Главная Security, Windows, Новое AD RMS: Баг или Фича?
  • AD RMS: Баг или Фича?

    fail

        Постоянные читатели знают, что сейчас я разбираюсь со службой Active Directory Rights Management Service и пишу небольшие STEP-BY-STEP по данной теме. Не далее чем вчера я знакомился с такой функцией как "Исключения Пользователей", позволяющей указать учетные записи которым не доверяет кластер AD RMS и следовательно эти пользователи должны потерять возможность получать доступ к защищенному содержимому. Но это в теории, на практике же я столкнулся с интересным поведение службы. А именно с тем, что исключенный пользователь может продолжить получать доступ к данным несмотря на запреты администратора. Баг это или Фича я пока не знаю, посему и выношу данную проблему на суд посетителей itband.ru. Все манипуляции от и до были записаны на видео с моими комментариями и уместились в 9 минутном ролике (10,5 Мб)

    Скачать видео с сайта Itband.ru

    Скачать с Sendspace

    Посмотреть на YouTube

     

    С надеждой на прояснение ситуации, Илья Рудь.

Комментарии

  1. Может это связано с кэшированными верительными данными на компьютере пользователя?
    Попробуйте прсле введения запрета открыть документ под этим пользователем с другой машины (или почиститьудалить профиль пользователя).

  2. Илгиз, ты наверно не очень внимательно смотрел.

    Суть такая. Ко мне приходит шэф и говорит: “А Вася то инфу сливает конкурентам”. Я добавляю Васю в Исключения Пользователей и очень надеюсь, что он Вася защищенные документы больше открыть не сможет. Но выясняется что Вася а) Прекрасно открывает то, что открывал хотя бы раз до блокировки (это как раз понятно и связанно с кэширование) б) Может удалить в своем профиле пару файлов и положить болт на усилия админа (т.е открывать даже новые документы)

    Вопрос: Что я делаю не так? Если на первый вопрос ответить не удается, есть второй: За сколько наняли студентов которые это писали?

  3. Илья, я только что просмотрел ролик.. 🙂

    Думаю это не Баг, а Фича.

    Скорее всего процедура Исключения пользователя повлияет на невыдачу лицензии на использование только для новых защищаемых документов, а старые документы, защищенные до времени “Ч” так и продолжат открываться.
    Надо порыться в документации на этот счет.

    Если я прав, то попробуй для чистоты эксперимента воспроизвести следующее (сам не могу, нет у нас живого RMS сейчас): под пользователем User2 на другой машине (чтобы профиль чистый был) открой документ Doc2 (по сети или скопировав его туда) – документ также должен открыться.

  4. Илгиз, вы всетаки и сейчас не очень внимательно смотрели)

    P.S Как только я найду обьяснение такому поведению я обязательно в следующую часть статьи включу.

  5. Занятная видюха, улыбнуло. Спасибо!

    Как раз сегодня на курсе изучаем RMS, лаба состоит в том, чтобы убедиться, как круто работают шаблоны и исключения. Мой исключенный из группы маркетологов юзер Барни получает сообщение из видео, только на английском языке, затем вместо выключения виртуальных машин с удалением изменений, удаляет файлы из своего профиля и за две секунды мощно хакает то, что полчаса с таким упоением четко по книжке настраивали.

    Теперь возможное объяснение.
    Напрашивается логика, что дело вообще не в кеше, кеш наоборот только портит малину юзеру. А юзер, почувствовав неладное, легитимно проходит проверку подлинности и запрашивает новый рмс-сертификат, поскольку старый у него почему-то больше не работает.

    Так вот РМС в этот момент забывает, что юзер инсайдер, ему ж исключение на открытый ключ только, и генерирует ему новый. Мало ли зачем? Может юзер хочет другой файл засекретить. А тот этим новым рмс-сертификатом старый файл лапает, и естественно открывает, ведь на новый открытый ключ уже исключения нет.

    Наверняка можно где-то крутануть настройку, чтобы служба RMS исключение делала не по открытому ключу, а по е-мейлу, или еще какому-нибудь атрибуту, или чтобы не разрешала запрашивать новый сертификат, если юзер исключен. Нужно будет поискать.

    в крайнем случае, хотфиксом все решится.

    Еще раз спасибо, будем разгадывать квест вместе!)

  6. Если Sergey Klevogin прав, то можно попробовать сравнить ключи этого пользователя в оснастке RMS.

  7. Я сейчас не хочу гадать и пытаюсь получить комментарий от MS. Как только получу сразу распишу.

  8. С подачи Илгиза Мамышева найден ответ на вопрос. Путаница возникла по причине малой документированности службы и неправильного названия “Исключения Пользователей” или “Exclude Users”. Название не отражает суть.

    Итак:

    Когда вы прописываете пользователя в “Исключеных пользователях” отзывается его Открытый Ключ (ну или Public Key), соответсвенно работать с этим ключем уже не получится. Но это никак не влияет на дальнеюшую жизнь пользователя. Он может запросить новую пару ключей и начать жизнь заново.

  9. … коллеги, ну перестаньте изучать/учить продукт/у в его руссифицированной ипостаси (хоть это и звучит непатриотично)…

    про перевод в русском TechNet вообще молчу…

    хотя и несовсем по теме, но…
    http://technet.microsoft.com/en-us/library/cc731512.aspx
    сравните с
    http://technet.microsoft.com/ru-ru/library/cc731512(WS.10).aspx

  10. Соблазн схалявить велик..))))