Главная Security, Без рубрики, Новое Принципы работы решений на основе AD RMS.
  • Принципы работы решений на основе AD RMS.

    crypto

    Нередко ИТ инженеры не в курсе всех возможностей, которые дает сама операционная система. AD RMS одна из них. Многие проблемы безопасности могут быть решены с помощью этого сервиса.Построение безопасных информационных систем серьезная и комплексная задача. Тем не менее, многие вопросы безопасности могут быть решены с помощью встроенных средств операционной системы. И здесь хотелось бы обратиться к Active Directory Rights Management Service (AD RMS).

     

     

    Задачи и возможности AD RMS

    Служба AD RMS предназначена для обеспечения постоянной защиты данных в двоичном формате, которая обеспечивается посредством их шифрования, в процессе которого AD RMS использует ключи, содержащиеся в сертификатах стандарта XrML (eXtensible rights Markup Language). Формат XrML отличается от используемого инфраструктурой открытых ключей (Public Key Infrastructure или PKI) стандарта X509 v3 и является расширением языка XML.

    AD RMS функционирует как клиент-серверная система. Серверы AD RMS создают сертификаты прав учетных записей, идентифицирующие доверенные объекты (например пользователей и группы). Клиентская часть устанавливается на рабочие станции и обеспечивает взаимодействие AD RMS-совместимых приложений с серверами. Кроме этого предусматривается набор основных API, которыми разработчики могут пользоваться для создания собственных приложений или для расширения функциональности в существующего ПО.

    Пользователь, обладающий сертификатом выданным сервером AD RMS, приобретает возможность защищать документы, устанавливать правила использования содержимого этих документов и получать доступ к защищенным документам, которые созданы другими сотрудниками.Права на использование защищенного содержимого, хранятся вместе с информацией. Вследствие этого, они начинают действовать после того, как к информации получен доступ в оперативном или автономном режимах и при этом неважно внутри или за пределами организации он осуществляется. AD RMS помогает сделать содержимое файлов более защищенным, независимо от того, куда защищенное содержимое может быть перемещено.

     

    Принципы работы

    Рассмотрим последовательность шагов, выполняемых подсистемой AD RMS, при работе пользователей с документами. См. рис. 1.

    RMS

    Рис. 1. Принципы работы AD RMS.

     

    1. Когда автор документа (пользователь A) пытается защитить документ, ему потребуется и получить сертификат учетной записи пользователя (RAC), а также сертификат лицензиара клиента (CLC), который выдается на компьютер.

    2. С использованием приложения поддерживающего работу с AD RMS, автор создает документ, и указывает, какие права или состояния будут применяться для этого файла.

    3. Приложение шифрует файл симметричным ключом, который в свою очередь шифруется публичным ключом автора документа. Ключ вставляется в публикуемую лицензию (Publishing license) и связывается с файлом. Только автор может использовать эту лицензию для расшифровки документа. Публичная лицензия также содержит URL адрес AD RMS серверов.

    4. Пользователь A передает шифрованный файл пользователю B.

    5. Пользователь B, который желает получить доступ к содержимому документа, открывает его с использованием приложения поддерживающего AD RMS. Если пользователь B не имеет сертификата своей учетной записи, расшифровка будет невозможна. В этом случае происходит процесс выдачи сертификата учетной записи пользователя, а также сертификата лицензиара клиента, так как описано выше.

    6. Приложение посылает запрос кластеру AD RMS. Запрос включает сертификат учетной записи получателя B (RAC) (содержащий публичный ключ получателя) и публичную лицензию использования (содержит симметричный ключ для расшифровки файла).

    7. Кластер службы управления правами проверяет запрос и создает лицензию на использование (Use license). Во время данного процесса сервер расшифровывает симметричный ключ с использованием закрытого ключа кластера, перешифровывает симметричный ключ, применяя публичный ключ получателя и добавляя шифрованный симметричный ключ в лицензию. Операция проходит успешно только в том случае если получатель имеет права на данный документ. Чтобы проверить, есть ли у пользователя разрешение на использование защищенного содержимого, AD RMS использует Active Directory Domain Services (AD DS).

    8. Когда подтверждается использование, кластер возвращает лицензию на компьютер получателя.

    9. После получения лицензии на использование, приложение проверяет ее и сертификат учетной записи, выполняет проверку сертификатов. Если сертификаты действительны и не отозваны, а также не фиксируется состояния, блокирующего доступ к документу (например, дата использования документа) приложение расшифровывает документ и возвращает пользователю, в соответствии с правами, указанными в документе.

     

    Логическая структура

    В составе подсистемы AD RMS выделяются следующие компоненты:

    · серверы службы управления правами (серверы AD RMS);

    · база данных службы управления правами (БД AD RMS);

    · клиенты службы управления правами (клиент AD RMS).

    AD RMS интегрирована в серверную операционную систему Windows Server. Кроме того, во время развертывания роли сервера мастер автоматически добавит все службы, от которых зависит AD RMS.

    Логической единицей для обозначения серверов AD RMS является кластер службы управления правами AD. Кластером AD RMS может быть как отдельный сервер, так и и группа серверов, которые совместно обрабатывают запросы сертификации и (или) лицензирования AD RMS, поступающие от клиентов. Первый подготовленный к работе сервер AD RMS в службе каталогов становится корневым кластером AD RMS. Дополнительные серверы можно подготавливать к работе и добавлять к исходному в любой момент.

     

    Существуют два типа кластеров:

    Корневой кластер (или кластер сертификатов), это кластер, который обрабатывает все запросы лицензирования и сертификации. В службе каталогов компании может существовать только один корневой кластер. Кластер лицензирования – это кластер, который обрабатывает только запросы лицензирования.

     

    Для начала установки AD RMS должны быть выполнены следующие подготовительные условия:

    · служба каталогов, в которой будут разворачиваться серверы AD RMS должна строиться на контроллерах домена, под управлением операционных систем от Windows Server 2000 с пакетом обновления 3 (SP3), до Windows Server 2012; все пользователи, использующие в своей работе службу AD RMS для ограничения доступа или получения доступа к защищенным документам, должны иметь учетные записи в единой службе каталогов компании;

    · все пользователи и группы, использующие для получения лицензий AD RMS и публикации содержимого, должны иметь адрес электронной почты, настроенный в службе каталогов;

    · все серверы (серверы AD RMS и БД AD RMS), которые будут входить в состав подсистемы AD RMS, должны являться рядовыми серверами в службе каталогов;

    · для функционирования сервиса должна быть создана дополнительная учетная запись пользователя в домене, которая будет использоваться в качестве учетной записи AD RMS;

    · должна быть создана учетная запись пользователя для установки серверов AD RMS, эта учетная запись должна обладать следующими правами:

    o учетная запись пользователя, выполняющего установку, должна входить в группу администраторов предприятия доменных служб Active Directory «AD DS Enterprise Admin» или иметь аналогичные права;

    o для баз данных AD RMS, учетная запись пользователя, выполняющего установку AD RMS, должна иметь право на создание новой базы данных и быть членом роли базы данных «Системные администраторы» или иметь аналогичные права;

    · должны быть зарезервированы внешний (в сети Интернет) и внутренний URL-адреса для корневого кластера AD RMS;

    · должны быть зарезервированы внешний (в сети Интернет) и внутренний URL-адреса для публикации списков отзыва, подсистемой RMS и шаблонов, используемых для защиты документов;

    · должен быть получен SSL-сертификат для корневого кластера AD RMS. Этот сертификат должен содержать внешний (в сети Интернет) и внутренний URL-адреса корневого кластера AD RMS. Этот сертификат должен быть выдан доверенным центром сертификации.

     

    Примечание: Рекомендуется использовать SSL-сертификат для корневого кластера AD RMS полученный от внешнего поставщика, сертификат которого по умолчанию находится в списке доверенных на всех компьютерах, с операционной системой Windows. В этом случае, не нужно обеспечивать доступ Интернет пользователей к ресурсам внутренней подсистемы PKI Компании.

     

    После проведения основных подготовительных операций в службе каталогов, в DNS службах и получения необходимых сертификатов производится настройка серверов баз данных, на которых планируется разместить базу данных конфигурации корневого кластера подсистемы AD RMS. Для установки корневого сервера подсистемы AD RMS необходимо создать запись DNS-псевдонима (CNAME) для внутреннего URL-адреса корневого кластера AD RMS и отдельную CNAME-запись для базы данных конфигурации AD RMS. Использование CNAME-записей позволяет повысить отказоустойчивость, за счет того, что при каких либо неполадках в работе серверов AD RMS и серверов базы данных AD RMS запросы направляемые к этим серверам могут быть перенаправлены простым внесением изменений в CNAME-запись на DNS сервере, не производя дополнительных настроек на серверах и клиентах подсистемы AD RMS

    При установке первого сервера корневого кластера AD RMS создается сертификат лицензиара сервера (SLC) и производится регистрация точки подключения службы (SCP) в службе каталогов. Точка подключения службы используется для обеспечения возможности автоматического поиска настроек AD RMS.

    После завершения установки первого сервера корневого кластера AD RMS производится установка службы AD RMS на все серверы, которые планируется включить в корневой кластер подсистемы AD RMS. При установке этих серверов в мастере установки выбирается, что серверы добавляются к уже созданному корневому кластеру AD RMS, и в качестве базы данных AD RMS используется та же база данных, что использовалась при установке первого сервера кластера.

     

    База данных Службы управления правами

    Выполнение операций по обеспечению безопасности требуют тесной интеграции серверов кластера AD RMS с сервером базы данных. Если при установке службы AD RMS не будет указана имеющаяся база данных, то во время развертывания роли автоматически создается и настраивается собственная внутренняя база данных. Рекомендуется использовать выделенный сервер для БД. Если предполагается наличие нескольких серверов AD RMS в составе кластера, то БД обязательно должна быть расположена на выделенном сервере. Каждый кластер AD RMS имеет единую базу данных конфигурации. База данных конфигурации корневого кластера содержит список удостоверений пользователей Windows и их сертификаты учетных записей управления правами (RAC). Если включена функция “Use AD RMS centrally managed key storage”, то пара ключей сертификата шифруется и хранится в базе данных конфигурации.

    База данных журнала устанавливается для каждого корневого кластера или кластеров лицензирования AD RMS. AD RMS также создает частную очередь сообщений для регистрации в очереди сообщений на каждом сервере кластера. Служба регистрации передает данные из этой очереди сообщений в базу данных журнала.

    База данных служб каталогов содержит сведения о пользователях, идентификаторы (например адрес электронной почты), идентификатор безопасности (security ID (SID)), членство в группе и дополнительные идентификаторы. Сведения поступают из запросов протокола Lightweight Directory Access Protocol (LDAP), направляемых к глобальному каталогу.

     

    Клиенты управления правами

    Клиенты управления правами – это рабочие станции, пользователей, для которых необходимо производить шифрование документов, или обеспечивать доступ к зашифрованным документам. На эти рабочие станции должно быть установлено специализированное клиентское программное обеспечение AD RMS. Клиентское программное обеспечение может быть установлено на рабочие станции с Windows XP, Windows 2000 и Windows Server 2003, и входит в состав операционных систем Microsoft Windows Vista и Windows Server 2008 и старше.

    AD RMS клиент создает сертификат компьютера, который используется для идентификации защищенного хранилища, где содержится ключевая пара текущего пользователя. Свидетельством того, что на рабочей станции установлен клиент AD RMS является наличие файла msdrm.dll. Этот файл защищается при помощи технологии Windows Resource Protection и не может быть изменен. Единственный предусмотренный способ его изменения это официальное обновление компании Microsoft. Цифровые сертификаты, выдаваемые серверами AD RMS, на клиентах AD RMS хранятся в отдельной папке. На рабочих станциях с операционной системой Windows XP сертификаты располагаются в папке %USERPROFILE%\Local Settings\ApplicationData\Microsoft\DRM, в случае Vista и выше сертификаты располагаются в %USERPROFILE%\AppData\Local\Microsoft\DRM.

    Для начала работы клиента совместно с серверами подсистемы, необходимо настроить механизмы взаимодействия. Для этого существует несколько способов:

    1. Через службу каталогов. В этом случае, для доступа к серверам AD RMS используется сервис автоматического обнаружения (automatic service discovery). Клиент AD RMS являющийся членом службы каталогов, при помощи сервиса автоматического обнаружения обращается к точке подключения службы SCP, созданной в службе каталогов на уровне леса Компании при установке первого сервера AD RMS и содержит путь к корневому кластеру AD RMS.

    2. С помощью реестра. Этот вариант применяется, когда необходимо переопределить настройки клиента, полученные при помощи automatic service discovery. Потребность в этом возникает при сложных топологиях развертывания с несколькими кластерами AD RMS в одной службе каталогов, или если клиент AD RMS не входит в службу каталогов компании. Настройки задаются путем внесения изменений в реестре на клиенте AD RMS.

    3. С помощью лицензии на выдачу, при публикации защищенного содержимого URL-адреса служб лицензирования интрасети и экстрасети добавляются в лицензию на выдачу. Если клиент AD RMS впервые открывает защищенное содержимое и другие способы обнаружения службы AD RMS недоступны, URL-адреса кластера лицензирования клиент AD RMS получает из лицензии на выдачу. Если запрос не удается, клиент выполняет SOAP-запрос (Simple Object Access Protocol — простой протокол доступа к объектам), чтобы получить URL-адреса кластера сертификатов AD RMS. После получения доступа к кластеру сертификатов клиент AD RMS получает URL-адрес кластера лицензирования AD RMS путем замены в конце URL-адреса /certification на /licensing.

     

    Подведем итоги…

    Служба AD RMS предоставляет нам широкие возможности по «цифровой» защите данных пользователей, при этом абсолютно не принципиально каким образом осуществляется доступ к указанной информации, что, несомненно, существенным образом повышает ценность указанного решения. AD RMS входит в состав операционной системы, что также является существенным плюсом для компаний, поскольку не потребуется дополнительных затрат на приобретение программных продуктов третьих фирм.

    Разумеется, системе не удастся противостоять «аналоговым» атакам, когда внутренний злоумышленник воспользуется фотоаппаратом для фотографирования данных с экрана, или иными подобными средствами. Тем не менее, во всех остальных ситуациях AD RMS сможет весьма успешно противостоять попыткам доступа к защищенной с его помощью информации предприятия.

     

    Степан Москалев, Леонид Шапиро.

    Статья опубликована в журнале «Системный Администратор» № 12 за 2012 год.

Комментарии

  1. Читабельно. Спасибо. 🙂

  2. Коллеги, поправьте если не прав, но доступ к файлу возможен только при наличии соединения с доменом или интернет. Взяв ноутбук с собою в поле открыть документы не получится, если сети нет (в самолёте как пример).

  3. Александр, вы абсолютно правы.

  4. а оффлайн версии открытия файла нет?
    Т.к. есть аналоги RMS , у них такая бага есть. удобно.