Windows Right Management
Service
Agenda




Internet Information Server 6.0
Shadow Copy
Windows System Resource Manager
WMI
Introduzione



Evoluzione e diffusione della comunicazione
elettronica
Problema: furti e/o gestione non adeguata della
proprietà intellettuale e di altre informazioni
riservate.
Microsoft usa:



Office Outlook® 2003 per scambiare comunicazioni
di lavoro all'interno e all'esterno dell'azienda
Office Professional Edition 2003 per gestire i
documenti.
Necessità: soluzione che consenta di
proteggere le informazioni (nelle e-mail e nei
documenti), senza limitare la produttività.
Microsoft Windows® Rights
Management Services (RMS)





E’ un nuovo servizio di Windows Server™ 2003 utilizzato
insieme a Office Professional Edition 2003
Consente di proteggere documenti e messaggi e- mail
Usa diritti basati su criteri specifici di utilizzo. Per ogni
documento è possibile specificare:
 gli utenti autorizzati ad aprirlo
 le operazioni consentite
 l'intervallo di tempo per cui è possibile continuare a utilizzarlo.
I diritti vengono applicati direttamente all'oggetto da
proteggere:
 Le impostazioni di protezione rimangono associate a tale
oggetto indipendentemente dal destinatario dell'e-mail o dal
percorso in cui viene memorizzato il file.
I messaggi e i documenti sono codificati e, per decodificarne il
contenuto e usufruire dei diritti di utilizzo specifici del
destinatario, è necessaria una specifica autorizzazione
(“licenza d'uso”) generata dal server RMS.
Esempio

Da quando Microsoft ha implementato
RMS a livello globale:



Ogni settimana circa 12.000 diversi utenti
applicano diritti ai propri file
Vengono emesse in media 25.500 licenze per
l'utilizzo di qualche contenuto.
Queste cifre sono in continuo aumento
Windows Rights Management
Services





Web service basato su Microsoft .NET è disponibile in
Windows Server 2003.
http://www.microsoft.com/windowsserver2003/downloads/f
eaturepacks/default.mspx.
Utilizzabile con le applicazioni che lo supportano (Office
Professional Edition 2003):
Può specificare gli utenti autorizzati a visualizzare il
contenuto di e-mail e documenti riservati
Imposta i diritti di utilizzo (associati direttamente agli
oggetti) per:
 limitare l'utilizzo del contenuto e specificare gli utenti
autorizzati.
 Impostare diritti diversi per i singoli utenti o gruppi
(account utente di Active Directory® 2000 o 2003 o di
Microsoft .NET Passport).
 Impostare i diritti dei consumer in modo che scadano.
Windows Rights Management
Services


I criteri dei diritti di utilizzo vengono associati
direttamente al contenuto protetto, anziché al
contenitore in cui esso è memorizzato (ACL)
La protezione viene mantenuta anche se le
informazioni:





Vengono inoltrate a un account di posta elettronica
esterno al firewall dell'azienda
Vengono inviate come allegato di una e-mail
in un sito Web di SharePoint™ o in una cartella
condivisa in un file server,
Vengono memorizzate in un CD, in un'unità USB o in
un disco floppy.
Viene utilizzata la crittografia a 128 bit.
Windows Rights Management
Services





RMS offre la piattaforma per questa tecnologia,
Office Professional Edition 2003 è l’applicazione client
che consente di applicarla.
Information Rights Management (IRM) di Office
Professional Edition 2003:
 Definisce i criteri per i diritti da applicare ai
documenti
 Applica e impone i criteri con le tecnologie della
piattaforma RMS.
Rights Management Add-On (RMA): plug-in di Internet
Explorer, compatibile con RMS, per la visualizzazione di
documenti codificati senza avere Office Pro 2003.
Usate anche per accesso via OWA ai messaggi di posta
elettronica e ai documenti di Office Pro 2003 inviati
come allegati e protetti da diritti.
Estendibilità



Qualsiasi programma in grado di produrre,
memorizzare, gestire, visualizzare, trasferire o
utilizzare dati può essere esteso in modo da
sfruttare i servizi RMS.
Al momento Office Pro 2003 è l'unica
applicazione in grado di sfruttare la piattaforma
RMS.
Microsoft IT ha iniziato a studiare la possibilità
di implementare questa tecnologia in molte
delle principali applicazioni line-of-business,
oltre che per migliorare la protezione dei siti
Intranet riservati.
Alternative



S/MIME
ACL
EFS
Tecnologia RMS





Un utente tenta di aprire una e-mail o un documento
protetto
RMS identifica il consumer tramite l'indirizzo di
posta elettronica SMTP assegnato all'account di
accesso di quest'ultimo contenuto in Active
Directory
Confronta i dati di identificazione con l'elenco dei
diritti associati al contenuto protetto.
Se il consumer dispone di diritti utente, (per il
singolo account o per l'appartenenza a un gruppo
di distribuzione) il server RMS genera una licenza
d'uso per il consumer.
Il consumer può aprire il documento protetto da
un'applicazione che supporta RMS solo se dispone
di una licenza generata dal server RMS
Licenze: licenza di pubblicazione





Generata al momento della prima applicazione della
protezione a un documento.
A ogni documento protetto è associata una specifica
licenza di pubblicazione.
Possono essere create in linea o non in linea
Per la pubblicazione in linea è necessaria una connessione
al server RMS.
Il servizio IRM di Office Pro 2003 esegue sempre la
pubblicazione non in linea
 Il computer client RMS genera la licenza di pubblicazione
senza contattare il server RMS, può farlo solo se è stato
attivato e ha ricevuto un apposito certificato di
pubblicazione, generato dal server RMS e scaricato nel
computer client al momento della pubblicazione del primo
documento protetto.
 Per questa operazione è necessaria sempre una
connessione al server RMS.
Licenze: licenze d'uso 1/2





Necessaria per utilizzare il contenuto protetto
Deve essere utilizzata dall'applicazione RMS per
decodificare il contenuto e applicare le limitazioni d'uso
specifiche del consumer.
Ogni documento protetto richiede una specifica licenza
d'uso.
 Un consumer (in possesso dei diritti relativi) apre un
documento protetto
 Il server RMS genera la licenza d'uso in risposta alla
richiesta di licenza inviata.
A seconda dei criteri applicati, le licenze d'uso possono
essere memorizzate e riutilizzate per aprire più volte il
documento protetto.
Per i documenti di Office Pro 2003:
 Il consumer ha l'accesso in scrittura per il file
 La licenza d'uso viene associata direttamente al file del
documento protetto
 Potrà essere aperto in qualsiasi computer attivato con
l'account di quell’ utente, senza riconnettersi al server
RMS, fino alla scadenza della licenza d'uso.
Licenze: licenze d'uso 2/2





Per Outlook 2003, la licenza d'uso viene
memorizzata nel computer locale dell'utente finale.
Le licenze d'uso per i messaggi protetti vengano
scaricate automaticamente durante i processi di
sincronizzazione con il server Exchange
(Configurato via Registry)
Se si mantiene l'impostazione predefinita, la prima
volta che l'utente finale tenta di aprire un
messaggio o un documento protetto viene
visualizzata una finestra di dialogo che chiede se si
desidera attivare tale impostazione in modo
permanente.
E’ possibile impostare le licenze d'uso in modo che
scadano dopo ogni accesso al contenuto protetto.
L'utente, per riaprire il documento, deve connettersi
al server RMS per ricevere un'altra licenza d'uso.
Tipi di diritti disponibili

Office Pro 2003




Diritti predefiniti validi per tutti i consumer (diritti di
lettura o di modifica).
Combinazioni di diritti personalizzate per i singoli
utenti o gruppi di consumer.
Modelli creati dall'amministratore di RMS, che
consentono di applicare un insieme predefinito di
diritti a un insieme predefinito di utenti o gruppi di
consumer.
Messaggi di posta elettronica:



I mittenti possono usare Outlook 2003 per applicare
diritti alle e-mail e a tutti gli allegati non protetti di
Word, Excel o PowerPoint eventualmente inclusi.
Per default Outlook 2003 consente di impostare
esclusivamente il diritto di sola lettura
Utilizzando un modello di criteri personalizzato è
possibile specificare anche altri diritti.
Tipi di diritti disponibili


In Office Pro 2003 (IRM), è possibile
impostare diritti che consentono o
impediscono al consumer di eseguire
determinate attività sul contenuto
protetto.
È possibile concedere o negare ai
consumer l'autorizzazione a leggere,
salvare, copiare, modificare, stampare e
inoltrare i documenti protetti, nonché
impostare una data di scadenza per i
diritti utente.
Tipi di crittografia utilizzati con
RMS



DES (Data Encryption Standard) a 56 bit
AES (Advanced Encryption Standard) a 128 bit.
Il tipo di crittografia effettivamente usato è
determinato dall'applicazione di pubblicazione.



Office 2003: AES a 128 bit (a chiave simmetrica).
I server RMS, i computer client e gli account
utente dispongono inoltre di una coppia di
chiavi, pubblica e privata (RSA a 1.024 bit).
RMS utilizza le chiavi pubblica e privata per:


Cifrare la chiave simmetrica e i dati relativi ai criteri
utilizzati per generare le licenze di pubblicazione e
d'uso
firmare digitalmente i certificati e le licenze RMS.
Processo di generazione e recupero
delle licenze utilizzato da IRM
Processo di generazione e recupero
delle licenze utilizzato da IRM





L'autore crea un documento riservato
utilizzando un'applicazione di Office Pro 2003
Quindi usa la finestra di dialogo Autorizzazioni
per personalizzare i diritti di utilizzo del
documento.
La prima scheda della finestra di dialogo
Autorizzazioni consente di assegnare i diritti
Sola lettura o Modifica a tutti i consumer o a
singoli utenti e/o gruppi di distribuzione.
Altre opzioni per assegnare diritti di Controllo
completo a singoli utenti e/o gruppi di
distribuzione o per modificare i diritti di Sola
lettura o di Modifica.
E’ possibile personalizzare ulteriormente le
impostazioni utilizzando tutti i diritti
Processo di generazione e recupero
delle licenze utilizzato da IRM





Office Pro 2003 pubblica sempre il contenuto in
modalità non in linea
Per attivare tale funzione è necessario
installare nel computer dell'autore una licenza
di pubblicazione, o Client Licensor Certificate
(CLC).
Licenza, generata dal server RMS, viene cifrata
con una chiave simmetrica casuale e con la
chiave pubblica del server RMS ed è pertanto
univoca per ogni computer di pubblicazione.
Dopo l'installazione della licenza CLC, per
pubblicare il contenuto non è più necessario
connettersi al server RMS.
Per pubblicare tutto il contenuto non in linea
generato dal computer di pubblicazione è
necessaria un'unica licenza CLC.
Processo di generazione e recupero
delle licenze utilizzato da IRM





L'applicazione di Office Pro 2003 utilizza la
licenza CLC installata per generare e firmare la
licenza di pubblicazione del documento.
RMS utilizza la chiave simmetrica casuale per
crittografare il documento e associa la licenza
di pubblicazione al file.
La chiave simmetrica casuale utilizzata per
codificare il file protetto viene quindi unita ai
criteri assegnati all'oggetto e cifrata utilizzando
la chiave pubblica del server RMS.
Solo il server RMS che ha emesso la licenza
CLC per l'autore può emettere licenze per
decodificare e aprire il contenuto cifrato con la
chiave simmetrica.
La licenza di pubblicazione contiene l'URL del
server RMS.
Processo di generazione e recupero
delle licenze utilizzato da IRM





L'autore distribuisce il documento protetto.
Il consumer riceve il documento protetto (per posta
elettronica, tramite un sito Web di SharePoint o su
un supporto rimovibile)
Lo apre utilizzando un'applicazione di Office 2003
che supporta RMS oppure Internet Explorer con
RMA.
L'applicazione di Office Pro 2003 richiede una
licenza d'uso al server RMS che ha emesso la
licenza CLC utilizzata per proteggere il contenuto.
Nella richiesta viene incluso il certificato RAC
(Rights Management User Account Certificate) del
consumer, che contiene la chiave pubblica del
consumer, le informazioni sui criteri e la licenza di
pubblicazione, a cui è stata aggiunta la chiave
simmetrica codificata utilizzata per cifrare il file.
Processo di generazione e recupero
delle licenze utilizzato da IRM





Il server RMS verifica che il consumer sia autorizzato e
che si tratti di un utente riconosciuto, quindi crea una
licenza d'uso.
Durante questo processo, il server decifra la chiave
simmetrica utilizzando la propria chiave privata,
riapplica la crittografia utilizzando la chiave pubblica del
consumer e la aggiunge alla licenza d'uso, che contiene
i diritti specificati nelle informazioni sui criteri inviate
con la richiesta di licenza d'uso.
Tali informazioni includono tutte le condizioni attinenti
alla licenza d'uso, come la scadenza o l'esclusione di
una determinata applicazione o sistema operativo.
Questo passaggio assicura che la chiave simmetrica, e
quindi il file protetto, possa essere decifrata solo dal
consumer desiderato.
Dopo la convalida, il server RMS restituisce la licenza
d'uso al computer client del consumer.
Processo di generazione e recupero
delle licenze utilizzato da IRM

Quando riceve la licenza d'uso, il componente
client di RMS la esamina, insieme al certificato
RAC del consumer, per determinare se in una
delle catene di trust è presente un certificato
che richiede il controllo di un elenco di revoca
dei certificati (CRL, Certificate Revocation List).



Il client RMS recupera una copia aggiornata del CRL
dal percorso specificato nella licenza d'uso e applica
le condizioni di revoca.
Se non esistono condizioni di revoca che
impediscono l'accesso al documento protetto,
l'applicazione di Office 2003 visualizza i dati
Il consumer può eseguire tutte le operazioni
consentite dai diritti di cui dispone.