Эволюция служб управления правами Microsoft (часть 1)
Введение
Прошло много времени с тех пор, как я в последний раз писал о службах управления правами (RMS) для Windowsecurity.com. Когда я просмотрел свои файлы, чтобы просмотреть последнюю статью, я был удивлен, увидев, что она была опубликована в сентябре 2003 года. Это было ровно десять лет назад; время летит быстро в нашем быстро меняющемся IT-мире.
В статье, конечно же, упоминалась RMS в Windows Server 2003. С тех пор RMS претерпел ряд изменений и улучшений, сначала в Server 2008/2008 R2, а затем в Server 2012. В июле Microsoft выпустила предварительную версию. последней и лучшей версии RMS, работающей в Windows Azure.
Пришло время нам наверстать упущенное, начав с названия, которое в Windows Server 2008 трансформировалось из служб управления правами Windows в службы управления правами Active Directory (AD RMS), и это название закрепилось за Windows Server 2012. Новое облачное Версия RMS в настоящее время называется Azure Rights Management Services или Microsoft Rights Management Suite на этом предварительном этапе.
Краткий обзор RMS с 2005 по 2012 год
Microsoft создала службу управления правами для расширения защиты документов, электронной почты и веб-страниц от несанкционированного копирования, печати, пересылки, редактирования, удаления и т. д. Это дает создателю контента больший контроль над тем, что происходит с этим контентом, когда он делится им с другими.. RMS не поставлялся с Windows Server 2003; на самом деле он был выпущен как дополнение в 2005 году.
Это не замена контроля доступа, шифрования и других технологий защиты данных; он предназначен для совместной работы с ними. Вы можете защитить файл, зашифровав его, но если вы поделитесь им с кем-то еще, как только этот человек расшифрует и получит к нему доступ, он/она сможет скопировать, изменить или поделиться им с другими людьми, которым вы разрешили. RMS может даже заставить копию файла вашего получателя «самоуничтожиться» через определенный период времени, поэтому временные рамки для доступа ограничены.
Примечание:
RMS не обеспечивает полной защиты информации. Получатель все еще может, например, открыть файл и сделать снимок экрана с помощью мобильного телефона, а затем поделиться этим с кем-то еще.
Если вы думаете о том, как работает управление цифровыми правами (DRM), RMS работает точно так же, поскольку защищенный файл шифруется и подписывается, а затем привязывается к лицензии на публикацию. Программное обеспечение клиента AD RMS на компьютере владельца файла может указать ограничения, которые должны быть наложены на файл (т. е. какие действия получателю не разрешено делать с ним).
Когда получатель получает файл, он должен иметь лицензию конечного пользователя на содержимое, чтобы иметь возможность открыть его. Программное обеспечение клиента AD RMS запрашивает и получает эту лицензию с сервера AD RMS.
Вместо того, чтобы каждый раз устанавливать ограничения индивидуально для каждого файла, вы можете использовать шаблоны политик прав, чтобы, например, у вас мог быть определенный набор ограничений, таких как «невозможно сохранять, копировать или печатать», которые можно было бы применять с помощью шаблона. Доступные шаблоны хранятся в базе данных на сервере AD RMS.
Говоря о клиентском программном обеспечении, AD RMS работает только с приложениями, предназначенными для управления правами. Сюда входит ряд приложений Microsoft, таких как программы Office (Word, Excel, PowerPoint, Outlook), SharePoint и Exchange. У Microsoft также есть комплект для разработчиков программного обеспечения (SDK), который можно использовать для создания собственных приложений с поддержкой RMS. Вы можете загрузить его с веб-сайта MSDN.
AD RMS в Windows Server 2008
Одно большое изменение, которое произошло в Windows Server 2008, хотя и с изменением названия, заключалось в позиционировании AD RMS как роли сервера. В Server 2003 вам нужно было установить RMS из файла.MSI, а затем запустить его как веб-службу в IIS 6.0/ASP.NET. В версии Server 2008 он по-прежнему работает как веб-служба поверх IIS, но все изменилось, и вы можете установить роль сервера AD RMS, просто выбрав ее на странице « Выбор ролей сервера» в мастере добавления ролей через диспетчер серверов. Это значительно упростило развертывание сервера управления правами.
Не то, чтобы процесс стал простым. Обратите внимание, что вам по-прежнему необходимо установить IIS, а также службу активации процессов Windows (WPAS) и очередь сообщений. Вам по-прежнему нужна база данных, но вы можете использовать внутреннюю базу данных Windows для размещения баз данных AD RMS, если у вас установка с одним сервером, а не кластер AD RMS. Кроме того, если вы будете использовать зашифрованное SSL-соединение для своего кластера AD RMS (а вы должны это сделать для обеспечения максимальной безопасности), вам потребуется импортировать существующий SSL-сертификат. Также необходимо зарегистрировать точку подключения службы AD RMS (SCP) в Active Directory.
Однако в Server 2008 изменился не только процесс установки и настройки RMS. В Windows Server 2003 RMS для управления сервером RMS приходилось использовать веб-интерфейс. Server 2008 позволяет выполнять задачи администрирования AD RMS через консоль управления Microsoft (MMC) так же, как вы управляете другими ролями сервера, встроенными в операционную систему.
Для корпоративных сетей еще одной ценной дополнительной функцией стала интеграция AD RMS с федеративными службами Active Directory (AD FS). Это упростило использование защиты RMS в федерации для обмена защищенными файлами с внешними пользователями. В этом случае AD RMS направляет запросы на сервер федерации, который аутентифицирует пользователя через Active Directory и выдает маркер безопасности, который проверяется агентом единого входа (SSO), а затем идентифицирует пользователя на сервере AD RMS. Дополнительные сведения о том, как это работает, см. в разделе Использование служб федерации Active Directory с AD RMS на веб-сайте TechNet.
Microsoft также удалила требование о том, чтобы сертификат лицензиара сервера (SLC), который используется для выдачи сертификатов, был подписан службой регистрации Microsoft. Это означает, что компании больше не зависели от этой службы Microsoft при развертывании сервера RMS. Windows Server 2008 поставляется с сертификатом для самостоятельной регистрации сервера, который можно использовать для подписи SLC.
AD RMS в Windows Server 2012
В реализации AD RMS в Windows Server 2012 метод управления не изменился. Однако в процессе установки есть некоторые отличия, упрощающие настройку RMS для работы с SQL-сервером. Вам больше не нужно использовать учетную запись администратора с правами локального администратора на SQL Server при установке AD RMS. Однако учетная запись установщика AD RMS должна иметь права системного администратора на сервере SQL. Теперь поддерживаются и другие версии SQL Server. Вы могли догадаться, что будет добавлена поддержка SQL Server 2012, но Microsoft также добавила поддержку SQL Server 2005 SP3, 2008 SP3 и 2008 R2 SP1.
Очень долгожданным изменением в Windows Server 2012 AD RMS является возможность администраторов развертывать AD RMS на удаленных компьютерах, и вы можете сделать это либо с помощью графического интерфейса диспетчера серверов, либо с помощью Windows PowerShell, который быстро становится предпочтительным инструментом администратора для многие ИТ-специалисты по Windows.
Особый интерес для специалистов по безопасности, которые могут выполнять обновление с Windows Server 2003 или 2008, представляет новая поддержка простого делегирования для AD RMS. Это фактически появилось в Windows Server 2008 R2 и позволяет легко делегировать те же права доступа к содержимому, которые назначены управленческому персоналу, их помощникам. Что-то, что есть в Windows Server 2012, — это возможность использовать PowerShell для включения простого делегирования.
Еще одним изменением, связанным с безопасностью, в AD RMS в Windows Server 2012 является поддержка более надежного шифрования и более надежных (более длинных) криптографических ключей для хэш-функций (теперь 256-битные, а не 160-битные ключи, которые использовались ранее). Это улучшение особенно важно, когда речь идет о соблюдении таких стандартов, как стандарты Национального технологического института (NIST) в отношении компьютерной безопасности и шифрования, которые рекомендуют 2048-битные ключи RSA (Специальная публикация NIST 800-57). Использование надежного шифрования предполагает обновление серверов AD RMS до криптографического режима 2, что можно сделать с помощью MMC или PowerShell.
Роль сервера Windows Server 2012 AD RMS теперь поддерживается в установках Server Core. Это хорошая новость для администраторов, заботящихся о безопасности, поскольку Server Core за счет удаления многих служб, установленных при обычной полной установке Windows Server, снижает риск, поскольку в операционную систему обычно включается меньше служб и приложений ( таких как Internet Explorer) и, следовательно, меньше уязвимостей, которыми могут воспользоваться злоумышленники. Ядро сервера было впервые представлено в Windows Server 2008. Однако AD RMS вместе с некоторыми другими ролями сервера, которые были доступны в полной установке (службы сертификации, AD FS, службы сетевой политики и доступа, службы терминалов и некоторые другие), не были поддерживается в установке Windows Server 2008 Server Core. Теперь это так, хотя роль поддержки федерации для AD RMS поддерживается в установках Server Core.
Еще одно изменение в Windows Server 2012 заключается в том, что если вы решите управлять своим сервером управления правами через графический интерфейс, теперь можно переключить установку Server Core на полную установку и обратно без переустановки операционной системы.
Резюме
В этой первой части нашей серии статей об эволюции служб управления правами Active Directory мы представили обзор того, что такое RMS, как она работает и некоторые изменения, которые она претерпела с момента ее выпуска в качестве надстройки для Windows Server 2003. в 2005 году до его воплощения в Windows Server 2012. Во второй части мы поговорим о следующем поколении RMS, Azure RMS, которое было значительно переработано и выпущено в общедоступной предварительной версии этим летом. - Деб