sec331 - 利用 windows rights management services 保护安全
DESCRIPTION
SEC331 - 利用 Windows Rights Management Services 保护安全. 课程目标. 了解 RMS 商业场景 了解 RMS 组件 & 技术 学习部署 RMS. $40 在 Afghanistan 你可以买什么 ?. $40. 在 Kabul 的五星级酒店一晚的住宿 送一个孩子读五年的书 或者 …. $40. 前往 US 空军基地附近的一个市场 … 花 40$ 买那些被偷来的 USB 设备 : US 武装当地代理的身份信息 US 士兵的个人信息 敌军目标的列表 美国军事基地的列表 - PowerPoint PPT PresentationTRANSCRIPT
SEC331 - SEC331 - 利用利用 Windows Windows Rights Management Rights Management ServicesServices 保护安全保护安全
课程目标课程目标
了解了解 RMS RMS 商业场景商业场景
了解 了解 RMS RMS 组件组件 & & 技术技术
学习部署 学习部署 RMSRMS
$40 $40 在 在 AfghanistanAfghanistan 你你可以买什么可以买什么 ??
$40$40
在在 KabulKabul 的五星级酒店一晚的住宿的五星级酒店一晚的住宿
送一个孩子读五年的书送一个孩子读五年的书
或者或者……
$40$40
前往前往 USUS 空军基地附近的一个市场空军基地附近的一个市场……
花花 40$40$ 买那些被偷来的买那些被偷来的 USBUSB 设备设备 ::USUS 武装当地代理的身份信息武装当地代理的身份信息USUS 士兵的个人信息士兵的个人信息敌军目标的列表敌军目标的列表美国军事基地的列表美国军事基地的列表
Source: BBC News Source: BBC News http://news.bbc.co.uk/2/hi/south_asia/4905052.stmhttp://news.bbc.co.uk/2/hi/south_asia/4905052.stm
LA times LA times http://www.latimes.com/news/opinion/editorials/la-ed-bagram14apr14,1,4404976.storyhttp://www.latimes.com/news/opinion/editorials/la-ed-bagram14apr14,1,4404976.story
信息丢失的代价信息丢失的代价无论是有意还是无意的信息丢失无论是有意还是无意的信息丢失 ,, 它所带来的损失都是巨大的它所带来的损失都是巨大的
财产财产
法律法律
美国司法部门表示在美国司法部门表示在 20042004 年发生在企业中的年发生在企业中的 IP IP 窃取窃取 $500$500 亿亿
规章制度规章制度 Victoria’s Secret Victoria’s Secret 被被 State of New York State of New York 罚罚款款 $50$50 万万 ,, 并不得不对于那些被泄漏的未经授权的访问而并不得不对于那些被泄漏的未经授权的访问而接受赔偿接受赔偿 . .
Eli Lilly Eli Lilly 由于网上缴费无意见将自己的个人信息暴露给了由于网上缴费无意见将自己的个人信息暴露给了600600 多个网上的用户多个网上的用户
图象 图象 & & 可信可信度度
T-MobileT-Mobile 的漏洞导致数千客户的社会安全号码泄漏的漏洞导致数千客户的社会安全号码泄漏
信息漏洞的商业风险信息漏洞的商业风险
““ 在病毒入侵后面在病毒入侵后面 ,, 商业邮件和移动设备丢失越来越成为非常商业邮件和移动设备丢失越来越成为非常严重的安全隐患严重的安全隐患””
Jupiter Research Report, 2004Jupiter Research Report, 2004
Loss of digital assets, restoredLoss of digital assets, restored
Email piracyEmail piracy
Password compromisePassword compromise
Loss of mobile devicesLoss of mobile devices
Unintended forwarding of emailsUnintended forwarding of emails
20%20%
22%22%
22%22%
35%35%
36%36%
63%63%Virus infectionVirus infection
Frequency of Reference
8
IndependentConsultant
PartnerOrganization
Home
Mobile Devices
USB Drive
信息流没有边界信息流没有边界失控的信息共享失控的信息共享 ,, 存储和访问存储和访问主机和网络控件不能很好的解决这些问题主机和网络控件不能很好的解决这些问题
信息平台信息平台
保护初始连接的传统解决方案保护初始连接的传统解决方案
访问控制列表访问控制列表
NoNo
YesYes
Firewall PerimeterFirewall Perimeter
授权用户授权用户
未授权用户未授权用户
信息漏洞信息漏洞
未授权用户未授权用户
但是现在不再使用但是现在不再使用……
什么是 什么是 Rights Management Rights Management Services?Services?Windows Windows 平台信息保护技术平台信息保护技术
更好的保护敏感信息更好的保护敏感信息
保护未授权的访问保护未授权的访问 ,, 编辑编辑 ,, 拷贝拷贝 ,, 打印或者其它信息的传递打印或者其它信息的传递限制只有授权用户可以访问文件限制只有授权用户可以访问文件对保护文件的访问进行审核对保护文件的访问进行审核
持久的保护持久的保护
保护你的敏感数据保护你的敏感数据 ,, 无论它在何地无论它在何地使用技术强制组织策略使用技术强制组织策略
作者可以定义收件人如何使用信息作者可以定义收件人如何使用信息灵活灵活 ,, 自定义的技术自定义的技术
RMS RMS 与应用程序的整合与应用程序的整合 ,, 便于使用便于使用用户可以为一个信任组分配用户可以为一个信任组分配 “ “ Full Control” Full Control” 权限权限ISVs ISVs 可以由 可以由 SDKs SDKs 定制解决方案定制解决方案
11
用户不遵守策略用户不遵守策略共享文档缺少策略共享文档缺少策略
平台功能性平台功能性
稳固的加密特性
稳固的策略
策略强制执行
信息整合
全面的审核
被分发的敏感内容被分发的敏感内容知道文件访问知道文件访问通过传输或者存储嗅探信息通过传输或者存储嗅探信息
不受限使用不受限使用用户无意的违反策略用户无意的违反策略
临时信息临时信息资源信息不清资源信息不清
无法审核用户的行为无法审核用户的行为组织不能服从验证组织不能服从验证
减轻减轻
减轻减轻
减轻减轻
减轻减轻
减轻减轻
功能 风险
会议目标会议目标
了解了解 RMS RMS 商业场景商业场景
了解 了解 RMS RMS 组件组件 & & 技术技术
学习部署 学习部署 RMSRMS
系统工作流系统工作流高级别的查看证书角色密钥使用 应用程序 / RMS 客户端交互作用RMS 客户端 / RMS 服务器交互作用
RMS 感知的应用程序和直接使用 RMS 客户端 APIs 的应用程序
应用程序可以是桌面端或者是基于服务器的
基于端对端的系统工作流1. 部署2. 用户证明3. 发布信息4. 用户许可5. 信息消费量
系统架构系统架构
SQL
OS 平台
安全处理机
客户 API
应用程序 HTTP/S
OA
P
RMS Server
存储
MMC Host
Admin Snap-in
HTTP/S
OA
P
Admin APIs
RMS Client RMS Server RMS Administration
AD
客户架构客户架构
移动
安全处理机
本地 RMS 客户 API
Office
桌面 服务
Managed RMS Client API
SharePoint Pocket Office Windows Pres. Foundation
E12 3rd Party
HTTP/SOAPProxies
安全处理机安全处理机机器 机器 & & 用户密钥保护用户密钥保护应用程序授权应用程序授权 & & 强制完整性强制完整性
本地 本地 RMS RMS 客户端客户端 APIsAPIs安全处理机接口安全处理机接口服务器接口服务器接口保护信息访问保护信息访问策略处理 策略处理 & & 操作操作
管理 管理 RMS RMS 客户客户 APIsAPIs创建创建 ,, 操作 操作 RMS-RMS- 保护的 保护的 XPS XPS 包包 (Office 12 formats, etc.) (Office 12 formats, etc.)
服务器架构服务器架构
Pre-license
IIS
ASP.Net
LicenseCertify
HTTP/SOAPProxies
商业逻辑
Admin …
SQL
Administration
MSMQ
Logging
公共组件
Web Web 服务服务• ASP.Net ASP.Net 应用程序应用程序• 98% 98% 管理代码管理代码• 服务器服务器 APIAPI
商业逻辑商业逻辑• 许可发行许可发行• 策略授权策略授权 • XrML XrML 处理处理
Active DirectoryActive Directory• 组的扩展组的扩展• 帐户属性帐户属性
MSMQMSMQ• 异步日志异步日志
SQLSQL• 配置配置 & & 策略策略• 用户密钥用户密钥• 日志数据日志数据
AD
管理管理
MMC
Snap-in 界面 & 商业逻辑
管理 APIs
Snap-in Snap-in 界面界面Vista & Longhorn Server Vista & Longhorn Server 重写的 重写的 MMC snap-inMMC snap-in
管理脚本化 管理脚本化 APIsAPIs
远程管理服务器接口远程管理服务器接口
HTTP/SOAPProxies
证书缩写参考证书缩写参考证书缩写证书缩写
定义我们的证书结构定义我们的证书结构所有的证书为所有的证书为 XrML 1.2 XrML 1.2 格式格式
SPCSPC Security Processor CertificateSecurity Processor Certificate鉴别一个机器鉴别一个机器 (( 通过硬件通过硬件 ID)ID) 并描述一个机器密钥对并描述一个机器密钥对
RACRAC Rights management Account CertificateRights management Account Certificate鉴别一个用户鉴别一个用户 (( 通过通过 e-mail, SID) e-mail, SID) 并描述一个用户密钥对并描述一个用户密钥对
PLPL Publishing LicensePublishing License为信息描述所有者完全的使用策略为信息描述所有者完全的使用策略
ULUL Use LicenseUse License为某个特定用户描述对于保护信息的使用策略为某个特定用户描述对于保护信息的使用策略
CLCCLC Client Licensor CertificateClient Licensor Certificate在企业中创建使用策略描述所有者的权限在企业中创建使用策略描述所有者的权限
SLCSLC Server Licensor CertificateServer Licensor Certificate创建使用策略描述企业权限并描述企业密钥对创建使用策略描述企业权限并描述企业密钥对
客户机部署1. Vista 内置 RMS 客户端2. 产生 SPC
• Machine key• Machine identity• Protected by Security
Processor
服务器部署 & 供应1. Longhorn Server 内置
RMS Server2. 产生 SLC
• Enterprise key• Enterprise identity
企业桌面端 企业服务器
部署部署目标目标 : : 企业为企业为 RMSRMS准备桌面机及服务器准备桌面机及服务器
System Workflow• Deployment• User certification• Publishing information• Licensing• Information
consumption
1.SPC2.Windows 身份认证
1.RAC• Proof of user identity• Used for encryption of
information key • RAC key encrypted by SPC• Signed by SLC
2.CLC• Authorization to publish in
enterprise• Used to sign PL• CLC key encrypted by RAC• Signed by SLC
User is ready to consume and publish
用户证书用户证书目标目标 : : 应用程序使用应用程序使用 RMS RMS 客户端客户端
System Workflow• Deployment• User certification• Publishing information• Licensing• Information
consumption
1.RMS 客户端使用策略保护信息a. 客户产生新的对称密钥b. 客户通过该密钥加密信息c. 客户产生一个 PL
• 标识 all 使用策略• 通过 SLC 密钥加密对称密钥• 由 CLC 标记 PL • 应用程序关联信息
保护分布式信息
发布发布目标目标 : : 应用程序使用应用程序使用 RMS RMS 客户端来授权信息和进行客户端来授权信息和进行保护保护
System Workflow• Deployment• User certification• Publishing information• Licensing• Information
consumption
1.RAC2.PL
1.UL• 使用策略来鉴别用户信息并通过
RAC密钥加密• SLC 标记
User is authorized to consume information
保护标准的信息
许可许可目标目标 : : 应用程序使用应用程序使用 RMS RMS 客户端来授权保护信息的用户消费客户端来授权保护信息的用户消费
System Workflow• Deployment• User certification• Publishing information• Licensing• Information
consumption
权限保护文章权限保护文章
a
Rights Info w/ email addresses
Content Key用 server’s public key加密
Publishing License
文件内容( 文本 ,照片 ,元数据 ,等等 )
End User Licenses
Content Key( 大随即数 )
Rights for aparticular user
使用 user’s public key加
密
当文件被保护时被创建
只有在用户打开了一个 server licenses 后才能添加这项
用 Content Key加密 , 一个 128-bit AES 对称加密密钥
用 server’s public key加密
使用 user’s public key加
密
E-mail ULs are stored in the local RMS license cache, not in the e-mails directly
用户拥有• 保护信息• UL• RAC• 安全处理机
应用程序使用 RMS 客户端1. 为授权消费评估 UL 2. 使用 Security Processor & Machine key 解密 RAC private key3. 使用 RAC key 解密 UL 对称密钥4. 使用对称密钥解密被保护的信息5. 特定应用程序授权 (打印 , 编辑 , 传递 , 等等 .)
信息消费信息消费目标目标 : : 使用 使用 RMS RMS 客户端的应用程序信息访问强制执客户端的应用程序信息访问强制执行策略行策略
System Workflow• Deployment• User certification• Publishing information• Licensing• Information
consumption
RMS Vista/LonghornRMS Vista/Longhorn
消费者特性消费者特性消费者特性消费者特性
外部协作 外部协作 支持 支持 ADFS ADFS 传递受保护的内容传递受保护的内容
自身注册自身注册RMS Server RMS Server 注册步骤被省略注册步骤被省略 – – 不再需要连接到不再需要连接到 Microsoft Microsoft
外部协作 外部协作 支持 支持 ADFS ADFS 传递受保护的内容传递受保护的内容
自身注册自身注册RMS Server RMS Server 注册步骤被省略注册步骤被省略 – – 不再需要连接到不再需要连接到 Microsoft Microsoft
与 与 Longhorn Longhorn 的整合的整合
与 与 Longhorn Longhorn 的整合的整合
Vista Vista 内置了内置了 RMSRMS 客户端客户端 ..更加容易的客户端部署更加容易的客户端部署6464位的支持位的支持
RMS RMS 服务器是 服务器是 Longhorn Server Longhorn Server 角色时角色时更加容易的服务器部署更加容易的服务器部署自动安装组件自动安装组件MMC MMC 管理控制台管理控制台脚本化管理脚本化管理
Quality gatesQuality gates
Vista Vista 内置了内置了 RMSRMS 客户端客户端 ..更加容易的客户端部署更加容易的客户端部署6464位的支持位的支持
RMS RMS 服务器是 服务器是 Longhorn Server Longhorn Server 角色时角色时更加容易的服务器部署更加容易的服务器部署自动安装组件自动安装组件MMC MMC 管理控制台管理控制台脚本化管理脚本化管理
Quality gatesQuality gates
ADFSADFS 的外部联合的外部联合场景场景 ::
Fabrikam Fabrikam 是 是 Contoso Contoso 的一个供应商的一个供应商它们使用它们使用 ADFS ADFS 创建了同盟信任关系创建了同盟信任关系
访问访问 SharePoint SharePoint 文档库文档库 , , 内网站点内网站点 , , 等等等等 ..
当 当 Contoso Contoso 部署了 部署了 RMS RMS 用来保护它的知识用来保护它的知识产权时产权时 , , 它们可以对共享给它们可以对共享给 Fabrikam Fabrikam 员工员工的信息进行保护的信息进行保护
Contoso Contoso 的的 RMS RMS 服务器将为使用服务器将为使用 ContosoContoso 内容内容的的 FabrikamFabrikam 员工发布员工发布 RACs RACs 和 和 ULs ULs
ContosoContoso FabrikamFabrikamADAD
RMSRMS
ADAD
FS-AFS-AFS-RFS-R
11
RACRAC CLCCLC
PLPL
22
WebSSOWebSSO
44
33
55
66
77
88
99
RACRAC CLCCLC
1010
ULUL
1111
1212
1.1. 假设作者已经完成引导指令假设作者已经完成引导指令2.2. 作者向作者向 FabrikamFabrikam 的接受者发送受保护的接受者发送受保护
的邮件的邮件3.3. 接受者连接接受者连接 RMS RMS 服务器服务器4.4. WebSSO WebSSO 代理截获请求代理截获请求5.5. RMS RMS 客户端重定向到客户端重定向到 FS-R FS-R 去寻找主去寻找主
发现区域发现区域6.6. RMS RMS 客户端重定向到 客户端重定向到 FS-A FS-A 去做授权去做授权7.7. RMS RMS 客户端重定向返回客户端重定向返回 FS-R FS-R 完成授完成授
权权8.8. RMS RMS 客户端向客户端向 RMS RMS 服务器发出请求服务器发出请求9.9. WebSSO WebSSO 代理截获请求代理截获请求 ,, 检查授权身份检查授权身份
并发送请求给并发送请求给 RMS RMS 服务器服务器10.10.RMS RMS 服务器返回引导指令授权给接受服务器返回引导指令授权给接受
方方11.11.RMS RMS 服务器返回服务器返回 use license use license 给接受给接受
方方12.12.接受方访问受保护的内容接受方访问受保护的内容
ADFSADFS 的外部联合的外部联合如何工作如何工作
28
RMS-wave 2006/07RMS-wave 2006/07产品产品 项费者优势项费者优势 特性特性Windows Vista/ Windows Vista/ Longhorn ServerLonghorn Server
更强的信息安全 (FIPS)更加友好的服务器强制策略
RMS v2 client and server built into the Windows OS
保护外部协作 RMS leverages ADFS trust
更加容易的部署和管理 Longhorn Server Role and built in MMC snap-in
无须连接 Microsoft Self-enrollment
Office/Office/Sharepoint 2007 Sharepoint 2007
坚固的 document library 保护策略 SharePoint provides protected document libraries
针对企业窗口坚固的保护 InfoPath supports RMS protection
针对 e-mail 攻击的保护 Better user experience
Windows Windows Presentation Presentation FoundationFoundation
任意应用程序都可以使用保护副本进行输出 WPF allows anything to be output to a protected file
开发者可以更好的利用 RMS 保护 Open Packaging Convention container format supports RMS through managed interface
Exchange 2007Exchange 2007 接受保护 e-mail 后无需调用服务器 Pre-licensing of protected e-mail
Exchange e-mail 坚固的策略 Exchange policy can specify information protection
会议目标会议目标
了解了解 RMS RMS 商业场景商业场景
了解 了解 RMS RMS 组件组件 & & 技术技术
学习部署 学习部署 RMSRMS
基本基本 RMS RMS 软件准备条件软件准备条件 RMS RMS 服务器服务器……
Windows Rights Management Services (RMS) serviceWindows Rights Management Services (RMS) serviceWindows Server 2003 (Standard, Enterprise, Web Windows Server 2003 (Standard, Enterprise, Web 或 或 Datacenter)Datacenter)
Internet Information Services, ASP.NET, Message Queuing installed Internet Information Services, ASP.NET, Message Queuing installed
环境环境……Active Directory service (Windows Server 2000 SP3 Active Directory service (Windows Server 2000 SP3 或更高或更高 ) )
ADAD 中要有中要有 E-mailE-mail 属性属性Microsoft SQL Server 2000 SP3Microsoft SQL Server 2000 SP3 或更高版本数据库来存储配置数据和审或更高版本数据库来存储配置数据和审核日志核日志 测试环境可以使用测试环境可以使用 Microsoft SQL Desktop Engine (MSDE)Microsoft SQL Desktop Engine (MSDE)
桌面端 桌面端 (( 客户客户 )…)…Windows Rights Management client softwareWindows Rights Management client software
RMS API’s RMS API’s 和 “和 “ Lockbox”, Lockbox”, 运行在运行在 Windows 2000 Windows 2000 和更高版本和更高版本RMSRMS 可用应用程序可用应用程序
可以使用可以使用 RMS SDKRMS SDK 的任意应用程序的任意应用程序Microsoft Office Professional Edition 2003 Microsoft Office Professional Edition 2003 带有权限管理的带有权限管理的 Internet Explorer Internet Explorer
RMS RMS 服务器硬件要求服务器硬件要求
RMS RMS 利用群集模式利用群集模式RMS RMS 服务器 服务器 = = 单节点单节点的群集的群集
最小的和推荐的 RMS 服务硬件规格要求 推荐
Pentium III processor800 MHz or higher
Two Pentium 4 processors 2.4 GHz 或更高
256 MB of RAM 1 GB of RAM
20 GB 硬盘空间 40 GB 硬盘空间
RMS RMS 群集群集
NLBNLB HSMHSM
RMS Web RMS Web ServicesServices•CertificationCertification•PublishingPublishing•LicensingLicensing
Log DBLog DB
MSIT RMS MSIT RMS 部署部署
从从 20032003 年年 66 月发布后月发布后使用日益增长使用日益增长部署场景范围越来越广部署场景范围越来越广客户使用文档全新的模客户使用文档全新的模式式
Items Published
0
10000
20000
30000
40000
50000
60000
70000
80000
90000
100000
总结总结
RMS RMS 提供了提供了
稳固稳固
策略策略
强制执行强制执行
更加容易的部署和管理更加容易的部署和管理
资源资源Technical Chats and Webcastshttp://www.microsoft.com/communities/chats/default.mspx http://www.microsoft.com/usa/webcasts/default.asp
Microsoft Learning and Certificationhttp://www.microsoft.com/learning/default.mspx
MSDN & TechNet http://microsoft.com/msdnhttp://microsoft.com/technet
Virtual Labshttp://www.microsoft.com/technet/traincert/virtuallab/rms.mspx
Newsgroupshttp://communities2.microsoft.com/communities/newsgroups/en-us/default.aspx
Technical Community Siteshttp://www.microsoft.com/communities/default.mspx
User Groupshttp://www.microsoft.com/communities/usergroups/default.mspx