Microsoft Information Rights Management IRM Technologie pro ochranu

Microsoft Information Rights Management (IRM) Technologie pro ochranu informací založená na Microsoft Windows Rights Management Services. Jan Kališ Technický specialista Microsoft, Česko a Slovensko Advanced Technologies 05

Agenda Základní terminologie Současné metody zabezpečení Komponenty a funkce řešení Podpora v Microsoft Office Informace o SP 1 Demo

Základní terminologie WRMS = Windows Rights Management Services někdy též RMS IRM = Information Rights Management konkrétní implementace technologie WRMS pro ochranu informací implementováno v Microsoft Office 2003 DRM = Digital Rights Management

Agenda Základní terminologie Současné metody zabezpečení Komponenty a funkce řešení Podpora v Microsoft Office Informace o SP 1 Demo

Dnešní zabezpečení informací Zabezpečení souborů An o Souborový server B Hranice společnosti Pr ov pří ěře stu ný p Ne Souborový server A „Mám-li přístup k souboru, mohu s ním nakládat podle vlastního uvážení…“

Dnešní zabezpečení informací „Zabezpečení“ e-mailové komunikace Většina bezpečnostních opatření je pouze papírová Je jednoduché přeposlat email nebo dokument Je jednoduché sdílet / prodávat důvěrné informace

Co tedy nabízí WRMS? Další stupeň řízení přístupu k informacím a způsobu práce s nimi Jednoznačné řízení toku informací Informace jsou šifrovány Přístup k informacím je kontrolovaný Možno omezit akce jako kopírování, tisk, export, … Lze nastavit „expiraci“ informací

Co WRMS není… …neprolomitelná, „hacker-proof“ bezpečnost …ochrana proti analogovým útokům každý email či dokument lze nakonec opsat či vyfotit digitálním fotoaparátem, pokud opravdu chcete

Co WRMS není… …Windows Media Rights Management 10 (DRM) http: //www. microsoft. com/windowsmedia/drm/ Chráněný obsah Windows Media (WM) Rights Manager 10 ace riz uto WM DRM 10 pro přenosná zařízení A Di st WM Format SDK další informace o kryptografii DRM na skrytém slidu rib uc e Obsahový server WM DRM 10 pro síťová zařízení

Agenda Základní terminologie Současné metody zabezpečení Komponenty a funkce řešení Podpora v Microsoft Office Informace o SP 1 Demo

Windows Rights Management Jaké komponenty jsou třeba… Microsoft Windows Rights Management Services (WRMS) pro Windows Server 2003 (zdarma) Aktualizace do Windows klientů (je třeba WRMS CAL) API pro Windows 98 SE a vyšší RM add-on pro Internet Explorer Aplikace podporující RM Aplikace třetích stran využívající služby RM Office System 2003 první ucelený programový balík s integrovanou podporou RM …k dispozici též Software development kit

Windows Rights Management Jak to funguje… Active Directory SQL Server 1. Autor získá certifikáty – stává se tak důvěryhodným vydavatelem chráněných informací 2. Autor nastaví pravidla užití informaci. Aplikace vytvoří „Publishing License“ a zašifruje dokument RMS Server 3. Autor dále distribuuje soubor 4 1 2 Autor chráněné informace 3 4. Příjemce jej otevírá, aplikace volá RMS Server, který ověřuje uživatele a vydává „Use License“ 5 Příjemce chráněné informace 5. Aplikace poté zobrazuje obsah dokumentu a aplikuje nastavená omezení

WRMS – publikace obsahu Vytvoření „Publishing License (PL)“ Lockbox DLL CLC Client Licensor Certificate Rights Account Certificate 1) Vygeneruje symetrický klíč (128 AES) 2) Extrahuje veřejný klíč RMS serveru z CLC 5) Extrahuje privátní klíč CLC pomocí privátního klíče z RAC RMS klient 3) Zašifruje symetrický klíč veřejným klíčem serveru 4) Vloží zašifrovaný symetrický klíč do PL (Publishing License) Publishing License 6) Podepíše PL pomocí privátního klíče CLC 7) Vloží PL do dokumentu obsah

WRMS – zobrazení obsahu Vytvoření „Use license“ RMS klient PL 1) Požadavek na UL RAC RMS Server 2) Dešifruje symetrický klíč svým soukromým klíčem RMS Server privátní klíč 3) Zašifruje symetrický klíč veřejným klíčem uživatele 4) Přidá k Use License (UL) Use License 6) Odpověď na požadavek vytvoření UL Use License 5) Podepíše UL

Agenda Základní terminologie Současné metody zabezpečení Komponenty a funkce řešení Podpora v Microsoft Office Informace o SP 1 Demo

Technologie WRMS … a podpora v Microsoft Office System 2003 = IRM Outlook 2003 lze zabránit přeposílání, kopírování, úpravě či tisku obsahu e-mailů Excel 2003, Word 2003, Power. Point 2003 zabezpečení na úrovni uživatelů či skupin vlastník dokumentu definuje práva plný přístup, pouze čtení, i zápis Omezení tisku nebo časové omezení přístupu Možnost rozšíření podnikovými šablonami Nešířit mimo společnost (company confidential)

Information Rights Management Verze Office System a možnosti Aplikace Vytváření obsahu Zobrazení obsahu Office 2003 Professional Ano Office 2003 Standard Ne Ano Samostatné aplikace Office 2003 Ano Office XP/2000/97 (všechny verze) Ne Ne Rights Management Add-on pro Internet Explorer Ne Ano

Information Rights Management Autor - nastavení omezení… výčet uživatelů a jejich oprávnění možnosti dalšího nastavení jako expirace, tisk, kopírování obsahu… kontaktní informace na autora

Information Rights Management Příjemce – ověření oprávnění…

Information Rights Management Příjemce – práce s chráněným dokumentem… omezení – jen pro čtení omezení – nelze kopírovat informace o omezení

Information Rights Management Příjemce – přijetí chráněného e-mailu… informace o omezení

Agenda Základní terminologie Současné metody zabezpečení Komponenty a funkce řešení Podpora v Microsoft Office Informace o SP 1 Demo

Windows Rights Management Service Pack 1 - přehled Vyhovuje vyšším nárokům na bezpečnost a prostředí citlivými informacemi možnost činnosti v izolovaných sítích využívá certifikovanou kryptografii (FIPS 140) podporuje přihlášení pomocí Smartcard Zvyšuje užitnou hodnotu a zjednodušuje nasazení možnosti použitý rolí prostřednictvím skupin v AD – podpora Query Based Groups zjednodušuje nasazení serveru a aktivaci klientů bohatá dokumentace na http: //www. microsoft. com/RMS/ nové a vylepšené nástroje jako součást balíku RMS toolkit Možnost integrace se serverovými aplikacemi třetích stran rozšíření možností pro řešení nad RMS od společnosti Microsoft a partnerských společností: legislativní nařízení, rozšířená ochrana informací bezpečné firemní procesy centrální řízení ochrany informací vylepšená dokumentace pro vývojáře na SDK MSDN

Windows Rights Management Service Pack 1 - detailněji SP 1 server: Registrace kořene klastru lze udělat offline bez připojení registrační požadavek serveru se vyexportuje (XML soubor) požadavek se odešle přes https do microsoft. com certifikát licensora se importuje zpět do RMS serveru další licenční servery mohou být registrovány pomocí kořenového SP 1 klient: Aktivace se provádí plně automaticky aktivace RMS SP 1 klienta nepotřebuje připojení k Internetu aktivace RMS SP 1 klienta nevyžaduje práva lokálního administrátora client SP 1 klient (a server) používají FIPS certifikovanou kryptografii podporuje Smartkarty Lockbox využívá 1024 bit RSA klíče

Agenda Základní terminologie Současné metody zabezpečení Komponenty a funkce řešení Podpora v Microsoft Office Informace o SP 1 Demo

Technologie RMS • Uživatelské rozhraní doplňku pro Internet Explorer • Nástroj pro administraci služby RMS • Ukázka nástrojů z RMS Administration Toolkit Advanced Technologies 05

Windows Rights Management Zajímavé odkazy… Windows Rights Management http: //www. microsoft. com/rms/ Office online: http: //office. microsoft. com/ Office Resource Kit: http: //office. microsoft. com/en-us/FX 011417911033. aspx Rights Management Add-on pro IE http: //www. microsoft. com/windows/ie/downloads/add on/rm. mspx Rights Management Services SDK http: //msdn. microsoft. com/library/default. asp? url=/libr ary/en-us/dnanchor/html/rm_sdks_overview. asp

Otázky? Advanced Technologies 05

© 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. MICROSOFT MAKES NO WARRANTIES, EXPRESS OR IMPLIED, IN THIS SUMMARY.