sec331 - 利用 windows rights management services 保护安全

SEC331 - SEC331 - 利用利用 Windows Windows Rights Management Rights Management ServicesServices 保护安全保护安全

课程目标课程目标

了解了解 RMS RMS 商业场景商业场景

了解了解 RMS RMS 组件组件 & & 技术技术

学习部署学习部署 RMSRMS

$40 $40 在在 AfghanistanAfghanistan 你你可以买什么可以买什么 ??

$40$40

在在 KabulKabul 的五星级酒店一晚的住宿的五星级酒店一晚的住宿

送一个孩子读五年的书送一个孩子读五年的书

或者或者……

$40$40

前往前往 USUS 空军基地附近的一个市场空军基地附近的一个市场……

花花 40$40$ 买那些被偷来的买那些被偷来的 USBUSB 设备设备 ::USUS 武装当地代理的身份信息武装当地代理的身份信息USUS 士兵的个人信息士兵的个人信息敌军目标的列表敌军目标的列表美国军事基地的列表美国军事基地的列表

Source: BBC News Source: BBC News http://news.bbc.co.uk/2/hi/south_asia/4905052.stmhttp://news.bbc.co.uk/2/hi/south_asia/4905052.stm

LA times LA times http://www.latimes.com/news/opinion/editorials/la-ed-bagram14apr14,1,4404976.storyhttp://www.latimes.com/news/opinion/editorials/la-ed-bagram14apr14,1,4404976.story

http://news.bbc.co.uk/2/hi/south_asia/4905052.stm

http://www.latimes.com/news/opinion/editorials/la-ed-bagram14apr14,1,4404976.story

信息丢失的代价信息丢失的代价无论是有意还是无意的信息丢失无论是有意还是无意的信息丢失 ,, 它所带来的损失都是巨大的它所带来的损失都是巨大的

财产财产

法律法律

美国司法部门表示在美国司法部门表示在 20042004 年发生在企业中的年发生在企业中的 IP IP 窃取窃取 $500$500 亿亿

规章制度规章制度 Victoria’s Secret Victoria’s Secret 被被 State of New York State of New York 罚罚款款 $50$50 万万 ,, 并不得不对于那些被泄漏的未经授权的访问而并不得不对于那些被泄漏的未经授权的访问而接受赔偿接受赔偿 . .

Eli Lilly Eli Lilly 由于网上缴费无意见将自己的个人信息暴露给了由于网上缴费无意见将自己的个人信息暴露给了600600 多个网上的用户多个网上的用户

图象图象 & & 可信可信度度

T-MobileT-Mobile 的漏洞导致数千客户的社会安全号码泄漏的漏洞导致数千客户的社会安全号码泄漏

http://www.lilly.com/

信息漏洞的商业风险信息漏洞的商业风险

““ 在病毒入侵后面在病毒入侵后面 ,, 商业邮件和移动设备丢失越来越成为非常商业邮件和移动设备丢失越来越成为非常严重的安全隐患严重的安全隐患””

Jupiter Research Report, 2004Jupiter Research Report, 2004

Loss of digital assets, restoredLoss of digital assets, restored

Email piracyEmail piracy

Password compromisePassword compromise

Loss of mobile devicesLoss of mobile devices

Unintended forwarding of emailsUnintended forwarding of emails

20%20%

22%22%

22%22%

35%35%

36%36%

63%63%Virus infectionVirus infection

Frequency of Reference

8

IndependentConsultant

PartnerOrganization

Home

Mobile Devices

USB Drive

信息流没有边界信息流没有边界失控的信息共享失控的信息共享 ,, 存储和访问存储和访问主机和网络控件不能很好的解决这些问题主机和网络控件不能很好的解决这些问题

信息平台信息平台

保护初始连接的传统解决方案保护初始连接的传统解决方案

访问控制列表访问控制列表

NoNo

YesYes

Firewall PerimeterFirewall Perimeter

授权用户授权用户

未授权用户未授权用户

信息漏洞信息漏洞

未授权用户未授权用户

但是现在不再使用但是现在不再使用……

什么是什么是 Rights Management Rights Management Services?Services?Windows Windows 平台信息保护技术平台信息保护技术

更好的保护敏感信息更好的保护敏感信息

保护未授权的访问保护未授权的访问 ,, 编辑编辑 ,, 拷贝拷贝 ,, 打印或者其它信息的传递打印或者其它信息的传递限制只有授权用户可以访问文件限制只有授权用户可以访问文件对保护文件的访问进行审核对保护文件的访问进行审核

持久的保护持久的保护

保护你的敏感数据保护你的敏感数据 ,, 无论它在何地无论它在何地使用技术强制组织策略使用技术强制组织策略

作者可以定义收件人如何使用信息作者可以定义收件人如何使用信息灵活灵活 ,, 自定义的技术自定义的技术

RMS RMS 与应用程序的整合与应用程序的整合 ,, 便于使用便于使用用户可以为一个信任组分配用户可以为一个信任组分配 “ “ Full Control” Full Control” 权限权限ISVs ISVs 可以由可以由 SDKs SDKs 定制解决方案定制解决方案

11

用户不遵守策略用户不遵守策略共享文档缺少策略共享文档缺少策略

平台功能性平台功能性

稳固的加密特性

稳固的策略

策略强制执行

信息整合

全面的审核

被分发的敏感内容被分发的敏感内容知道文件访问知道文件访问通过传输或者存储嗅探信息通过传输或者存储嗅探信息

不受限使用不受限使用用户无意的违反策略用户无意的违反策略

临时信息临时信息资源信息不清资源信息不清

无法审核用户的行为无法审核用户的行为组织不能服从验证组织不能服从验证

减轻减轻

减轻减轻

减轻减轻

减轻减轻

减轻减轻

功能风险

会议目标会议目标




系统工作流系统工作流高级别的查看证书角色密钥使用应用程序 / RMS 客户端交互作用RMS 客户端 / RMS 服务器交互作用

RMS 感知的应用程序和直接使用 RMS 客户端 APIs 的应用程序

应用程序可以是桌面端或者是基于服务器的

基于端对端的系统工作流1. 部署2. 用户证明3. 发布信息4. 用户许可5. 信息消费量

系统架构系统架构

SQL

OS 平台

安全处理机

客户 API

应用程序 HTTP/S

OA

P

RMS Server

存储

MMC Host

Admin Snap-in

HTTP/S

OA

P

Admin APIs

RMS Client RMS Server RMS Administration

AD

客户架构客户架构

移动

安全处理机

本地 RMS 客户 API

Office

桌面服务

Managed RMS Client API

SharePoint Pocket Office Windows Pres. Foundation

E12 3rd Party

HTTP/SOAPProxies

安全处理机安全处理机机器机器 & & 用户密钥保护用户密钥保护应用程序授权应用程序授权 & & 强制完整性强制完整性

本地本地 RMS RMS 客户端客户端 APIsAPIs安全处理机接口安全处理机接口服务器接口服务器接口保护信息访问保护信息访问策略处理策略处理 & & 操作操作

管理管理 RMS RMS 客户客户 APIsAPIs创建创建 ,, 操作操作 RMS-RMS- 保护的保护的 XPS XPS 包包 (Office 12 formats, etc.) (Office 12 formats, etc.)

服务器架构服务器架构

Pre-license

IIS

ASP.Net

LicenseCertify

HTTP/SOAPProxies

商业逻辑

Admin …

SQL

Administration

MSMQ

Logging

公共组件

Web Web 服务服务• ASP.Net ASP.Net 应用程序应用程序• 98% 98% 管理代码管理代码• 服务器服务器 APIAPI

商业逻辑商业逻辑• 许可发行许可发行• 策略授权策略授权 • XrML XrML 处理处理

Active DirectoryActive Directory• 组的扩展组的扩展• 帐户属性帐户属性

MSMQMSMQ• 异步日志异步日志

SQLSQL• 配置配置 & & 策略策略• 用户密钥用户密钥• 日志数据日志数据

AD

管理管理

MMC

Snap-in 界面 & 商业逻辑

管理 APIs

Snap-in Snap-in 界面界面Vista & Longhorn Server Vista & Longhorn Server 重写的重写的 MMC snap-inMMC snap-in

管理脚本化管理脚本化 APIsAPIs

远程管理服务器接口远程管理服务器接口

HTTP/SOAPProxies

证书缩写参考证书缩写参考证书缩写证书缩写

定义我们的证书结构定义我们的证书结构所有的证书为所有的证书为 XrML 1.2 XrML 1.2 格式格式

SPCSPC Security Processor CertificateSecurity Processor Certificate鉴别一个机器鉴别一个机器 (( 通过硬件通过硬件 ID)ID) 并描述一个机器密钥对并描述一个机器密钥对

RACRAC Rights management Account CertificateRights management Account Certificate鉴别一个用户鉴别一个用户 (( 通过通过 e-mail, SID) e-mail, SID) 并描述一个用户密钥对并描述一个用户密钥对

PLPL Publishing LicensePublishing License为信息描述所有者完全的使用策略为信息描述所有者完全的使用策略

ULUL Use LicenseUse License为某个特定用户描述对于保护信息的使用策略为某个特定用户描述对于保护信息的使用策略

CLCCLC Client Licensor CertificateClient Licensor Certificate在企业中创建使用策略描述所有者的权限在企业中创建使用策略描述所有者的权限

SLCSLC Server Licensor CertificateServer Licensor Certificate创建使用策略描述企业权限并描述企业密钥对创建使用策略描述企业权限并描述企业密钥对

客户机部署1. Vista 内置 RMS 客户端2. 产生 SPC

• Machine key• Machine identity• Protected by Security

Processor

服务器部署 & 供应1. Longhorn Server 内置

RMS Server2. 产生 SLC

• Enterprise key• Enterprise identity

企业桌面端企业服务器

部署部署目标目标 : : 企业为企业为 RMSRMS准备桌面机及服务器准备桌面机及服务器

System Workflow• Deployment• User certification• Publishing information• Licensing• Information

consumption

1.SPC2.Windows 身份认证

1.RAC• Proof of user identity• Used for encryption of

information key • RAC key encrypted by SPC• Signed by SLC

2.CLC• Authorization to publish in

enterprise• Used to sign PL• CLC key encrypted by RAC• Signed by SLC

User is ready to consume and publish

用户证书用户证书目标目标 : : 应用程序使用应用程序使用 RMS RMS 客户端客户端


consumption

1.RMS 客户端使用策略保护信息a. 客户产生新的对称密钥b. 客户通过该密钥加密信息c. 客户产生一个 PL

• 标识 all 使用策略• 通过 SLC 密钥加密对称密钥• 由 CLC 标记 PL • 应用程序关联信息

保护分布式信息

发布发布目标目标 : : 应用程序使用应用程序使用 RMS RMS 客户端来授权信息和进行客户端来授权信息和进行保护保护


consumption

1.RAC2.PL

1.UL• 使用策略来鉴别用户信息并通过

RAC密钥加密• SLC 标记

User is authorized to consume information

保护标准的信息

许可许可目标目标 : : 应用程序使用应用程序使用 RMS RMS 客户端来授权保护信息的用户消费客户端来授权保护信息的用户消费


consumption

权限保护文章权限保护文章

a

Rights Info w/ email addresses

Content Key用 server’s public key加密

Publishing License

文件内容( 文本 ,照片 ,元数据 ,等等 )

End User Licenses

Content Key( 大随即数 )

Rights for aparticular user

使用 user’s public key加

密

当文件被保护时被创建

只有在用户打开了一个 server licenses 后才能添加这项

用 Content Key加密 , 一个 128-bit AES 对称加密密钥

用 server’s public key加密

使用 user’s public key加

密

E-mail ULs are stored in the local RMS license cache, not in the e-mails directly

用户拥有• 保护信息• UL• RAC• 安全处理机

应用程序使用 RMS 客户端1. 为授权消费评估 UL 2. 使用 Security Processor & Machine key 解密 RAC private key3. 使用 RAC key 解密 UL 对称密钥4. 使用对称密钥解密被保护的信息5. 特定应用程序授权 (打印 , 编辑 , 传递 , 等等 .)

信息消费信息消费目标目标 : : 使用使用 RMS RMS 客户端的应用程序信息访问强制执客户端的应用程序信息访问强制执行策略行策略


consumption

RMS Vista/LonghornRMS Vista/Longhorn

消费者特性消费者特性消费者特性消费者特性

外部协作外部协作支持支持 ADFS ADFS 传递受保护的内容传递受保护的内容

自身注册自身注册RMS Server RMS Server 注册步骤被省略注册步骤被省略 – – 不再需要连接到不再需要连接到 Microsoft Microsoft

外部协作外部协作支持支持 ADFS ADFS 传递受保护的内容传递受保护的内容

自身注册自身注册RMS Server RMS Server 注册步骤被省略注册步骤被省略 – – 不再需要连接到不再需要连接到 Microsoft Microsoft

与与 Longhorn Longhorn 的整合的整合

与与 Longhorn Longhorn 的整合的整合

Vista Vista 内置了内置了 RMSRMS 客户端客户端 ..更加容易的客户端部署更加容易的客户端部署6464位的支持位的支持

RMS RMS 服务器是服务器是 Longhorn Server Longhorn Server 角色时角色时更加容易的服务器部署更加容易的服务器部署自动安装组件自动安装组件MMC MMC 管理控制台管理控制台脚本化管理脚本化管理

Quality gatesQuality gates

Vista Vista 内置了内置了 RMSRMS 客户端客户端 ..更加容易的客户端部署更加容易的客户端部署6464位的支持位的支持

RMS RMS 服务器是服务器是 Longhorn Server Longhorn Server 角色时角色时更加容易的服务器部署更加容易的服务器部署自动安装组件自动安装组件MMC MMC 管理控制台管理控制台脚本化管理脚本化管理

Quality gatesQuality gates

ADFSADFS 的外部联合的外部联合场景场景 ::

Fabrikam Fabrikam 是是 Contoso Contoso 的一个供应商的一个供应商它们使用它们使用 ADFS ADFS 创建了同盟信任关系创建了同盟信任关系

访问访问 SharePoint SharePoint 文档库文档库 , , 内网站点内网站点 , , 等等等等 ..

当当 Contoso Contoso 部署了部署了 RMS RMS 用来保护它的知识用来保护它的知识产权时产权时 , , 它们可以对共享给它们可以对共享给 Fabrikam Fabrikam 员工员工的信息进行保护的信息进行保护

Contoso Contoso 的的 RMS RMS 服务器将为使用服务器将为使用 ContosoContoso 内容内容的的 FabrikamFabrikam 员工发布员工发布 RACs RACs 和和 ULs ULs

ContosoContoso FabrikamFabrikamADAD

RMSRMS

ADAD

FS-AFS-AFS-RFS-R

11

RACRAC CLCCLC

PLPL

22

WebSSOWebSSO

44

33

55

66

77

88

99

RACRAC CLCCLC

1010

ULUL

1111

1212

1.1. 假设作者已经完成引导指令假设作者已经完成引导指令2.2. 作者向作者向 FabrikamFabrikam 的接受者发送受保护的接受者发送受保护

的邮件的邮件3.3. 接受者连接接受者连接 RMS RMS 服务器服务器4.4. WebSSO WebSSO 代理截获请求代理截获请求5.5. RMS RMS 客户端重定向到客户端重定向到 FS-R FS-R 去寻找主去寻找主

发现区域发现区域6.6. RMS RMS 客户端重定向到客户端重定向到 FS-A FS-A 去做授权去做授权7.7. RMS RMS 客户端重定向返回客户端重定向返回 FS-R FS-R 完成授完成授

权权8.8. RMS RMS 客户端向客户端向 RMS RMS 服务器发出请求服务器发出请求9.9. WebSSO WebSSO 代理截获请求代理截获请求 ,, 检查授权身份检查授权身份

并发送请求给并发送请求给 RMS RMS 服务器服务器10.10.RMS RMS 服务器返回引导指令授权给接受服务器返回引导指令授权给接受

方方11.11.RMS RMS 服务器返回服务器返回 use license use license 给接受给接受

方方12.12.接受方访问受保护的内容接受方访问受保护的内容

ADFSADFS 的外部联合的外部联合如何工作如何工作

28

RMS-wave 2006/07RMS-wave 2006/07产品产品项费者优势项费者优势特性特性Windows Vista/ Windows Vista/ Longhorn ServerLonghorn Server

更强的信息安全 (FIPS)更加友好的服务器强制策略

RMS v2 client and server built into the Windows OS

保护外部协作 RMS leverages ADFS trust

更加容易的部署和管理 Longhorn Server Role and built in MMC snap-in

无须连接 Microsoft Self-enrollment

Office/Office/Sharepoint 2007 Sharepoint 2007

坚固的 document library 保护策略 SharePoint provides protected document libraries

针对企业窗口坚固的保护 InfoPath supports RMS protection

针对 e-mail 攻击的保护 Better user experience

Windows Windows Presentation Presentation FoundationFoundation

任意应用程序都可以使用保护副本进行输出 WPF allows anything to be output to a protected file

开发者可以更好的利用 RMS 保护 Open Packaging Convention container format supports RMS through managed interface

Exchange 2007Exchange 2007 接受保护 e-mail 后无需调用服务器 Pre-licensing of protected e-mail

Exchange e-mail 坚固的策略 Exchange policy can specify information protection

会议目标会议目标




基本基本 RMS RMS 软件准备条件软件准备条件 RMS RMS 服务器服务器……

Windows Rights Management Services (RMS) serviceWindows Rights Management Services (RMS) serviceWindows Server 2003 (Standard, Enterprise, Web Windows Server 2003 (Standard, Enterprise, Web 或或 Datacenter)Datacenter)

Internet Information Services, ASP.NET, Message Queuing installed Internet Information Services, ASP.NET, Message Queuing installed

环境环境……Active Directory service (Windows Server 2000 SP3 Active Directory service (Windows Server 2000 SP3 或更高或更高 ) )

ADAD 中要有中要有 E-mailE-mail 属性属性Microsoft SQL Server 2000 SP3Microsoft SQL Server 2000 SP3 或更高版本数据库来存储配置数据和审或更高版本数据库来存储配置数据和审核日志核日志测试环境可以使用测试环境可以使用 Microsoft SQL Desktop Engine (MSDE)Microsoft SQL Desktop Engine (MSDE)

桌面端桌面端 (( 客户客户 )…)…Windows Rights Management client softwareWindows Rights Management client software

RMS API’s RMS API’s 和 “和 “ Lockbox”, Lockbox”, 运行在运行在 Windows 2000 Windows 2000 和更高版本和更高版本RMSRMS 可用应用程序可用应用程序

可以使用可以使用 RMS SDKRMS SDK 的任意应用程序的任意应用程序Microsoft Office Professional Edition 2003 Microsoft Office Professional Edition 2003 带有权限管理的带有权限管理的 Internet Explorer Internet Explorer

RMS RMS 服务器硬件要求服务器硬件要求

RMS RMS 利用群集模式利用群集模式RMS RMS 服务器服务器 = = 单节点单节点的群集的群集

最小的和推荐的 RMS 服务硬件规格要求推荐

Pentium III processor800 MHz or higher

Two Pentium 4 processors 2.4 GHz 或更高

256 MB of RAM 1 GB of RAM

20 GB 硬盘空间 40 GB 硬盘空间

RMS RMS 群集群集

NLBNLB HSMHSM

RMS Web RMS Web ServicesServices•CertificationCertification•PublishingPublishing•LicensingLicensing

Log DBLog DB

MSIT RMS MSIT RMS 部署部署

从从 20032003 年年 66 月发布后月发布后使用日益增长使用日益增长部署场景范围越来越广部署场景范围越来越广客户使用文档全新的模客户使用文档全新的模式式

Items Published

0

10000

20000

30000

40000

50000

60000

70000

80000

90000

100000

总结总结

RMS RMS 提供了提供了

稳固稳固

策略策略

强制执行强制执行

更加容易的部署和管理更加容易的部署和管理

资源资源Technical Chats and Webcastshttp://www.microsoft.com/communities/chats/default.mspx http://www.microsoft.com/usa/webcasts/default.asp

Microsoft Learning and Certificationhttp://www.microsoft.com/learning/default.mspx

MSDN & TechNet http://microsoft.com/msdnhttp://microsoft.com/technet

Virtual Labshttp://www.microsoft.com/technet/traincert/virtuallab/rms.mspx

Newsgroupshttp://communities2.microsoft.com/communities/newsgroups/en-us/default.aspx

Technical Community Siteshttp://www.microsoft.com/communities/default.mspx

User Groupshttp://www.microsoft.com/communities/usergroups/default.mspx

http://www.microsoft.com/communities/usergroups/default.mspx

http://www.microsoft.com/communities/usergroups/default.mspx

sec331 - 利用 windows rights management services 保护安全

Documents