La gestione sicura delle informazioni: Windows Rights Management Andrea Candian Agenda • Protezione delle informazioni digitali • Cosè Windows Rights Management Services? • Approfondimento tecnico Protezione delle informazioni con Windows Rights Management Services Soluzione tradizionale: controllo degli accessi Authorized Users Information Leakage Access Control List Unauthorized Users Unauthorized Users Firewall Windows Rights Management Services (RMS) Tecnologia di protezione delle informazioni che aumenta le strategie di sicurezza • Gli utenti possono salvaguardare facilmente le informazioni sensibili dall’uso non autorizzato • Le organizzazioni possono controllare centralmente le politiche interne di uso delle informazioni • Gli sviluppatori possono sviluppare soluzioni flessibili e personalizzabili di protezione delle informazioni RMS protegge le informazioni online, offline, all’interno e all’esterno della rete aziendale. Information Rights Management • Strumento di applicazione di policy di sicurezza incluso in Microsoft Office 2003 – Aiuta a proteggere documenti ed informazioni dall’uso non autorizzato – Impossibile da violare “per errore”: riduce la fuoriuscita inavvertita di informazioni • Permette agli autori di identificare i destinatari autorizzati e di definire le azioni consentite – Controllo sull’uso delle informazioni sensibili • Cifratura di e-mail (Outlook) e documenti (Word, Excel, PowerPoint) e applicazione di policy individuali o di gruppo per la decifratura e l’utilizzo Scenari d’utilizzo Mantiene all’interno le e-mail interne Riduce il rischio di inoltro di informazioni confidenziali Modelli per la gestione centralizzata delle policy Protezione delle e-mail Outlook 2003 Windows RMS Controlla l’accesso a progetti riservati Imposta diversi liveli di accesso: lettura, modifica, stampa, copia… Determina la durata dell’accesso Protezione di documenti Compatibilità versioni precedenti Word 2003, PowerPoint 2003 Excel 2003, Windows RMS Utenti senza Office 2003 possono visualizzare documenti protetti Forza ugualmente i privilegi di accesso IE w/RMA, Windows RMS Cosa non fa RMS … Proteggere informazioni con RMS Active Directory Database Server 2. L’autore assegna i diritti d’uso al documento; l’applicazione cifra il file e pubblica la licenza 3. L’autore distribuisce il file RMS Server 4 1 2 Autore 3 1. L’autore riceve un certificato client la prima volta che utilizza il servizio 5 Utilizzatore 4. L’utilizzatore apre il file, l’applicazione contatta il server RMS per validare l’utente e assegnare la licenza d’uso 5. L’applicazione visualizza il documento applicando le restrizioni Demo Utilizzo con Office e Internet Explorer Windows Rights Management Services Approfondimento tecnico Componenti server di RMS RMS Cluster • Web services • Certification • Publishing • Licensing RMS Web Services •Certification •Publishing •Licensing • Administration website • Database • Configuration • Logging • Directory Services Log DB NLB HSM RMS Cluster: • I servizi sono stateless web services • load balancing, ridondanza, performance • I server in un cluster condivisono medesima istanza database Credenziali e Licenze RMS Credenziale Identifica Contiene Machine Certificate Una postazione riconosciuta • Chiavi pubblica e privata del computer Rights Account Certificate (RAC) Un utente autenticato • Chiavi pubblica e privata dell’utente Client Licensor Certificate (CLC) Permette di pubblicare documenti offline • Chiavi pubblica e privata CLC • Copia del certificato del Server RMS di licensing Publishing License Policy che regolano l’uso di un documento (utenti, privilegi, condizioni) • Policy • Chiavi simmetriche AES (Content Key) cifrate con certificato RMS o CLC • URL del licensing server Use License (Rilasciata da un RMS licensing server) • Chiave simmetriche AES per decifrare il documento (cifrata con RAC) Pubblicazione Online di documenti Autore Server RMS Applicazione e client RMS • documento cifrato 1. Genera una “content key” (AES), e la usa per crittografare il documento 2. Crittografa la content key con la chiave pubblica del server RMS e la invia con le policy scelte al server RMS. • Content key cifrata • policy d’utilizzo 3. Crea la Publishing License (PL) e la firma con la propria chiave privata Publishing License • AES key cifrata • policy d’utilizzo • url del server RMS Publishing License • AES key cifrata 4. Riceve la PL e la allega al documento crittografato • policy d’utiilzzo • url del server RMS • documento cifrato AES content key RMS Server public key RMS Server private key Creazione e utilizzo di documenti Offline Publishing License • 2 chiavi AES • policy d’utilizzo • url del server RMS • documento cifrato Autore Applicazione e client RMS 1. 2. (possiedeil client RMS ed il certificato utente “RAC”) Genera le chiavi AES e cifra il contenuto Crittografa la chiave AES con la chiave privata del certificato client (CLC) Cifra una copia della chiave AES con la chiave pubblica del server RMS Crea la “Publishing License” (PL) e la firma con la chiave privata del CLC 3. 4. Applicazione e client RMS 1. Ottiene dalla PL l’url del servizio RMS 2. Invia una richiesta d’utilizzo (PL + RAC) all’url del licensing server 3. 4. Server RMS Server RMS Valida il RAC dell’utilizzatore Verifica i diritti nella PL Valida l’utente in AD Decripta la chiave AES e la cifra con la chiave pubblica del RAC dell’utilizzatore 5. Restituisce la chiave cifrata 1. 2. 3. 4. Utilizzatore Il client RMS utilizza la chiave privata del RAC per decifrare la chiave AES e quindi decifra il documento L’applicazione visualizza il documento applicando le policy Esempio: documento protetto Word, Excel, or Powerpoint 2003 Creata quando il file viene protetto Publishing License Cifrata con la chiave pubblica del server Content Key End User Licenses Diritti per un particolare utente Rights Info (email addresses) Content Key Cifrata con la chiave pubblica del server Cifrato con la Content Key: chiave simmetrica AES 128-bit Contenuto del file (Testo, foto, metadati, etc) In Outlook Aggiunte al file Le dopo licenze utente sono l’assegnazione memorizzate della licenza dal nelserver profilo Criptata con la chiave pubblica dell’utente Criptata con la chiave pubblica dell’utente Demo Gestione di RMS Requisiti software Server – Window Server 2003 • Standard, Enterprise, Web o Datacenter – Windows RMS – Active Directory® directory service • Windows Server 2000 o successivi • Deve essere compilato il campo “e-mail addres” di ogni utente RMS – Database Server • Microsoft SQL Server™ o MSDE Client – Windows 2000 Pro o successivo – Windows Rights Management client software – Applicazione RMS-enabled • Necessaria per creare o visualizzare contenuti protetti • Microsoft Office 2003 include applicazioni RMS-enabled: Word, Excel, PowerPoint, Outlook – Office Professional 2003 per la creazione di documenti protetti – Le altre versioni per utilizzare documenti protetti • Internet Explorer con Rights Management Add-on (RMA) per visualizzare contenuti protetti Funzionalità IRM in Office 2003 Creazione/ Protezione Modifica Lettura Professional Edition 2003 & Professional Enterprise Edition 2003 Prodotti “2003” Standalone Standard Edition 2003 Small Business Edition 2003 Student e Teacher Edition 2003 Versioni precedenti * Utilizzando l’Add-on RMS per Internet Explorer * RMS Licensing Per implementare RMS sono necessarie: – Windows Server 2003 Server – Windows Server 2003 Client Access Licenses (CALs) – Nessuna licenza RMS Server (è un servizio di Windows Server 2003) – Windows RMS CAL • Ogni utente o device che crea o utilizza contenuti protetti richiede una CAL RMS. Interoperabilità con utenti esterni • Necessaria un’identità riconosciuta da RMS – – – – – Creare in Active Directory account per gli utenti esterni Implementare relazioni di trust tra server RMS Utilizzare identità RMS basate su Passport Extranet Active Directory e RMS per i partners Servizi di outsourcing RMS presso Microsoft partners • Accesso dall’esterno ai servizi RMS – Pubblicazione dell’URL dei servizi RMS • https://rmsservice.fqdn.com/.../license.asmx – Creazione di un Cluster RMS separato Come acquistare Windows Server • Promozione server per la media impresa • Disponibile per l’acquisto in Open License e in Open Value • Disponibile per il noleggio in Open Value Subscription da dicembre Promozione Windows Server System Servers 3x Windows Server Standard Exchange Server Standard MOM Workgroup Edition 50 Windows, Exchange CALs CAL (250 Max) Windows + Exchange Acquistalo con Open Value: è meglio! • Open Value è più conveniente, più facile, più completo • Pagamenti dilazionati • Il più basso costo annuale (Open Value Subscription) • Prezzi bloccati e costi prevedibili per ogni anno • Inoltre… …il Bundle in Open Value include: • Software Assurance, l’opzione di manutenzione del software Microsoft, con i seguenti importanti benefici: – Supporto web illimitato e telefonico (1 chiamata) – 5 licenze server di backup gratuite – Tutte le informazioni tecniche sui nostri prodotti, patch, prodotti per test – Corsi tecnici su CD interattivi; – Le versioni future dei server – Strumenti per la semplificazione dell’installazione/distribuzione del software – Strumenti per l’individuazione degli errori in rete e la definizione delle priorità d’intervento – Estensione del supporto tecnico oltre al periodo standard di 5 anni, senza pagamento del canone annuale Dove poter approfondire • Informazioni sui prodotti – http://www.microsoft.com/windowsserver2003/ – http://www.microsoft.com/windowsserver2003/technologies/right smgmt/ – http://www.microsoft.com/technet/prodtechnol/office/office2003/o perate/of03irm.mspx • Download – http://go.microsoft.com/fwlink/?linkid=17673 – http://www.microsoft.com/windowsserver2003/evaluation/overvie w/technologies/rmenterprise.mspx • Technet – www.microsoft.com/italy/technet Domande?