La gestione sicura delle informazioni: Windows Rights

Management

Fabrizio Grossi

Agenda

• Protezione delle informazioni digitali

• Cosè Windows Rights Management Services?

• Approfondimento tecnico

Protezione delle informazioni con Windows Rights Management Services

Access Control List

No

Yes

FirewallFirewall

Authorized Users

Unauthorized Users

Information Leakage

Unauthorized Users

Soluzione tradizionale: controllo degli accessi

Windows Rights Management Services (RMS)

Tecnologia di protezione delle informazioni che aumenta le strategie di sicurezza

• Gli utenti possono salvaguardare facilmente le informazioni sensibili dall’uso non autorizzato

• Le organizzazioni possono controllare centralmente le politiche interne di uso delle informazioni

• Gli sviluppatori possono sviluppare soluzioni flessibili e personalizzabili di protezione delle informazioni

RMS protegge le informazioni online, offline, all’interno e all’esterno della rete aziendale.

Information Rights Management

• Strumento di applicazione di policy di sicurezza incluso in Microsoft Office 2003

• Aiuta a proteggere documenti ed informazioni dall’uso non autorizzato

• Impossibile da violare “per errore”: riduce la fuoriuscita inavvertita di informazioni

• Permette agli autori di identificare i destinatari autorizzati e di definire le azioni consentite

• Controllo sull’uso delle informazioni sensibili

• Cifratura di e-mail (Outlook) e documenti (Word, Excel, PowerPoint) e applicazione di policy individuali o di gruppo per la decifratura e l’utilizzo

Mantiene all’interno le e-mail interne

Riduce il rischio di inoltro di informazioni confidenziali

Modelli per la gestione centralizzata delle policy

Protezione delle e-mail

Utenti senza Office 2003 possono visualizzare documenti protetti

Forza ugualmente i privilegi di accesso

Compatibilità versioni

precedenti

IE w/RMA, Windows RMS

Controlla l’accesso a progetti riservati

Imposta diversi liveli di accesso: lettura, modifica, stampa, copia…

Determina la durata dell’accesso

Protezione di documenti

Word 2003, PowerPoint 2003Excel 2003, Windows RMS

Outlook 2003Windows RMS

Scenari d’utilizzo

Cosa non fa RMS …

Proteggere informazioni con RMS

AutoreAutore UtilizzatoreUtilizzatore

RMS ServerRMS Server

Database Server Active Directory

2 3

4

5

2. L’autore assegna i diritti d’uso al documento; l’applicazione cifra il file e pubblica la licenza

3. L’autore distribuisce il file

4. L’utilizzatore apre il file, l’applicazione contatta il server RMS per validare l’utente e assegnare la licenza d’uso

5. L’applicazione visualizza il documento applicando le restrizioni

1. L’autore riceve un certificato client la prima volta che utilizza il servizio

1

Tecnologia: Licenze

• Publishing license• Creata quando il documento o il messaggio viene protetto

Creata online o offline

• Use license• Allegata al file del documento protetto

• Salvata localmente per i messaggi e-mail

• Cifratura• DES 56-bit o AES 128-bit per il contenuto

• Chiave RSA a 1,024-bit per la cifratura e per la firma digitale di certificati e licenze

• Comunicazioni client/server via tunnel SSL

Tecnologia: Licensing al di fuori del Firewall

• RMS server in DMZ

• Coppia di URL nella publishing license

• Richieste le credenziali all’utente

Demo

Utilizzo con Office e

Internet Explorer

Windows Rights Management Services

Approfondimento tecnico

Componenti server di RMS

• Web services• Certification

• Publishing

• Licensing

• Administration website

• Database• Configuration

• Logging

• Directory Services

RMS Cluster:

• I servizi sono stateless web services

• load balancing, ridondanza, performance

• I server in un cluster condividono medesima istanza database

RMS ClusterRMS Cluster

NLBNLB HSMHSM

RMS Web RMS Web ServicesServices•CertificationCertification•PublishingPublishing•LicensingLicensing

Log DBLog DB

Componenti server di RMS

• Chiave privata del server RMS

• Chiavi utente e indirizzi e-mail• Le chiavi utente sono generate dal servizio RMS

• Gli indirizzi e-mail sono ricavati da Active Directory

• Permission Templates

• Logs• Alla creazione e all’utilizzo di certificati e licenze,

può essere usato come strumento di auditing

Componenti Client di RMS

• RMS Client software + “Lockbox”• Le applicazioni RMS-enabled utilizzano le API del client RMS

• Le componenti client si appoggiano al “RMS lockbox” (secproc.dll) per effettuare le operazioni di sicurezza

• Credenziali computer e utente protette

• Certificato computer

• Certificato utente (RAC = Rights Account Certificate )

• Client Licensor Certificate (CLC)

Deployment: Machine Activation e User Certification

1. Il computer Client fa una richiesta all’Active Directory

2. Il computer Client ottiene l’URL per il servizio di attivazione

3. Il computer Client invia una richiesta di computer activation al server RMS

4. Il server RMS inoltra la richiesta attraverso il firewall

5. La richiesta di Attivazione è consegnata al servizio di Attivazione

6. Il Servizio di Attivazione compila la lockbox DLL

Deployment: Machine Activation e User Certification7. Il servizio di Attivazione restituisce la lockbox attraverso il

firewall

8. La Lockbox è restituita al Server RMS che ha originato la richiesta

9. Il file Lockbox è installato sul computer client

10. Il computer Client presenta le credenziali di logon al server RMS Certification

11. Viene costruito un RAC e viene installato sul client computer

12.Viene installato il CLC per abilitare l’offline publishing

CredenzialeCredenziale IdentificaIdentifica ContieneContiene Permette…Permette…

Machine Machine CertificateCertificate

(uno per user per PC)(uno per user per PC)

Un pc trustedUn pc trusted • Chiave pubblica del PCChiave pubblica del PC Al PC e relativo Lockbox di Al PC e relativo Lockbox di partecipare all’ambiente partecipare all’ambiente RMSRMS

Rights Account Rights Account Certificate (RAC)Certificate (RAC)

Un utente trustedUn utente trusted •Chiave pubblica dell’utenteChiave pubblica dell’utente

•La chiave privata dell’utente (cifrata con La chiave privata dell’utente (cifrata con la chiave pubblica del PC)la chiave pubblica del PC)

•Mail (s)Mail (s)

Di autenticare l’utente in tutti Di autenticare l’utente in tutti i futuri scambi con il server i futuri scambi con il server RMS (richiesta publishing RMS (richiesta publishing license e user license)license e user license)

Di fruire contenuti protetti Di fruire contenuti protetti agli utenti autorizzatiagli utenti autorizzati

Client Licensor Client Licensor Certificate (CLC)Certificate (CLC)

Un utente che può Un utente che può proteggere contentuto proteggere contentuto (“pubblicare”) al posto (“pubblicare”) al posto del Server RMS , senza del Server RMS , senza collegarsi al Server collegarsi al Server RMS RMS

• Chiave pubblica CLCChiave pubblica CLC

• Chiave privata CLC (cifrata con la Chiave privata CLC (cifrata con la chiave pubblica del RAC)chiave pubblica del RAC)

• Copia del certificato Licensor del Copia del certificato Licensor del Server RMSServer RMS

A un utente di proteggere A un utente di proteggere contenuti (i.e. “pubblicare”) contenuti (i.e. “pubblicare”) al posto del Server RMS, al posto del Server RMS, senza collegarsi al Server senza collegarsi al Server RMS RMS

Publishing Publishing LicenseLicense

(Rilasciato dal server (Rilasciato dal server RMS o da un utente RMS o da un utente via CLC)via CLC)

Policy (Utenti, diritti, Policy (Utenti, diritti, condizioni) che condizioni) che governano l’utilizzo dei governano l’utilizzo dei contenuticontenuti

•Informazioni sulle PolicyInformazioni sulle Policy

•Chiave simmetrica (AES) usata per Chiave simmetrica (AES) usata per cifrare il contenuto (cifrata con la chiave cifrare il contenuto (cifrata con la chiave pubblica del Server RMS)pubblica del Server RMS)

•Un’altra copia della Chiave simmetrica Un’altra copia della Chiave simmetrica (AES) dei contenuti (cifrata con la chiave (AES) dei contenuti (cifrata con la chiave pubblica del CLC)pubblica del CLC)

•URL del server di licensingURL del server di licensing

Use LicenseUse License (Rilasciata dal server (Rilasciata dal server di licenze RMS)di licenze RMS)

•Chiave simmetrica (AES) usata per Chiave simmetrica (AES) usata per cifrare il contenuto (cifrata con la chiave cifrare il contenuto (cifrata con la chiave pubblica del RAC dell’utente autorizzato)pubblica del RAC dell’utente autorizzato)

A un Security principal A un Security principal (utente) di fruire contenuti in (utente) di fruire contenuti in accordo con le condizioni accordo con le condizioni nella Publishing Licensenella Publishing License

Credenziali e Licenze RMS

CredenzialeCredenziale IdentificaIdentifica ContieneContiene

Machine Certificate

Una postazione riconosciuta

• Chiavi pubblica e privata del computer

Rights Account Certificate (RAC)

Un utente autenticato • Chiavi pubblica e privata dell’utente

Client Licensor Certificate (CLC)

Permette di pubblicare documenti offline

• Chiavi pubblica e privata CLC

• Copia del certificato del Server RMS di licensing

Publishing License

Policy che regolano l’uso di un documento (utenti, privilegi, condizioni)

• Policy

• Chiavi simmetriche AES (Content Key) cifrate con certificato RMS o CLC

• URL del licensing server

Use License (Rilasciata da un RMS licensing server)

• Chiave simmetriche AES per decifrare il documento (cifrata con RAC)

Rights Account Certificate (RAC), signed with RMS Server Public key

-User Private Key, Encrypted with the machine public key

-User Public Key

Client Computer(s) RMS Server (configurazione single-server)

2. Installazione del Client RMS

1. Installazione applicazioni RMS-enabled

Il Client RMS attiva il PC-Richiama RMActivate.exe per generare la coppia di chiavi per il PC e firma il Certificato Machine (contiene la chiave pubblica Machine)

4. L’utente si autenticaCertificazione:Verifica il SID utente in AD eGenera la coppia di chiavi utente

Flusso delle Chiavi RMS: Client “Bootstrapping”

Request Client Licensor Certificate

RACValidate RACGenerate “Client” Key Pair

Client Licensor Certificate (CLC), signed with RMS Server Public key

-CLC Private key, encrypted with the RAC public key

-CLC Public key and copy of SLC

User can publish online or consume

User can publish offline

Authentication credentials

3. L’utente usa RMS per la prima volta

AutoreAutoreServer RMSServer RMS

• Content key cifrata2. Crittografa la content key con la chiave pubblica del server RMS e la invia con le policy scelte al server RMS.

4. Riceve la PL e la allega al documento crittografato

• policy d’utilizzo

1. Genera una “content key” (AES), e la usa per crittografare il documento

AES content key

RMS Server public key

RMS Server private key

• documento cifrato

• AES key cifrata• policy d’utiilzzo• url del server RMS

Publishing License

• documento cifrato

Pubblicazione Online di documenti

Applicazione e client RMSApplicazione e client RMS

3. Crea la Publishing License (PL) e la firma con la propria chiave privata

• AES key cifrata• policy d’utilizzo• url del server RMS

Publishing License

“Publisher” / Sender

Flusso Chiavi RMS : Offline Publishing (con CLC)

Utente protegge il contenuto (ex doc Word)

•encrypted AES content key2. Cifra la content key con la chiave pubblica del server RMS (così il server può decifrarla in seguito … la chiave

pubblica del server è contenuta nel SLC server, dentro il client CLC)

3. Cifra la content key con la chiave pubblica CLC (per creare la “owner” license)

4. Crea la publishing license (PL), include entrambe le copie cifrate della content key, i rights information, e la url del RMS server, e la firma con la chiave privata del CLC

• encrypted content5. Appende la Publishing License PL al contenuto

Client Licensor CertificateCLC Private keyCLC Public keycopy of SLC

•encrypted AES content key

Applicazione e Client RMS :

AES content key

RMS Server public key

•2 encrypted AES keys•Policy di utilizzo•url of RMS server

Publishing License

• encrypted content1. Applicazioni RMS-enabled generano l’AES content key, e la usano per cifrare il contenuto

“Publisher” / Sender

RMS Server

“Consumer” / Recipient

RMS Key Flow Detail: Offline Publishing & Consumption

Application and RMS client1. Generate AES key and encrypt content 2. Encrypt AES key with the public key of the

client’s CLC (for “owner” license)3. Encrypt another copy of the AES key with RMS

server’s public key (so server can decrypt it later for the recipient…server public key is contained in client CLC)

4. Create “Publishing License” (PL), sign with CLC private key and append to encrypted content

(Assuming recipient has RMS Client and RAC)

Saves content (e.g. Word doc)Recipient user opens content

Application and RMS Client1. Inspect PL for RMS

Service url.2. Send “Use License

Request “ (PL + RAC) to licensing server specified by url.

RMS Server1. Validates recipient RAC2. Inspects PL for rights3. Validates user in AD4. Un-encrypts content key & re-

encrypts it with recipient RAC’s public key

5. Returns encrypted content key in use license

RMS Client uses RAC private key (unavailable to user) to unencrypt the content keyApplication renders the file and enforces the rights

• encrypted content

•2 encrypted AES keys•rights information•url of RMS server

Publishing License

• encrypted content

•2 encrypted AES keys•rights information•url of RMS server

Publishing License

Esempio: documento protetto Word, Excel, or Powerpoint 2003

Rights Info(email addresses)

Content KeyCifrata con la chiave pubblica del server RMS

Publishing License

Contenuto del file(Testo, foto, metadati, etc)

End User Licenses

Content Key

Diritti per un particolare utente

Criptata con la chiave pubblica dell’utente RAC

Creata quando il file viene protetto

Aggiunte al file dopo

l’assegnazione della licenza dal

server

Cifrato con la Content Key:

chiave simmetrica AES 128-bit

Cifrata con la chiave pubblica del server RMS

In Outlook

Le licenze utente sono memorizzate nel profilo

Criptata con la chiave pubblica

dell’utente

Demo

Gestione di RMS

Requisiti software

ServerServer

• Window Server 2003

• Standard, Enterprise, Web o Datacenter

• Windows RMS

• Active Directory® directory service

• Windows Server 2000 o successivi

• Deve essere compilato il campo “e-mail addres” di ogni utente RMS

• Database Server

• Microsoft SQL Server™ o MSDE

ClientClient

• Windows 2000 Pro o successivo

• Windows Rights Management client software

• Applicazione RMS-enabled

• Necessaria per creare o visualizzare contenuti protetti

• Microsoft Office 2003 include applicazioni RMS-enabled: Word, Excel, PowerPoint, Outlook

• Office Professional 2003 per la creazione di documenti protetti

• Le altre versioni per utilizzare documenti protetti

• Internet Explorer con Rights Management Add-on (RMA) per visualizzare contenuti protetti

Creazione/

Protezione Modifica Lettura

Professional Edition 2003 &

Professional Enterprise Edition 2003

Prodotti “2003” Standalone

Standard Edition 2003

Small Business Edition 2003

Student e Teacher Edition 2003

Versioni precedenti *

* Utilizzando l’Add-on RMS per Internet Explorer

Funzionalità IRM in Office 2003

RMS Licensing

Per implementare RMS sono necessarie:• Windows Server 2003 Server

• Windows Server 2003 Client Access Licenses (CALs)

• Nessuna licenza RMS Server (è un servizio di Windows Server 2003)

• Windows RMS CAL

• Ogni utente o device che crea o utilizza contenuti protetti richiede una CAL RMS.

Interoperabilità con utenti esterni

• Necessaria un’identità riconosciuta da RMS• Creare in Active Directory account per gli utenti esterni

• Implementare relazioni di trust tra server RMS

• Utilizzare identità RMS basate su Passport

• Extranet Active Directory e RMS per i partners

• Servizi di outsourcing RMS presso Microsoft partners

• Accesso dall’esterno ai servizi RMS• Pubblicazione dell’URL dei servizi RMS

• https://rmsservice.fqdn.com/.../license.asmx

• Creazione di un Cluster RMS separato

HP per TechNet : il Server HP per TechNet : il Server utilizzato utilizzato

• HP ProLiant ML350-G4•Processore : Intel Xeon 3.4 GHz/1MB L2 cache •Memoria : 3.0 GB PC2700 DIMM•Network Controller : NC7761 PCI Gigabit NIC •RAID Controller : Smart Array 641 Controller •Hard Drive : 6 x 72GB 15K SCSI U320 HotPlug

Dove poter approfondire

• Informazioni sui prodotti

• http://www.microsoft.com/windowsserver2003/

• http://www.microsoft.com/windowsserver2003/technologies/rightsmgmt/

• http://www.microsoft.com/technet/prodtechnol/office/office2003/operate/of03irm.mspx

• Download

• http://go.microsoft.com/fwlink/?linkid=17673

• http://www.microsoft.com/windowsserver2003/evaluation/overview/technologies/rmenterprise.mspx

• Technet

• www.microsoft.com/italy/technet

Domande?