Windows Right Management Service Agenda Internet Information Server 6.0 Shadow Copy Windows System Resource Manager WMI Introduzione Evoluzione e diffusione della comunicazione elettronica Problema: furti e/o gestione non adeguata della proprietà intellettuale e di altre informazioni riservate. Microsoft usa: Office Outlook® 2003 per scambiare comunicazioni di lavoro all'interno e all'esterno dell'azienda Office Professional Edition 2003 per gestire i documenti. Necessità: soluzione che consenta di proteggere le informazioni (nelle e-mail e nei documenti), senza limitare la produttività. Microsoft Windows® Rights Management Services (RMS) E’ un nuovo servizio di Windows Server™ 2003 utilizzato insieme a Office Professional Edition 2003 Consente di proteggere documenti e messaggi e- mail Usa diritti basati su criteri specifici di utilizzo. Per ogni documento è possibile specificare: gli utenti autorizzati ad aprirlo le operazioni consentite l'intervallo di tempo per cui è possibile continuare a utilizzarlo. I diritti vengono applicati direttamente all'oggetto da proteggere: Le impostazioni di protezione rimangono associate a tale oggetto indipendentemente dal destinatario dell'e-mail o dal percorso in cui viene memorizzato il file. I messaggi e i documenti sono codificati e, per decodificarne il contenuto e usufruire dei diritti di utilizzo specifici del destinatario, è necessaria una specifica autorizzazione (“licenza d'uso”) generata dal server RMS. Esempio Da quando Microsoft ha implementato RMS a livello globale: Ogni settimana circa 12.000 diversi utenti applicano diritti ai propri file Vengono emesse in media 25.500 licenze per l'utilizzo di qualche contenuto. Queste cifre sono in continuo aumento Windows Rights Management Services Web service basato su Microsoft .NET è disponibile in Windows Server 2003. http://www.microsoft.com/windowsserver2003/downloads/f eaturepacks/default.mspx. Utilizzabile con le applicazioni che lo supportano (Office Professional Edition 2003): Può specificare gli utenti autorizzati a visualizzare il contenuto di e-mail e documenti riservati Imposta i diritti di utilizzo (associati direttamente agli oggetti) per: limitare l'utilizzo del contenuto e specificare gli utenti autorizzati. Impostare diritti diversi per i singoli utenti o gruppi (account utente di Active Directory® 2000 o 2003 o di Microsoft .NET Passport). Impostare i diritti dei consumer in modo che scadano. Windows Rights Management Services I criteri dei diritti di utilizzo vengono associati direttamente al contenuto protetto, anziché al contenitore in cui esso è memorizzato (ACL) La protezione viene mantenuta anche se le informazioni: Vengono inoltrate a un account di posta elettronica esterno al firewall dell'azienda Vengono inviate come allegato di una e-mail in un sito Web di SharePoint™ o in una cartella condivisa in un file server, Vengono memorizzate in un CD, in un'unità USB o in un disco floppy. Viene utilizzata la crittografia a 128 bit. Windows Rights Management Services RMS offre la piattaforma per questa tecnologia, Office Professional Edition 2003 è l’applicazione client che consente di applicarla. Information Rights Management (IRM) di Office Professional Edition 2003: Definisce i criteri per i diritti da applicare ai documenti Applica e impone i criteri con le tecnologie della piattaforma RMS. Rights Management Add-On (RMA): plug-in di Internet Explorer, compatibile con RMS, per la visualizzazione di documenti codificati senza avere Office Pro 2003. Usate anche per accesso via OWA ai messaggi di posta elettronica e ai documenti di Office Pro 2003 inviati come allegati e protetti da diritti. Estendibilità Qualsiasi programma in grado di produrre, memorizzare, gestire, visualizzare, trasferire o utilizzare dati può essere esteso in modo da sfruttare i servizi RMS. Al momento Office Pro 2003 è l'unica applicazione in grado di sfruttare la piattaforma RMS. Microsoft IT ha iniziato a studiare la possibilità di implementare questa tecnologia in molte delle principali applicazioni line-of-business, oltre che per migliorare la protezione dei siti Intranet riservati. Alternative S/MIME ACL EFS Tecnologia RMS Un utente tenta di aprire una e-mail o un documento protetto RMS identifica il consumer tramite l'indirizzo di posta elettronica SMTP assegnato all'account di accesso di quest'ultimo contenuto in Active Directory Confronta i dati di identificazione con l'elenco dei diritti associati al contenuto protetto. Se il consumer dispone di diritti utente, (per il singolo account o per l'appartenenza a un gruppo di distribuzione) il server RMS genera una licenza d'uso per il consumer. Il consumer può aprire il documento protetto da un'applicazione che supporta RMS solo se dispone di una licenza generata dal server RMS Licenze: licenza di pubblicazione Generata al momento della prima applicazione della protezione a un documento. A ogni documento protetto è associata una specifica licenza di pubblicazione. Possono essere create in linea o non in linea Per la pubblicazione in linea è necessaria una connessione al server RMS. Il servizio IRM di Office Pro 2003 esegue sempre la pubblicazione non in linea Il computer client RMS genera la licenza di pubblicazione senza contattare il server RMS, può farlo solo se è stato attivato e ha ricevuto un apposito certificato di pubblicazione, generato dal server RMS e scaricato nel computer client al momento della pubblicazione del primo documento protetto. Per questa operazione è necessaria sempre una connessione al server RMS. Licenze: licenze d'uso 1/2 Necessaria per utilizzare il contenuto protetto Deve essere utilizzata dall'applicazione RMS per decodificare il contenuto e applicare le limitazioni d'uso specifiche del consumer. Ogni documento protetto richiede una specifica licenza d'uso. Un consumer (in possesso dei diritti relativi) apre un documento protetto Il server RMS genera la licenza d'uso in risposta alla richiesta di licenza inviata. A seconda dei criteri applicati, le licenze d'uso possono essere memorizzate e riutilizzate per aprire più volte il documento protetto. Per i documenti di Office Pro 2003: Il consumer ha l'accesso in scrittura per il file La licenza d'uso viene associata direttamente al file del documento protetto Potrà essere aperto in qualsiasi computer attivato con l'account di quell’ utente, senza riconnettersi al server RMS, fino alla scadenza della licenza d'uso. Licenze: licenze d'uso 2/2 Per Outlook 2003, la licenza d'uso viene memorizzata nel computer locale dell'utente finale. Le licenze d'uso per i messaggi protetti vengano scaricate automaticamente durante i processi di sincronizzazione con il server Exchange (Configurato via Registry) Se si mantiene l'impostazione predefinita, la prima volta che l'utente finale tenta di aprire un messaggio o un documento protetto viene visualizzata una finestra di dialogo che chiede se si desidera attivare tale impostazione in modo permanente. E’ possibile impostare le licenze d'uso in modo che scadano dopo ogni accesso al contenuto protetto. L'utente, per riaprire il documento, deve connettersi al server RMS per ricevere un'altra licenza d'uso. Tipi di diritti disponibili Office Pro 2003 Diritti predefiniti validi per tutti i consumer (diritti di lettura o di modifica). Combinazioni di diritti personalizzate per i singoli utenti o gruppi di consumer. Modelli creati dall'amministratore di RMS, che consentono di applicare un insieme predefinito di diritti a un insieme predefinito di utenti o gruppi di consumer. Messaggi di posta elettronica: I mittenti possono usare Outlook 2003 per applicare diritti alle e-mail e a tutti gli allegati non protetti di Word, Excel o PowerPoint eventualmente inclusi. Per default Outlook 2003 consente di impostare esclusivamente il diritto di sola lettura Utilizzando un modello di criteri personalizzato è possibile specificare anche altri diritti. Tipi di diritti disponibili In Office Pro 2003 (IRM), è possibile impostare diritti che consentono o impediscono al consumer di eseguire determinate attività sul contenuto protetto. È possibile concedere o negare ai consumer l'autorizzazione a leggere, salvare, copiare, modificare, stampare e inoltrare i documenti protetti, nonché impostare una data di scadenza per i diritti utente. Tipi di crittografia utilizzati con RMS DES (Data Encryption Standard) a 56 bit AES (Advanced Encryption Standard) a 128 bit. Il tipo di crittografia effettivamente usato è determinato dall'applicazione di pubblicazione. Office 2003: AES a 128 bit (a chiave simmetrica). I server RMS, i computer client e gli account utente dispongono inoltre di una coppia di chiavi, pubblica e privata (RSA a 1.024 bit). RMS utilizza le chiavi pubblica e privata per: Cifrare la chiave simmetrica e i dati relativi ai criteri utilizzati per generare le licenze di pubblicazione e d'uso firmare digitalmente i certificati e le licenze RMS. Processo di generazione e recupero delle licenze utilizzato da IRM Processo di generazione e recupero delle licenze utilizzato da IRM L'autore crea un documento riservato utilizzando un'applicazione di Office Pro 2003 Quindi usa la finestra di dialogo Autorizzazioni per personalizzare i diritti di utilizzo del documento. La prima scheda della finestra di dialogo Autorizzazioni consente di assegnare i diritti Sola lettura o Modifica a tutti i consumer o a singoli utenti e/o gruppi di distribuzione. Altre opzioni per assegnare diritti di Controllo completo a singoli utenti e/o gruppi di distribuzione o per modificare i diritti di Sola lettura o di Modifica. E’ possibile personalizzare ulteriormente le impostazioni utilizzando tutti i diritti Processo di generazione e recupero delle licenze utilizzato da IRM Office Pro 2003 pubblica sempre il contenuto in modalità non in linea Per attivare tale funzione è necessario installare nel computer dell'autore una licenza di pubblicazione, o Client Licensor Certificate (CLC). Licenza, generata dal server RMS, viene cifrata con una chiave simmetrica casuale e con la chiave pubblica del server RMS ed è pertanto univoca per ogni computer di pubblicazione. Dopo l'installazione della licenza CLC, per pubblicare il contenuto non è più necessario connettersi al server RMS. Per pubblicare tutto il contenuto non in linea generato dal computer di pubblicazione è necessaria un'unica licenza CLC. Processo di generazione e recupero delle licenze utilizzato da IRM L'applicazione di Office Pro 2003 utilizza la licenza CLC installata per generare e firmare la licenza di pubblicazione del documento. RMS utilizza la chiave simmetrica casuale per crittografare il documento e associa la licenza di pubblicazione al file. La chiave simmetrica casuale utilizzata per codificare il file protetto viene quindi unita ai criteri assegnati all'oggetto e cifrata utilizzando la chiave pubblica del server RMS. Solo il server RMS che ha emesso la licenza CLC per l'autore può emettere licenze per decodificare e aprire il contenuto cifrato con la chiave simmetrica. La licenza di pubblicazione contiene l'URL del server RMS. Processo di generazione e recupero delle licenze utilizzato da IRM L'autore distribuisce il documento protetto. Il consumer riceve il documento protetto (per posta elettronica, tramite un sito Web di SharePoint o su un supporto rimovibile) Lo apre utilizzando un'applicazione di Office 2003 che supporta RMS oppure Internet Explorer con RMA. L'applicazione di Office Pro 2003 richiede una licenza d'uso al server RMS che ha emesso la licenza CLC utilizzata per proteggere il contenuto. Nella richiesta viene incluso il certificato RAC (Rights Management User Account Certificate) del consumer, che contiene la chiave pubblica del consumer, le informazioni sui criteri e la licenza di pubblicazione, a cui è stata aggiunta la chiave simmetrica codificata utilizzata per cifrare il file. Processo di generazione e recupero delle licenze utilizzato da IRM Il server RMS verifica che il consumer sia autorizzato e che si tratti di un utente riconosciuto, quindi crea una licenza d'uso. Durante questo processo, il server decifra la chiave simmetrica utilizzando la propria chiave privata, riapplica la crittografia utilizzando la chiave pubblica del consumer e la aggiunge alla licenza d'uso, che contiene i diritti specificati nelle informazioni sui criteri inviate con la richiesta di licenza d'uso. Tali informazioni includono tutte le condizioni attinenti alla licenza d'uso, come la scadenza o l'esclusione di una determinata applicazione o sistema operativo. Questo passaggio assicura che la chiave simmetrica, e quindi il file protetto, possa essere decifrata solo dal consumer desiderato. Dopo la convalida, il server RMS restituisce la licenza d'uso al computer client del consumer. Processo di generazione e recupero delle licenze utilizzato da IRM Quando riceve la licenza d'uso, il componente client di RMS la esamina, insieme al certificato RAC del consumer, per determinare se in una delle catene di trust è presente un certificato che richiede il controllo di un elenco di revoca dei certificati (CRL, Certificate Revocation List). Il client RMS recupera una copia aggiornata del CRL dal percorso specificato nella licenza d'uso e applica le condizioni di revoca. Se non esistono condizioni di revoca che impediscono l'accesso al documento protetto, l'applicazione di Office 2003 visualizza i dati Il consumer può eseguire tutte le operazioni consentite dai diritti di cui dispone.