La gestione sicura delle informazioni: Windows Rights Management Fabrizio Grossi.
-
Upload
delfina-mancini -
Category
Documents
-
view
219 -
download
2
Transcript of La gestione sicura delle informazioni: Windows Rights Management Fabrizio Grossi.
La gestione sicura delle informazioni: Windows Rights
Management
Fabrizio Grossi
Agenda
• Protezione delle informazioni digitali
• Cosè Windows Rights Management Services?
• Approfondimento tecnico
Protezione delle informazioni con Windows Rights Management Services
Access Control List
No
Yes
FirewallFirewall
Authorized Users
Unauthorized Users
Information Leakage
Unauthorized Users
Soluzione tradizionale: controllo degli accessi
Windows Rights Management Services (RMS)
Tecnologia di protezione delle informazioni che aumenta le strategie di sicurezza
• Gli utenti possono salvaguardare facilmente le informazioni sensibili dall’uso non autorizzato
• Le organizzazioni possono controllare centralmente le politiche interne di uso delle informazioni
• Gli sviluppatori possono sviluppare soluzioni flessibili e personalizzabili di protezione delle informazioni
RMS protegge le informazioni online, offline, all’interno e all’esterno della rete aziendale.
Information Rights Management
• Strumento di applicazione di policy di sicurezza incluso in Microsoft Office 2003
• Aiuta a proteggere documenti ed informazioni dall’uso non autorizzato
• Impossibile da violare “per errore”: riduce la fuoriuscita inavvertita di informazioni
• Permette agli autori di identificare i destinatari autorizzati e di definire le azioni consentite
• Controllo sull’uso delle informazioni sensibili
• Cifratura di e-mail (Outlook) e documenti (Word, Excel, PowerPoint) e applicazione di policy individuali o di gruppo per la decifratura e l’utilizzo
Mantiene all’interno le e-mail interne
Riduce il rischio di inoltro di informazioni confidenziali
Modelli per la gestione centralizzata delle policy
Protezione delle e-mail
Utenti senza Office 2003 possono visualizzare documenti protetti
Forza ugualmente i privilegi di accesso
Compatibilità versioni
precedenti
IE w/RMA, Windows RMS
Controlla l’accesso a progetti riservati
Imposta diversi liveli di accesso: lettura, modifica, stampa, copia…
Determina la durata dell’accesso
Protezione di documenti
Word 2003, PowerPoint 2003Excel 2003, Windows RMS
Outlook 2003Windows RMS
Scenari d’utilizzo
Cosa non fa RMS …
Proteggere informazioni con RMS
AutoreAutore UtilizzatoreUtilizzatore
RMS ServerRMS Server
Database Server Active Directory
2 3
4
5
2. L’autore assegna i diritti d’uso al documento; l’applicazione cifra il file e pubblica la licenza
3. L’autore distribuisce il file
4. L’utilizzatore apre il file, l’applicazione contatta il server RMS per validare l’utente e assegnare la licenza d’uso
5. L’applicazione visualizza il documento applicando le restrizioni
1. L’autore riceve un certificato client la prima volta che utilizza il servizio
1
Tecnologia: Licenze
• Publishing license• Creata quando il documento o il messaggio viene protetto
Creata online o offline
• Use license• Allegata al file del documento protetto
• Salvata localmente per i messaggi e-mail
• Cifratura• DES 56-bit o AES 128-bit per il contenuto
• Chiave RSA a 1,024-bit per la cifratura e per la firma digitale di certificati e licenze
• Comunicazioni client/server via tunnel SSL
Tecnologia: Licensing al di fuori del Firewall
• RMS server in DMZ
• Coppia di URL nella publishing license
• Richieste le credenziali all’utente
Demo
Utilizzo con Office e
Internet Explorer
Windows Rights Management Services
Approfondimento tecnico
Componenti server di RMS
• Web services• Certification
• Publishing
• Licensing
• Administration website
• Database• Configuration
• Logging
• Directory Services
RMS Cluster:
• I servizi sono stateless web services
• load balancing, ridondanza, performance
• I server in un cluster condividono medesima istanza database
RMS ClusterRMS Cluster
NLBNLB HSMHSM
RMS Web RMS Web ServicesServices•CertificationCertification•PublishingPublishing•LicensingLicensing
Log DBLog DB
Componenti server di RMS
• Chiave privata del server RMS
• Chiavi utente e indirizzi e-mail• Le chiavi utente sono generate dal servizio RMS
• Gli indirizzi e-mail sono ricavati da Active Directory
• Permission Templates
• Logs• Alla creazione e all’utilizzo di certificati e licenze,
può essere usato come strumento di auditing
Componenti Client di RMS
• RMS Client software + “Lockbox”• Le applicazioni RMS-enabled utilizzano le API del client RMS
• Le componenti client si appoggiano al “RMS lockbox” (secproc.dll) per effettuare le operazioni di sicurezza
• Credenziali computer e utente protette
• Certificato computer
• Certificato utente (RAC = Rights Account Certificate )
• Client Licensor Certificate (CLC)
Deployment: Machine Activation e User Certification
1. Il computer Client fa una richiesta all’Active Directory
2. Il computer Client ottiene l’URL per il servizio di attivazione
3. Il computer Client invia una richiesta di computer activation al server RMS
4. Il server RMS inoltra la richiesta attraverso il firewall
5. La richiesta di Attivazione è consegnata al servizio di Attivazione
6. Il Servizio di Attivazione compila la lockbox DLL
Deployment: Machine Activation e User Certification7. Il servizio di Attivazione restituisce la lockbox attraverso il
firewall
8. La Lockbox è restituita al Server RMS che ha originato la richiesta
9. Il file Lockbox è installato sul computer client
10. Il computer Client presenta le credenziali di logon al server RMS Certification
11. Viene costruito un RAC e viene installato sul client computer
12.Viene installato il CLC per abilitare l’offline publishing
CredenzialeCredenziale IdentificaIdentifica ContieneContiene Permette…Permette…
Machine Machine CertificateCertificate
(uno per user per PC)(uno per user per PC)
Un pc trustedUn pc trusted • Chiave pubblica del PCChiave pubblica del PC Al PC e relativo Lockbox di Al PC e relativo Lockbox di partecipare all’ambiente partecipare all’ambiente RMSRMS
Rights Account Rights Account Certificate (RAC)Certificate (RAC)
Un utente trustedUn utente trusted •Chiave pubblica dell’utenteChiave pubblica dell’utente
•La chiave privata dell’utente (cifrata con La chiave privata dell’utente (cifrata con la chiave pubblica del PC)la chiave pubblica del PC)
•Mail (s)Mail (s)
Di autenticare l’utente in tutti Di autenticare l’utente in tutti i futuri scambi con il server i futuri scambi con il server RMS (richiesta publishing RMS (richiesta publishing license e user license)license e user license)
Di fruire contenuti protetti Di fruire contenuti protetti agli utenti autorizzatiagli utenti autorizzati
Client Licensor Client Licensor Certificate (CLC)Certificate (CLC)
Un utente che può Un utente che può proteggere contentuto proteggere contentuto (“pubblicare”) al posto (“pubblicare”) al posto del Server RMS , senza del Server RMS , senza collegarsi al Server collegarsi al Server RMS RMS
• Chiave pubblica CLCChiave pubblica CLC
• Chiave privata CLC (cifrata con la Chiave privata CLC (cifrata con la chiave pubblica del RAC)chiave pubblica del RAC)
• Copia del certificato Licensor del Copia del certificato Licensor del Server RMSServer RMS
A un utente di proteggere A un utente di proteggere contenuti (i.e. “pubblicare”) contenuti (i.e. “pubblicare”) al posto del Server RMS, al posto del Server RMS, senza collegarsi al Server senza collegarsi al Server RMS RMS
Publishing Publishing LicenseLicense
(Rilasciato dal server (Rilasciato dal server RMS o da un utente RMS o da un utente via CLC)via CLC)
Policy (Utenti, diritti, Policy (Utenti, diritti, condizioni) che condizioni) che governano l’utilizzo dei governano l’utilizzo dei contenuticontenuti
•Informazioni sulle PolicyInformazioni sulle Policy
•Chiave simmetrica (AES) usata per Chiave simmetrica (AES) usata per cifrare il contenuto (cifrata con la chiave cifrare il contenuto (cifrata con la chiave pubblica del Server RMS)pubblica del Server RMS)
•Un’altra copia della Chiave simmetrica Un’altra copia della Chiave simmetrica (AES) dei contenuti (cifrata con la chiave (AES) dei contenuti (cifrata con la chiave pubblica del CLC)pubblica del CLC)
•URL del server di licensingURL del server di licensing
Use LicenseUse License (Rilasciata dal server (Rilasciata dal server di licenze RMS)di licenze RMS)
•Chiave simmetrica (AES) usata per Chiave simmetrica (AES) usata per cifrare il contenuto (cifrata con la chiave cifrare il contenuto (cifrata con la chiave pubblica del RAC dell’utente autorizzato)pubblica del RAC dell’utente autorizzato)
A un Security principal A un Security principal (utente) di fruire contenuti in (utente) di fruire contenuti in accordo con le condizioni accordo con le condizioni nella Publishing Licensenella Publishing License
Credenziali e Licenze RMS
CredenzialeCredenziale IdentificaIdentifica ContieneContiene
Machine Certificate
Una postazione riconosciuta
• Chiavi pubblica e privata del computer
Rights Account Certificate (RAC)
Un utente autenticato • Chiavi pubblica e privata dell’utente
Client Licensor Certificate (CLC)
Permette di pubblicare documenti offline
• Chiavi pubblica e privata CLC
• Copia del certificato del Server RMS di licensing
Publishing License
Policy che regolano l’uso di un documento (utenti, privilegi, condizioni)
• Policy
• Chiavi simmetriche AES (Content Key) cifrate con certificato RMS o CLC
• URL del licensing server
Use License (Rilasciata da un RMS licensing server)
• Chiave simmetriche AES per decifrare il documento (cifrata con RAC)
Rights Account Certificate (RAC), signed with RMS Server Public key
-User Private Key, Encrypted with the machine public key
-User Public Key
Client Computer(s) RMS Server (configurazione single-server)
2. Installazione del Client RMS
1. Installazione applicazioni RMS-enabled
Il Client RMS attiva il PC-Richiama RMActivate.exe per generare la coppia di chiavi per il PC e firma il Certificato Machine (contiene la chiave pubblica Machine)
4. L’utente si autenticaCertificazione:Verifica il SID utente in AD eGenera la coppia di chiavi utente
Flusso delle Chiavi RMS: Client “Bootstrapping”
Request Client Licensor Certificate
RACValidate RACGenerate “Client” Key Pair
Client Licensor Certificate (CLC), signed with RMS Server Public key
-CLC Private key, encrypted with the RAC public key
-CLC Public key and copy of SLC
User can publish online or consume
User can publish offline
Authentication credentials
3. L’utente usa RMS per la prima volta
AutoreAutoreServer RMSServer RMS
• Content key cifrata2. Crittografa la content key con la chiave pubblica del server RMS e la invia con le policy scelte al server RMS.
4. Riceve la PL e la allega al documento crittografato
• policy d’utilizzo
1. Genera una “content key” (AES), e la usa per crittografare il documento
AES content key
RMS Server public key
RMS Server private key
• documento cifrato
• AES key cifrata• policy d’utiilzzo• url del server RMS
Publishing License
• documento cifrato
Pubblicazione Online di documenti
Applicazione e client RMSApplicazione e client RMS
3. Crea la Publishing License (PL) e la firma con la propria chiave privata
• AES key cifrata• policy d’utilizzo• url del server RMS
Publishing License
“Publisher” / Sender
Flusso Chiavi RMS : Offline Publishing (con CLC)
Utente protegge il contenuto (ex doc Word)
•encrypted AES content key2. Cifra la content key con la chiave pubblica del server RMS (così il server può decifrarla in seguito … la chiave
pubblica del server è contenuta nel SLC server, dentro il client CLC)
3. Cifra la content key con la chiave pubblica CLC (per creare la “owner” license)
4. Crea la publishing license (PL), include entrambe le copie cifrate della content key, i rights information, e la url del RMS server, e la firma con la chiave privata del CLC
• encrypted content5. Appende la Publishing License PL al contenuto
Client Licensor CertificateCLC Private keyCLC Public keycopy of SLC
•encrypted AES content key
Applicazione e Client RMS :
AES content key
RMS Server public key
•2 encrypted AES keys•Policy di utilizzo•url of RMS server
Publishing License
• encrypted content1. Applicazioni RMS-enabled generano l’AES content key, e la usano per cifrare il contenuto
“Publisher” / Sender
RMS Server
“Consumer” / Recipient
RMS Key Flow Detail: Offline Publishing & Consumption
Application and RMS client1. Generate AES key and encrypt content 2. Encrypt AES key with the public key of the
client’s CLC (for “owner” license)3. Encrypt another copy of the AES key with RMS
server’s public key (so server can decrypt it later for the recipient…server public key is contained in client CLC)
4. Create “Publishing License” (PL), sign with CLC private key and append to encrypted content
(Assuming recipient has RMS Client and RAC)
Saves content (e.g. Word doc)Recipient user opens content
Application and RMS Client1. Inspect PL for RMS
Service url.2. Send “Use License
Request “ (PL + RAC) to licensing server specified by url.
RMS Server1. Validates recipient RAC2. Inspects PL for rights3. Validates user in AD4. Un-encrypts content key & re-
encrypts it with recipient RAC’s public key
5. Returns encrypted content key in use license
RMS Client uses RAC private key (unavailable to user) to unencrypt the content keyApplication renders the file and enforces the rights
• encrypted content
•2 encrypted AES keys•rights information•url of RMS server
Publishing License
• encrypted content
•2 encrypted AES keys•rights information•url of RMS server
Publishing License
Esempio: documento protetto Word, Excel, or Powerpoint 2003
Rights Info(email addresses)
Content KeyCifrata con la chiave pubblica del server RMS
Publishing License
Contenuto del file(Testo, foto, metadati, etc)
End User Licenses
Content Key
Diritti per un particolare utente
Criptata con la chiave pubblica dell’utente RAC
Creata quando il file viene protetto
Aggiunte al file dopo
l’assegnazione della licenza dal
server
Cifrato con la Content Key:
chiave simmetrica AES 128-bit
Cifrata con la chiave pubblica del server RMS
In Outlook
Le licenze utente sono memorizzate nel profilo
Criptata con la chiave pubblica
dell’utente
Demo
Gestione di RMS
Requisiti software
ServerServer
• Window Server 2003
• Standard, Enterprise, Web o Datacenter
• Windows RMS
• Active Directory® directory service
• Windows Server 2000 o successivi
• Deve essere compilato il campo “e-mail addres” di ogni utente RMS
• Database Server
• Microsoft SQL Server™ o MSDE
ClientClient
• Windows 2000 Pro o successivo
• Windows Rights Management client software
• Applicazione RMS-enabled
• Necessaria per creare o visualizzare contenuti protetti
• Microsoft Office 2003 include applicazioni RMS-enabled: Word, Excel, PowerPoint, Outlook
• Office Professional 2003 per la creazione di documenti protetti
• Le altre versioni per utilizzare documenti protetti
• Internet Explorer con Rights Management Add-on (RMA) per visualizzare contenuti protetti
Creazione/
Protezione Modifica Lettura
Professional Edition 2003 &
Professional Enterprise Edition 2003
Prodotti “2003” Standalone
Standard Edition 2003
Small Business Edition 2003
Student e Teacher Edition 2003
Versioni precedenti *
* Utilizzando l’Add-on RMS per Internet Explorer
Funzionalità IRM in Office 2003
RMS Licensing
Per implementare RMS sono necessarie:• Windows Server 2003 Server
• Windows Server 2003 Client Access Licenses (CALs)
• Nessuna licenza RMS Server (è un servizio di Windows Server 2003)
• Windows RMS CAL
• Ogni utente o device che crea o utilizza contenuti protetti richiede una CAL RMS.
Interoperabilità con utenti esterni
• Necessaria un’identità riconosciuta da RMS• Creare in Active Directory account per gli utenti esterni
• Implementare relazioni di trust tra server RMS
• Utilizzare identità RMS basate su Passport
• Extranet Active Directory e RMS per i partners
• Servizi di outsourcing RMS presso Microsoft partners
• Accesso dall’esterno ai servizi RMS• Pubblicazione dell’URL dei servizi RMS
• https://rmsservice.fqdn.com/.../license.asmx
• Creazione di un Cluster RMS separato
HP per TechNet : il Server HP per TechNet : il Server utilizzato utilizzato
• HP ProLiant ML350-G4•Processore : Intel Xeon 3.4 GHz/1MB L2 cache •Memoria : 3.0 GB PC2700 DIMM•Network Controller : NC7761 PCI Gigabit NIC •RAID Controller : Smart Array 641 Controller •Hard Drive : 6 x 72GB 15K SCSI U320 HotPlug
Dove poter approfondire
• Informazioni sui prodotti
• http://www.microsoft.com/windowsserver2003/
• http://www.microsoft.com/windowsserver2003/technologies/rightsmgmt/
• http://www.microsoft.com/technet/prodtechnol/office/office2003/operate/of03irm.mspx
• Download
• http://go.microsoft.com/fwlink/?linkid=17673
• http://www.microsoft.com/windowsserver2003/evaluation/overview/technologies/rmenterprise.mspx
• Technet
• www.microsoft.com/italy/technet
Domande?