Безопасный обмен: совместная работа без компромиссов (часть 3)

• Безопасный обмен: совместная работа без компромиссов (часть 2)

Введение

В первой части этой серии мы говорили о важности безопасного обмена в современной рабочей среде для совместной работы. Во второй части мы начали углубляться в мельчайшие детали различных методов обмена файлами и механизмов безопасности (и убедительных), которые вы можете внедрить, чтобы гарантировать, что ваши пользователи используют самые как это может быть, когда в процессе совместного использования.

В этой части 3 мы поговорим о том, как те, с кем вы делитесь такими данными, могут преднамеренно или непреднамеренно скомпрометировать информацию после того, как она покинет ваши руки, и о некоторых решениях, которые помогут предотвратить это.

Дилемма акционера

Делиться конфиденциальными данными с другими часто необходимо для выполнения работы, но как только информация покидает ваши руки (или, в данном случае, ваш компьютер), вы теряете контроль над ней, по крайней мере, в некоторой степени.

Например, если вы обсуждаете конфиденциальную информацию в электронной почте, эта почта может быть потеряна или предполагаемый получатель может намеренно или непреднамеренно переслать ее кому-то еще или скопировать и вставить в документ, который затем хранится в незащищенном месте. Если вы отправляете кому-то документ Word, содержащий конфиденциальную информацию, получатель может распечатать его для облегчения чтения, а затем оставить распечатанную копию или выбросить ее в мусорное ведро, где ее могут увидеть посторонние лица.

Получатели могут даже вносить изменения в ваши сообщения и документы, изменяя важные факты и значения.

Управление правами на помощь

К счастью, существует технология (и уже достаточно давно) для обеспечения определенного контроля над документами и сообщениями, которые вы создаете, в форме управления правами.

Управление цифровыми правами с годами приобрело плохую репутацию. Это в первую очередь из-за ассоциации DRM с владельцами авторских прав на музыку, которые были деспотичными в отношении соблюдения своих авторских прав. Проблема в том, что сама технология (как и все технологии) «тупая» и часто не различает законные и нелегитимные попытки доступа и блокирует тех, кто правильно заплатил за лицензии. По крайней мере, это часто делает использование контента неудобным для законных пользователей. Если поставщик контента меняет метод DRM или прекращает свою деятельность, оплативший его пользователь может навсегда потерять доступ к контенту.

Однако в контексте конфиденциальной деловой информации управление правами является очень полезным инструментом для защиты целостности и ограничения распространения деловой информации.

С помощью управления правами вы можете запретить получателям вашей информации копировать все или часть данных, печатать документ или сообщение, вносить изменения в содержимое или пересылать сообщения другим лицам. Вы можете указать, кто может открыть файл, и вы даже можете указать дату «самоуничтожения», чтобы его не могли открыть даже первоначальные получатели после этого времени. Вы даже можете запретить им использовать клавишу «Print Screen» на клавиатуре для копирования информации или использовать приложение для захвата экрана Snipping Tool, встроенное в Windows Vista и Windows 7 и 8.

Службы управления правами Microsoft

Microsoft впервые представила свои службы управления правами (RMS) в Windows Server 2003. В Windows Server 2008 они переименовали их в Службы управления правами Active Directory (AD RMS) и более тесно интегрировали их с Windows Active Directory. Чтобы запутать ситуацию, Microsoft называет технологию, используемую RMS, «управлением правами на информацию» (IRM), а клиентские приложения с поддержкой RMS — клиентами IRM.

AD RMS использует лицензии, выданные серверами RMS и клиентскими приложениями (включая мобильные приложения), которые запрашивают лицензии и применяют ограничения прав, указанные для файлов или сообщений. Когда вы создаете документ или сообщение и защищаете его с помощью RMS, клиентское приложение запрашивает сертификат клиентского лицензиара (лицензию на публикацию), который используется для шифрования файла. Когда получатель хочет открыть защищенный файл, его/ее клиентское приложение запрашивает лицензию конечного пользователя, после чего приложение применяет политики, установленные в лицензии на публикацию.

Компоненты сервера AD RMS работают в информационных службах Интернета (IIS) и хранят информацию в SQL Server. Один сервер AD RMS в лесу действует как корневой сервер сертификации, а остальные работают как серверы лицензирования. AD RMS можно использовать в лесу AD или в лесах с доверенными пользовательскими доменами, доверенными доменами публикации или через федеративные службы Active Directory.

Развертывание AD RMS с помощью Server Manager и PowerShell

В Windows Server 2012/2012 R2 AD RMS развертывается как роль сервера. Данные AD RMS хранятся в базе данных SnQL Server. Теперь его можно установить локально или удаленно с помощью мастера добавления ролей и компонентов диспетчера серверов. В предыдущих версиях вы могли запустить программу установки только на том же сервере, на котором вы устанавливали AD RMS (без удаленного развертывания). Это было долгожданным изменением для ИТ-специалистов, которые часто настраивают серверы и управляют ими с удаленных компьютеров. Вы также можете использовать Windows PowerShell для развертывания AD RMS в Server 2012/2012 R2.

Развертывание AD RMS — это процесс, состоящий из двух частей, независимо от того, какой метод вы используете. Первая часть состоит из копирования и установки файлов, необходимых для AD RMS. Вторая часть включает в себя выбор из доступных вариантов развертывания и настройку серверов/кластера AD RMS.

Для тех, кто хотел бы оценить службу перед ее развертыванием в производственной сети, Microsoft также предоставляет руководство по тестовой лаборатории, в котором описаны этапы развертывания кластера AD RMS.

Расширение AD RMS для мобильных устройств

Еще одним долгожданным дополнением к последним версиям AD RMS является новая поддержка мобильных устройств. В условиях резкого роста популярности использования смартфонов и планшетов для доступа к рабочим данным и принятия сегодня большинством компаний культуры BYOD это стало необходимостью. Чтобы получить эту функциональность, необходимо установить и настроить расширение для мобильных устройств служб управления правами Active Directory.

Расширение работает только в AD RMS на Windows Server 2012 или 2012 R2. Он поддерживает мобильные устройства под управлением Windows Phone 8.1, Windows RT, Android и iOS. Он также добавляет поддержку использования AD RMS пользователями настольных и портативных компьютеров Mac под управлением OS X. Ранее существовала ограниченная поддержка управления правами на мобильных устройствах, но только для почтовых приложений, поддерживающих Exchange ActiveSync IRM.

Расширение позволяет использовать приложение для обмена RMS и другие приложения с поддержкой RMS для чтения файлов, защищенных RMS, в следующих форматах:

• .ТЕКСТ
• .CSV
• .XML
• .JPG
• .GIF
• .TIF
• .PDF
• .PФАЙЛ

Вы также можете использовать приложение для обмена RMS для защиты файлов изображений на мобильном устройстве. Разработчики могут создавать приложения с поддержкой RMS, используя RMS SDK, доступный от Microsoft. Само расширение можно загрузить из Центра загрузки Microsoft.

Существуют предварительные условия, которые необходимо установить и настроить перед установкой MDE на сервер (серверы) RMS, поэтому обязательно прочитайте инструкции, прежде чем продолжить. Вы можете найти эту информацию в библиотеке TechNet.

Обратите внимание, что для установки AD RMS MDE развертывание AD RMS должно использовать полную базу данных SQL Server, работающую на отдельном сервере от сервера AD RMS. Кроме того, на сервере должны быть развернуты службы Active Directory Federated Services (AD FS), и он должен быть настроен для AD RMS MDE. Это можно сделать с помощью сценария PowerShell, предоставленного Microsoft, или ввести информацию о конфигурации вручную. Вы можете отдельно включить поддержку различных типов устройств (Windows Phone, RT, Mac, iOS и Android), для которых вы хотите использовать RMS.

Вам также потребуется указать записи DNS SRV для доменов электронной почты, используемых вашими пользователями RMS. Если у вас есть прокси-сервер, который находится между серверами AD RMS и серверами AD FS, вам потребуется обновить файл web.config с веб-сайта AD RMS MDE, чтобы серверы AD RMS могли связаться с AD FS. сервера, чтобы он работал. Вы также найдете инструкции о том, как это сделать по ссылке выше.

Ограничения управления правами

Важно знать об ограничениях любой технологии управления правами. Его следует рассматривать скорее как способ предотвращения случайного или случайного раскрытия конфиденциальной информации, чем как универсальное решение для обеспечения безопасности. Есть много способов, которыми тот, кто намеревается это сделать, может обойти управление правами.

Регистраторы нажатий клавиш и другие типы вредоносных программ по-прежнему могут перехватывать введенную информацию, в том числе информацию, которую вы защищаете с помощью RMS/IRM. Вредоносные программы и вирусы по-прежнему могут удалять файлы, защищенные RMS. Многие сторонние программы захвата экрана не поддерживают RMS, поэтому их можно использовать для создания снимков экрана защищенной информации. Цифровые камеры смартфонов становятся повсеместными, а качество фотографий растет, и целеустремленный человек может сфотографировать информацию на экране. И, конечно же, ничто не может помешать получателю скопировать информацию от руки или перепечатать ее в другом незащищенном документе.

Резюме

Обмен информацией с другими всегда вносит элемент риска, но существует множество механизмов, которые можно использовать для уменьшения риска. В этой статье, состоящей из трех частей, мы обсудили, как сделать общий доступ более безопасным в бизнес-среде.

• Безопасный обмен: совместная работа без компромиссов (часть 2)