La gestione sicura delle
informazioni: Windows Rights
Management
Fabrizio Grossi
Agenda
• Protezione delle informazioni digitali
• Cosè Windows Rights Management Services?
• Approfondimento tecnico
Protezione delle informazioni con Windows
Rights Management Services
Soluzione tradizionale: controllo degli accessi
Authorized
Users
Information
Leakage
Access Control
List
Unauthorized
Users
Unauthorized
Users
Firewall
Windows Rights Management Services
(RMS)
Tecnologia di protezione delle informazioni che aumenta le
strategie di sicurezza
•
Gli utenti possono salvaguardare facilmente le
informazioni sensibili dall’uso non autorizzato
•
Le organizzazioni possono controllare
centralmente le politiche interne di uso delle
informazioni
•
Gli sviluppatori possono sviluppare soluzioni
flessibili e personalizzabili di protezione delle
informazioni
RMS protegge
le informazioni
online, offline,
all’interno e
all’esterno
della rete
aziendale.
Information Rights Management
•
•
Strumento di applicazione di policy di sicurezza incluso in Microsoft
Office 2003
•
Aiuta a proteggere documenti ed informazioni dall’uso non
autorizzato
•
Impossibile da violare “per errore”: riduce la fuoriuscita inavvertita di
informazioni
Permette agli autori di identificare i destinatari autorizzati e di
definire le azioni consentite
•
•
Controllo sull’uso delle informazioni sensibili
Cifratura di e-mail (Outlook) e documenti (Word, Excel, PowerPoint)
e applicazione di policy individuali o di gruppo per la decifratura e
l’utilizzo
Scenari d’utilizzo
Mantiene all’interno le e-mail
interne
 Riduce il rischio di inoltro di
informazioni confidenziali
 Modelli per la gestione
centralizzata delle policy

Protezione
delle e-mail
Outlook 2003
Windows RMS
Controlla l’accesso a progetti
riservati
 Imposta diversi liveli di accesso:
lettura, modifica, stampa, copia…
 Determina la durata dell’accesso

Protezione
di documenti
Compatibilità
versioni
precedenti
Word 2003, PowerPoint 2003
Excel 2003, Windows RMS
Utenti senza Office 2003 possono
visualizzare documenti protetti
 Forza ugualmente i privilegi di
accesso

IE w/RMA, Windows RMS
Cosa non fa RMS …
Proteggere informazioni con RMS
Active Directory
Database Server
2. L’autore assegna i diritti d’uso al
documento; l’applicazione cifra il
file e pubblica la licenza
3. L’autore distribuisce il file
RMS Server
4
1
2
Autore
3
1. L’autore riceve un certificato
client la prima volta che utilizza il
servizio
5
Utilizzatore
4. L’utilizzatore apre il file,
l’applicazione contatta il server
RMS per validare l’utente e
assegnare la licenza d’uso
5. L’applicazione visualizza il
documento applicando le
restrizioni
Tecnologia: Licenze
• Publishing license
•
Creata quando il documento o il messaggio viene protetto
Creata online o offline
• Use license
•
Allegata al file del documento protetto
•
Salvata localmente per i messaggi e-mail
• Cifratura
•
DES 56-bit o AES 128-bit per il contenuto
•
Chiave RSA a 1,024-bit per la cifratura e per la firma digitale di
certificati e licenze
•
Comunicazioni client/server via tunnel SSL
Tecnologia: Licensing al di fuori del
Firewall
• RMS server in DMZ
• Coppia di URL nella publishing license
• Richieste le credenziali all’utente
Demo
Utilizzo con Office e
Internet Explorer
Windows Rights Management
Services
Approfondimento tecnico
Componenti server di RMS
RMS Cluster
• Web services
• Certification
• Publishing
• Licensing
RMS Web
Services
•Certification
•Publishing
•Licensing
• Administration website
• Database
• Configuration
• Logging
• Directory Services
Log DB
NLB
HSM
RMS Cluster:
•
I servizi sono stateless web services
•
load balancing, ridondanza, performance
•
I server in un cluster condividono
medesima istanza database
Componenti server di RMS
• Chiave privata del server RMS
• Chiavi utente e indirizzi e-mail
•
•
Le chiavi utente sono generate dal servizio RMS
Gli indirizzi e-mail sono ricavati da Active Directory
• Permission Templates
• Logs
•
Alla creazione e all’utilizzo di certificati e licenze,
può essere usato come strumento di auditing
Componenti Client di RMS
• RMS Client software + “Lockbox”
•
Le applicazioni RMS-enabled utilizzano le API del client RMS
•
Le componenti client si appoggiano al “RMS lockbox”
(secproc.dll) per effettuare le operazioni di sicurezza
• Credenziali computer e utente protette
• Certificato computer
• Certificato utente (RAC = Rights Account Certificate )
• Client Licensor Certificate (CLC)
Deployment: Machine Activation e
User Certification
1. Il computer Client fa una richiesta all’Active Directory
2. Il computer Client ottiene l’URL per il servizio di
attivazione
3. Il computer Client invia una richiesta di computer
activation al server RMS
4. Il server RMS inoltra la richiesta attraverso il firewall
5. La richiesta di Attivazione è consegnata al servizio di
Attivazione
6. Il Servizio di Attivazione compila la lockbox DLL
Deployment: Machine Activation e
User Certification
7. Il servizio di Attivazione restituisce la lockbox attraverso il
firewall
8. La Lockbox è restituita al Server RMS che ha originato la
richiesta
9. Il file Lockbox è installato sul computer client
10. Il computer Client presenta le credenziali di logon al
server RMS Certification
11. Viene costruito un RAC e viene installato sul client
computer
12.Viene installato il CLC per abilitare l’offline publishing
Credenziale
Identifica
Contiene
Permette…
Machine
Certificate
Un pc trusted
• Chiave pubblica del PC
Al PC e relativo Lockbox di
partecipare all’ambiente
RMS
Un utente trusted
•Chiave pubblica dell’utente
Di autenticare l’utente in
tutti i futuri scambi con il
server RMS (richiesta
publishing license e user
license)
(uno per user per PC)
Rights Account
Certificate (RAC)
•La chiave privata dell’utente (cifrata con
la chiave pubblica del PC)
•Mail (s)
Di fruire contenuti protetti
agli utenti autorizzati
Client Licensor
Certificate (CLC)
Publishing
License
(Rilasciato dal server
RMS o da un utente
via CLC)
Un utente che può
proteggere contentuto
(“pubblicare”) al posto
del Server RMS , senza
collegarsi al Server
RMS
• Chiave pubblica CLC
Policy (Utenti, diritti,
condizioni) che
governano l’utilizzo dei
contenuti
•Informazioni sulle Policy
• Chiave privata CLC (cifrata con la
chiave pubblica del RAC)
• Copia del certificato Licensor del
Server RMS
A un utente di proteggere
contenuti (i.e. “pubblicare”)
al posto del Server RMS,
senza collegarsi al Server
RMS
•Chiave simmetrica (AES) usata per
cifrare il contenuto (cifrata con la chiave
pubblica del Server RMS)
•Un’altra copia della Chiave simmetrica
(AES) dei contenuti (cifrata con la chiave
pubblica del CLC)
•URL del server di licensing
Use License
(Rilasciata dal server
di licenze RMS)
•Chiave simmetrica (AES) usata per
cifrare il contenuto (cifrata con la chiave
pubblica del RAC dell’utente autorizzato)
A un Security principal
(utente) di fruire contenuti in
accordo con le condizioni
nella Publishing License
Credenziali e Licenze RMS
Credenziale
Identifica
Contiene
Machine
Certificate
Una postazione
riconosciuta
• Chiavi pubblica e privata del computer
Rights Account
Certificate (RAC)
Un utente autenticato
• Chiavi pubblica e privata dell’utente
Client Licensor
Certificate (CLC)
Permette di pubblicare
documenti offline
• Chiavi pubblica e privata CLC
Publishing
License
Policy che regolano l’uso
di un documento (utenti,
privilegi, condizioni)
• Policy
• Copia del certificato del Server RMS di
licensing
• Chiavi simmetriche AES (Content Key) cifrate
con certificato RMS o CLC
• URL del licensing server
Use License
(Rilasciata da un RMS
licensing server)
• Chiave simmetriche AES per decifrare il
documento (cifrata con RAC)
Flusso delle Chiavi RMS: Client “Bootstrapping”
RMS Server
Client Computer(s)
1. Installazione applicazioni RMS-enabled
(configurazione single-server)
2. Installazione del Client RMS
3. L’utente usa RMS per la prima volta
Il Client RMS attiva il PC
-Richiama RMActivate.exe per generare la coppia di
chiavi per il PC e firma il Certificato Machine
(contiene la chiave pubblica Machine)
4. L’utente si autentica
User can
publish online
or consume
Authentication
credentials
Certificazione:
Verifica il SID utente in AD e
Genera la coppia di chiavi utente
Rights Account Certificate (RAC), signed with RMS Server Public key
-User Private Key, Encrypted with the machine public key
-User Public Key
Request Client
Licensor Certificate
User can publish offline
RAC
Validate RAC
Generate “Client” Key Pair
Client Licensor Certificate (CLC), signed with RMS Server Public key
-CLC Private key, encrypted with the RAC public key
-CLC Public key and copy of SLC
Pubblicazione Online di documenti
Autore
Server RMS
Applicazione e client RMS
• documento cifrato
1. Genera una
“content key” (AES), e
la usa per crittografare
il documento
2. Crittografa la content
key con la chiave
pubblica del server RMS
e la invia con le policy
scelte al server RMS.
• Content key cifrata
• policy d’utilizzo
3. Crea la Publishing
License (PL) e la firma
con la propria chiave
privata
Publishing License
• AES key cifrata
• policy d’utilizzo
• url del server RMS
Publishing License
• AES key cifrata
4. Riceve la PL e la
allega al documento
crittografato
• policy d’utiilzzo
• url del server RMS
• documento cifrato
AES content key
RMS Server public key
RMS Server private key
Flusso Chiavi RMS : Offline Publishing (con CLC)
“Publisher” / Sender
Utente protegge il
contenuto (ex doc Word)
1. Applicazioni RMS-enabled generano l’AES
content key, e la usano per cifrare il contenuto
• encrypted content
Applicazione e Client RMS :
2. Cifra la content key con la chiave
pubblica del server RMS (così il server Client Licensor Certificate
può decifrarla in seguito … la chiave
CLC Private key
pubblica del server è contenuta nel SLC
CLC Public key
server, dentro il client CLC)
copy of SLC
3. Cifra la content key con la chiave pubblica
CLC (per creare la “owner” license)
4. Crea la publishing license (PL), include
entrambe le copie cifrate della content key, i
rights information, e la url del RMS server, e
la firma con la chiave privata del CLC
5. Appende la Publishing License PL al
contenuto
•encrypted AES content key
•encrypted AES content key
Publishing License
•2 encrypted AES keys
•Policy di utilizzo
•url of RMS server
• encrypted content
AES content key
RMS Server public key
RMS Key Flow Detail: Offline Publishing & Consumption
Publishing License
Publishing License
•2 encrypted AES keys
•rights information
•url of RMS server
•2 encrypted AES keys
•rights information
•url of RMS server
• encrypted content
• encrypted content
“Publisher” / Sender
(Assuming recipient has
RMS Client and RAC)
Saves content (e.g. Word doc)
Recipient user opens content
Application and RMS client
1.
2.
3.
4.
Application and RMS Client
Client
RAC private
1.RMS
Inspect
PLuses
for RMS
keyService
(unavailable
url. to user) to
theLicense
content key
2.unencrypt
Send “Use
Application
renders
the
Request “ (PL
+ RAC)
to file
and
enforces
thespecified
rights
licensing
server
by url.
Generate AES key and encrypt content
Encrypt AES key with the public key of the
client’s CLC (for “owner” license)
Encrypt another copy of the AES key with RMS
server’s public key (so server can decrypt it later
for the recipient…server public key is contained
in client CLC)
Create “Publishing License” (PL), sign with CLC
private key and append to encrypted content
RMS Server
1.
2.
3.
4.
5.
“Consumer” / Recipient
Validates recipient RAC
Inspects PL for rights
Validates user in AD
Un-encrypts content key & reencrypts it with recipient RAC’s
public key
Returns encrypted content key
in use license
RMS Server
Esempio: documento protetto
Word, Excel, or Powerpoint 2003
Creata quando il
file viene protetto
Publishing
License
Cifrata con la
chiave pubblica
del server RMS
Content Key
End User
Licenses
Diritti per un
particolare utente
Rights Info
(email addresses)
Content Key
Cifrata con la
chiave pubblica
del server RMS
Cifrato con la
Content Key:
chiave simmetrica
AES 128-bit
Contenuto del file
(Testo, foto, metadati, etc)
In Outlook
Aggiunte al file
Le dopo
licenze
utente sono
l’assegnazione
memorizzate
della
licenza dal
nelserver
profilo
Criptata con la
chiave pubblica
dell’utente
Criptata con la
chiave pubblica
dell’utente RAC
Demo
Gestione di RMS
Requisiti software
Server
• Window Server 2003
• Standard, Enterprise, Web o
Datacenter
• Windows RMS
• Active Directory® directory service
• Windows Server 2000 o successivi
• Deve essere compilato il campo “email addres” di ogni utente RMS
• Database Server
• Microsoft SQL Server™ o MSDE
Client
•
Windows 2000 Pro o successivo
•
Windows Rights Management client
software
•
Applicazione RMS-enabled
• Necessaria per creare o visualizzare
contenuti protetti
• Microsoft Office 2003 include applicazioni
RMS-enabled: Word, Excel, PowerPoint,
Outlook
•
Office Professional 2003 per la creazione di
documenti protetti
•
Le altre versioni per utilizzare documenti
protetti
• Internet Explorer con Rights Management
Add-on (RMA) per visualizzare contenuti
protetti
Funzionalità IRM in Office 2003
Creazione/
Protezione
Modifica
Lettura
Professional Edition 2003 &
Professional Enterprise Edition 2003



Prodotti “2003” Standalone



Standard Edition 2003


Small Business Edition 2003


Student e Teacher Edition 2003


Versioni precedenti
* Utilizzando l’Add-on RMS per Internet Explorer
*
RMS Licensing
Per implementare RMS sono necessarie:
•
Windows Server 2003 Server
•
Windows Server 2003 Client Access Licenses (CALs)
•
Nessuna licenza RMS Server (è un servizio di Windows
Server 2003)
•
Windows RMS CAL
• Ogni utente o device che crea o utilizza contenuti protetti
richiede una CAL RMS.
Interoperabilità con utenti esterni
• Necessaria un’identità riconosciuta da RMS
•
Creare in Active Directory account per gli utenti esterni
•
Implementare relazioni di trust tra server RMS
•
Utilizzare identità RMS basate su Passport
•
Extranet Active Directory e RMS per i partners
•
Servizi di outsourcing RMS presso Microsoft partners
• Accesso dall’esterno ai servizi RMS
•
Pubblicazione dell’URL dei servizi RMS
• https://rmsservice.fqdn.com/.../license.asmx
•
Creazione di un Cluster RMS separato
HP per TechNet : il Server
utilizzato
• HP ProLiant ML350-G4
•Processore : Intel Xeon 3.4 GHz/1MB L2
cache
•Memoria : 3.0 GB PC2700 DIMM
•Network Controller : NC7761 PCI Gigabit NIC
•RAID Controller : Smart Array 641 Controller
•Hard Drive : 6 x 72GB 15K SCSI U320
HotPlug
Dove poter approfondire
•
•
•
Informazioni sui prodotti
•
http://www.microsoft.com/windowsserver2003/
•
http://www.microsoft.com/windowsserver2003/technologies/rightsmg
mt/
•
http://www.microsoft.com/technet/prodtechnol/office/office2003/operat
e/of03irm.mspx
Download
•
http://go.microsoft.com/fwlink/?linkid=17673
•
http://www.microsoft.com/windowsserver2003/evaluation/overview/te
chnologies/rmenterprise.mspx
Technet
•
www.microsoft.com/italy/technet
Domande?