу содержит симметричный ключ для расшифровки документа, зашифрованный на открытом ключе получателя

2008

Service
Устанавливаются все требуемые службы
Управление и администрирование
MMC-консоль

для администрирования
Реализация всех функций скриптами
Генерация отчетов
Административные роли
Взаимодействие с внешними организациями
Интеграция RMS со службами ADFS
Распространение шаблонов

в Windows Server 2008 и Windows Vista
RMS – одна

из серверных ролей
Автоматическая установка зависимых компонент (SQL Embedded, WPF, IIS, MSMQ, и др…)
Новый мастер решает все задачи, связанные с настройкой RMS
Автоматическое обнаружение и регистрация RMS-клиентов
Функциональная независимость
Все необходимые сертификаты выдаются автономно, не требуется взаимодействие с сервисами Microsoft
Нет ограничения на срок действия корневого сертификата
Обратная совместимость
Обновление сохраняет все защищенные до этого документы
Возможно взаимодействие с RMS-серверами предыдущей версии

Внедрение

1.0
Использование оснастки в консоли MMC……
Знакомая административная модель
Единый подход ко

всем серверным ролям
Выделение задач (обязательных, рекомендованных, дополнительных)
Выполнение «задач под рукой»
Ролевое администрирование
Администраторы предприятия, шаблонов, аудиторы
Администрирование с помощью скриптов
Задачи управления доступны через Scripting API

Среда работы

конфиденциальными данными между сотрудниками Adatum и Contoso
Дебра
Джейсон
Типовой сценарий

защищенное письмо Джейсону в Contoso
Компьютер Джейсона обращается к

RMS-серверу
Агент ADFS перехватывает запрос
RMS-клиент перенаправляется FS-R для аутентификации
RMS-клиент перенаправляется FS-A для аутентификации
Сформированная заявка (claim) возвращается к FS-R
RMS-клиент запрашивает UL
WebSSO-агент перенаправляет запрос RMS-серверу
RMS-сервер возвращает сертификат RAC Джейсону
RMS-сервер формирует и передает Джейсону UL
Джейсон получает доступ к содержимому письма

Дебра

Джейсон

Взаимодействие на основе ADFS

(Windows Server 2003 R2 или 2008)
SSL на вирт. каталогах

RMS и на Federation Server
Домен учетных записей
Federation Server (Windows Server 2003 R2 или 2008)
SSL на Federation Server

Новый метод на базе SOAP для получения шаблонов
RMS-клиент

в Vista SP1 поддерживает автоматическое обновление шаблонов с сервера
Новый API в клиенте RMS для получения шаблонов
WMI-задание по расписанию вызывает API для получения шаблонов

Первый шаг в интеграции с Exchange