La gestione sicura delle informazioni: Windows Rights Management Fabrizio Grossi Agenda • Protezione delle informazioni digitali • Cosè Windows Rights Management Services? • Approfondimento tecnico Protezione delle informazioni con Windows Rights Management Services Soluzione tradizionale: controllo degli accessi Authorized Users Information Leakage Access Control List Unauthorized Users Unauthorized Users Firewall Windows Rights Management Services (RMS) Tecnologia di protezione delle informazioni che aumenta le strategie di sicurezza • Gli utenti possono salvaguardare facilmente le informazioni sensibili dall’uso non autorizzato • Le organizzazioni possono controllare centralmente le politiche interne di uso delle informazioni • Gli sviluppatori possono sviluppare soluzioni flessibili e personalizzabili di protezione delle informazioni RMS protegge le informazioni online, offline, all’interno e all’esterno della rete aziendale. Information Rights Management • • Strumento di applicazione di policy di sicurezza incluso in Microsoft Office 2003 • Aiuta a proteggere documenti ed informazioni dall’uso non autorizzato • Impossibile da violare “per errore”: riduce la fuoriuscita inavvertita di informazioni Permette agli autori di identificare i destinatari autorizzati e di definire le azioni consentite • • Controllo sull’uso delle informazioni sensibili Cifratura di e-mail (Outlook) e documenti (Word, Excel, PowerPoint) e applicazione di policy individuali o di gruppo per la decifratura e l’utilizzo Scenari d’utilizzo Mantiene all’interno le e-mail interne Riduce il rischio di inoltro di informazioni confidenziali Modelli per la gestione centralizzata delle policy Protezione delle e-mail Outlook 2003 Windows RMS Controlla l’accesso a progetti riservati Imposta diversi liveli di accesso: lettura, modifica, stampa, copia… Determina la durata dell’accesso Protezione di documenti Compatibilità versioni precedenti Word 2003, PowerPoint 2003 Excel 2003, Windows RMS Utenti senza Office 2003 possono visualizzare documenti protetti Forza ugualmente i privilegi di accesso IE w/RMA, Windows RMS Cosa non fa RMS … Proteggere informazioni con RMS Active Directory Database Server 2. L’autore assegna i diritti d’uso al documento; l’applicazione cifra il file e pubblica la licenza 3. L’autore distribuisce il file RMS Server 4 1 2 Autore 3 1. L’autore riceve un certificato client la prima volta che utilizza il servizio 5 Utilizzatore 4. L’utilizzatore apre il file, l’applicazione contatta il server RMS per validare l’utente e assegnare la licenza d’uso 5. L’applicazione visualizza il documento applicando le restrizioni Tecnologia: Licenze • Publishing license • Creata quando il documento o il messaggio viene protetto Creata online o offline • Use license • Allegata al file del documento protetto • Salvata localmente per i messaggi e-mail • Cifratura • DES 56-bit o AES 128-bit per il contenuto • Chiave RSA a 1,024-bit per la cifratura e per la firma digitale di certificati e licenze • Comunicazioni client/server via tunnel SSL Tecnologia: Licensing al di fuori del Firewall • RMS server in DMZ • Coppia di URL nella publishing license • Richieste le credenziali all’utente Demo Utilizzo con Office e Internet Explorer Windows Rights Management Services Approfondimento tecnico Componenti server di RMS RMS Cluster • Web services • Certification • Publishing • Licensing RMS Web Services •Certification •Publishing •Licensing • Administration website • Database • Configuration • Logging • Directory Services Log DB NLB HSM RMS Cluster: • I servizi sono stateless web services • load balancing, ridondanza, performance • I server in un cluster condividono medesima istanza database Componenti server di RMS • Chiave privata del server RMS • Chiavi utente e indirizzi e-mail • • Le chiavi utente sono generate dal servizio RMS Gli indirizzi e-mail sono ricavati da Active Directory • Permission Templates • Logs • Alla creazione e all’utilizzo di certificati e licenze, può essere usato come strumento di auditing Componenti Client di RMS • RMS Client software + “Lockbox” • Le applicazioni RMS-enabled utilizzano le API del client RMS • Le componenti client si appoggiano al “RMS lockbox” (secproc.dll) per effettuare le operazioni di sicurezza • Credenziali computer e utente protette • Certificato computer • Certificato utente (RAC = Rights Account Certificate ) • Client Licensor Certificate (CLC) Deployment: Machine Activation e User Certification 1. Il computer Client fa una richiesta all’Active Directory 2. Il computer Client ottiene l’URL per il servizio di attivazione 3. Il computer Client invia una richiesta di computer activation al server RMS 4. Il server RMS inoltra la richiesta attraverso il firewall 5. La richiesta di Attivazione è consegnata al servizio di Attivazione 6. Il Servizio di Attivazione compila la lockbox DLL Deployment: Machine Activation e User Certification 7. Il servizio di Attivazione restituisce la lockbox attraverso il firewall 8. La Lockbox è restituita al Server RMS che ha originato la richiesta 9. Il file Lockbox è installato sul computer client 10. Il computer Client presenta le credenziali di logon al server RMS Certification 11. Viene costruito un RAC e viene installato sul client computer 12.Viene installato il CLC per abilitare l’offline publishing Credenziale Identifica Contiene Permette… Machine Certificate Un pc trusted • Chiave pubblica del PC Al PC e relativo Lockbox di partecipare all’ambiente RMS Un utente trusted •Chiave pubblica dell’utente Di autenticare l’utente in tutti i futuri scambi con il server RMS (richiesta publishing license e user license) (uno per user per PC) Rights Account Certificate (RAC) •La chiave privata dell’utente (cifrata con la chiave pubblica del PC) •Mail (s) Di fruire contenuti protetti agli utenti autorizzati Client Licensor Certificate (CLC) Publishing License (Rilasciato dal server RMS o da un utente via CLC) Un utente che può proteggere contentuto (“pubblicare”) al posto del Server RMS , senza collegarsi al Server RMS • Chiave pubblica CLC Policy (Utenti, diritti, condizioni) che governano l’utilizzo dei contenuti •Informazioni sulle Policy • Chiave privata CLC (cifrata con la chiave pubblica del RAC) • Copia del certificato Licensor del Server RMS A un utente di proteggere contenuti (i.e. “pubblicare”) al posto del Server RMS, senza collegarsi al Server RMS •Chiave simmetrica (AES) usata per cifrare il contenuto (cifrata con la chiave pubblica del Server RMS) •Un’altra copia della Chiave simmetrica (AES) dei contenuti (cifrata con la chiave pubblica del CLC) •URL del server di licensing Use License (Rilasciata dal server di licenze RMS) •Chiave simmetrica (AES) usata per cifrare il contenuto (cifrata con la chiave pubblica del RAC dell’utente autorizzato) A un Security principal (utente) di fruire contenuti in accordo con le condizioni nella Publishing License Credenziali e Licenze RMS Credenziale Identifica Contiene Machine Certificate Una postazione riconosciuta • Chiavi pubblica e privata del computer Rights Account Certificate (RAC) Un utente autenticato • Chiavi pubblica e privata dell’utente Client Licensor Certificate (CLC) Permette di pubblicare documenti offline • Chiavi pubblica e privata CLC Publishing License Policy che regolano l’uso di un documento (utenti, privilegi, condizioni) • Policy • Copia del certificato del Server RMS di licensing • Chiavi simmetriche AES (Content Key) cifrate con certificato RMS o CLC • URL del licensing server Use License (Rilasciata da un RMS licensing server) • Chiave simmetriche AES per decifrare il documento (cifrata con RAC) Flusso delle Chiavi RMS: Client “Bootstrapping” RMS Server Client Computer(s) 1. Installazione applicazioni RMS-enabled (configurazione single-server) 2. Installazione del Client RMS 3. L’utente usa RMS per la prima volta Il Client RMS attiva il PC -Richiama RMActivate.exe per generare la coppia di chiavi per il PC e firma il Certificato Machine (contiene la chiave pubblica Machine) 4. L’utente si autentica User can publish online or consume Authentication credentials Certificazione: Verifica il SID utente in AD e Genera la coppia di chiavi utente Rights Account Certificate (RAC), signed with RMS Server Public key -User Private Key, Encrypted with the machine public key -User Public Key Request Client Licensor Certificate User can publish offline RAC Validate RAC Generate “Client” Key Pair Client Licensor Certificate (CLC), signed with RMS Server Public key -CLC Private key, encrypted with the RAC public key -CLC Public key and copy of SLC Pubblicazione Online di documenti Autore Server RMS Applicazione e client RMS • documento cifrato 1. Genera una “content key” (AES), e la usa per crittografare il documento 2. Crittografa la content key con la chiave pubblica del server RMS e la invia con le policy scelte al server RMS. • Content key cifrata • policy d’utilizzo 3. Crea la Publishing License (PL) e la firma con la propria chiave privata Publishing License • AES key cifrata • policy d’utilizzo • url del server RMS Publishing License • AES key cifrata 4. Riceve la PL e la allega al documento crittografato • policy d’utiilzzo • url del server RMS • documento cifrato AES content key RMS Server public key RMS Server private key Flusso Chiavi RMS : Offline Publishing (con CLC) “Publisher” / Sender Utente protegge il contenuto (ex doc Word) 1. Applicazioni RMS-enabled generano l’AES content key, e la usano per cifrare il contenuto • encrypted content Applicazione e Client RMS : 2. Cifra la content key con la chiave pubblica del server RMS (così il server Client Licensor Certificate può decifrarla in seguito … la chiave CLC Private key pubblica del server è contenuta nel SLC CLC Public key server, dentro il client CLC) copy of SLC 3. Cifra la content key con la chiave pubblica CLC (per creare la “owner” license) 4. Crea la publishing license (PL), include entrambe le copie cifrate della content key, i rights information, e la url del RMS server, e la firma con la chiave privata del CLC 5. Appende la Publishing License PL al contenuto •encrypted AES content key •encrypted AES content key Publishing License •2 encrypted AES keys •Policy di utilizzo •url of RMS server • encrypted content AES content key RMS Server public key RMS Key Flow Detail: Offline Publishing & Consumption Publishing License Publishing License •2 encrypted AES keys •rights information •url of RMS server •2 encrypted AES keys •rights information •url of RMS server • encrypted content • encrypted content “Publisher” / Sender (Assuming recipient has RMS Client and RAC) Saves content (e.g. Word doc) Recipient user opens content Application and RMS client 1. 2. 3. 4. Application and RMS Client Client RAC private 1.RMS Inspect PLuses for RMS keyService (unavailable url. to user) to theLicense content key 2.unencrypt Send “Use Application renders the Request “ (PL + RAC) to file and enforces thespecified rights licensing server by url. Generate AES key and encrypt content Encrypt AES key with the public key of the client’s CLC (for “owner” license) Encrypt another copy of the AES key with RMS server’s public key (so server can decrypt it later for the recipient…server public key is contained in client CLC) Create “Publishing License” (PL), sign with CLC private key and append to encrypted content RMS Server 1. 2. 3. 4. 5. “Consumer” / Recipient Validates recipient RAC Inspects PL for rights Validates user in AD Un-encrypts content key & reencrypts it with recipient RAC’s public key Returns encrypted content key in use license RMS Server Esempio: documento protetto Word, Excel, or Powerpoint 2003 Creata quando il file viene protetto Publishing License Cifrata con la chiave pubblica del server RMS Content Key End User Licenses Diritti per un particolare utente Rights Info (email addresses) Content Key Cifrata con la chiave pubblica del server RMS Cifrato con la Content Key: chiave simmetrica AES 128-bit Contenuto del file (Testo, foto, metadati, etc) In Outlook Aggiunte al file Le dopo licenze utente sono l’assegnazione memorizzate della licenza dal nelserver profilo Criptata con la chiave pubblica dell’utente Criptata con la chiave pubblica dell’utente RAC Demo Gestione di RMS Requisiti software Server • Window Server 2003 • Standard, Enterprise, Web o Datacenter • Windows RMS • Active Directory® directory service • Windows Server 2000 o successivi • Deve essere compilato il campo “email addres” di ogni utente RMS • Database Server • Microsoft SQL Server™ o MSDE Client • Windows 2000 Pro o successivo • Windows Rights Management client software • Applicazione RMS-enabled • Necessaria per creare o visualizzare contenuti protetti • Microsoft Office 2003 include applicazioni RMS-enabled: Word, Excel, PowerPoint, Outlook • Office Professional 2003 per la creazione di documenti protetti • Le altre versioni per utilizzare documenti protetti • Internet Explorer con Rights Management Add-on (RMA) per visualizzare contenuti protetti Funzionalità IRM in Office 2003 Creazione/ Protezione Modifica Lettura Professional Edition 2003 & Professional Enterprise Edition 2003 Prodotti “2003” Standalone Standard Edition 2003 Small Business Edition 2003 Student e Teacher Edition 2003 Versioni precedenti * Utilizzando l’Add-on RMS per Internet Explorer * RMS Licensing Per implementare RMS sono necessarie: • Windows Server 2003 Server • Windows Server 2003 Client Access Licenses (CALs) • Nessuna licenza RMS Server (è un servizio di Windows Server 2003) • Windows RMS CAL • Ogni utente o device che crea o utilizza contenuti protetti richiede una CAL RMS. Interoperabilità con utenti esterni • Necessaria un’identità riconosciuta da RMS • Creare in Active Directory account per gli utenti esterni • Implementare relazioni di trust tra server RMS • Utilizzare identità RMS basate su Passport • Extranet Active Directory e RMS per i partners • Servizi di outsourcing RMS presso Microsoft partners • Accesso dall’esterno ai servizi RMS • Pubblicazione dell’URL dei servizi RMS • https://rmsservice.fqdn.com/.../license.asmx • Creazione di un Cluster RMS separato HP per TechNet : il Server utilizzato • HP ProLiant ML350-G4 •Processore : Intel Xeon 3.4 GHz/1MB L2 cache •Memoria : 3.0 GB PC2700 DIMM •Network Controller : NC7761 PCI Gigabit NIC •RAID Controller : Smart Array 641 Controller •Hard Drive : 6 x 72GB 15K SCSI U320 HotPlug Dove poter approfondire • • • Informazioni sui prodotti • http://www.microsoft.com/windowsserver2003/ • http://www.microsoft.com/windowsserver2003/technologies/rightsmg mt/ • http://www.microsoft.com/technet/prodtechnol/office/office2003/operat e/of03irm.mspx Download • http://go.microsoft.com/fwlink/?linkid=17673 • http://www.microsoft.com/windowsserver2003/evaluation/overview/te chnologies/rmenterprise.mspx Technet • www.microsoft.com/italy/technet Domande?