A windows tartalomv delmi szolg ltat sa rms
This presentation is the property of its rightful owner.
Sponsored Links
1 / 62

A Windows tartalomvédelmi szolgáltatása (RMS) PowerPoint PPT Presentation


  • 42 Views
  • Uploaded on
  • Presentation posted in: General

A Windows tartalomvédelmi szolgáltatása (RMS). Szalontay Zoltán vezető rendszermérnök Microsoft Magyarország. TechNet események 2004 tavaszán. 2004. március 17. Nagyvállalati ügyfélmenedzsment a Systems Management Server 2 003 segítségével. 2004. március 31.

Download Presentation

A Windows tartalomvédelmi szolgáltatása (RMS)

An Image/Link below is provided (as is) to download presentation

Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author.While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server.


- - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - -

Presentation Transcript


A windows tartalomv delmi szolg ltat sa rms

A Windows tartalomvédelmi szolgáltatása (RMS)

Szalontay Zoltán

vezető rendszermérnök

Microsoft Magyarország


Technet esem nyek 2004 tavasz n

TechNet események 2004 tavaszán

2004. március 17.

Nagyvállalati ügyfélmenedzsment a Systems Management Server 2003 segítségével

2004. március 31.

Kiszolgálók felügyelete a Microsoft Operations Manager 2000 SP1 segítségével

2004. április 14.

A Windows Tartalomvédelmi szolgáltatása (Rights Management Services, RMS)

2004. április 28.

Nagyvállalati tűzfal megoldások az ISA Server 2004 segítségével

2004. május 12.

Üzemeltetői konferencia


A mai napirend

A mai napirend

A bizalmas információ

Igazgatói rendelkezések

Akciós ajánlat részletei a kereskedők számára

A felhasználó gépén nincs RMS ügyfél

Az RMS komponensei

Az RMS adminisztrációja

Sablonok

Otthoni felhasználók

Külső, egyéni felhasználók

Más cég felhasználói

Összehasonlítás más titkosítási technológiákkal


A bizalmas inform ci

A bizalmas információ…

  • …kijutása üzleti vagy erkölcsi kárt okozhat

  • …kijutását megakadályozni nem lehet

    • belső szabályzat?

    • tűzfal?

    • motozás?


A fokozott ellen rz s nem megold s

A fokozott ellenőrzés nem megoldás


Usb dug pendrive

USB dugó„Pendrive”


A pendrive letilt sa nem oldja meg a probl m t

A Pendrive letiltásanem oldja meg a problémát

  • usbstor.sys

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR]

    "Start"=dword:00000004

  • Az adat továbbra is kivihető

    • hajlékonylemez, CD, DVD

    • PCMCIA CompactFlash/SmartMedia/SD kártyák

    • infra port, Bluetooth, firewire

    • nem installálható fájlrendszerek

      • ActiveSync  PocketPC és SmartPhone

      • speciális nyomtató szoftverek (pl. HP Photosmart)


A windows tartalomv delmi szolg ltat sa rms

demó

  • Két dokumentum kijut a cégtől

    • az egyiket meg tudják nyitni

    • a másik RMS-sel készült 


A mai napirend1

A mai napirend

A bizalmas információ

Igazgatói rendelkezések

Akciós ajánlat részletei a kereskedők számára

A felhasználó gépén nincs RMS ügyfél

Az RMS komponensei

Az RMS adminisztrációja

Sablonok

Otthoni felhasználók

Külső, egyéni felhasználók

Más cég felhasználói

Összehasonlítás más titkosítási technológiákkal


A feladat

A feladat

  • Az igazgató bizalmas dokumentumot küld körbe

  • Csak a címzettek olvashatják el

  • A tartalmát tilos

    • másoknak továbbítani

    • átmásolni más alkalmazásba

    • kinyomtatni


A windows tartalomv delmi szolg ltat sa rms

demó

  • Tartalomvédelmi szolgáltatássalvédett igazgatói körlevél

    • küldése

    • fogadása


A mai napirend2

A mai napirend

A bizalmas információ

Igazgatói rendelkezések

Akciós ajánlat részletei a kereskedők számára

A felhasználó gépén nincs RMS ügyfél

Az RMS komponensei

Az RMS adminisztrációja

Sablonok

Otthoni felhasználók

Külső, egyéni felhasználók

Más cég felhasználói

Összehasonlítás más titkosítási technológiákkal


A feladat1

A feladat

  • Az akció 2004. április 30-ig érvényes

    • a hirdetéseket ezt követően ne lehessen megnyitni

  • A dokumentum tartalmát tilos

    • továbbítani

    • átmásolni

  • Viszont szabad

    • kinyomtatni


A windows tartalomv delmi szolg ltat sa rms

demó

  • Az akció részleteittartalmazó védett dokumentum elkészítése


A mai napirend3

A mai napirend

A bizalmas információ

Igazgatói rendelkezések

Akciós ajánlat részletei a kereskedők számára

A felhasználó gépén nincs RMS ügyfél

Az RMS komponensei

Az RMS adminisztrációja

Sablonok

Otthoni felhasználók

Külső, egyéni felhasználók

Más cég felhasználói

Összehasonlítás más titkosítási technológiákkal


A feladat2

A feladat

  • Új igazgatói körlevél

  • Csak a központban dolgozók használnak Office 2003-mat

  • A többieknek is el kell olvasniuk a védett dokumentumot


A windows tartalomv delmi szolg ltat sa rms

demó

  • RMS Internet Explorer Add-on

    • védett elektronikus levél olvasása OWA felületen

    • védett Word melléklet olvasása web böngészővel


A mai napirend4

A mai napirend

A bizalmas információ

Igazgatói rendelkezések

Akciós ajánlat részletei a kereskedők számára

A felhasználó gépén nincs RMS ügyfél

Az RMS komponensei

Az RMS adminisztrációja

Sablonok

Otthoni felhasználók

Külső, egyéni felhasználók

Más cég felhasználói

Összehasonlítás más titkosítási technológiákkal


Az rms megval s t sa

Az RMS megvalósítása

  • XrML 1.2.1 alapú .NET web szerviz

  • A webszolgáltatás URL-jét az AD-ba publikálja

  • Hierarchikus és redundáns architektúra

  • Az ügyfél alkalmazás az RMS API-val éri el az RMS-t


Az rms komponensei

Az RMS komponensei

  • Kiszolgáló oldal

    • kötelező: egy RMS Root server (certificate/licensing)

      • Rights Management Services

      • SQL (fürt javasolt)

      • SSL kulcs a web szervizhez

      • terheléstől függően NLBS farm

    • terheléstől függően: egy vagy több RMS Licensing Server

  • Ügyfél oldal

    • RMS licenc

    • Office 2003 Pro + RMS kliens és/vagy

    • RMS Internet Explorer Add-on (angol)

    • Opcionális: OWA

  • Konfiguráció

    • AD (2000 vagy 2003)

    • E-mail cím minden User objektumhoz (Exchange nem kell)

      • Az E-mail cím tulajdonság írási joga bizalmi kérdés!

    • nincs séma bővítés

      • de egy Service Discovery Point objektum keletkezik a konfigurációs konténerben


Mi kell az rms hez

Mi kell az RMS-hez?

  • Active Directory

    • a User objektumok e-mail tulajdonságát ki kell tölteni

    • az RMS a Configuration konténerbe publikálja a címét

  • Office 2003

    • az RMS-sel védett tartalom publikációjához

    • az RMS-sel védett tartalom olvasásához

  • Internet Explorer

    • az RMS-sel védett tartalom olvasásához

  • Internet kapcsolat

    • az RMS kiszolgáló és a munkaállomások aktiválásához


Egyszer rms konfigur ci

AD

RMS cert/licensing

Primary

RMS ügyfél

Egyszerű RMS konfiguráció

Logging

Konfig.

E-mail cím

Service connection point


N velt rendelkez sre ll s rms konfigur ci

AD

RMS cert/licensing

Primary

RMS cert/licensing

Joined

RMS cert/licensing

Joined

RMS ügyfél

Növelt rendelkezésre állásúRMS konfiguráció

Logging

Konfig.

NLBS

E-mail cím

Service connection point


Elosztott rms konfigur ci

Logging/Konfig.

Logging/Konfig.

AD

Cert/licensing

Cert/licensing

Licensing

Licensing

Licensing

Elosztott RMS konfiguráció

Root cluster

Licensing cluster

NLBS

NLBS

E-mail cím

Service connection point

RMS ügyfél


Rms tan s tv nyok

RMS tanúsítványok

  • Server licensor certificate

    • felhatalmaz egy Licensing Servert az alábbiak kiadására:

      • Publishing license, Use license, Client licensor certificate, sablonok

  • Lockbox

    • egy RMS által megbízható számítógép privát kulcsát tartalmazza

    • %systemroot%/system32/secrep.dll

  • RM machine certificate

    • azonosít egy az RMS által megbízható számítógépet

  • RM account certificate (RAC)

    • azonosít egy az RMS által megbízható felhasználót, aki egy megbízható gépen dolgozik

  • Publishing license (PL)

    • egy védett dokumentumon elvégezhető tevékenységek listáját tartalmazza

  • Use license (UL)

    • egy azonosított felhasználónak egy védett dokumentumra vonatkozó jogait tartalmazza

  • Client licensor certificate

    • egy felhasználót felhatalmaz arra, hogy olyan védett dokumentumot készíthessen, amelyet céges hálózati kapcsolat nélkül is el lehet olvasni


Mi van egy v dett f jlban

Mi van egy védett fájlban?

a

A fájl létrehozásakor keletkezik

Miután egy licencelt felhasználó megnyitotta a dokumentumot

Publishing License (PL)

Use License (UL)

Content Key(szimmetrikus)

Meghatározottfelhasználójogai

Encrypted with the user’s public key

Az RMS kiszolgáló nyilvános kulcsával titkosítva

jogosultságiinformációk(email-címekkel)

Content Key

(véletlenszám)

A felhasználó nyilvános kulcsával titkosítva

A file tartalma

(szöveg, kép, stb.)

A tartalomvédő kulccsal titkosítva(128 bites AES titkosítás)

Az e-mail üzenetek védelmét szolgáló Use Licence-ek nem a levélben, hanem az RM gyorsítótárban helyezkednek el


Mi van az rms kiszolg l n

Mi van az RMS-kiszolgálón?

  • A kiszolgáló privát kulcsa

    • igény szerint HW-védelem alatt

    • nCipher kártya

  • A felhasználók kulcsai és azonosítói

    • a felhasználói kulcsokat a kiszolgáló generálja

    • a felhasználók E-mail címei azActive Directory-ból jönnek

  • Sablonok

    • „Microsoft FTE Confidential”

    • „Tilos nyomtatni”

    • „Egy hétig érvényes”

    • stb.

  • Naplók

    • minden licenckérés és kiadás naplózódik

    • auditálási célokra is használható

Server Private Key

0101100101…

[email protected] Key

Private Key

“Tilos kinyomtatni”

= No Print


Mi van a sz m t g pen

Mi van a számítógépen?

Célja a számítógép hitelesítése.

Megakadályozza, hogy más gépre átmásolt tartalom olvasható maradjon.

RM

ügyfél

Lock Box

számítógépprivát kulcsa(rejtett, generált)

alkalmazásprivát kulcsa

RM Account Certificate(RAC)

Client LicensorCertificate

MachineCertificate

A számítógép azonosítója. Ezzel indul a hitelesítési folyamat.

felhasználóprivát kulcsa(a gép nyilvános kulcsa védi)

fel-használónyilvánoskulcsa

RMS kiszolgáló és az alkalmazás nyilvános kulcsa

számítógépnyilvánoskulcsa

Off-line elérhető dokumentumokhoz


Egy munka llom s aktiv l sa

munkaállomás

aktivációsproxy

(RMS)

tűzfal

Microsoftaktivációsszolgáltatás

Egy munkaállomás aktiválása

  • Lockbox

    • %systemroot%\system32\secrep.dll

Lockbox

RMmachine cert


M retez s

Méretezés

  • Egy 4 processzoros, 1 GB RAM-os, 1 GHz-es Pentium 4 gép 100 licencet ad ki másodpercenként

    • „Ha negyedik Béla másfél év alatt huszonöt rendeletet hozott, akkor hányadik Béla fog három év alatt hatvan rendeletet hozni?”Boncz Géza

  • Gyenge terhelés

    • 5.000 felhasználó 10%-a 20 percenként használja az RMS-t

    • egy kiszolgáló elegendő

  • Közepes terhelés

    • 40.000 felhasználó 50%-a 8 percenként használja az RMS-t

    • 3 RMS kiszolgáló kell

    • 6 kiszolgáló megfelelő tartalékot is ad


K v sz net

kávé-szünet


A mai napirend5

A mai napirend

A bizalmas információ

Igazgatói rendelkezések

Akciós ajánlat részletei a kereskedők számára

A felhasználó gépén nincs RMS ügyfél

Az RMS komponensei

Az RMS adminisztrációja

Sablonok

Otthoni felhasználók

Külső, egyéni felhasználók

Más cég felhasználói

Összehasonlítás más titkosítási technológiákkal


A windows tartalomv delmi szolg ltat sa rms

demó

  • Az RMS adminisztrációja

    • Bizalmi szabályzatok

    • Jogmegadási sablonok

    • Naplózási beállítások

    • A fürt extranetes URL-címének megadása

    • RMS fiók tanúsítási jelentés

    • Biztonsági beállítások

    • Tanúsítási beállítások

    • Kizárási házirendek

    • Az RMS szolgáltatás kapcsolódási pontja


A mai napirend6

A mai napirend

A bizalmas információ

Igazgatói rendelkezések

Akciós ajánlat részletei a kereskedők számára

A felhasználó gépén nincs RMS ügyfél

Az RMS komponensei

Az RMS adminisztrációja

Sablonok

Otthoni felhasználók

Külső, egyéni felhasználók

Más cég felhasználói

Összehasonlítás más titkosítási technológiákkal


Rms jogosults gi sablonok

RMS jogosultsági sablonok

  • Központilag definiált jogosultsági beállítások

    • a kiszolgáló által aláírt XrML dokumentum

    • az RMS nem juttatja el az ügyfélhez

      • SMS, Csoport házirend, megosztásra publikálás

  • A sablonok helye

    • HKCU\Software\Microsoft\Office\11.0\DRM\AdminTemplatePath

    • %HOMEPATH%\Local Settings\Application Data\Microsoft\DRM\templates


A windows tartalomv delmi szolg ltat sa rms

demó

  • RMS sablon

    • készítése

    • terjesztése

    • használata


A mai napirend7

A mai napirend

A bizalmas információ

Igazgatói rendelkezések

Akciós ajánlat részletei a kereskedők számára

A felhasználó gépén nincs RMS ügyfél

Az RMS komponensei

Az RMS adminisztrációja

Sablonok

Otthoni felhasználók

Külső, egyéni felhasználók

Más cég felhasználói

Összehasonlítás más titkosítási technológiákkal


A feladat3

A feladat

  • Az igazgató otthonról is el akarja érni a védett dokumentumokat

    • a dokumentum a notebookján van

    • a dokumentum az otthoni gépén van


A megold s

A megoldás

  • A gép tagja a céges hálózatnak és a felhasználó a cégnél már megnyitotta a dokumentumot

    • van érvényes UL, a dokumentum megnyitható

    • sablonban állítható, hogy meddig legyen érvényes

  • A felhasználó gépe rajta van az Interneten

    • az RMS kiszolgálót publikálni kell az Internetre

    • már aktivált céges gépről szerezhetünk UL-t az extranet címről

    • még nem aktivált gép ideiglenes licencet kérhet, ha az RMS off-line használat engedélyezve van


A mai napirend8

A mai napirend

A bizalmas információ

Igazgatói rendelkezések

Akciós ajánlat részletei a kereskedők számára

A felhasználó gépén nincs RMS ügyfél

Az RMS komponensei

Az RMS adminisztrációja

Sablonok

Otthoni felhasználók

Külső, egyéni felhasználók

Más cég felhasználói

Összehasonlítás más titkosítási technológiákkal


A feladat4

A feladat

  • A cég egyik partnerének kell elküldeni egy védett dokumentumot

  • A partnernek van hotmail-es email címe


Megold s

Megoldás

  • A dokumentum levédésekor ne Active Directory felhasználót, hanem a partner hotmail-es címét adjuk meg (Passport)

  • A partner regisztráljon be a Passport RAC szolgáltatásba

    • ingyenes, de bizonytalan, hogy meddig él

  • A vállalat RMS kiszolgálóján bízzon meg a Passport RAC szolgáltatásban

    • alapértelmezés szerint letiltva


A windows tartalomv delmi szolg ltat sa rms

demó

  • Védett dokumentumok elérése aPassport RAC szolgáltatás segítségével

    • dokumentum levédése a partner számára

    • dokumentum megnyitása egy Passport fiók és Internet kapcsolat segítségével


A mai napirend9

A mai napirend

A bizalmas információ

Igazgatói rendelkezések

Akciós ajánlat részletei a kereskedők számára

A felhasználó gépén nincs RMS ügyfél

Az RMS komponensei

Az RMS adminisztrációja

Sablonok

Otthoni felhasználók

Külső, egyéni felhasználók

Más cég felhasználói

Összehasonlítás más titkosítási technológiákkal


A feladat5

A feladat

  • Két cég védett dokumentumokat akar küldeni egymásnak

  • Mindkét cégben van már AD és RMS


A megold s1

A megoldás

  • RMS Trust kapcsolatot kell létrehozni a két rendszer között

  • Teendők

    • a kiszolgáló extranetes URL-jeinek publikálása az Internetre (ISA)

    • a kiszolgáló tanúsítványainak exportálása

    • átvitelük a másik rendszerbe

    • importálás

  • External konnektor licenc kell hozzá mindkét oldalon!


A windows tartalomv delmi szolg ltat sa rms

demó

  • RMS Trust

    • bizalmi kapcsolat létrehozása egy másik cég RMS rendszerével


A mai napirend10

A mai napirend

A bizalmas információ

Igazgatói rendelkezések

Akciós ajánlat részletei a kereskedők számára

A felhasználó gépén nincs RMS ügyfél

Az RMS komponensei

Az RMS adminisztrációja

Sablonok

Otthoni felhasználók

Külső, egyéni felhasználók

Más cég felhasználói

Összehasonlítás más titkosítási technológiákkal


Mi az az rms

Mi az az RMS?

  • DRM

    • Digital Rights Management

    • elektronikus licenccel védett Windows Media és eBook tartalom

  • IRM

    • név: Information Rights Management

    • az RMS Office 2003-ban lévő ügyfele

    • a Passport RAC Service neve

  • WRM

    • ilyen nincs

  • RMS

    • Windows Rights Management Services

    • vállalati felhasználók számára nyújtott tartalomvédelmi szolgáltatás

  • R.M.S. Titanic

    • Royal Mail Streamer Titanic


Rms kontra pki

RMS kontra PKI

  • Az RMS XrML alapú

  • Kulcs párok és tanúsítványok itt is vannak, de a lényeg a tanúsítvány kiadási folyamaton van

    • a tanúsítványok XML formátumúak

    • az X.509v3 EKU-jánál jóval több információt tartalmaz

  • Az algoritmusok hasonlóak

    • RSA, AES

  • Az RMS-hez nem kell PKI bevezetés

    • csak egy X.509v3 tanúsítvány kell az SSL web szolgáltatáshoz


Rms kontra titkos tott lev l dokumentum

RMS kontra titkosított levél/dokumentum

  • A titkosított levél/dokumentum a címzett privát kulcsának birtokában dekódolható

  • Miután dekódolta, szabadon

    • továbbíthatja

    • nyomtathatja

    • másolhatja


Rms kontra titkos tott f jlrendszer efs

RMS kontra titkosított fájlrendszer (EFS)

  • Az EFS csak addig véd, amíg a dokumentum a fájlrendszerben marad

    • amint elhagyja, a fájl nyilvánossá válik

  • Az EFS nem véd a továbbítás, másolás, nyomtatás ellen

    • erre NTFS jogokat szokás adni

    • ha például CD-n kikerül a dokumentum, még ez a védelem is megszűnik


Egy b inform ci mit sz ll t a microsoft

Egyéb információMit szállít a Microsoft?

  • Windows Rights Management Services (RMS)

    • ingyenesen letölthető frissítés a Windows Server 2003-hoz

  • RMS Ügyfél

    • Ingyenesen letölthető Office 2003 kiegészítés

    • Ingyenesen letölthető kiegészítés az Internet Explorerhez

    • Rights Management API Windows 98 SE és újabb operációs rendszerekhez

  • RMS fejlesztőkészlet (SDK)

    • Client SDK: alkalmazások fejlesztéséhez és kiegészítéséhez

    • Server SDK: automatizált feladatokhoz (pl. portálok)

  • Ügyfél licenc kell a használatához!


Egy b inform ci rms kompatibilis alkalmaz sok

Egyéb információRMS kompatibilis alkalmazások


Egy b inform ci konfigur ci

Egyéb információKonfiguráció

  • Gép kézzel történő aktiválása

    • %systemroot%\system32\drm\actmachine

  • RMS Toolkit 1.0

    • http://www.microsoft.com/rms alól letölthető

    • hibakereső eszközök gyűjteménye


Egy b inform ci

Egyéb információ

  • RMS weboldal

    • http://www.microsoft.com/rms

  • XrML 1.2.1

    • http://www.xrml.org


Sszefoglal s

ACL

ACL

Összefoglalás

vállalat

információk

munkatársak

külső

személyek


Sszefoglal s1

Összefoglalás

  • Könnyen bevezethető, nyílt tartalomvédő szolgáltatás

  • Általános célú

    • nemcsak egy bizonyos gyártó egyetlen alkalmazásához

  • Szabványos

    • XrML, X.509

  • Kiiktatja avéletlen szerepét

    • csak szándékoskiszivárogtatásfordulhat elő


A windows tartalomv delmi szolg ltat sa rms

Get Inside!


  • Login