Microsoft RMS

Transcription

Microsoft RMS

ISSS Zürcher Tagung 2009
DRM in der Unternehmung:
B i i l Microsoft
Beispiel
Mi
ft RMS
IWI Institut für Wirtschaftsinformatik
Armand Portmann
dipl. El. Ing. ETH
[email protected]
17. Juni 2009
DRM in der Unternehmung: Beispiel Microsoft RMS
Agenda
•
•
•
•
•
Einleitung
Funktion
Anwendung
Chancen und Risiken
Demo
Armand Portmann – © Institut für Wirtschaftsinformatik IWI
Folie 2
Agenda
•
•
•
•
•
Einleitung
Funktion
Anwendung
Chancen und Risiken
Demo
Folie 3
Begriff: Enterprise Rights Management
•
•
Technologie zum Schutz sensitiver Firmendaten, z. B.
Offi Dokumente
Office
D k
(Word,
(W d PowerPoint,
P
P i
etc.))
Produkte
•
•
•
•
Adobe LiveCycle Rights Management
EMC Documentum Information Rights Management
(
(vormals
l A
Authentica
th ti Active
A ti
Rights
Ri ht Management)
M
t)
Oracle Information Rights Management
Mi
Microsoft
ft Rights
Ri ht M
Managementt S
Services
i
Folie 4
Motivation
•
•
•
•
•
Traditionellerweise werden Daten an ihrem Ablageort
oder
d auff dem
d
Transportweg
T
geschützt
hü
Das Wegkopieren sensitiver Daten wird durch eine
K t ll d
Kontrolle
der USB
USB-Ports
P t zu verhindern
hi d
versucht
ht
Die Umsetzung eines lückenlosen Schutzes ist sehr
schwierig
h i i
Schlupflöcher bleiben immer: Ein berechtigter
Ben t e kann z. B.
Benutzer
B eine verschlüsselte
e schlüsselte Datei
unverschlüsselt abspeichern und weitergeben
Enterprise Rights Management Systeme bieten eine
elegante Lösung für diese Probleme
Folie 5
Lösung
•
Den Schutz einer Datei – d. h. die Verschlüsselung –
untrennbar
t
b mit
it der
d Datei
D t i verbinden
bi d
Folie 6
Microsoft RMS - Terminologie
Rights Management
(RM)
Rights
Management
Services
(RMS)
Information
Rights
Management
(IRM)
Windows Server
Windows Client
mit Office
•
•
Rights Management
beschreibt
b
Services ((RMS)) b
nur einen Teil eines
grösseren Systems
Trotzdem wird in der Regel
von RMS gesprochen,
wenn das Gesamtsystem
gemeint ist
Folie 7
Microsoft RMS - Terminologie
•
•
Rights Management Services (RMS)
•
Server-Komponente, die unter Windows Server 2003
oder 2008 läuft
•
Unter
U
t Server
S
2008 heisst
h i t die
di Komponente
K
t neu Active
A ti
Directory Rights Management Services (AD RMS)
Information Rights Management (IRM)
•
Client-Komponente, die unter Windows XP oder Vista
läuft und Office 2003 oder Office 2007 Dokumente
schützt
Folie 8
Microsoft RMS - Facts
•
•
Systemvoraussetzungen
•
Server-Seite: Windows Server, Active Directory, SQLDatenbank
•
Cli t S it Wi
Client-Seite:
Windows
d
XP oder
d Vista
Vi t + RMS-fähige
RMS fähi
A
Appl.
l
RMS-fähige Applikationen von Microsoft
•
•
•
•
Word, Excel, PowerPoint, Outlook (E-Mail!)
SharePoint Server (ab RMS 2003 SP 2)
Es lassen sich nicht beliebige Dateien schützen
Mithilfe eines SDK lassen sich eigene RMS-fähige
Applikationen entwickeln
Folie 9
Microsoft RMS - Facts
•
Dritthersteller bieten RMS-fähige Applikationen an
•
•
•
•
•
Für PDF-Files: GigaTrust Corp. (www.gigatrust.com)
RMS ist FIPS 140-2 Level 1 zertifiziert (ab RMS 2003
SP 1)
Schlüsselmaterial des RMS-Servers lässt sich auf
HSMs ablegen (HW-based CSP, z. B. nCipher netHSM)
AD RMS lässt sich firmenübergreifend nutzen
Es ist möglich, auch auf nicht AD-Clients RMS zu
verwenden
Folie 10
Agenda
•
•
•
•
•
Einleitung
Funktion
Anwendung
Chancen und Risiken
Demo
Folie 11
Abläufe bei der Verwendung von RMS
Quelle: Microsoft
Folie 12
1. Einmalige Registrierung des Client-Computers beim
RMS S
RMS-Server
2. Erstellung einer zu schützenden Datei mithilfe einer
RMS fähi
RMS-fähigen
A
Applikation
lik ti
und
dD
Definition
fi iti
d
der
Nutzungsbedingungen
3 Hinzufügen
3.
Hi
fü
einer
i
V
Veröffentlichungslizenz
öff tli h
li
zur Datei
D t i
(Lizenz enthält die Nutzungsbedingungen)
4 Verteilung
4.
Ve teil ng der
de Datei über
übe einen beliebigen Kanal
5. Öffnen der Datei mithilfe einer RMS-fähigen
Applikation (und gegebenenfalls einmalige
Registrierung des Client-Computers)
Folie 13
6. Beantragen einer Nutzungslizenz beim RMS-Server
7. Prüfung der Autorisierung des Empfängers durch den
RMS-Server und Erstellung der entsprechenden
N t
Nutzungslizenz
li
8. Übertragung der Nutzungslizenz auf den ClientC
Computer
t
9. Prüfung der Nutzungslizenz und Öffnen der Datei mit
den entsp
entsprechenden
echenden Berechtigungen
Be echtig ngen
Folie 14
Aufbau einer geschützten Datei
Quelle: Microsoft, modifiziert
Folie 15
Agenda
•
•
•
•
•
Einleitung
Funktion
Anwendung
Chancen und Risiken
Demo
Folie 16
In Office konfigurierbare DateiBerechtigungen
•
•
•
•
•
•
•
•
Lesen
Bearbeiten
Speichern/speichern unter
Inhalte in Zwischenablage kopieren
Makros ausführen
Berechtigungen lesen
Drucken
Setzen eines Ablaufdatums
•
Hinweis: Benutzer werden über deren E-Mail Adresse
selektiert
Folie 17
In Office konfigurierbare DateiBerechtigungen
Menüpunkt: Datei / Berechtigung in Word
Folie 18
In Outlook konfigurierbare E-Mail
Berechtigungen
•
•
•
Antworten erlaubt/nicht erlaubt
Allen Antworten erlaubt/nicht erlaubt
Weiterleiten erlaubt/nicht erlaubt
•
Hinweise
•
•
RMS-geschützte E-Mails sind immer verschlüsselt
•
Im Standard-Dialog lässt sich nur die Berechtigung
Weiterleiten erlaubt/nicht erlaubt konfigurieren
Dateianhänge
g erben den RMS-Schutz von der E-Mail
(Empfänger bekommt eine Lese-Berechtigung auf dem
Dokument)
Folie 19
In Outlook konfigurierbare E-Mail
Berechtigungen
Menüpunkt: Datei / Berechtigung in Outlook
Folie 20
Templates
•
•
•
•
Templates bestehen aus einer vordefinierten Menge
von B
Berechtigungen
hi
Sie können Dateien oder E-Mails zugeordnet werden
Dadurch können komplexe Berechtigungs-Sets
einfach auf Dateien oder E-Mails angewendet werden
Mithilfe von Templates kann z. B. ein
Klassifikationsschema umgesetzt werden
Templates
Folie 21
Agenda
•
•
•
•
•
Einleitung
Funktion
Anwendung
Chancen und Risiken
Demo
Folie 22
Chancen
•
•
•
•
•
Umfassender Schutz (für Ablage, Transport, etc.), der
untrennbar
b mit
i d
der Datei
D
i verbunden
b d
ist
i
Hoher Sicherheitslevel (128 Bits symmetrisch, 1024
Bit asymmetrisch)
Bits
t i h)
Beinahe transparente Anwendung, von welcher der
E d U
End-User
nur wenig
i merkt
kt
Ziemlich einfacher Betrieb der RMS-Infrastruktur (es
m ss keine PKI aufgebaut
muss
a fgeba t und
nd betrieben
bet ieben werden)
e den)
Sinnvoller Einsatz setzt eine Datenklassifikation
voraus
Folie 23
Risiken
•
•
•
Fehlkonfiguration: Bei fehlerhafter Vergabe von
B
Berechtigungen
hi
können
kö
berechtigte
b
hi
Benutzer
B
Dateien
D
i
nicht entschlüsseln (d. h. lesen oder bearbeiten)
U
Ungenügende
ü
d Verfügbarkeit
V fü b k it der
d RMS-Server:
RMS S
Ohne
Oh
RMS-Server können geschützte Dateien nicht oder
nur über einen beschränkten Zeitraum entschlüsselt
werden
Verlust des Schlüsselmaterials des RMS-Servers: Es
können keine Nutzungslizenzen mehr ausgestellt
werden ((Dateien u. U. verloren))
Folie 24
Risiken
•
•
•
Unsorgfältige Revokation: Sie kann dazu führen, dass
auch
h berechtigte
b
hi
Personen
P
ihre
ih N
Nutzungsrechte
h an
Dateien verlieren
RMS Ad i
RMS-Admins:
Sie
Si h
haben
b
Vollzugriff
V ll
iff auff sämtliche
ä tli h
geschützten Dateien (aber auch sinnvoll, z. B. bei
Austritt von Mitarbeitern)
Domain-Admins: Sie können sich über ein
Benutzerkonto Zugriff auf geschützte Dateien
verschaffen (Passwort zurücksetzen genügt)
Folie 25
Risiken
•
•
•
Screen-Shots: Lassen sich nicht zu 100% verhindern
(f
(fotografieren
fi
geht
h sowieso
i
immer)
i
)
Auslagerungsdatei: Sie enthält u. U. entschlüsselte
I h lt ((gemäss
Inhalte
ä Microsoft
Mi
ft T
TechNet-Dokumentation)
hN t D k
t ti )
Verbreitung der Technologie: Enterprise Rights
M
Management
t Systeme
S t
sind
i d noch
h nicht
i ht weit
it verbreitet;
b it t
es sind deshalb eher wenig Erfahrungen in der
Anwendung vorhanden
Folie 26
Agenda
•
•
•
•
•
Einleitung
Funktion
Anwendung (Windows XP, Office 2007)
Chancen und Risiken
Demo
Folie 27
Demo
•
•
Dateien schützen
E-Mails schützen
Folie 28
[email protected]
p
@
Folie 29

Microsoft RMS

Transcription

Documents pareils

jim allchin

Datenblatt Microsoft Rights Management Services

fact sheet

Fotos verkleinern mit dem Microsoft Office Picture Manager

eXplorist XL

Logitech® X-530

Cordless MouseMan Wheel (USB/PS2)Set-up - MA

Einstellung der Microsoft Office Shortcut

Ratho-News 02/03/07 Impulse USAcoustics Series SLB-300