A windows tartalomv delmi szolg ltat sa rms
Download
1 / 62

A Windows tartalomvédelmi szolgáltatása (RMS) - PowerPoint PPT Presentation


  • 56 Views
  • Uploaded on
  • Presentation posted in: General

A Windows tartalomvédelmi szolgáltatása (RMS). Szalontay Zoltán vezető rendszermérnök Microsoft Magyarország. TechNet események 2004 tavaszán. 2004. március 17. Nagyvállalati ügyfélmenedzsment a Systems Management Server 2 003 segítségével. 2004. március 31.

loader
I am the owner, or an agent authorized to act on behalf of the owner, of the copyrighted work described.
capcha

Download Presentation

A Windows tartalomvédelmi szolgáltatása (RMS)

An Image/Link below is provided (as is) to download presentation

Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author.While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server.


- - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - -

Presentation Transcript


A Windows tartalomvédelmi szolgáltatása (RMS)

Szalontay Zoltán

vezető rendszermérnök

Microsoft Magyarország


TechNet események 2004 tavaszán

2004. március 17.

Nagyvállalati ügyfélmenedzsment a Systems Management Server 2003 segítségével

2004. március 31.

Kiszolgálók felügyelete a Microsoft Operations Manager 2000 SP1 segítségével

2004. április 14.

A Windows Tartalomvédelmi szolgáltatása (Rights Management Services, RMS)

2004. április 28.

Nagyvállalati tűzfal megoldások az ISA Server 2004 segítségével

2004. május 12.

Üzemeltetői konferencia


A mai napirend

A bizalmas információ

Igazgatói rendelkezések

Akciós ajánlat részletei a kereskedők számára

A felhasználó gépén nincs RMS ügyfél

Az RMS komponensei

Az RMS adminisztrációja

Sablonok

Otthoni felhasználók

Külső, egyéni felhasználók

Más cég felhasználói

Összehasonlítás más titkosítási technológiákkal


A bizalmas információ…

  • …kijutása üzleti vagy erkölcsi kárt okozhat

  • …kijutását megakadályozni nem lehet

    • belső szabályzat?

    • tűzfal?

    • motozás?


A fokozott ellenőrzés nem megoldás


USB dugó„Pendrive”


A Pendrive letiltásanem oldja meg a problémát

  • usbstor.sys

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR]

    "Start"=dword:00000004

  • Az adat továbbra is kivihető

    • hajlékonylemez, CD, DVD

    • PCMCIA CompactFlash/SmartMedia/SD kártyák

    • infra port, Bluetooth, firewire

    • nem installálható fájlrendszerek

      • ActiveSync  PocketPC és SmartPhone

      • speciális nyomtató szoftverek (pl. HP Photosmart)


demó

  • Két dokumentum kijut a cégtől

    • az egyiket meg tudják nyitni

    • a másik RMS-sel készült 


A mai napirend

A bizalmas információ

Igazgatói rendelkezések

Akciós ajánlat részletei a kereskedők számára

A felhasználó gépén nincs RMS ügyfél

Az RMS komponensei

Az RMS adminisztrációja

Sablonok

Otthoni felhasználók

Külső, egyéni felhasználók

Más cég felhasználói

Összehasonlítás más titkosítási technológiákkal


A feladat

  • Az igazgató bizalmas dokumentumot küld körbe

  • Csak a címzettek olvashatják el

  • A tartalmát tilos

    • másoknak továbbítani

    • átmásolni más alkalmazásba

    • kinyomtatni


demó

  • Tartalomvédelmi szolgáltatássalvédett igazgatói körlevél

    • küldése

    • fogadása


A mai napirend

A bizalmas információ

Igazgatói rendelkezések

Akciós ajánlat részletei a kereskedők számára

A felhasználó gépén nincs RMS ügyfél

Az RMS komponensei

Az RMS adminisztrációja

Sablonok

Otthoni felhasználók

Külső, egyéni felhasználók

Más cég felhasználói

Összehasonlítás más titkosítási technológiákkal


A feladat

  • Az akció 2004. április 30-ig érvényes

    • a hirdetéseket ezt követően ne lehessen megnyitni

  • A dokumentum tartalmát tilos

    • továbbítani

    • átmásolni

  • Viszont szabad

    • kinyomtatni


demó

  • Az akció részleteittartalmazó védett dokumentum elkészítése


A mai napirend

A bizalmas információ

Igazgatói rendelkezések

Akciós ajánlat részletei a kereskedők számára

A felhasználó gépén nincs RMS ügyfél

Az RMS komponensei

Az RMS adminisztrációja

Sablonok

Otthoni felhasználók

Külső, egyéni felhasználók

Más cég felhasználói

Összehasonlítás más titkosítási technológiákkal


A feladat

  • Új igazgatói körlevél

  • Csak a központban dolgozók használnak Office 2003-mat

  • A többieknek is el kell olvasniuk a védett dokumentumot


demó

  • RMS Internet Explorer Add-on

    • védett elektronikus levél olvasása OWA felületen

    • védett Word melléklet olvasása web böngészővel


A mai napirend

A bizalmas információ

Igazgatói rendelkezések

Akciós ajánlat részletei a kereskedők számára

A felhasználó gépén nincs RMS ügyfél

Az RMS komponensei

Az RMS adminisztrációja

Sablonok

Otthoni felhasználók

Külső, egyéni felhasználók

Más cég felhasználói

Összehasonlítás más titkosítási technológiákkal


Az RMS megvalósítása

  • XrML 1.2.1 alapú .NET web szerviz

  • A webszolgáltatás URL-jét az AD-ba publikálja

  • Hierarchikus és redundáns architektúra

  • Az ügyfél alkalmazás az RMS API-val éri el az RMS-t


Az RMS komponensei

  • Kiszolgáló oldal

    • kötelező: egy RMS Root server (certificate/licensing)

      • Rights Management Services

      • SQL (fürt javasolt)

      • SSL kulcs a web szervizhez

      • terheléstől függően NLBS farm

    • terheléstől függően: egy vagy több RMS Licensing Server

  • Ügyfél oldal

    • RMS licenc

    • Office 2003 Pro + RMS kliens és/vagy

    • RMS Internet Explorer Add-on (angol)

    • Opcionális: OWA

  • Konfiguráció

    • AD (2000 vagy 2003)

    • E-mail cím minden User objektumhoz (Exchange nem kell)

      • Az E-mail cím tulajdonság írási joga bizalmi kérdés!

    • nincs séma bővítés

      • de egy Service Discovery Point objektum keletkezik a konfigurációs konténerben


Mi kell az RMS-hez?

  • Active Directory

    • a User objektumok e-mail tulajdonságát ki kell tölteni

    • az RMS a Configuration konténerbe publikálja a címét

  • Office 2003

    • az RMS-sel védett tartalom publikációjához

    • az RMS-sel védett tartalom olvasásához

  • Internet Explorer

    • az RMS-sel védett tartalom olvasásához

  • Internet kapcsolat

    • az RMS kiszolgáló és a munkaállomások aktiválásához


AD

RMS cert/licensing

Primary

RMS ügyfél

Egyszerű RMS konfiguráció

Logging

Konfig.

E-mail cím

Service connection point


AD

RMS cert/licensing

Primary

RMS cert/licensing

Joined

RMS cert/licensing

Joined

RMS ügyfél

Növelt rendelkezésre állásúRMS konfiguráció

Logging

Konfig.

NLBS

E-mail cím

Service connection point


Logging/Konfig.

Logging/Konfig.

AD

Cert/licensing

Cert/licensing

Licensing

Licensing

Licensing

Elosztott RMS konfiguráció

Root cluster

Licensing cluster

NLBS

NLBS

E-mail cím

Service connection point

RMS ügyfél


RMS tanúsítványok

  • Server licensor certificate

    • felhatalmaz egy Licensing Servert az alábbiak kiadására:

      • Publishing license, Use license, Client licensor certificate, sablonok

  • Lockbox

    • egy RMS által megbízható számítógép privát kulcsát tartalmazza

    • %systemroot%/system32/secrep.dll

  • RM machine certificate

    • azonosít egy az RMS által megbízható számítógépet

  • RM account certificate (RAC)

    • azonosít egy az RMS által megbízható felhasználót, aki egy megbízható gépen dolgozik

  • Publishing license (PL)

    • egy védett dokumentumon elvégezhető tevékenységek listáját tartalmazza

  • Use license (UL)

    • egy azonosított felhasználónak egy védett dokumentumra vonatkozó jogait tartalmazza

  • Client licensor certificate

    • egy felhasználót felhatalmaz arra, hogy olyan védett dokumentumot készíthessen, amelyet céges hálózati kapcsolat nélkül is el lehet olvasni


Mi van egy védett fájlban?

a

A fájl létrehozásakor keletkezik

Miután egy licencelt felhasználó megnyitotta a dokumentumot

Publishing License (PL)

Use License (UL)

Content Key(szimmetrikus)

Meghatározottfelhasználójogai

Encrypted with the user’s public key

Az RMS kiszolgáló nyilvános kulcsával titkosítva

jogosultságiinformációk(email-címekkel)

Content Key

(véletlenszám)

A felhasználó nyilvános kulcsával titkosítva

A file tartalma

(szöveg, kép, stb.)

A tartalomvédő kulccsal titkosítva(128 bites AES titkosítás)

Az e-mail üzenetek védelmét szolgáló Use Licence-ek nem a levélben, hanem az RM gyorsítótárban helyezkednek el


Mi van az RMS-kiszolgálón?

  • A kiszolgáló privát kulcsa

    • igény szerint HW-védelem alatt

    • nCipher kártya

  • A felhasználók kulcsai és azonosítói

    • a felhasználói kulcsokat a kiszolgáló generálja

    • a felhasználók E-mail címei azActive Directory-ból jönnek

  • Sablonok

    • „Microsoft FTE Confidential”

    • „Tilos nyomtatni”

    • „Egy hétig érvényes”

    • stb.

  • Naplók

    • minden licenckérés és kiadás naplózódik

    • auditálási célokra is használható

Server Private Key

0101100101…

zoltansz@rmsdemo.huPublic Key

Private Key

“Tilos kinyomtatni”

= No Print


Mi van a számítógépen?

Célja a számítógép hitelesítése.

Megakadályozza, hogy más gépre átmásolt tartalom olvasható maradjon.

RM

ügyfél

Lock Box

számítógépprivát kulcsa(rejtett, generált)

alkalmazásprivát kulcsa

RM Account Certificate(RAC)

Client LicensorCertificate

MachineCertificate

A számítógép azonosítója. Ezzel indul a hitelesítési folyamat.

felhasználóprivát kulcsa(a gép nyilvános kulcsa védi)

fel-használónyilvánoskulcsa

RMS kiszolgáló és az alkalmazás nyilvános kulcsa

számítógépnyilvánoskulcsa

Off-line elérhető dokumentumokhoz


munkaállomás

aktivációsproxy

(RMS)

tűzfal

Microsoftaktivációsszolgáltatás

Egy munkaállomás aktiválása

  • Lockbox

    • %systemroot%\system32\secrep.dll

Lockbox

RMmachine cert


Méretezés

  • Egy 4 processzoros, 1 GB RAM-os, 1 GHz-es Pentium 4 gép 100 licencet ad ki másodpercenként

    • „Ha negyedik Béla másfél év alatt huszonöt rendeletet hozott, akkor hányadik Béla fog három év alatt hatvan rendeletet hozni?”Boncz Géza

  • Gyenge terhelés

    • 5.000 felhasználó 10%-a 20 percenként használja az RMS-t

    • egy kiszolgáló elegendő

  • Közepes terhelés

    • 40.000 felhasználó 50%-a 8 percenként használja az RMS-t

    • 3 RMS kiszolgáló kell

    • 6 kiszolgáló megfelelő tartalékot is ad


kávé-szünet


A mai napirend

A bizalmas információ

Igazgatói rendelkezések

Akciós ajánlat részletei a kereskedők számára

A felhasználó gépén nincs RMS ügyfél

Az RMS komponensei

Az RMS adminisztrációja

Sablonok

Otthoni felhasználók

Külső, egyéni felhasználók

Más cég felhasználói

Összehasonlítás más titkosítási technológiákkal


demó

  • Az RMS adminisztrációja

    • Bizalmi szabályzatok

    • Jogmegadási sablonok

    • Naplózási beállítások

    • A fürt extranetes URL-címének megadása

    • RMS fiók tanúsítási jelentés

    • Biztonsági beállítások

    • Tanúsítási beállítások

    • Kizárási házirendek

    • Az RMS szolgáltatás kapcsolódási pontja


A mai napirend

A bizalmas információ

Igazgatói rendelkezések

Akciós ajánlat részletei a kereskedők számára

A felhasználó gépén nincs RMS ügyfél

Az RMS komponensei

Az RMS adminisztrációja

Sablonok

Otthoni felhasználók

Külső, egyéni felhasználók

Más cég felhasználói

Összehasonlítás más titkosítási technológiákkal


RMS jogosultsági sablonok

  • Központilag definiált jogosultsági beállítások

    • a kiszolgáló által aláírt XrML dokumentum

    • az RMS nem juttatja el az ügyfélhez

      • SMS, Csoport házirend, megosztásra publikálás

  • A sablonok helye

    • HKCU\Software\Microsoft\Office\11.0\DRM\AdminTemplatePath

    • %HOMEPATH%\Local Settings\Application Data\Microsoft\DRM\templates


demó

  • RMS sablon

    • készítése

    • terjesztése

    • használata


A mai napirend

A bizalmas információ

Igazgatói rendelkezések

Akciós ajánlat részletei a kereskedők számára

A felhasználó gépén nincs RMS ügyfél

Az RMS komponensei

Az RMS adminisztrációja

Sablonok

Otthoni felhasználók

Külső, egyéni felhasználók

Más cég felhasználói

Összehasonlítás más titkosítási technológiákkal


A feladat

  • Az igazgató otthonról is el akarja érni a védett dokumentumokat

    • a dokumentum a notebookján van

    • a dokumentum az otthoni gépén van


A megoldás

  • A gép tagja a céges hálózatnak és a felhasználó a cégnél már megnyitotta a dokumentumot

    • van érvényes UL, a dokumentum megnyitható

    • sablonban állítható, hogy meddig legyen érvényes

  • A felhasználó gépe rajta van az Interneten

    • az RMS kiszolgálót publikálni kell az Internetre

    • már aktivált céges gépről szerezhetünk UL-t az extranet címről

    • még nem aktivált gép ideiglenes licencet kérhet, ha az RMS off-line használat engedélyezve van


A mai napirend

A bizalmas információ

Igazgatói rendelkezések

Akciós ajánlat részletei a kereskedők számára

A felhasználó gépén nincs RMS ügyfél

Az RMS komponensei

Az RMS adminisztrációja

Sablonok

Otthoni felhasználók

Külső, egyéni felhasználók

Más cég felhasználói

Összehasonlítás más titkosítási technológiákkal


A feladat

  • A cég egyik partnerének kell elküldeni egy védett dokumentumot

  • A partnernek van hotmail-es email címe


Megoldás

  • A dokumentum levédésekor ne Active Directory felhasználót, hanem a partner hotmail-es címét adjuk meg (Passport)

  • A partner regisztráljon be a Passport RAC szolgáltatásba

    • ingyenes, de bizonytalan, hogy meddig él

  • A vállalat RMS kiszolgálóján bízzon meg a Passport RAC szolgáltatásban

    • alapértelmezés szerint letiltva


demó

  • Védett dokumentumok elérése aPassport RAC szolgáltatás segítségével

    • dokumentum levédése a partner számára

    • dokumentum megnyitása egy Passport fiók és Internet kapcsolat segítségével


A mai napirend

A bizalmas információ

Igazgatói rendelkezések

Akciós ajánlat részletei a kereskedők számára

A felhasználó gépén nincs RMS ügyfél

Az RMS komponensei

Az RMS adminisztrációja

Sablonok

Otthoni felhasználók

Külső, egyéni felhasználók

Más cég felhasználói

Összehasonlítás más titkosítási technológiákkal


A feladat

  • Két cég védett dokumentumokat akar küldeni egymásnak

  • Mindkét cégben van már AD és RMS


A megoldás

  • RMS Trust kapcsolatot kell létrehozni a két rendszer között

  • Teendők

    • a kiszolgáló extranetes URL-jeinek publikálása az Internetre (ISA)

    • a kiszolgáló tanúsítványainak exportálása

    • átvitelük a másik rendszerbe

    • importálás

  • External konnektor licenc kell hozzá mindkét oldalon!


demó

  • RMS Trust

    • bizalmi kapcsolat létrehozása egy másik cég RMS rendszerével


A mai napirend

A bizalmas információ

Igazgatói rendelkezések

Akciós ajánlat részletei a kereskedők számára

A felhasználó gépén nincs RMS ügyfél

Az RMS komponensei

Az RMS adminisztrációja

Sablonok

Otthoni felhasználók

Külső, egyéni felhasználók

Más cég felhasználói

Összehasonlítás más titkosítási technológiákkal


Mi az az RMS?

  • DRM

    • Digital Rights Management

    • elektronikus licenccel védett Windows Media és eBook tartalom

  • IRM

    • név: Information Rights Management

    • az RMS Office 2003-ban lévő ügyfele

    • a Passport RAC Service neve

  • WRM

    • ilyen nincs

  • RMS

    • Windows Rights Management Services

    • vállalati felhasználók számára nyújtott tartalomvédelmi szolgáltatás

  • R.M.S. Titanic

    • Royal Mail Streamer Titanic


RMS kontra PKI

  • Az RMS XrML alapú

  • Kulcs párok és tanúsítványok itt is vannak, de a lényeg a tanúsítvány kiadási folyamaton van

    • a tanúsítványok XML formátumúak

    • az X.509v3 EKU-jánál jóval több információt tartalmaz

  • Az algoritmusok hasonlóak

    • RSA, AES

  • Az RMS-hez nem kell PKI bevezetés

    • csak egy X.509v3 tanúsítvány kell az SSL web szolgáltatáshoz


RMS kontra titkosított levél/dokumentum

  • A titkosított levél/dokumentum a címzett privát kulcsának birtokában dekódolható

  • Miután dekódolta, szabadon

    • továbbíthatja

    • nyomtathatja

    • másolhatja


RMS kontra titkosított fájlrendszer (EFS)

  • Az EFS csak addig véd, amíg a dokumentum a fájlrendszerben marad

    • amint elhagyja, a fájl nyilvánossá válik

  • Az EFS nem véd a továbbítás, másolás, nyomtatás ellen

    • erre NTFS jogokat szokás adni

    • ha például CD-n kikerül a dokumentum, még ez a védelem is megszűnik


Egyéb információMit szállít a Microsoft?

  • Windows Rights Management Services (RMS)

    • ingyenesen letölthető frissítés a Windows Server 2003-hoz

  • RMS Ügyfél

    • Ingyenesen letölthető Office 2003 kiegészítés

    • Ingyenesen letölthető kiegészítés az Internet Explorerhez

    • Rights Management API Windows 98 SE és újabb operációs rendszerekhez

  • RMS fejlesztőkészlet (SDK)

    • Client SDK: alkalmazások fejlesztéséhez és kiegészítéséhez

    • Server SDK: automatizált feladatokhoz (pl. portálok)

  • Ügyfél licenc kell a használatához!


Egyéb információRMS kompatibilis alkalmazások


Egyéb információKonfiguráció

  • Gép kézzel történő aktiválása

    • %systemroot%\system32\drm\actmachine

  • RMS Toolkit 1.0

    • http://www.microsoft.com/rms alól letölthető

    • hibakereső eszközök gyűjteménye


Egyéb információ

  • RMS weboldal

    • http://www.microsoft.com/rms

  • XrML 1.2.1

    • http://www.xrml.org


ACL

ACL

Összefoglalás

vállalat

információk

munkatársak

külső

személyek


Összefoglalás

  • Könnyen bevezethető, nyílt tartalomvédő szolgáltatás

  • Általános célú

    • nemcsak egy bizonyos gyártó egyetlen alkalmazásához

  • Szabványos

    • XrML, X.509

  • Kiiktatja avéletlen szerepét

    • csak szándékoskiszivárogtatásfordulhat elő


Get Inside!


ad
  • Login