Usługi zarządzania prawami w usłudze Active Directory

Usługi zarządzania prawami dostępu w usłudze Active Directory ( AD RMS , znane jako usługi zarządzania prawami dostępu lub RMS przed systemem Windows Server 2008 ) to oprogramowanie serwera do zarządzania prawami do informacji dostarczane z systemem Windows Server . Wykorzystuje szyfrowanie i formę selektywnej odmowy funkcjonalności w celu ograniczenia dostępu do dokumentów, takich jak firmowe wiadomości e-mail , dokumenty programu Microsoft Word i strony internetowe oraz operacji, które mogą na nich wykonywać upoważnieni użytkownicy. Firmy mogą używać tej technologii do szyfrowania informacji przechowywanych w takich formatach dokumentów, a dzięki zasadom osadzonym w dokumentach zapobiegać odszyfrowywaniu chronionych treści z wyjątkiem określonych osób lub grup, w określonych środowiskach, w określonych warunkach i przez określony czas . Autorzy treści mogą zezwolić lub zabronić określonych operacji, takich jak drukowanie, kopiowanie, edycja, przekazywanie dalej i usuwanie, a administratorzy RMS mogą wdrażać szablony RMS, które grupują te prawa w predefiniowane prawa, które można stosować masowo .

RMS zadebiutował w systemie Windows Server 2003 wraz z bibliotekami API klienta udostępnionymi dla systemu Windows 2000 i nowszych. Klient zarządzania prawami jest dołączony do systemu Windows Vista i nowszych, jest dostępny dla systemów Windows XP , Windows 2000 lub Windows Server 2003. Ponadto w pakiecie Office dla komputerów Mac dostępna jest implementacja AD RMS w celu korzystania z ochrony praw w systemie OS X i niektórych innych Produkty firmy Party są dostępne do korzystania z ochrony praw w systemach Android , Blackberry OS , iOS i Windows RT .

Ataki na możliwości egzekwowania zasad

W kwietniu 2016 roku opublikowano i zgłoszono do firmy Microsoft rzekomy atak na implementacje RMS (w tym Azure RMS) . Opublikowany kod umożliwia autoryzowanemu użytkownikowi, któremu nadano uprawnienia do wyświetlania dokumentu chronionego programem RMS, usunięcie ochrony i zachowanie formatowania pliku. Tego rodzaju manipulacja wymaga przyznania użytkownikowi uprawnień do odszyfrowania treści, aby móc ją wyświetlić. Chociaż usługi zarządzania prawami autorskimi zapewniają pewne zabezpieczenia dotyczące niemożności uzyskania dostępu do chronionych treści przez nieupoważnionych użytkowników, rozróżnienie między różnymi prawami użytkowania dla autoryzowanych użytkowników jest uważane za część możliwości egzekwowania zasad, które firma Microsoft twierdzi, że wdraża w ramach „najlepszych starań”, więc Microsoft nie uważa tego za problem związany z bezpieczeństwem, ale za ograniczenie egzekwowania zasad. Wcześniej RMS SDK wymuszał podpisywanie kodu przy użyciu funkcji RMS, aby zapewnić pewien poziom kontroli nad tym, które aplikacje wchodzą w interakcję z RMS, ale ta funkcja została później usunięta ze względu na ograniczoną możliwość ograniczania takich zachowań, biorąc pod uwagę możliwość pisania aplikacji przy użyciu usługi sieciowe bezpośrednio w celu uzyskania licencji na odszyfrowanie zawartości.

Ponadto, korzystając z tej samej techniki, użytkownik, któremu nadano uprawnienia do przeglądania chronionego dokumentu, może manipulować treścią dokumentu bez pozostawiania śladów manipulacji. Ponieważ usługa Azure RMS nie jest rozwiązaniem niezaprzeczającym i w przeciwieństwie do rozwiązań do podpisywania dokumentów nie zapewnia możliwości zapobiegania manipulacjom, a zmiany mogą być wprowadzane tylko przez użytkowników, którym przyznano prawa do dokumentu, firma Microsoft nie bierze pod uwagę późniejszy problem za rzeczywisty atak na deklarowane możliwości RMS. Naukowcy dostarczają narzędzie do sprawdzania poprawności koncepcji, aby umożliwić ocenę wyników za pośrednictwem GitHub .

Wsparcie oprogramowania

RMS jest natywnie obsługiwany przez następujące produkty:

• Microsoft Office 2003 i nowsze: Word , Excel , PowerPoint , Outlook , InfoPath
• Microsoft Office dla komputerów Mac 2011 i nowsze: Word, Excel, PowerPoint, Outlook
• SharePoint 2007 i nowsze
• Exchange Server 2007 i nowsze
• Specyfikacja papieru XML (XPS)

Rozwiązania innych firm, takie jak Secure Islands (przejęte przez Microsoft ), GigaTrust i Liquid Machines (przejęte przez Check Point ) mogą dodać obsługę RMS do:

• SharePointa 2003
• Microsoft Visio
• Projekt Microsoftu
• Adobe Acrobat
• Internet Explorera
• IIS 6.0

Zobacz też

• Serwery Microsoftu

Linki zewnętrzne

• Usługi zarządzania prawami Windows
• Pobieranie klienta RMS
• RMS SDK dla aplikacji obsługujących RMS
• Rozwiązywanie problemów z usługami zarządzania prawami dostępu (RMS) systemu Windows — ostrzeżenie dotyczące jednego głównego serwera certyfikacji
• Zarządzanie prawami w usłudze Active Directory — podsumowanie
• Zestaw SDK 2.0 usług zarządzania prawami w usłudze Active Directory
• Usługi zarządzania prawami w usłudze Active Directory — TechNet
• Usługi zarządzania prawami w usłudze Active Directory — MSDN
• Bezpieczne wyspy IQProtector — Ochrona i kontrola informacji przy użyciu Microsoft RMS
• Przegląd techniczny Windows RMS