Как активировать Windows Remote Management с помощью групповой политики

В этой статье, я попытаюсь рассказать, каким образом можно централизованно активировать и настроить службу Windows Remote Management (WinRM) на всех целевых компьютерах с помощью групповой политики. Напомню, что Windows Remote Management – это специальный сервис, позволяющий администраторам получить возможность удаленного доступа и управления клиентскими и серверными ОС Windows (и, думаю, если вы ранее пользовались набором утилит Microsoft Sysinternals PSTools, то WRM должен вам понравиться).
Возьмем обычный ПК с Windows 7, который включен в домен, и на котором не активирована функция Windows Remote Management. В командной строке введем следующую команду:

, должно появиться следующее сообщение об ошибке, свидетельствующее о том, что WRM не установлен:
WSMan Fault. The client cannot connect to the destination specified in the request. Error number: — 2144108526 0x80338012

Если нужно настроить WinRM вручную на отдельной системе, достаточно набрать команду:

В том случае, если нужно настроить WinRM на группе компьютеров, то можно воспользоваться специальными параметрами групповой политики. Интересующая нас политика находится в разделе: Computer Configuration -> Policies -> Windows Components -> Windows Remote Management (WinRM) -> WinRM Service. Нужно активировать следующие параметры:
• Allow automatic configuration of listeners
• Allow Basic Authentication

В разделе IPv4 filter укажем *, что означает, что компьютер может принимать подключения (а значит и управляющие команды) откуда угодно, это значит что листенеры на компьютере будет принимать запросы на всех IP интерфейсах.

Затем в разделе Computer Configuration -> Policies -> Windows Components -> Windows Remote Shell активируем пункт:
• Allow Remote Shell Access

И, наконец, нужно задать тип запуска у службы Windows Remote Service в «Автоматический» (Automatically). Напомню, что управлять способом запуска служб можно из следующего раздела групповых политик: Computer Configuration -> Windows Settings -> Security Settings ->System Services.

После активации WinRM с помощью групповой политики, на клиентской системе проверим статус службы с помощью знакомой команды:

Удостоверимся, что тип запуска службы WinRM задан в автоматический . Хотя по факту тип запуска «автоматический с задержкой», т.к. по умолчанию для службы WinRM задана задержка запуска (параметр DelayedAutoStart=1 в ветке HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinRM ).

Теперь, после активации WinRM с помощью групповой политики, данной системой можно управлять удаленно с помощью команд WinRS. Следующая команда откроет командную строку, запущенную на удаленной системе:

После появления окна командной строки вы можете выполнять и видеть результат выполнения любых команд на удаленном компьютере, как будто бы вы работаете за ним локально. Отметим, что на вашем управляющем компьютере WinRM также должна быть активирована.

Использование Службы управления правами на доступ к данным (IRM)

Чтобы отправить ответ, вы должны войти или зарегистрироваться

Сообщений [ 10 ]

1 Тема от Alex_Gur 31.10.2012 09:55:17

• 
• Alex_Gur
• Модератор
• Неактивен

• Откуда: Москва
• Зарегистрирован: 28.07.2011
• Сообщений: 2,758
• Поблагодарили: 492

Тема: Использование Службы управления правами на доступ к данным (IRM)

Использование Службы управления правами на доступ к данным (IRM) в Microsoft Word 2010

Служба управления правами на доступ к данным (Information Rights Management (IRM)) (далее Служба IRM) в Microsoft Office (и, в частности, в Microsoft Word) — это средство, позволяющее пользователям задавать разрешения на доступ и использование для создаваемых ими документов. Эта служба также позволяет предотвратить печать, пересылку или копирование данных нежелательными лицами. Заданные с помощью этой службы ограничения разрешений для документа или сообщения будут действовать вне зависимости от расположения файла документа или сообщения, так как разрешения хранятся непосредственно в файле.
Служба IRM предоставляется корпорацией Microsoft пользователям программы Microsoft Office бесплатно.
Далее будет описаны процессы установки Службы IRM в Microsoft Word 2010 при наличии у пользователя идентификатор Windows Live ID и использования указанной службы.

Примечание – для установки Службы IRM и для использования этой службы требуется подключение к Интернету.

Внимание! Данная публикация будет выполнена с минимумом иллюстраций. В заключение этой темы мы планируем разместить соответствующий файл с иллюстрациями.

2 Ответ от Alex_Gur 31.10.2012 10:14:13

• 
• Alex_Gur
• Модератор
• Неактивен

• Откуда: Москва
• Зарегистрирован: 28.07.2011
• Сообщений: 2,758
• Поблагодарили: 492

Re: Использование Службы управления правами на доступ к данным (IRM)

Установка Службы IRM

Если в вашей системе Служба IRM еще не была установлена, то при первом обращении к данной службе будет произведена ее установка.
Для установки Службы IRM необходимо иметь идентификатор Windows Live ID. В случае отсутствия идентификатора Windows Live ID, вам будет предложено его создать (данный идентификатор также создается бесплатно, и его создание напоминает обычную регистрацию на соответствующем сайте). Далее мы предполагаем, что идентификатор Windows Live ID у пользователя имеется.
Обращение к Службе IRM в программе Word 2010 может быть выполнено несколькими способами:
1) Через гиперссылку Ограничить разрешение в окне Ограничить форматирование и редактирование (данное окно открывается через вкладку Рецензирование (Рецензирование – Защита – Ограничить редактирование) или через вкладку Разработчик (Разработчик – группа Защита – Ограничить редактирование)).
2) Через представление Backstage (вкладка Файл – Сведения – Защитить документ – Ограничить разрешения для пользователей – Ограниченный доступ или Управление учетными данными).

В случае, если Служба IRM не установлена, то открывается окно установки Подписка на службу. В этом окне, в частности, кратко рассказывается о сущности и задачах Службы IRM и об условиях ее установки.

При выборе в данном окне гиперссылки Дополнительные сведения об этой бесплатной службе корпорации Майкрософт в браузере откроется страница сайта office.microsoft.com на русском языке «Бесплатная ознакомительная служба управления правами на доступ к данным» (адрес страницы – внешняя ссылка).
Установите переключатель на позицию Да, я хочу подписаться на эту бесплатную службу корпорации Microsoft и нажмите на кнопку Далее.

Откроется окно мастера Управление правами Windows (WRM) (WRM – это сокращение от английского выражения Windows Rights Management).

Если у вас есть идентификатор Windows Live ID, то выберите позицию переключателя Да, у меня есть идентификатор Windows Live ID. Если у вас такого идентификатора еще нет, выберите позицию Нет, я хочу получить идентификатор Windows Live ID сейчас. Мы выбираем первую опцию и нажимаем на кнопку Далее.

Открывается следующее окно мастера Управление правами Windows (WRM), которое имеет название Вход в Windows Live.

Введите логин (обычно это свой электронный адрес) и пароль Windows Live ID и нажмите на кнопку Вход.

Открывается третье окно мастера Управление правами Windows (WRM) под названием Выбор типа компьютера. Здесь можно выбрать опции Это личный компьютер или Это общедоступный или совместно используемый компьютер (во втором случае вход в систему Windows Live производится в течение ограниченного времени). Мы выбираем первую возможность.

Нажимаем кнопку Принять и затем, в следующем окне подтверждаем завершение работы мастера настройки управления правами на доступ к данным нажатием кнопки Готово.

После этого некоторое время будет выполняться проверка данных в системе Windows Live.
В диалоговом окне Выбор пользователя система Windows Live предложит выбрать свою учетную запись (в моем случае на выбор предложена только одна учетная запись). В данное окно с помощью кнопки Добавить можно ввести другие учетные записи пользователей. По окончании выбора нажмите на кнопку OK.

После этого связь с виртуальной Службой IRM будет установлена, и вы далее можете использовать ее в своей работе.

Защита информации в Microsoft Office 2003 с помощью служб RMS и IRM

Посетителей: 11516 | Просмотров: 16851 (сегодня 0) Шрифт:

Опубликовано: 1 декабря 2003 г.

Microsoft Office 2003

Официальный технический документ

Аннотация.

Служба управления правами на доступ к данным (Information Rights Management, IRM) представляет собой технологию, обеспечивающую стойкую защиту информации на уровне файлов, которая помогает защитить секретную информацию и цифровые данные, являющиеся интеллектуальной собственностью, от несанкционированного использования. Служба IRM позволяет задействовать все возможности службы управления правами (Rights Management Services, RMS) Microsoft® Windows®, используемой в Window Server™ 2003, в обозревателе Microsoft Internet Explorer и во всех версиях Microsoft Office 2003. В данном документе представлен обзор преимуществ данной технологии IRM, а также рассмотрены аспекты ее развертывания и внедрения.

Для получения самой последней информации посетите веб-узел http://office.microsoft.com/home/default.aspx

На этой странице

Основные понятия

Служба управления правами (Microsoft® Windows® Rights Management Services, RMS) ОС Windows Server™ 2003 представляет собой технологию защиты информации, которая используется с такими RMS-совместимыми приложениями, как Microsoft Office 2003. RMS обеспечивает защиту цифровой информации от ее неправомочного использования независимо от того, где и как она используется: автономно или в закрытой брандмауэром сети, или за пределами этой сети. Комбинируя возможности Windows Server 2003, средств разработки и промышленных технологий безопасности (включая шифрование, сертификаты на основе языка XrML (eXtensible rights Markup Language) и проверку подлинности), RMS расширяет стратегию защиты предприятия, используя для защиты информации стойкие политики, которые остаются с информацией независимо от того, где она используется.

Служба управления правами на доступ к данным (Information Rights Management, IRM) расширяет возможности использования службы RMS в приложениях Microsoft Office 2003, а также в обозревателе Microsoft Internet Explorer. Служащие, работающие с информацией, теперь могут указывать тех, кому разрешено использовать документ. Также они могут определять действия, которые разрешено производить с документом. Например, они могут предоставить права на открытие, внесение изменений, печать, пересылку документа, а также на выполнение ряда других действий. Организации могут создавать собственные шаблоны политик использования, например, шаблон «Конфиденциально – только для чтения», который можно применять непосредственно к финансовым отчетам, спецификациям продукции, информации о заказчике, сообщениям электронной почты и прочим важным документам.

Общая информация

Необходимой составляющей концепции защищенных информационных систем (Trustworthy Computing) является наличие технологии, способной надежно защитить содержимое и сохранить конфиденциальность частной информации, представленной в цифровом виде. Служба IRM, используемая в Microsoft Office, предоставляет в распоряжение организаций и их сотрудников, работающих с информацией, механизм, с помощью которого они могут обеспечить защиту важной информации.

В данном документе описывается использование службы RMS в инфраструктуре организации, ее поддержка службы IRM, а также расширение возможностей защиты информации в Microsoft Office 2003. Целью данного документа является предоставление единого источника информации, позволяющего понять задачи, связанные с защитой информации посредством использования служб IRM и RMS, а также обозначить пути их решения. Хотя информация, представленная в разделах данного документа, не может считаться всесторонне описывающей данный материал, ее вполне достаточно для того, чтобы обеспечить развертывание обычной конфигурации и ее управление. Кроме того, в документе приводятся ссылки на соответствующие разделы файлов помощи RMS и на те разделы веб-сайта RMS, которые содержат более полную информацию по рассматриваемым вопросам. Указанные источники предоставляют значительно больше информации по данной теме. Например, там перечислены преимущества использования RMS и IRM для бизнеса, описана архитектура и возможности топологии, а также представлена прочая информация, которую необходимо учитывать при планировании развертывания.

Обзор служб IRM и RMS

RMS представляет собой средство защиты информации ОС Windows, работающее с RMS-совместимыми приложениями и обеспечивающее защиту конфиденциальной и важной информации от ее несанкционированного использования независимо от того, где эта информация находится. В целях соответствия требованиям потребителей к улучшению защиты данных, Microsoft разработала службу RMS таким образом, что она позволяет использовать возможности ОС Windows Server 2003, средств разработчиков, а также промышленных технологий защиты (включая шифрование, использование сертификатов на основе XrML и проверку подлинности). Такой подход позволяет организациям создавать надежные решения защиты информации. Для получения дополнительной информации о значении и преимуществах IRM и RMS обратитесь к веб-узлу RMS http://www.microsoft.com/windowsserver2003/technologies/rightsmgmt/default.mspx.

IRM позволяет использовать возможности защиты информации, предоставляемые службой RMS, на настольных компьютерах. IRM представляет собой стойкую технологию защиты данных на уровне файлов, которая позволяет служащим, работающим с информацией, определять права доступа к документам или сообщениям электронной почты, а также защищать информацию, являющуюся интеллектуальной собственностью и представленную в цифровом виде, от несанкционированной печати, пересылки или копирования. Обратите внимание, что IRM и функция защиты документа, имеющаяся в Microsoft Office Word 2003, – это разные вещи. Функция защиты документа позволяет служащим, работающим с информацией, устанавливать ограничения на форматирование документа, а также предоставлять определенным пользователям и группам права на редактирование определенных частей документа.

Защита, обеспечиваемая технологией IRM, неразрывно связана с файлом. Как только Вы защитили документ или сообщение электронной почты с помощью технологии IRM, установленные для него права использования принудительно применяются независимо от того, где этот документ используется (даже если он используется за пределами сети организации). Для того чтобы ознакомиться с возможностями совместного использования IRM и RMS, обратитесь к документу Управление правами на доступ к данным в Microsoft Office 2003 Information Rights Management in Microsoft Office 2003.

Как только служащему, работающему с информацией, предоставляется право использования файла, при открытии этого файла вступают в силу соответствующие права на использование или ограничения (например, запрет на копирование) с помощью прикладного интерфейса пользователя (UI) и модели объектов. Однако, IRM не является средством безопасности; как и другие политики, эти ограничения не могут предотвратить все возможности неправильного использования.

Наиболее распространенные случаи использования IRM и RMS

С помощью IRM можно защитить информацию в различных ситуациях. Наиболее часто пользователи задействуют возможности IRM в Office 2003 в двух случаях:

Защита сообщений электронной почты. Электронная почта используется в качестве основного способа обмена информацией в организации и за ее пределами. Сотрудники используют электронную почту для связи с членами рабочей группы, других групп, потребителями и поставщиками. Торговые агенты, занимающихся продажей на местах, используют электронную почту для связи с корпоративным офисом с целью согласования новых ценовых политик и обновлений продукции. Исполнительные менеджеры используют электронную почту для обмена информацией в пределах организации. Сообщения электронной почты можно просматривать автономно в самолете или в отеле, что позволяет сотруднику, находящемуся за пределами офиса, очень просто изучать и составлять документы.

Однако именно из-за такой простоты обмена данными и увеличивается риск утечки информации. Сообщения электронной почты, содержащие конфиденциальную информацию (например, план выпуска новой продукции или сведения о готовящемся слиянии компаний) могут быть легко отосланы (даже просто случайно) конкуренту, поставщику или в средства массовой информации. Негативные последствия, к которым могут привести подобные утечки информации, могут включать в себя потерю преимущества над конкурентами, снижение дохода, а также потерю доверия потребителей к выпускаемой продукции. Использование защиты электронной почты на основе прав использования позволяет избежать утечек информации, предотвращая случайную пересылку сообщений. Также это исключает возможность возникновения ситуации, при которой злоумышленник может сослаться на незнание правил организации. Ниже на Рисунке 1 представлено сообщение электронной почты, защищенное с помощью шаблона «Не пересылать» (Do Not Forward). Получатели этого сообщения электронной почты не смогут переслать его, а также скопировать или распечатать его содержимое.

Рисунок 1 – Защита сообщения электронной почты с помощью шаблона «Не пересылать» (Do Not Forward) службы IRM

Защита документов. Огромный объем информации, создаваемой и используемой служащими, содержится в документах, созданных с помощью программ повседневного использования на настольных компьютерах. Менеджеры, сотрудники отдела продаж, отдела кадров, отдела разработки и исследования продукции используют программы из комплекта Office 2003 для создания финансовых прогнозов, планирования продаж, доходов, жизненного цикла товара и оценки работы подчиненных, а также для написания результатов исследований – для работы со всей той информацией, которая может представлять угрозу компании в том случае, если она попадет в чужие руки. IRM предоставляет в распоряжение сотрудников, работающих с информацией, средство, позволяющее при использовании программ, входящих в состав Office 2003, устанавливать защиту в виде прав доступа к важной информации, а также определять тех, кому разрешено открывать документ или вносить в него изменения в течение заданного периода времени.

Для того чтобы применить защиту IRM, необходимо воспользоваться кнопкой, расположенной на панели инструментов, как это показано ниже на Рисунке 2:

Рисунок 2 – Кнопка Не распространять (Разрешения) (Permission), присутствующая в программах Office 2003

В случае, если служба RMS была развернута на предприятии, то при нажатии на эту кнопку откроется диалоговое окно Разрешения (Permission), показанное на Рисунке 3:

Рисунок 3 – Диалоговое окно Разрешения (Permission), в котором указаны пользователи и назначены им права

Главное окно определения полномочий позволяет Вам быстро и просто предоставить разным пользователям права на чтение (Read) и внесение изменений (Change). При этом для определения пользователей используется адрес их электронной почты, который хранится в Active Directory, но также можно использовать и список рассылки. Кроме того, можно указывать внешние адреса в том случае, если в организации используется политика доверия, в которой они указаны. При нажатии на кнопку Дополнительные параметры (More Options) откроется диалоговое окно, представленное на Рисунке 4.

Рисунок 4 – Диалоговое окно Дополнительные параметры (More options)

С помощью первого дополнительного параметра можно установить срок истечения действия прав на использование документа. После указания даты те пользователи, у кого срок действия полномочий истек, не смогут открыть документ. Кроме указания срока действия прав в диалоговом окне Дополнительные параметры (More Options) авторы документов могут выборочно предоставить остальным служащим права на печать, копирование, а также на открытие документа программно. По умолчанию в поле Дополнительные параметры (Additional settings) указан адрес электронной почты автора документа, благодаря чему получатели могут обращаться к нему за получением дополнительных прав на использование данного документа (ниже на Рисунке 5 изображена ссылка Идет запрос дополнительных разрешений. (Request additional permissions)). Также автор документа может разрешить или запретить пользователям более ранних версий Office открывать документ для чтения. Наконец, автор документа может потребовать выполнять подключение при каждом открытии документа. При этом по умолчанию для проверки полномочий получателям необходимо подключаться с данного компьютера к RMS-серверу только один раз.

Когда пользователь Victoria, которой предоставлены права на чтение документа (см. Рисунок 4), получает документ и открывает его, Word 2003 устанавливает соединение с корпоративным RMS-сервером, на котором выполняется проверка ее прав. В случае подтверждения наличия прав на чтение документа, он будет открыт (если же обнаружится, что у нее нет соответствующих прав, то документ открыт не будет). После открытия документа она не может копировать, печатать или изменять его. Она может просмотреть имеющиеся собственные права на работу с данным документом, щелкнув в области задач:

Рисунок 5 – Просмотр разрешений на работу с защищенным файлом

В случае применения IRM права на использование информации всегда сохраняются вместе с ней даже в том случае, если эта информация используется за пределами сети. Это означает, что права на использование будут применяться к защищенной информации даже в том случае, если сотрудник открывает сообщение электронной почты или документ автономно или когда он предварительно сохранил его на диске.

Технический обзор IRM и RMS

На стороне сервера Windows RMS управляет функциями лицензирования, активации компьютеров, подачи заявок и администрирования. В своей работе RMS использует службу каталогов Windows Server Active Directory® (ОС Windows Server 2000 или более поздней), а также базу данных SQL, например, Microsoft SQL Server™ для хранения параметров конфигурации.

Для создания или просмотра защищенного содержимого на стороне рабочей станции требуется наличие RMS-совместимой программы. В Microsoft Office 2003 включены первые RMS-совместимые программы, разработанные корпорацией Microsoft. Для создания или просмотра защищенных документов, электронных таблиц, презентаций и сообщений электронной почты необходимо наличие Microsoft Office Professional 2003. При использовании других версий Office 2003 получатели защищенных документов могут только работать с ними (но не создавать их) в случае, если автор документа предоставил им соответствующие для этого права. Надстройка Управление правами (Rights Management Add-on, RMA) для обозревателя Internet Explorer позволяет сотрудникам просматривать защищенную информацию даже в том случае, если у них не установлен Microsoft Office 2003.

Архитектура IRM и RMS

RMS представляет собой управляемую веб-службу, которая использует ASP.NET, протокол запроса/ответа HTTP SOAP и язык XrML, что позволяет организациям создавать и развертывать собственные решения защиты информации. Благодаря высокой масштабируемости, гибкой топологии, простоте администрирования и использования, служба RMS позволяет удовлетворить все потребности любой организации в защите информации.

Основой технологии Windows RMS являются политики постоянного использования (известные так же, как права и условия использования). Авторы информации могут применять политики постоянного использования на уровне файлов. После того, как автор (владелец) применит эти политики к файлу, они будут действовать постоянно. Это будет происходить даже в том случае, если файл был перемещен за пределы корпоративной сети.

Система RMS обеспечивает принудительное применение постоянных политик благодаря установке следующих необходимых для этого элементов:

Доверяемые объекты. Организации могут определять объекты, включая индивидуальных пользователей, групп служащих, компьютеры или приложения, которые будут считаться доверяемыми участниками системы RMS. Определяя доверяемые объекты, система RMS может обеспечить защиту информации, предоставляя к ней доступ только участникам, должным образом прошедшим проверку подлинности.

Права и условия использования. Организации и индивидуальные пользователи могут назначать права и условия использования, определяя тем самым, какие действия доверяемые объекты могут совершать над защищенной информацией. Примером указанных прав может служить разрешение на просмотр, копирование, печать, сохранение, хранение, пересылку и изменение. С помощью прав на использование также можно определять, когда истекает срок действия этих разрешений, а также каким приложениям и объектам (не являющимся доверяемыми) запрещено пользоваться защищенной информацией.

Шифрование. Шифрование представляет собой процесс, при котором данные защищаются с помощью электронных ключей. Система RMS шифрует информацию, предоставляя к ней доступ только при условии, что была успешно выполнена проверка подлинности доверяемых объектов и принудительно были применены определенные политики использования. После того, как информация заблокирована, только доверяемые объекты, имеющие права на использование информации, при соблюдении определенных условий (если такие имеются) могут разблокировать или дешифровать информацию и воспользоваться предоставленными им правами на использование.

Основы функционирования RMS

Технология Windows RMS, которая использует как серверные, так и клиентские компоненты, предоставляет следующие возможности:

Создание защищенных файлов и контейнеров. Служащие, работающие с информацией, указанные в качестве доверяемых объектов в системе RMS, могут легко и просто создавать и управлять защищенными файлами, используя для этих целей знакомые им программы и средства разработки, в которые включена возможность использования технологии Windows RMS. Например, используя знакомые им панели инструментов приложений, сотрудники могут назначать права и условия использования такой информации, как сообщения электронной почты и документы.

Кроме того, RMS-совместимые приложения могут использовать официально принятые и и централизовано назначаемые шаблоны политики прав, тем самым помогая сотрудникам эффективно применять предварительно определенные в организации политики использования.

Лицензирование и распространение защищенной информации. Сертификаты, основанные на языке XrML и выпускаемые системой RMS, идентифицируют доверяемые объекты, которые могут публиковать защищенную информацию. Пользователи, указанные в качестве доверяемых объектов в системе RMS, могут назначать права и условия использования информации, которую им необходимо защитить. Этими политиками использования определяется круг лиц, которые могут получать доступ к информации и использовать ее.

В процессе, который выполняется незаметно для служащих, работающих с информацией, система RMS проверяет подлинность доверяемых объектов и выдает лицензии на публикацию, в которых содержатся права и условия использования, определенные автором информации. Информация шифруется с помощью электронных ключей, получаемых из приложений или из основанных на XrML сертификатов доверяемых объектов. После того, как информация будет защищена с помощью этого механизма, ее смогут разблокировать и использовать только те доверяемые объекты, которые определены в лицензиях на публикацию.

Служащие могут передавать защищенную информацию своими коллегами в своей организации или внешним доверяемым пользователям, предоставляя им эту информацию по электронной почте, открывая доступ к ней для совместного использования на сервере или перенося на дискете.

Получение лицензий на дешифрование защищенной информации и принудительное применение политик использования. Пользователи, которые являются доверяемыми объектами, могут открывать защищенную информацию с помощью доверяемых клиентов. В качестве таких клиентов выступают RMS-совместимые компьютеры и приложения, которые приводят в действие политики использования, позволяя служащим просматривать защищенную информацию и работать с ней.

RMS-сервер, у которого есть открытый ключ, использованный при шифровании информации, незаметно для получателя проверяет его учетные данные и выдает лицензию на использование, в которой содержаться права и условия использования, определенные в лицензии на публикацию. Информация дешифруется с помощью электронных ключей, получаемых из лицензий на использование и основанных на XrML сертификатов доверяемых объектов. Права и условия использования затем принудительно проверяются RMS-совместимым приложением. Они являются постоянными и принудительно применяются к информации независимо от того, где она используется в дальнейшем.

Наряду с пакетом средств разработки (Software Development Kit, SDK) технология RMS включает в себя следующее программное обеспечение:

Серверное программное обеспечение Windows RMS представлено веб-службой Windows Server 2003, которая управляет сертификацией доверяемых объектов на основе XrML, лицензированием защищенной информации, подачей заявок для серверов и пользователей, а также выполняет административные функции.

Клиентское программное обеспечение Windows Rights Management представлено группой интерфейсов прикладного программирования Windows API, которые облегчают процесс активации компьютеров и позволяют RMS-совместимым приложениям работать с RMS-сервером для предоставления лицензий на публикацию и использования защищенной информации.

Пакет SDK для серверного и клиентского компонентов включает в себя документацию и примеры программного кода, которые позволяют разработчикам программного обеспечения настраивать окружение Windows RMS-сервера, а также создавать RMS-совместимые приложения.

Серверное программное обеспечение RMS

Основой технологии Windows RMS является серверный компонент, который управляет сертификацией доверяемых объектов, лицензированием защищенной информации, подачей заявок и предварительной подачей заявок (sub-enrollment) для серверов и пользователей, а также выполняющий административные функции. Серверное программное обеспечение облегчает прохождение шагов по настройке, которые позволяют доверяемым объектам использовать защищенную информацию. Ниже указаны возможности, обеспечиваемые серверной частью RMS:

Настройка доверяемых объектов. Технология Windows RMS предоставляет средства для установки и настройки серверов, клиентских компьютеров и учетных записей пользователей в роли доверяемых объектов системы RMS. При этом выполняется:

Подача заявки для сервера. Подача заявки для сервера является частью подготовительного процесса. Во время подачи заявки для сервера открытый ключ отсылается из корневого RMS-сервера организации в службу подачи заявок RMS Server Enrollment Service корпорации Microsoft. Служба подачи заявок создает и возвращает XrML сертификат лицензиара, соответствующий открытому ключу организации. Служба RMS Server Enrollment Service не выдает пары ключей (открытый/закрытый ключ) корневому серверу организации, она просто подписывает открытый ключ. Службу RMS Server Enrollment Service нельзя использовать для разблокировки данных, создаваемых в организации. Во время данного процесса проверка подлинности не производится.

Предварительная подача заявок для сервера. После того, как в организации будет настроен корневой сервер установки для системы RMS, можно выполнять предварительную подачу заявок и настройку дополнительных серверов, которые будут частью системы. В процессе предварительной подачи заявок для сервера устанавливаются основанные на XrML сертификаты, которые позволяют дополнительным серверам выдавать доверяемые системой RMS лицензии.

Активация клиентского компьютера. Для того чтобы клиентские компьютеры могли использоваться в организации для создания и получения доступа к защищенной информации, должна быть произведена их активация. Во время этого процесса (выполняемого однократно) клиентскому компьютеру выдается уникальное защищенное хранилище RMS. Защищенное хранилище RMS обеспечивает принудительную защиту информации на стороне клиентского компьютера. Оно является уникальным для каждого компьютера и не может быть использовано на другом компьютере.

Сертификация пользователей. Организациям необходимо идентифицировать сотрудников, которые выступают в качестве доверяемых объектов в системе RMS. Для этих целей служба Windows RMS выдает основанные на XrML сертификаты для управления правами учетных записей, называемые также RAC (Rights management account certificates), с помощью которых устанавливается соответствие между учетными записями пользователей и определенными компьютерами.

Рисунок 6 – Процесс получения RAC (выполняемый однократно)

Наличие сертификатов позволяет служащему получать доступ и использовать защищенные файлы и информацию. Каждый уникальный сертификат содержит открытый ключ, используемый для получения лицензии на использование информации, предназначенной для этого служащего.

Подача заявок для клиентского компьютера. Иногда для публикации защищенной информации необходимо использовать клиентские компьютеры, не подключенные к корпоративной сети. В этом случае необходимо запустить локальный процесс подачи заявок. Клиентские компьютеры подают заявку серверу корневой инсталляции или серверу лицензирования службы RMS и получают от них сертификаты лицензиара клиента, управляющие правами. Это позволяет служащим публиковать защищенную информацию с этих компьютеров без необходимости подключения к корпоративной сети.

Лицензии на публикацию, которыми определяются права и условия использования. Доверяемые объекты могут использовать простые средства, включенные в состав RMS-совместимых приложений, для назначения особых прав и условий использования их информации, согласованными с политиками деятельности их организации. Права и условия использования указаны в опубликованных лицензиях, в которых перечислены авторизованные служащие, которым разрешен доступ к информации, а также определен порядок использования информации и предоставление ее для совместной работы. Для назначения прав и условий использования служба RMS использует язык XrML (eXtensible rights Markup Language) версии 1.2.1, основанный на языке XML.

Лицензии на использование, определяющие принудительное применение прав и условий использования. Каждый доверяемый объект, выступающий в роли получателя защищенной информации, при попытке ее открытия запрашивает и получает от RMS-сервера лицензию на использование, причем это выполняется незаметно для получателя. Лицензия на использование предоставляется авторизованным получателям, определяя для них права и условия использования информации. RMS-совместимые приложения используют возможности технологии Windows RMS для чтения информации, обработки и принудительного применения прав и условий использования, определенных в лицензии на использование.

Шифрование и ключи. Защищенная информация всегда зашифрована. RMS-совместимые приложения используют симметричные ключи для шифрования информации. Все RMS-серверы, клиентские компьютеры и учетные записи пользователей имеют пару RSA ключей (открытый и закрытый ключи) размером 1024-бит. Windows RMS использует открытый и закрытый ключи для шифрования симметричного ключа, хранящегося в публикуемых и используемых лицензиях, а также для подписания лицензий и сертификатов на основе XrML, используемых для управления правами, что позволяет предоставлять доступ только доверяемым объектам.

Шаблоны политики прав. Администраторы могут создавать и распространять официальные шаблоны политики прав, назначая определенным служащим права и условия использования. Для получения более подробной информации обратитесь к разделу «Использование шаблонов политики прав». Использование шаблонов в организации позволяет управлять информацией, приводя ее к упорядоченному иерархическому виду. Например, для служащих организации можно создать шаблоны политики прав, указав в них различные права и условия использования конфиденциальной информации компании, засекреченных и частных данных. Эти шаблоны могут использоваться RMS-совместимыми приложениями, что позволяет служащим легко и последовательно применять к информации предопределенные политики.

Списки отзыва. Администраторы могут создавать и распространять списки отзыва, в которых указываются доверяемые объекты, ставшие ненадежными, из-за чего они были удалены из системы RMS и стали недействительными (к доверяемым объектам относятся индивидуальные пользователи, группы пользователей, компьютеры или программы, которые являются доверенными участниками системы RMS). Список отзыва, распространяемый в организации, позволяет сделать недействительными определенные компьютеры или учетные записи пользователей. Например, в случае увольнения работника все связанные с ним доверяемые объекты могут быть добавлены в список отзыва, из-за чего они больше не будут использоваться в операциях, связанных с RMS.

Политики исключения. На стороне сервера администраторы могут применять политики исключения. Эти политики позволяют запретить обработку запросов лицензий, которые основаны на идентификаторе пользователя (учетных данных, используемых для входа в Windows, или паспорте .NET), сертификате, определяющего права учетной записи, или на версии защищенного хранилища, управляющего правами. Политики исключения запрещают обработку новых запросов лицензий, подаваемых ненадежными доверяемыми объектами, но в отличие от отзыва, политики исключения не делают недействительными доверяемые объекты. Администраторы также могут применить политику исключения к потенциально опасным или ненадежным приложениям, благодаря чему исключается возможность расшифровки защищенной информации этими приложениями.

Ведение журнала. Администраторы могут отслеживать и проверять использование защищенной информации в пределах организации. RMS обеспечивает поддержку ведения журнала, благодаря чему в организации имеется запись действий, связанных с использованием RMS, включая записи о выдаче или запрете выдачи лицензий на публикацию и использование.

Пакет средств разработки для RMS

Для службы Windows RMS имеется пакет разработчика Windows RMS SDK (Software Development Kit). В этот пакет включен набор средств, документация, а также примеры программного кода, которые позволяют организациям настраивать Windows RMS. В пакет SDK включены интерфейсы протокола SOAP (simple object access protocol), которые позволяют разработчикам создавать компоненты различного назначения, например, для:

Применения в реальном времени политик использования Windows RMS к любым данным.

Выдачи лицензий получателям информации перед фактическим распространением защищенной информации (это называется также предварительным лицензированием).

Очереди последующей обработки, использующей очередь сообщений MSMQ (Microsoft Message Queue), предоставляющей возможность ведения журнала, проверки, наблюдения, а также выполнения прочих административных функций. Эти интерфейсы и службы предоставляют средства контроля, интеграции и расширения Windows RMS.

Пакет SDK для RMS-клиентов

Технология Windows RMS предоставляет пакет SDK (Software Development Kit) для RMS-клиентов. В пакет SDK включен набор средств, документация, а также примеры программного кода, которые позволяют разработчикам создавать RMS-совместимые приложения. Используя пакет SDK и сопутствующие клиентские интерфейсы прикладного программирования (API), разработчики могут создавать доверяемые клиентские приложения, способные лицензировать, публиковать и использовать защищенную информацию.

В пакет SDK для RMS-клиентов включены следующие компоненты:

Свободно распространяемый модуль, с помощью которого осуществляется реализация клиентских интерфейсов.

Сопутствующие файлы заголовка, необходимые для разработки.

Средства разработки подписанных манифестов, необходимых RMS-совместимым приложениям для загрузки модулей, с помощью которых осуществляется реализация клиентских интерфейсов.

Клиентское программное обеспечение RMS

На каждом клиентском компьютере RMS-системы должен быть установлен клиент управления правами Windows (Windows Rights Management, WRM). Этот клиентский компонент, необходимый для использования RMS-совместимых приложений, представляет собой группу интерфейсов прикладного программирования Windows Rights Management API, которые можно предварительно установить или загрузить с сайта Windows Update. Клиент WRM также используется во время процесса активации компьютера.

В Office 2003 включены первые RMS-совместимые приложения. Кроме того, приложения Office 2003 расширяют возможности RMS.

Принцип работы RMS/IRM

Для защиты данных с помощью Windows RMS служащим не нужно предпринимать никаких особых действий. Они работают точно так же, как и с обычной информацией.

Ниже на Рисунке 7 показан механизм работы RMS при публикации и использовании защищенной информации пользователями.

Рисунок 7 – Публикация и использование защищенной информации

В процессе публикации и использования информации выполняются следующие шаги (пронумерованные выше на рисунке):

Перед тем, как авторы смогут защитить свой документ, им необходимо подать заявку в систему RMS и получить на свой компьютер защищенное хранилище, RAC и сертификат издателя клиента.

Используя RMS-совместимое приложение (например, Office Professional 2003), автор создает файл и устанавливает для него права и условия использования.

После этого приложение шифрует файл с помощью симметричного ключа, который в свою очередь шифруется с помощью открытого ключа RMS-сервера автора. После чего ключ добавляется в лицензию на публикацию, которая в свою очередь добавляется в файл. Только RMS-сервер автора может выдавать лицензии для дешифрования файла.

Ниже на Рисунке 8 показано, из чего состоит защищенный файл Office 2003.

Рисунок 8 – Содержимое защищенного файла

Автор распространяет файл.

Пользователь получает защищенный файл обычным способом и открывает его с помощью RMS-совместимого приложения или обозревателя.

В случае, если на компьютере или устройстве получателя нет сертификата учетной записи, то сертификат будет выдан (при этом предполагается, что у получателя есть доступ к корневому RMS-серверу и имеется учетная запись на предприятии).

Приложение запрашивает лицензию на использование у сервера, который выдал лицензию на публикацию защищенных данных. В запрос включен сертификат учетной записи получателя (в котором содержится открытый ключ получателя) и лицензия на публикацию (содержащей симметричный ключ, с помощью которого шифровался файл).

В лицензии на публикацию, выданной сертификатом лицензиара клиента, содержится URL-адрес сервера, который выдал сертификат. В этом случае запрос лицензии на использование направляется RMS-серверу, который выдал сертификат лицензиара клиента, а не компьютеру, выдавшему лицензию на публикацию.

RMS-сервер лицензирования проверяет имя пользователя, подтверждает подлинность получателя и создает лицензию на использование.

Во время это процесса сервер дешифрует симметричный ключ с помощью закрытого ключа сервера, повторно шифрует его с помощью открытого ключа получателя и добавляет его в лицензию на использование. Кроме того, сервер добавляет в лицензию на использование такие соответствующие условия, как срок истечения, исключение определенных приложений или операционных систем. После этого только тот пользователь, кому предназначена эта информация, сможет дешифровать симметричный ключ, тем самым, дешифруя защищенный файл.

После завершения проверки подлинности сервер лицензирования возвращает лицензию на использование клиентскому компьютеру получателя.

После получения лицензии на использование приложение проверяет как лицензию, так и сертификат учетной записи получателя для определения того, имеется ли в доверительной цепочке сертификат, который необходимо проверить в списке отзыва.

Если такой имеется, то приложение проверяет наличие локальной копии списка отзыва, срок действия которого еще не истек. В случае необходимости приложение получает копию действующего списка отзыва и после этого соблюдает все условия отзыва, которые применены в данном случае. Если нет ни одного условия отзыва, которое бы блокировало доступ к файлу, приложение предоставляет данные пользователю, после чего он может с ними работать в соответствии с теми правами, которые были ему предоставлены.