La presentazione è in caricamento. Aspetta per favore

La presentazione è in caricamento. Aspetta per favore

La gestione sicura delle informazioni: Windows Rights Management Fabrizio Grossi.

Presentazioni simili


Presentazione sul tema: "La gestione sicura delle informazioni: Windows Rights Management Fabrizio Grossi."— Transcript della presentazione:

1 La gestione sicura delle informazioni: Windows Rights Management Fabrizio Grossi

2 Agenda Protezione delle informazioni digitali Cosè Windows Rights Management Services? Approfondimento tecnico

3 Protezione delle informazioni con Windows Rights Management Services Access Control List No Yes Firewall Authorized Users Unauthorized Users Information Leakage Unauthorized Users Soluzione tradizionale: controllo degli accessi

4 Windows Rights Management Services (RMS) Tecnologia di protezione delle informazioni che aumenta le strategie di sicurezza Gli utenti possono salvaguardare facilmente le informazioni sensibili dalluso non autorizzato Le organizzazioni possono controllare centralmente le politiche interne di uso delle informazioni Gli sviluppatori possono sviluppare soluzioni flessibili e personalizzabili di protezione delle informazioni RMS protegge le informazioni online, offline, allinterno e allesterno della rete aziendale.

5 Information Rights Management Strumento di applicazione di policy di sicurezza incluso in Microsoft Office 2003 Aiuta a proteggere documenti ed informazioni dalluso non autorizzato Impossibile da violare per errore: riduce la fuoriuscita inavvertita di informazioni Permette agli autori di identificare i destinatari autorizzati e di definire le azioni consentite Controllo sulluso delle informazioni sensibili Cifratura di (Outlook) e documenti (Word, Excel, PowerPoint) e applicazione di policy individuali o di gruppo per la decifratura e lutilizzo

6 Mantiene allinterno le interne Riduce il rischio di inoltro di informazioni confidenziali Modelli per la gestione centralizzata delle policy Protezione delle Utenti senza Office 2003 possono visualizzare documenti protetti Forza ugualmente i privilegi di accesso Compatibilità versioni precedenti IE w/RMA, Windows RMS Controlla laccesso a progetti riservati Imposta diversi liveli di accesso: lettura, modifica, stampa, copia… Determina la durata dellaccesso Protezione di documenti Word 2003, PowerPoint 2003 Excel 2003, Windows RMS Outlook 2003 Windows RMS Scenari dutilizzo

7 Cosa non fa RMS …

8 Proteggere informazioni con RMS AutoreUtilizzatore RMS Server Database Server Active Directory Lautore assegna i diritti duso al documento; lapplicazione cifra il file e pubblica la licenza 3.Lautore distribuisce il file 4.Lutilizzatore apre il file, lapplicazione contatta il server RMS per validare lutente e assegnare la licenza duso 5.Lapplicazione visualizza il documento applicando le restrizioni 1.Lautore riceve un certificato client la prima volta che utilizza il servizio 1

9 Tecnologia: Licenze Publishing license Creata quando il documento o il messaggio viene protetto Creata online o offline Use license Allegata al file del documento protetto Salvata localmente per i messaggi Cifratura DES 56-bit o AES 128-bit per il contenuto Chiave RSA a 1,024-bit per la cifratura e per la firma digitale di certificati e licenze Comunicazioni client/server via tunnel SSL

10 Tecnologia: Licensing al di fuori del Firewall RMS server in DMZ Coppia di URL nella publishing license Richieste le credenziali allutente

11 Demo Utilizzo con Office e Internet Explorer

12 Windows Rights Management Services Approfondimento tecnico

13 Componenti server di RMS Web services Certification Publishing Licensing Administration website Database Configuration Logging Directory Services RMS Cluster: I servizi sono stateless web services load balancing, ridondanza, performance I server in un cluster condividono medesima istanza database RMS Cluster NLB HSM RMS Web Services CertificationCertification PublishingPublishing LicensingLicensing Log DB

14 Componenti server di RMS Chiave privata del server RMS Chiavi utente e indirizzi Le chiavi utente sono generate dal servizio RMS Gli indirizzi sono ricavati da Active Directory Permission Templates Logs Alla creazione e allutilizzo di certificati e licenze, può essere usato come strumento di auditing

15 Componenti Client di RMS RMS Client software + Lockbox Le applicazioni RMS-enabled utilizzano le API del client RMS Le componenti client si appoggiano al RMS lockbox (secproc.dll) per effettuare le operazioni di sicurezza Credenziali computer e utente protette Certificato computer Certificato utente (RAC = Rights Account Certificate ) Client Licensor Certificate (CLC)

16 Deployment: Machine Activation e User Certification 1.Il computer Client fa una richiesta allActive Directory 2.Il computer Client ottiene lURL per il servizio di attivazione 3.Il computer Client invia una richiesta di computer activation al server RMS 4.Il server RMS inoltra la richiesta attraverso il firewall 5.La richiesta di Attivazione è consegnata al servizio di Attivazione 6.Il Servizio di Attivazione compila la lockbox DLL

17 Deployment: Machine Activation e User Certification 7.Il servizio di Attivazione restituisce la lockbox attraverso il firewall 8.La Lockbox è restituita al Server RMS che ha originato la richiesta 9.Il file Lockbox è installato sul computer client 10. Il computer Client presenta le credenziali di logon al server RMS Certification 11. Viene costruito un RAC e viene installato sul client computer 12.Viene installato il CLC per abilitare loffline publishing

18 CredenzialeIdentificaContienePermette… Machine Certificate (uno per user per PC) Un pc trusted Chiave pubblica del PC Chiave pubblica del PC Al PC e relativo Lockbox di partecipare allambiente RMS Rights Account Certificate (RAC) Un utente trusted Chiave pubblica dellutenteChiave pubblica dellutente La chiave privata dellutente (cifrata con la chiave pubblica del PC)La chiave privata dellutente (cifrata con la chiave pubblica del PC) Mail (s)Mail (s) Di autenticare lutente in tutti i futuri scambi con il server RMS (richiesta publishing license e user license) Di fruire contenuti protetti agli utenti autorizzati Client Licensor Certificate (CLC) Un utente che può proteggere contentuto (pubblicare) al posto del Server RMS, senza collegarsi al Server RMS Chiave pubblica CLC Chiave pubblica CLC Chiave privata CLC (cifrata con la chiave pubblica del RAC) Chiave privata CLC (cifrata con la chiave pubblica del RAC) Copia del certificato Licensor del Server RMS Copia del certificato Licensor del Server RMS A un utente di proteggere contenuti (i.e. pubblicare) al posto del Server RMS, senza collegarsi al Server RMS Publishing License (Rilasciato dal server RMS o da un utente via CLC) Policy (Utenti, diritti, condizioni) che governano lutilizzo dei contenuti Informazioni sulle PolicyInformazioni sulle Policy Chiave simmetrica (AES) usata per cifrare il contenuto (cifrata con la chiave pubblica del Server RMS)Chiave simmetrica (AES) usata per cifrare il contenuto (cifrata con la chiave pubblica del Server RMS) Unaltra copia della Chiave simmetrica (AES) dei contenuti (cifrata con la chiave pubblica del CLC)Unaltra copia della Chiave simmetrica (AES) dei contenuti (cifrata con la chiave pubblica del CLC) URL del server di licensingURL del server di licensing Use License (Rilasciata dal server di licenze RMS) Chiave simmetrica (AES) usata per cifrare il contenuto (cifrata con la chiave pubblica del RAC dellutente autorizzato)Chiave simmetrica (AES) usata per cifrare il contenuto (cifrata con la chiave pubblica del RAC dellutente autorizzato) A un Security principal (utente) di fruire contenuti in accordo con le condizioni nella Publishing License

19 Credenziali e Licenze RMS CredenzialeIdentificaContiene Machine Certificate Una postazione riconosciuta Chiavi pubblica e privata del computer Rights Account Certificate (RAC) Un utente autenticato Chiavi pubblica e privata dellutente Client Licensor Certificate (CLC) Permette di pubblicare documenti offline Chiavi pubblica e privata CLC Copia del certificato del Server RMS di licensing Publishing License Policy che regolano luso di un documento (utenti, privilegi, condizioni) Policy Chiavi simmetriche AES (Content Key) cifrate con certificato RMS o CLC URL del licensing server Use License (Rilasciata da un RMS licensing server) Chiave simmetriche AES per decifrare il documento (cifrata con RAC)

20 Rights Account Certificate (RAC), signed with RMS Server Public key -User Private Key, Encrypted with the machine public key -User Public Key Client Computer(s) RMS Server (configurazione single-server) 2. Installazione del Client RMS 1. Installazione applicazioni RMS-enabled Il Client RMS attiva il PC -Richiama RMActivate.exe per generare la coppia di chiavi per il PC e firma il Certificato Machine (contiene la chiave pubblica Machine) 4. Lutente si autentica Certificazione: Verifica il SID utente in AD e Genera la coppia di chiavi utente Flusso delle Chiavi RMS: Client Bootstrapping Request Client Licensor Certificate RAC Validate RAC Generate Client Key Pair Client Licensor Certificate (CLC), signed with RMS Server Public key -CLC Private key, encrypted with the RAC public key -CLC Public key and copy of SLC User can publish online or consume User can publish offline Authentication credentials 3. Lutente usa RMS per la prima volta

21 Autore Server RMS Content key cifrata 2. Crittografa la content key con la chiave pubblica del server RMS e la invia con le policy scelte al server RMS. 4. Riceve la PL e la allega al documento crittografato policy dutilizzo 1. Genera una content key (AES), e la usa per crittografare il documento AES content key RMS Server public key RMS Server private key documento cifrato AES key cifrata policy dutiilzzo url del server RMS Publishing License documento cifrato Pubblicazione Online di documenti Applicazione e client RMS 3. Crea la Publishing License (PL) e la firma con la propria chiave privata AES key cifrata policy dutilizzo url del server RMS Publishing License

22 Publisher / Sender Flusso Chiavi RMS : Offline Publishing (con CLC) Utente protegge il contenuto (ex doc Word) encrypted AES content key 2. Cifra la content key con la chiave pubblica del server RMS (così il server può decifrarla in seguito … la chiave pubblica del server è contenuta nel SLC server, dentro il client CLC) 3. Cifra la content key con la chiave pubblica CLC (per creare la owner license) 4. Crea la publishing license (PL), include entrambe le copie cifrate della content key, i rights information, e la url del RMS server, e la firma con la chiave privata del CLC encrypted content 5. Appende la Publishing License PL al contenuto Client Licensor Certificate CLC Private key CLC Public key copy of SLC encrypted AES content key Applicazione e Client RMS : AES content key RMS Server public key 2 encrypted AES keys Policy di utilizzo url of RMS server Publishing License encrypted content 1. Applicazioni RMS-enabled generano lAES content key, e la usano per cifrare il contenuto

23 Publisher / Sender RMS Server Consumer / Recipient RMS Key Flow Detail: Offline Publishing & Consumption Application and RMS client 1.Generate AES key and encrypt content 2.Encrypt AES key with the public key of the clients CLC (for owner license) 3.Encrypt another copy of the AES key with RMS servers public key (so server can decrypt it later for the recipient…server public key is contained in client CLC) 4.Create Publishing License (PL), sign with CLC private key and append to encrypted content (Assuming recipient has RMS Client and RAC) Saves content (e.g. Word doc) Recipient user opens content Application and RMS Client 1.Inspect PL for RMS Service url. 2.Send Use License Request (PL + RAC) to licensing server specified by url. RMS Server 1.Validates recipient RAC 2.Inspects PL for rights 3.Validates user in AD 4.Un-encrypts content key & re- encrypts it with recipient RACs public key 5.Returns encrypted content key in use license RMS Client uses RAC private key (unavailable to user) to unencrypt the content key Application renders the file and enforces the rights encrypted content 2 encrypted AES keys rights information url of RMS server Publishing License encrypted content 2 encrypted AES keys rights information url of RMS server Publishing License

24 Esempio: documento protetto Word, Excel, or Powerpoint 2003 Rights Info ( addresses) Content Key Cifrata con la chiave pubblica del server RMS Publishing License Contenuto del file (Testo, foto, metadati, etc) End User Licenses Content Key Diritti per un particolare utente Criptata con la chiave pubblica dellutente RAC Creata quando il file viene protetto Aggiunte al file dopo lassegnazione della licenza dal server Cifrato con la Content Key: chiave simmetrica AES 128-bit Cifrata con la chiave pubblica del server RMS In Outlook Le licenze utente sono memorizzate nel profilo Criptata con la chiave pubblica dellutente

25 Demo Gestione di RMS

26 Requisiti software Server Window Server 2003 Standard, Enterprise, Web o Datacenter Windows RMS Active Directory ® directory service Windows Server 2000 o successivi Deve essere compilato il campo e- mail addres di ogni utente RMS Database Server Microsoft SQL Server o MSDE Client Windows 2000 Pro o successivo Windows Rights Management client software Applicazione RMS-enabled Necessaria per creare o visualizzare contenuti protetti Microsoft Office 2003 include applicazioni RMS-enabled: Word, Excel, PowerPoint, Outlook Office Professional 2003 per la creazione di documenti protetti Le altre versioni per utilizzare documenti protetti Internet Explorer con Rights Management Add-on (RMA) per visualizzare contenuti protetti

27 Creazione/ ProtezioneModificaLettura Professional Edition 2003 & Professional Enterprise Edition 2003 Prodotti 2003 Standalone Standard Edition 2003 Small Business Edition 2003 Student e Teacher Edition 2003 Versioni precedenti* * Utilizzando lAdd-on RMS per Internet Explorer Funzionalità IRM in Office 2003

28 RMS Licensing Per implementare RMS sono necessarie: Windows Server 2003 Server Windows Server 2003 Client Access Licenses (CALs) Nessuna licenza RMS Server (è un servizio di Windows Server 2003) Windows RMS CAL Ogni utente o device che crea o utilizza contenuti protetti richiede una CAL RMS.

29 Interoperabilità con utenti esterni Necessaria unidentità riconosciuta da RMS Creare in Active Directory account per gli utenti esterni Implementare relazioni di trust tra server RMS Utilizzare identità RMS basate su Passport Extranet Active Directory e RMS per i partners Servizi di outsourcing RMS presso Microsoft partners Accesso dallesterno ai servizi RMS Pubblicazione dellURL dei servizi RMS https://rmsservice.fqdn.com/.../license.asmx Creazione di un Cluster RMS separato

30 HP per TechNet : il Server utilizzato HP ProLiant ML350-G4 Processore : Intel Xeon 3.4 GHz/1MB L2 cache Memoria : 3.0 GB PC2700 DIMM Network Controller : NC7761 PCI Gigabit NIC RAID Controller : Smart Array 641 Controller Hard Drive : 6 x 72GB 15K SCSI U320 HotPlug

31 Dove poter approfondire Informazioni sui prodotti mt/ te/of03irm.mspx Download chnologies/rmenterprise.mspx Technet

32 Domande?


Scaricare ppt "La gestione sicura delle informazioni: Windows Rights Management Fabrizio Grossi."

Presentazioni simili


Annunci Google