Exchange Server 2010 a zabezpečení e-mailů IRM

Za jeden z největších problémů současnosti považuje mnoho firem nedostatečnou ochranu vlastních dokumentů. Dokumentů, které by nikdy neměly opustit interní prostředí.

Interní dokumenty jsou pro firmy často velmi choulostivé a jejich únikem může společnost přijít o obrovské finanční prostředky, či dokonce porušit zákon. Mohou například obsahovat interní finanční analýzy, informace o plánovaných produktech, atd. Z analýz překvapivě vyplývá, že v 80 procentech případů úniků dat na veřejnost, se jedná o omyl! Omyl, při kterém uživatel pošle zprávu Janu Novákovi, ale díky vlastní nepozornosti pošle zprávu nikoli svému kolegovi, ale třeba šéfredaktorovi bulvárního deníku. Kvůli neustálému přístupu k emailovým zprávám a vzhledem k obrovskému nárůstu využívání poštovních systémů, se tak lety stalo z našich schránek postupně jakési úložiště obsahující velké množství dat, která by měla podléhat nejstriktnější možné kontrole. Technologie Information Rights Management (IRM) využívající službu Active Directory Right Management Service (AD RMS), která je součástí Windows Server 2008/R2, toto může zajistit. A to jak při online, tak offline přístupu.

Jak na zabezpečení zpráv v Exchange serveru

Pokud jsme řešili bezpečnost zpráv v Exchange serveru, měli jsme na výběr následující metody:

  • Transport Layer Security (TLS) – Emailové servery mohou být nakonfigurovány tak, aby chránily zprávy během jejich přenosu pomocí SSL. Exchange Server 2010 nejen, že automaticky používá TLS při přenosu zpráv v interním prostředí, ale nabízí a snaží se pomocí TLS zabezpečit i přenosy s dalšími email servery, které tuto technologii podporují. Bohužel pomocí TLS jsme ale schopni ochránit data jen při jejich přenosu. Jakmile příjemce zprávu obdrží, je zcela na něm, co se zprávou podnikne.
  • Šifrování emailů – Další možností  je chránit zprávy pomocí šifrování, např. pomocí S/MIME. Bohužel ani toto není nejlepší řešení, protože nejen že vyžaduje plné nasazení PKI a distribuci certifikátů na klienty, ale následně stejně neřeší problém s únikem dat. Jakmile totiž uživatel zprávu pomocí privátního klíče jednou dešifruje, může opět jakkoli nakládat s daty, která jsou ve zprávě uložena – zkopírovat si je na USB disk, poslat pomocí freemail účtu, atd. Nic nepomáhají velké nápisy a upozornění typu: „Interní důvěrná informace“… Dokonce se dá říct, že použití S/MIME má v sobě i jeden problém, který je tak trochu chtěný a nechtěný. Záleží na situaci a vašem pohledu. K  zašifrované zprávě pomocí S/MIME, má totiž bohužel přístup jen a pouze majitel privátního klíče – a nikdo jiný. Dokonce ani administrátor ne. Bohužel to ale znamená, že ve zprávě může být jakýkoli škodlivý kód a my, jako správci, nemáme možnost se k němu dostat a odstranit jej, např. pomocí antiviru.

IRM si klade za cíl následující:

  • Zabránit neoprávněnému předání, úpravě, tisku, faxu, uložení a zkopírování emailové zprávy
  • V případě, že je ke zprávě připojena příloha, ochránit ji stejným způsobem
  • Možnost nastavit datum expirace, po kterém nebude možné zprávu dále zobrazit
  • Zabránit zkopírování obsahu pomocí nástrojů na kopírování obrazovky

Na základech RMS

Úvodem je nezbytné vysvětlit základní mechanismy a principy služby RMS, na kterých je celé řešení založeno. RMS je standardní klient/server aplikační služba, která se skládá z následujících tří klíčových komponent:

1. RMS server - serverovou částí je role Windows Serveru 2008/R2 s přesným názvem Active Directory Rights Management Services. AD RMSzajišťuje především tyto funkce:

  • Aktivaci počítače – teprve po aktivaci může uživatel na daném počítači vytvářet či naopak otevírat chráněný obsah. Výsledkem aktivačního procesu je vystavení počítačového certifikátu, kterým je počítač v rámci RMS jednoznačně identifikován.
  • Aktivaci uživatele – na konci tohoto procesu uživatel získává RAC (rights account certificate) certifikát. Privátní klíč asociovaný k tomuto certifikátu je uložen v počítači v chráněné podobě. Je šifrován veřejným klíčem počítačového certifikátu. Z toho vyplývá důležitá vlastnost – RAC je nepřenosný mezi počítači.
  • Podepisuje licence k publikování – jedná se v podstatě o soubor přístupových práv, kde je přesně uvedeno, kdo a s jakými oprávněními má právo chráněný obsah otevřít.
  • Vydává licence k použití – tato licence obsahuje krom jiného seznam oprávnění pro konkrétního uživatele, který žádá AD RMS o otevření obsahu a také dešifrovací klíč.

2. RMS klient – jeho základní funkcí je zprostředkovávat komunikaci mezi aplikací s podporou RMS a RMS serverem. Například pokud uživatel aplikace MS Word otevírá chráněný obsah, aplikace nežádá o licenci k použití RMS server přímo, ale prostřednictvím RMS klienta. Klient RMS je součástí Windows Vista a vyšší. Krom toho je možné tohoto klienta zdarma stáhnout ze stránek společnosti Microsoft a nainstalovat na všechny operační systémy Windows 2000 SP4 a vyšší.

3. RMS aplikace – teprve RMS aplikace zajišťuje z pohledu uživatele praktickou implementaci IRM pro ochranu citlivých informací. RMS aplikace je ve skutečnosti běžná aplikace, která ale má navíc v sobě zabudovánu podporu tvorby či otevírání chráněného obsahu. Příkladem jsou vybrané aplikace sady MS Office 2003/2007 (pozn. v nižších edicích je možné obsah pouze číst) včetně MS Outlook. Seznam RMS aplikací se pozvolna rozšiřuje jak přímo v produktech Microsoftu (SharePoint, MS Exchange 2010 a další), tak i mezi produkty třetích stran – známé jsou RMS aplikace pro ochranu obsahu ve formátu pdf.

Na dva tahy

Nyní jsme již seznámeni se všemi stavebními prvky systému RMS a můžeme si tedy detailněji vysvětlit, jak fungují dva základní procesy:

1. Tvorba chráněného obsahu

  • Uživatel v aplikaci MS Word vytvořil obsah a nyní k němu přiřazuje práva IRM jednotlivým uživatelům
  • RMS aplikace pomocí RMS klienta požádá RMS server o zaslání serverového certifikátu SLC (server licensor certificate)
  • Klient vygeneruje licenci k publikování, která obsahuje unikátně vygenerovaný symetrický klíč a přehled oprávnění. Tato licence je zašifrována veřejným klíčem RMS serveru a následně poslána RMS serveru.
  • RMS server digitálně podepíše licenci k publikování a vrací ji aplikaci
  • Aplikace zašifruje symetricky (algoritmus AES) zmiňovaný dokument aplikace Word pomocí klíče obsaženého v licenci k publikování a zároveň tuto licenci připojí k celému souboru jako jeho nedílnou součást.
IRM 00a.PNG 
Struktura chráněného obsahu

2. Otevření chráněného obsahu

  • Uživatel obdržel dokument chráněný prostředky IRM a chce si ho otevřít.
  • Aplikace uživatele automaticky posílá RMS serveru požadavek na vystavení licence k použití, přílohou  požadavku je pak licence k publikování tohoto dokumentu a uživatelův certifikát RAC.
  • RMS server zkontroluje digitální podpis licence k publikování, dešifruje ji svým privátním klíčem, načte práva k dokumentu a symetrický klíč k dešifrování.
  • RMS server autorizuje, zda uživatel opravdu má nárok na zpřístupnění obsahu. Pokud ano, vystaví mu licenci k použití, která obsahuje symetrický klíč k dešifrování dokumentu a práva pro tohoto konkrétního uživatele. Celá licence k použití je pak zašifrována veřejným klíčem uživatele uvedeným v RACu.
  • Klient dešifruje licenci k použití svým privátním klíčem. Aplikace tak dostává pokyn jaká práva či restrikce při práci s tímto obsahem má pro uživatele vynutit. Díky zaslanému symetrickému klíči je dokument dešifrován a otevřen v aplikaci. 

Z určitého úhlu pohledu se dá na technologii RMS také nahlížet jako na nástroj pro aplikování bezpečnostních politik pro práci s obsahem za pomocí šifrování. Z tohoto důvodu nám RMS server umožňuje vytvářet šablony politik RMS práv tzv. Rights Policy Templates. Smyslem těchto šablon je přesně svázat sadu konkrétních práv s určenou politikou. Mohu si například vytvořit šablonu politiky s názvem “Přísně tajné“ a tuto šablonu poté svázat se sadou oprávnění či omezení:

  • číst obsah mohou jen určené osoby
  • osoba, která si obsah otevře, má přístup jen dočasný např. na 5 dní
  • obsah nelze tisknout
  • atd.

Mám jistotu, že pokud autor obsahu správně vybere šablonu „Přísně tajné”, dokument bude chráněn zcela přesně dle určených směrnic pro nakládání s takovýmto obsahem.

IRM 00b.PNG 
Tvorba šablony pro vynucení IRM politik
IRM_01.png 
Zpracování IRM zpráv v rámci Exchange Server 2010

Zatímco samotná RMS technologie pro aplikování IRM je k dispozici již poměrně dlouho, zcela horkou novinkou je její propojení s poštovním serverem MS Exchange 2010. Všem možnostem, které nám tato integrace nabízí, se budeme věnovat v následujících odstavcích.

IRM v praxi

Díky zabudování podpory IRM do Exchange Serveru verze 2010, můžeme IRM využít na klientech následujícím způsobem:

  • Manuálně, v rámci klienta Outlook – Pokud máte ve vašem prostředí zprovozněny politiky AD RMS, Outlook klient tato nastavení načítá a umožňuje je klientům aplikovat na jejich data. V tomto případě se očekává spolupráce klienta, který si uvědomuje, že chce zprávu chránit a pomocí dostupných IRM politik zprávu zabezpečuje na základě svých požadavků. Typické IRM politiky, které se v tomto případě uplatňují, jsou např.: „Do Not Forward“, „Do Not Reply All“, „Company Confidential“, nebo „Set Expiration Date“.
  • Manuálně, v rámci Outlook Web App (OWA) – Díky plné podpoře IRM v Exchange Serveru 2010, může uživatel při přístupu k Exchange Serveru pomocí internetového prohlížeče nastavovat to samé, na co je zvyklý v plnohodnotném Outlook klientovi. A nejen to, má i možnost přistupovat i k chráněným datům, která mu byla doručena (a je jedno, zdali se jedná o Internet Explorer, Firefox či Safari). 
IRM_04.PNG
Nastavení IRM ochrany v Outlook 2010
  • Automaticky, v rámci klienta Outlook 2010 – Pokud jako správci vytvoříte pro ochranu zpráv pomocí IRM v Exchange organizaci tzv. „Outlook Protection Rule“, dochází k automatickému aplikování předpřipravených politik na klienty a chrání tak zprávu už v momentě jejího vytváření. Informace o použité politice a jejích důsledcích bude uživateli v rámci Outlook 2010 klienta zobrazena pomocí návodného textu v horní části okna.
  •  Automaticky, na HUB transportním serveru – V rámci Exchange Serveru 2010, může správce vytvářet i „Transport Protection Rule“, které na základě informací nalezených ve zprávě (a v příloze) která prochází HUB serverem, nastaví na zprávu požadovanou IRM ochranu.
IRM_05.PNG 
Příjem zprávy chráněné pomocí IRM klientem, který nemá oprávnění zprávu číst

Tím tedy můžeme zajistit např. to, že zpráva, která bude mít v příloze dokument Word, ve kterém se objeví text „Company Confidential“, tak na tuto zprávu bude automaticky aplikována IRM politika, která neumožní zobrazení zprávy (a přílohy) nikomu jinému, než ověřenému uživateli společnosti. Dalším zajímavým využitím je aplikování IRM politik na určité typy zpráv – pokud uživatelům přichází do jejich schránek i hlasové vzkazy (díky roli Unified Messaging), můžete zajistit, že uživatelé nebudou schopni tyto zprávy nikam dál přeposlat.

IRM_02.png 
Příklad použití IRM - zákaz přeposílání zpráv s hlasovými zprávami

To je ale jen jeden pohled na celou problematiku. Pohled klienta, který nyní začíná - buď vědomě, nebo díky politikám administrátora, aplikovat IRM na svá data. Nicméně administrátor musí být schopen se k takto zabezpečeným datům kdykoli dostat. Důvody mohou být různé – soudní pře, vyšetřování, interní audit, atd.

  • Dešifrování při přenosu (Transport Decryption) – V rámci přenosu zpráv skrze HUB server, musí být Exchange Server schopen na zprávu aplikovat pravidla transportních agentů a tím tak zajistit jejich funkcionalitu. Toho je docíleno díky dešifrování obsahu na transportní vrstvě.
  • Dešifrování při journalingu (Journal Report Decryption) – V rámci jedné z metod zálohování dat – journaling – umožňuje Exchange Server 2010 uložit a pracovat s nešifrovanou kopií dat.
  • Dešifrování pro účely vyhledávání (IRM Decryption for Search) – V rámci indexování obsahu dat je Exchange Server schopen indexovat a následně zpřístupnit (vyhledávat) obsah zpráv těm správcům, kteří mají patřičná oprávnění.

Tyto tři možnosti přístupu ke zprávám jsou zajištěny pomocí pěti systémových IRM agentů na HUB serveru a díky systémové schránce „Federated Delivery Mailbox“, která je při instalaci Exchange Serveru přidána do skupiny „SuperUsers“ na AD RMS serveru.

IRM_06.PNG 
Vytváření transportního pravidla, které bude chránit zprávy pomocí IRM

Aby nemusel uživatel při každém přístupu k IRM chráněným zprávám znovu a znovu kontaktovat AD RMS server, funguje v rámci Exchange Serveru 2010 přiřazování IRM Pre-Licence. HUB server zajistí přiřazení IRM licence k samotné zprávě již během jejího přenosu, a uživatel se tak dostane ke zprávám i v momentě, kdy je offline, nebo používá jako klienta Outlook Web App.

IRM_03.png 
Ochrana komunikace pomocí IRM v Exchange Server 2010

Na závěr bych si dovolil shrnout, co budete potřebovat v momentě, kdy se rozhodnete IRM v rámci Exchange Serveru 2010 nasadit:

  • Windows Server 2008 R2, nebo Windows Server 2008 s hotfixem 973247 s nakonfigurovanou službou Active Directory Rights Management Services – pozor (!), AD RMS služba vyžaduje kromě Windows CALu, ještě nákup RMS CALu, podobně, jako je tomu u terminálových služeb
  • Exchange Server 2010
  • Outlook 2003 a novější
  • Windows Mobile 6.0 a vyšší

Osobně si myslím, že v této technologii se skrývá budoucnost ochrany dat ve firemním prostředí. Active Directory Rights Management Services tu sice máme k dispozici již nějakou dobu, pořád ale byla nutná spolupráce na straně uživatele. To on musel při ukládání dokumentů na ochranu myslet a vybrat vhodnou politiku, kterou chtěl data chránit. Pokud na tento krok zapomněl, dokument zůstal zcela nechráněný… Díky implementaci podpory IRM do Exchange Serveru ve verzi 2010 se nám tak dostává do ruky nástroj, který si umí šifrování vynutit na základě vydefinovaných podmínek. A to nikoli bezhlavě, ale tak, aby bylo možné k datům dále přistupovat a pracovat s nimi v momentě, kdy to společnostem přikazuje například zákon dané země.

Autoři:
Martin Pavlis, Microsoft MVP, KPCS CZ, s.r.o
Miroslav Knotek, Microsoft MVP, KPCS CZ, s.r.o


Sledujte Živě na Facebooku

celkem 0

Poslední komentáře Komentáře


Další podobné články

Setkání Windows User Group v září 2014

Setkání Windows User Group v září 2014

Včera  |  TechNet Microsoft
V boji o chytrý dům může Microsoftu pomoci 10 startupů

V boji o chytrý dům může Microsoftu pomoci 10 startupů

V Redmondu se na plné obrátky rozjíždí nový inkubátor. Poskytl přístřeší pro deset startupů, které chtějí ovládnout chytrou domácnost. Nyní mají čtyři měsíce, aby ukázaly, co umějí.

Včera  |  Čížek Jakub  |  11

Šéf Microsoftu se setkal s autory populárního CyanogenModu

Šéf Microsoftu se setkal s autory populárního CyanogenModu

1.  9.  2014  |  Čížek Jakub  |  11

DEJTE NÁM TIP NA ČLÁNEK



Aktuální číslo časopisu Computer
  • Testy nejnovějších produktů na českém trhu.
  • Informace ze světa internetu i bezpečnosti.
  • Plné verze programů zdarma pro všechny čtenáře.

Partnerská sekce pro IT profesionály
Microsoft TechNet/MSDN