Microsoft RMS
Transcription
Microsoft RMS
ISSS Zürcher Tagung 2009 DRM in der Unternehmung: B i i l Microsoft Beispiel Mi ft RMS IWI Institut für Wirtschaftsinformatik Armand Portmann dipl. El. Ing. ETH [email protected] 17. Juni 2009 DRM in der Unternehmung: Beispiel Microsoft RMS Agenda • • • • • Einleitung Funktion Anwendung Chancen und Risiken Demo Armand Portmann – © Institut für Wirtschaftsinformatik IWI Folie 2 DRM in der Unternehmung: Beispiel Microsoft RMS Agenda • • • • • Einleitung Funktion Anwendung Chancen und Risiken Demo Armand Portmann – © Institut für Wirtschaftsinformatik IWI Folie 3 DRM in der Unternehmung: Beispiel Microsoft RMS Begriff: Enterprise Rights Management • • Technologie zum Schutz sensitiver Firmendaten, z. B. Offi Dokumente Office D k (Word, (W d PowerPoint, P P i etc.)) Produkte • • • • Adobe LiveCycle Rights Management EMC Documentum Information Rights Management ( (vormals l A Authentica th ti Active A ti Rights Ri ht Management) M t) Oracle Information Rights Management Mi Microsoft ft Rights Ri ht M Managementt S Services i Armand Portmann – © Institut für Wirtschaftsinformatik IWI Folie 4 DRM in der Unternehmung: Beispiel Microsoft RMS Motivation • • • • • Traditionellerweise werden Daten an ihrem Ablageort oder d auff dem d Transportweg T geschützt hü Das Wegkopieren sensitiver Daten wird durch eine K t ll d Kontrolle der USB USB-Ports P t zu verhindern hi d versucht ht Die Umsetzung eines lückenlosen Schutzes ist sehr schwierig h i i Schlupflöcher bleiben immer: Ein berechtigter Ben t e kann z. B. Benutzer B eine verschlüsselte e schlüsselte Datei unverschlüsselt abspeichern und weitergeben Enterprise Rights Management Systeme bieten eine elegante Lösung für diese Probleme Armand Portmann – © Institut für Wirtschaftsinformatik IWI Folie 5 DRM in der Unternehmung: Beispiel Microsoft RMS Lösung • Den Schutz einer Datei – d. h. die Verschlüsselung – untrennbar t b mit it der d Datei D t i verbinden bi d Armand Portmann – © Institut für Wirtschaftsinformatik IWI Folie 6 DRM in der Unternehmung: Beispiel Microsoft RMS Microsoft RMS - Terminologie Rights Management (RM) Rights Management Services (RMS) Information Rights Management (IRM) Windows Server Windows Client mit Office Armand Portmann – © Institut für Wirtschaftsinformatik IWI • • Rights Management beschreibt b Services ((RMS)) b nur einen Teil eines grösseren Systems Trotzdem wird in der Regel von RMS gesprochen, wenn das Gesamtsystem gemeint ist Folie 7 DRM in der Unternehmung: Beispiel Microsoft RMS Microsoft RMS - Terminologie • • Rights Management Services (RMS) • Server-Komponente, die unter Windows Server 2003 oder 2008 läuft • Unter U t Server S 2008 heisst h i t die di Komponente K t neu Active A ti Directory Rights Management Services (AD RMS) Information Rights Management (IRM) • Client-Komponente, die unter Windows XP oder Vista läuft und Office 2003 oder Office 2007 Dokumente schützt Armand Portmann – © Institut für Wirtschaftsinformatik IWI Folie 8 DRM in der Unternehmung: Beispiel Microsoft RMS Microsoft RMS - Facts • • Systemvoraussetzungen • Server-Seite: Windows Server, Active Directory, SQLDatenbank • Cli t S it Wi Client-Seite: Windows d XP oder d Vista Vi t + RMS-fähige RMS fähi A Appl. l RMS-fähige Applikationen von Microsoft • • • • Word, Excel, PowerPoint, Outlook (E-Mail!) SharePoint Server (ab RMS 2003 SP 2) Es lassen sich nicht beliebige Dateien schützen Mithilfe eines SDK lassen sich eigene RMS-fähige Applikationen entwickeln Armand Portmann – © Institut für Wirtschaftsinformatik IWI Folie 9 DRM in der Unternehmung: Beispiel Microsoft RMS Microsoft RMS - Facts • Dritthersteller bieten RMS-fähige Applikationen an • • • • • Für PDF-Files: GigaTrust Corp. (www.gigatrust.com) RMS ist FIPS 140-2 Level 1 zertifiziert (ab RMS 2003 SP 1) Schlüsselmaterial des RMS-Servers lässt sich auf HSMs ablegen (HW-based CSP, z. B. nCipher netHSM) AD RMS lässt sich firmenübergreifend nutzen Es ist möglich, auch auf nicht AD-Clients RMS zu verwenden Armand Portmann – © Institut für Wirtschaftsinformatik IWI Folie 10 DRM in der Unternehmung: Beispiel Microsoft RMS Agenda • • • • • Einleitung Funktion Anwendung Chancen und Risiken Demo Armand Portmann – © Institut für Wirtschaftsinformatik IWI Folie 11 DRM in der Unternehmung: Beispiel Microsoft RMS Abläufe bei der Verwendung von RMS Quelle: Microsoft Armand Portmann – © Institut für Wirtschaftsinformatik IWI Folie 12 DRM in der Unternehmung: Beispiel Microsoft RMS Abläufe bei der Verwendung von RMS 1. Einmalige Registrierung des Client-Computers beim RMS S RMS-Server 2. Erstellung einer zu schützenden Datei mithilfe einer RMS fähi RMS-fähigen A Applikation lik ti und dD Definition fi iti d der Nutzungsbedingungen 3 Hinzufügen 3. Hi fü einer i V Veröffentlichungslizenz öff tli h li zur Datei D t i (Lizenz enthält die Nutzungsbedingungen) 4 Verteilung 4. Ve teil ng der de Datei über übe einen beliebigen Kanal 5. Öffnen der Datei mithilfe einer RMS-fähigen Applikation (und gegebenenfalls einmalige Registrierung des Client-Computers) Armand Portmann – © Institut für Wirtschaftsinformatik IWI Folie 13 DRM in der Unternehmung: Beispiel Microsoft RMS Abläufe bei der Verwendung von RMS 6. Beantragen einer Nutzungslizenz beim RMS-Server 7. Prüfung der Autorisierung des Empfängers durch den RMS-Server und Erstellung der entsprechenden N t Nutzungslizenz li 8. Übertragung der Nutzungslizenz auf den ClientC Computer t 9. Prüfung der Nutzungslizenz und Öffnen der Datei mit den entsp entsprechenden echenden Berechtigungen Be echtig ngen Armand Portmann – © Institut für Wirtschaftsinformatik IWI Folie 14 DRM in der Unternehmung: Beispiel Microsoft RMS Aufbau einer geschützten Datei Quelle: Microsoft, modifiziert Armand Portmann – © Institut für Wirtschaftsinformatik IWI Folie 15 DRM in der Unternehmung: Beispiel Microsoft RMS Agenda • • • • • Einleitung Funktion Anwendung Chancen und Risiken Demo Armand Portmann – © Institut für Wirtschaftsinformatik IWI Folie 16 DRM in der Unternehmung: Beispiel Microsoft RMS In Office konfigurierbare DateiBerechtigungen • • • • • • • • Lesen Bearbeiten Speichern/speichern unter Inhalte in Zwischenablage kopieren Makros ausführen Berechtigungen lesen Drucken Setzen eines Ablaufdatums • Hinweis: Benutzer werden über deren E-Mail Adresse selektiert Armand Portmann – © Institut für Wirtschaftsinformatik IWI Folie 17 DRM in der Unternehmung: Beispiel Microsoft RMS In Office konfigurierbare DateiBerechtigungen Menüpunkt: Datei / Berechtigung in Word Armand Portmann – © Institut für Wirtschaftsinformatik IWI Folie 18 DRM in der Unternehmung: Beispiel Microsoft RMS In Outlook konfigurierbare E-Mail Berechtigungen • • • Antworten erlaubt/nicht erlaubt Allen Antworten erlaubt/nicht erlaubt Weiterleiten erlaubt/nicht erlaubt • Hinweise • • RMS-geschützte E-Mails sind immer verschlüsselt • Im Standard-Dialog lässt sich nur die Berechtigung Weiterleiten erlaubt/nicht erlaubt konfigurieren Dateianhänge g erben den RMS-Schutz von der E-Mail (Empfänger bekommt eine Lese-Berechtigung auf dem Dokument) Armand Portmann – © Institut für Wirtschaftsinformatik IWI Folie 19 DRM in der Unternehmung: Beispiel Microsoft RMS In Outlook konfigurierbare E-Mail Berechtigungen Menüpunkt: Datei / Berechtigung in Outlook Armand Portmann – © Institut für Wirtschaftsinformatik IWI Folie 20 DRM in der Unternehmung: Beispiel Microsoft RMS Templates • • • • Templates bestehen aus einer vordefinierten Menge von B Berechtigungen hi Sie können Dateien oder E-Mails zugeordnet werden Dadurch können komplexe Berechtigungs-Sets einfach auf Dateien oder E-Mails angewendet werden Mithilfe von Templates kann z. B. ein Klassifikationsschema umgesetzt werden Templates Armand Portmann – © Institut für Wirtschaftsinformatik IWI Folie 21 DRM in der Unternehmung: Beispiel Microsoft RMS Agenda • • • • • Einleitung Funktion Anwendung Chancen und Risiken Demo Armand Portmann – © Institut für Wirtschaftsinformatik IWI Folie 22 DRM in der Unternehmung: Beispiel Microsoft RMS Chancen • • • • • Umfassender Schutz (für Ablage, Transport, etc.), der untrennbar b mit i d der Datei D i verbunden b d ist i Hoher Sicherheitslevel (128 Bits symmetrisch, 1024 Bit asymmetrisch) Bits t i h) Beinahe transparente Anwendung, von welcher der E d U End-User nur wenig i merkt kt Ziemlich einfacher Betrieb der RMS-Infrastruktur (es m ss keine PKI aufgebaut muss a fgeba t und nd betrieben bet ieben werden) e den) Sinnvoller Einsatz setzt eine Datenklassifikation voraus Armand Portmann – © Institut für Wirtschaftsinformatik IWI Folie 23 DRM in der Unternehmung: Beispiel Microsoft RMS Risiken • • • Fehlkonfiguration: Bei fehlerhafter Vergabe von B Berechtigungen hi können kö berechtigte b hi Benutzer B Dateien D i nicht entschlüsseln (d. h. lesen oder bearbeiten) U Ungenügende ü d Verfügbarkeit V fü b k it der d RMS-Server: RMS S Ohne Oh RMS-Server können geschützte Dateien nicht oder nur über einen beschränkten Zeitraum entschlüsselt werden Verlust des Schlüsselmaterials des RMS-Servers: Es können keine Nutzungslizenzen mehr ausgestellt werden ((Dateien u. U. verloren)) Armand Portmann – © Institut für Wirtschaftsinformatik IWI Folie 24 DRM in der Unternehmung: Beispiel Microsoft RMS Risiken • • • Unsorgfältige Revokation: Sie kann dazu führen, dass auch h berechtigte b hi Personen P ihre ih N Nutzungsrechte h an Dateien verlieren RMS Ad i RMS-Admins: Sie Si h haben b Vollzugriff V ll iff auff sämtliche ä tli h geschützten Dateien (aber auch sinnvoll, z. B. bei Austritt von Mitarbeitern) Domain-Admins: Sie können sich über ein Benutzerkonto Zugriff auf geschützte Dateien verschaffen (Passwort zurücksetzen genügt) Armand Portmann – © Institut für Wirtschaftsinformatik IWI Folie 25 DRM in der Unternehmung: Beispiel Microsoft RMS Risiken • • • Screen-Shots: Lassen sich nicht zu 100% verhindern (f (fotografieren fi geht h sowieso i immer) i ) Auslagerungsdatei: Sie enthält u. U. entschlüsselte I h lt ((gemäss Inhalte ä Microsoft Mi ft T TechNet-Dokumentation) hN t D k t ti ) Verbreitung der Technologie: Enterprise Rights M Management t Systeme S t sind i d noch h nicht i ht weit it verbreitet; b it t es sind deshalb eher wenig Erfahrungen in der Anwendung vorhanden Armand Portmann – © Institut für Wirtschaftsinformatik IWI Folie 26 DRM in der Unternehmung: Beispiel Microsoft RMS Agenda • • • • • Einleitung Funktion Anwendung (Windows XP, Office 2007) Chancen und Risiken Demo Armand Portmann – © Institut für Wirtschaftsinformatik IWI Folie 27 DRM in der Unternehmung: Beispiel Microsoft RMS Demo • • Dateien schützen E-Mails schützen Armand Portmann – © Institut für Wirtschaftsinformatik IWI Folie 28 DRM in der Unternehmung: Beispiel Microsoft RMS [email protected] p @ Armand Portmann – © Institut für Wirtschaftsinformatik IWI Folie 29