La gestione sicura delle
informazioni: Windows Rights
Management
Andrea Candian
Agenda
• Protezione delle informazioni digitali
• Cosè Windows Rights Management
Services?
• Approfondimento tecnico
Protezione delle informazioni con
Windows Rights Management Services
Soluzione tradizionale: controllo degli accessi
Authorized
Users
Information
Leakage
Access Control
List
Unauthorized
Users
Unauthorized
Users
Firewall
Windows Rights Management
Services (RMS)
Tecnologia di protezione delle informazioni che
aumenta le strategie di sicurezza
• Gli utenti possono salvaguardare
facilmente le informazioni sensibili
dall’uso non autorizzato
• Le organizzazioni possono controllare
centralmente le politiche interne di uso
delle informazioni
• Gli sviluppatori possono sviluppare
soluzioni flessibili e personalizzabili di
protezione delle informazioni
RMS protegge
le informazioni
online, offline,
all’interno e
all’esterno
della rete
aziendale.
Information Rights Management
• Strumento di applicazione di policy di sicurezza incluso
in Microsoft Office 2003
– Aiuta a proteggere documenti ed informazioni dall’uso non
autorizzato
– Impossibile da violare “per errore”: riduce la fuoriuscita
inavvertita di informazioni
• Permette agli autori di identificare i destinatari autorizzati
e di definire le azioni consentite
– Controllo sull’uso delle informazioni sensibili
• Cifratura di e-mail (Outlook) e documenti (Word, Excel,
PowerPoint) e applicazione di policy individuali o di
gruppo per la decifratura e l’utilizzo
Scenari d’utilizzo
Mantiene all’interno le e-mail
interne
 Riduce il rischio di inoltro di
informazioni confidenziali
 Modelli per la gestione
centralizzata delle policy

Protezione
delle e-mail
Outlook 2003
Windows RMS
Controlla l’accesso a progetti
riservati
 Imposta diversi liveli di accesso:
lettura, modifica, stampa, copia…
 Determina la durata dell’accesso

Protezione
di documenti
Compatibilità
versioni
precedenti
Word 2003, PowerPoint 2003
Excel 2003, Windows RMS
Utenti senza Office 2003 possono
visualizzare documenti protetti
 Forza ugualmente i privilegi di
accesso

IE w/RMA, Windows RMS
Cosa non fa RMS …
Proteggere informazioni con RMS
Active Directory
Database Server
2. L’autore assegna i diritti d’uso al
documento; l’applicazione cifra il
file e pubblica la licenza
3. L’autore distribuisce il file
RMS Server
4
1
2
Autore
3
1. L’autore riceve un certificato
client la prima volta che utilizza il
servizio
5
Utilizzatore
4. L’utilizzatore apre il file,
l’applicazione contatta il server
RMS per validare l’utente e
assegnare la licenza d’uso
5. L’applicazione visualizza il
documento applicando le
restrizioni
Demo
Utilizzo con Office e
Internet Explorer
Windows Rights
Management Services
Approfondimento tecnico
Componenti server di RMS
RMS Cluster
• Web services
• Certification
• Publishing
• Licensing
RMS Web
Services
•Certification
•Publishing
•Licensing
• Administration website
• Database
• Configuration
• Logging
• Directory Services
Log DB
NLB
HSM
RMS Cluster:
• I servizi sono stateless web services
• load balancing, ridondanza,
performance
• I server in un cluster condivisono
medesima istanza database
Credenziali e Licenze RMS
Credenziale
Identifica
Contiene
Machine
Certificate
Una postazione
riconosciuta
• Chiavi pubblica e privata del computer
Rights Account
Certificate
(RAC)
Un utente autenticato
• Chiavi pubblica e privata dell’utente
Client Licensor
Certificate
(CLC)
Permette di pubblicare
documenti offline
• Chiavi pubblica e privata CLC
• Copia del certificato del Server RMS di
licensing
Publishing
License
Policy che regolano
l’uso di un documento
(utenti, privilegi,
condizioni)
• Policy
• Chiavi simmetriche AES (Content Key)
cifrate con certificato RMS o CLC
• URL del licensing server
Use License
(Rilasciata da un
RMS licensing
server)
• Chiave simmetriche AES per decifrare
il documento (cifrata con RAC)
Pubblicazione Online di documenti
Autore
Server RMS
Applicazione e client RMS
• documento cifrato
1. Genera una
“content key” (AES), e
la usa per crittografare
il documento
2. Crittografa la content
key con la chiave
pubblica del server RMS
e la invia con le policy
scelte al server RMS.
• Content key cifrata
• policy d’utilizzo
3. Crea la Publishing
License (PL) e la firma
con la propria chiave
privata
Publishing License
• AES key cifrata
• policy d’utilizzo
• url del server RMS
Publishing License
• AES key cifrata
4. Riceve la PL e la
allega al documento
crittografato
• policy d’utiilzzo
• url del server RMS
• documento cifrato
AES content key
RMS Server public key
RMS Server private key
Creazione e utilizzo di documenti Offline
Publishing License
• 2 chiavi AES
• policy d’utilizzo
• url del server RMS
• documento cifrato
Autore
Applicazione e client RMS
1.
2.
(possiedeil client RMS ed
il certificato utente “RAC”)
Genera le chiavi AES e cifra il contenuto
Crittografa la chiave AES con la chiave
privata del certificato client (CLC)
Cifra una copia della chiave AES con la
chiave pubblica del server RMS
Crea la “Publishing License” (PL) e la firma
con la chiave privata del CLC
3.
4.
Applicazione e client RMS
1. Ottiene dalla PL l’url del servizio RMS
2. Invia una richiesta d’utilizzo (PL + RAC)
all’url del licensing server
3.
4.
Server RMS
Server RMS
Valida il RAC dell’utilizzatore
Verifica i diritti nella PL
Valida l’utente in AD
Decripta la chiave AES e la cifra con la
chiave pubblica del RAC dell’utilizzatore
5. Restituisce la chiave cifrata
1.
2.
3.
4.
Utilizzatore
Il client RMS utilizza la chiave privata
del RAC per decifrare la chiave AES e
quindi decifra il documento
L’applicazione visualizza il documento
applicando le policy
Esempio: documento protetto
Word, Excel, or Powerpoint 2003
Creata quando il
file viene protetto
Publishing
License
Cifrata con la
chiave pubblica
del server
Content Key
End User
Licenses
Diritti per un
particolare utente
Rights Info
(email addresses)
Content Key
Cifrata con la
chiave pubblica
del server
Cifrato con la
Content Key:
chiave simmetrica
AES 128-bit
Contenuto del file
(Testo, foto, metadati, etc)
In Outlook
Aggiunte al file
Le dopo
licenze
utente sono
l’assegnazione
memorizzate
della
licenza dal
nelserver
profilo
Criptata con la
chiave pubblica
dell’utente
Criptata con la
chiave pubblica
dell’utente
Demo
Gestione di RMS
Requisiti software
Server
– Window Server 2003
• Standard, Enterprise, Web o
Datacenter
– Windows RMS
– Active Directory® directory
service
• Windows Server 2000 o
successivi
• Deve essere compilato il campo
“e-mail addres” di ogni utente
RMS
– Database Server
• Microsoft SQL Server™ o
MSDE
Client
– Windows 2000 Pro o successivo
– Windows Rights Management
client software
– Applicazione RMS-enabled
• Necessaria per creare o visualizzare
contenuti protetti
• Microsoft Office 2003 include
applicazioni RMS-enabled: Word,
Excel, PowerPoint, Outlook
– Office Professional 2003 per la
creazione di documenti protetti
– Le altre versioni per utilizzare
documenti protetti
• Internet Explorer con Rights
Management Add-on (RMA) per
visualizzare contenuti protetti
Funzionalità IRM in Office 2003
Creazione/
Protezione Modifica
Lettura
Professional Edition 2003 &
Professional Enterprise Edition 2003



Prodotti “2003” Standalone



Standard Edition 2003


Small Business Edition 2003


Student e Teacher Edition 2003


Versioni precedenti
* Utilizzando l’Add-on RMS per Internet Explorer
*
RMS Licensing
Per implementare RMS sono necessarie:
– Windows Server 2003 Server
– Windows Server 2003 Client Access Licenses (CALs)
– Nessuna licenza RMS Server (è un servizio di
Windows Server 2003)
– Windows RMS CAL
• Ogni utente o device che crea o utilizza contenuti protetti
richiede una CAL RMS.
Interoperabilità con utenti esterni
• Necessaria un’identità riconosciuta da RMS
–
–
–
–
–
Creare in Active Directory account per gli utenti esterni
Implementare relazioni di trust tra server RMS
Utilizzare identità RMS basate su Passport
Extranet Active Directory e RMS per i partners
Servizi di outsourcing RMS presso Microsoft partners
• Accesso dall’esterno ai servizi RMS
– Pubblicazione dell’URL dei servizi RMS
• https://rmsservice.fqdn.com/.../license.asmx
– Creazione di un Cluster RMS separato
Come acquistare Windows Server
• Promozione server per la media impresa
• Disponibile per l’acquisto in Open License
e in Open Value
• Disponibile per il noleggio in Open Value
Subscription da dicembre
Promozione
Windows Server System
Servers
3x Windows Server Standard
Exchange Server Standard
MOM Workgroup Edition
50 Windows, Exchange CALs
CAL (250 Max)
Windows + Exchange
Acquistalo con Open Value:
è meglio!
• Open Value è più conveniente, più facile, più
completo
• Pagamenti dilazionati
• Il più basso costo annuale (Open Value
Subscription)
• Prezzi bloccati e costi prevedibili per ogni anno
• Inoltre…
…il Bundle in Open Value include:
• Software Assurance, l’opzione di manutenzione del
software Microsoft, con i seguenti importanti benefici:
– Supporto web illimitato e telefonico (1 chiamata)
– 5 licenze server di backup gratuite
– Tutte le informazioni tecniche sui nostri prodotti, patch, prodotti per
test
– Corsi tecnici su CD interattivi;
– Le versioni future dei server
– Strumenti per la semplificazione dell’installazione/distribuzione del
software
– Strumenti per l’individuazione degli errori in rete e la definizione delle
priorità d’intervento
– Estensione del supporto tecnico oltre al periodo standard di 5 anni,
senza pagamento del canone annuale
Dove poter approfondire
• Informazioni sui prodotti
– http://www.microsoft.com/windowsserver2003/
– http://www.microsoft.com/windowsserver2003/technologies/right
smgmt/
– http://www.microsoft.com/technet/prodtechnol/office/office2003/o
perate/of03irm.mspx
• Download
– http://go.microsoft.com/fwlink/?linkid=17673
– http://www.microsoft.com/windowsserver2003/evaluation/overvie
w/technologies/rmenterprise.mspx
• Technet
– www.microsoft.com/italy/technet
Domande?