V následujícím článku si povíme něco o tom, jak vnímá Microsoft „Information Rights Management“ (IRM) a jak proč tuto podivně znějící záležitost ve své firmě nasadit.
Obecně o AD RMS
Microsoft poskytuje IRM jako serverovou roli v prakticky každé edici operačního systému Windows Server, a to již od verze 2008. Její celý název je Active Directory Rights Management Services (dále jen ADRMS). Cílem této role je povýšit standardní mechanismy zabezpečení dokumentů a informací na zcela jinou úroveň. Jak typická firma zabezpečuje data? Jednoduše tak, že nastaví práva na složky či jednotlivé soubory a lidé ve firmě do dané složky mají, nebo nemají přístup. Klasická správa NTFS ACL, tak jak ji známe asi všichni. Jenže definice oprávnění pomocí NTFS je svým způsobem hodně povrchní a funguje trochu arabským modelem, tedy „buď a nebo“. Buďto někdo má přístup k datům (alespoň pro čtení), nebo nemá. Nic mezi. Těžko určíte, zdali ten či onen uživatel může s daným dokumentem nakládat tak či onak. Tím se rozumí, zdali si může například vykopírovat obsah dokumentu do jiného dokumentu, zdali ho může „vyfotit“ pomocí print screen nebo snipping toolem. Zdali ho může otevírat kdykoliv nebo zdali nepotřebuji kontrolovat i dobu, po kterou je obsah platný a dále již čtení znemožnit. Takovýchto scénářů a možností bychom našli spousty. Pokud jste si v předešlém krátkém výčtu řekli „aha, to by vážně nebylo špatné hlídat“, pak vězte, že ADRMS je přesně to, co potřebujete.
Proč bych o AD RMS měl přemýšlet?
Proberme si teď, co vlastně ADRMS může nabídnout. Jeho primárním účelem je poskytnout ochranu dokumentů proti riziku krádeže jeho obsahu. Nebavíme se teď o souboru, ale o obsahu souboru. Krádež informací nemusí nutně pocházet jen od cizích lidí, čili hackerů, jak se často lidé domnívají. Nejčastěji informace kradou, ztrácejí nebo nevhodně použijí vlastní interní zaměstnanci. Podle studie Forrester Consulting je až 80% incidentů ztráty dat způsobeno omylem a interním zaměstnancem. Stejná studie následně říká, že zatímco ztracený notebook přišel v rámci vzorku zkoumaných firem na půl milionu korun, cílená krádež dat byla vyčíslena na téměř 7 000 000 Kč. A to není málo.
Proto je třeba dbát zvýšené ostrahy i před svými vlastními zaměstnanci. Tedy, v běžných případech, pokud svým lidem na NTFS nastavíte práva pro práci s daty, protože je to jejich práce, už nemáte žádný mechanismus, jak ohlídat, aby se s informacemi nakládalo bezpečně. ADRMS umí pracovat s formáty souborů aplikací kancelářského balíku Microsoft Office 2003, 2007 a 2010, konkrétně Word, Excel, Outlook, PowerPoint a InfoPath. Všechny edice Office mohou chráněný obsah číst, ale vytvářet takový obsah je možné pouze v edicích Professional Plus (ve verzi Office 2007 ještě Ultimate a Enterprise). ADRMS umí daleko více formátů, například PDF, ale k implementaci takového řešení je nutné využít podpory výrobců softwaru třetích stran.
Jak to vlastně celé funguje?
Na jedné straně je klientská stanice a na straně druhé je ADRMS server, nebo servery. Stanice získá certifikát pomocí aktivace ADRMS klienta, který je integrován v operačním systému Windows 7 i 8(.1). U některých OS se musí agent doinstalovat, či aktualizovat. Aktivovat se však musí i konkrétní uživatel, tak aby oba byli jednoznačně identifikovatelní pro ADRMS servery. Uživatel se samozřejmě identifikuje pomocí svého uživatelského účtu v Active Directory, respektive konkrétně pomocí atributu e-mailové adresy. ADRMS klient zároveň zprostředkovává komunikaci mezi klientem a servery ADRMS. Pro uživatele však zcela transparentně. Tedy, pokud by uživatel chtěl otevřít chráněný dokument, tento požadavek a veškerou režii okolo něj bude zprostředkovávat ADRMS klient. Řekněme, že je to takový váš právní zástupce před soudem, který rozhoduje, zda-li vám dá přístup k obsahu dokumentu a jaká práva vůči němu budete mít.
Jak již bylo uvedeno, chráněný obsah IRM lze číst nebo vytvářet pouze aplikacemi k tomu určenými. Klasickým Notepadem chráněný obsah neotevřete, i kdyby formát souboru byl s Notepadem kompatibilní. Notepad prostě neumí komunikovat s ADRMS klientem.
Vůči uživateli se vše chová velmi jednoduše, není se tedy třeba obávat, že nasazení a využití této technologie vyžaduje od uživatelů hodiny a hodiny studia či školení na danou technologii. Výhodou také je, že ADRMS se nespoléhá na to, že když uživatel píše e-mail, tak vždy uvědoměle zprávu opatří IRM. Na základě politik se totiž mohou ADRMS politiky aplikovat automaticky! Tedy, dokumenty, obsah a komunikace se může šifrovat a chránit, aniž by o to uživatel usiloval. K čemu mi je nástroj na ostrahu dokumentů, který může eliminovat omyl v podobě nešťastného odeslání e-mailu, když uživatel dělající tento omyl samozřejmě zapomene dokument ochránit. Nedělá to naschvál. Od toho jsou automatické mechanismy.
Ukázka AD RMS konzole pro správu
Co mi AD RMS umí nabídnout?
Nyní již tedy víme, že bez AD RMS nemůžeme spát a že to umí šifrovat obsah souborů. Dále víme, že existují určité licence, které po ověření uživatele umožní určitou práci s chráněným obsahem, ale pořád nevíme, jaké možnosti to AD RMS vlastně nabízí. Práva, která lze v AD RMS specifikovat jsou následující:
- úplná kontrola,
- zobrazení,
- úprava,
- uložení, export (uložit jako),
- tisk,
- přeposlat, odpovědět, odpovědět všem,
- extrahování,
- povolení maker,
- zobrazení práv, úprava práv.
Tedy, v obsahu chráněném pomocí AD RMS jde hlavně o to, že můžete definovat, že ověřená osoba, která má právo jen pro čtení si daný obsah skutečně může jen přečíst. Nebude jí umožněno si obsah například vytisknout, zkopírovat do jiného dokumentu, vyfotit programem Výstřižky nebo tlačítkem „print screen“ atd. Možností je opravdu hodně. Existuje jen pár funkčních útoků na obsah chráněný pomocí AD RMS, které zaručí například export dat do jiného dokumentu. Například:
Specifikem jsou AD RMS šablony a v článku je na toto několikrát odkazování. AD RMS šablona je objekt, který se vytváří v RMS konzoli pro správce. Tento objekt vlastně předdefinuje ochranu tak, aby uživatel, který informace má chránit nemusel pokaždé určovat kdo - co může. Je to set přednastavených oprávnění dle uživatelů nebo skupin.
Ukázka správy šablon v AD RMS
Ukázka chráněného e-mailu, který jsem „omylem“ poslal na špatnou adresu
AD RMS a Sharepoint
Obecně lze říci, že AD RMS je možné integrovat s dalšími produkty společnosti Microsoft. Jedním z nich je Sharepoint. V tomto případě se na straně Sharepointu jednoduše specifikuje URL adresa AD RMS clusteru (nebo se využije SCP v AD) a následně se nad každou knihovnou dokumentů zapíná, zda-li chceme zapnout ochranu dokumentů, či nikoliv. A pokud ji zapneme, pak ACL práva Sharepointu jsou přeložena do AD RMS práv + získáme možnosti jako nastavení expirace obsahu, nebo možnost zakázání tisku dokumentu. Co však u Sharepointu nelze je stahovat si předpřipravené šablony z AD RMS serveru.
AD RMS a Exchange
U Exchange je situace dvojí. Integrace je rovněž velmi jednoduchá, leč spolupráce s AD RMS funguje na dvou úrovních. Tou první úrovní je Outlook. Zde si uživatel může definovat oprávnění (zakázat přeposlání, zakázat odpovědět všem, zakázat tisk…) ručně, nebo pomocí šablony z AD RMS serveru. Tím ochrání e-mail jako takový. V případě, že taktový chráněný email uživatel pošle, Exchange jako taková má stále právo tento email dešifrovat, provést anti-spam a antivir kontrolu, provést úkony dle transportních pravidel a zase zpátky zašifrovat. Tedy, nestane se, že by po tomto procesu odešel chráněný mail neochráněn, ale Exchange (HUB Transport servery) mají právo obsah dešifrovat (nikoliv však administrátor). Druhou věcí pak je, že lze rovněž automatizovat šifrování a tedy ochranu informací i na základě transportních pravidel přímo na Exchange serveru. Tedy, pokud si například nastavíte pravidlo „když se odesílá mail s příznakem důležité, tak použij následující AD RMS šablonu“. A automaticky se data chrání. A ano, na rozdíl od Sharepointu, Exchange umí spolupracovat s AD RMS šablonami. Chráněný obsah umí zobrazit a vytvářet OWA.
AD RMS a file server
U file serveru je situace taková, že správce může pomocí CLI nástroje AD RMS Bulk Protection Tool (zdarma) šifrovat obsah složek nebo konkrétní dokumenty užitím AD RMS šablon. A tedy, když si vytvoří naplánovanou úlohu, která se bude každou minutu spouštět a tato naplánovaná úloha spustí jednoduchý příkaz na zašifrování všech souborů dané složky (ale jen podporované formáty, viz výše), tak bez ohledu na zásah uživatele se dokumenty ochrání. Tedy, opět se nespoléhá na to, že uživatel si je vědom důležitosti daných informací. Dále jde celý systém nasadit jako nadstavbu nad FCI, kdy Windows Server klasifikuje data na základě definovaných parametrů a ty pak slouží k volbě konkrétní AD RMS šablony a ochraně informací.
AD RMS a PDF
Samotná služba AD RMS tento formát nepodporuje a je nutné využití nástroje třetí strany. Tímto nástrojem je například Foxit Software a jejich Foxit Reader. Respektive RMS Protection Suite. Tento serverový nástroj se integruje například s Sharepointem a následně jsou PDF soubory po nahrání do knihovny dokumentů chráněny úplně stejným způsobem, jako Office formáty. Rovněž lze využít CLI nástroj od Foxitu pro integraci s File Serverem a mnoho dalšího. RMS práva podporovaná v Foxit PDF pak jsou ekvivalentem ke klasickým právům Office (zobrazení, tisk, expirace obsahu, kopírování…). I když tento balík není zdarma, je pro integraci AD RMS a PDF formátu téměř jediným funkčním řešením.
Závěr
A jaký z toho všeho plyne závěr? Můžeme být klidně v zemi Mordoru a stejně se vševidoucí oko nedozví, kde prsten, který vládne všem, je. Pokud ho chrání vhodně nastavené ADRMS, pak je v bezpečí i před samotným Frodem, který i kdyby chtěl, informaci nevynese. V některém dalším článku popíšeme službu Azure RMS a Microsoft RMS. Porovnáme jí s klasickým AD RMS tak, jak je popisováno zde. Do té doby začněte o této službě vážně uvažovat, protože dnešní digitální doba přímo svádí k útokům na vaše data a pokud vy byste chtěli znát a vidět data vaší konkurence, tak věřte, že oni chtějí to samé. A na vás je, jak se s tím vypořádáte.
Autor: Jan Pilař, MVP - KPCS s.r.o.
Články ze série Microsoft TechNet nevytváří redakce Živě.cz, ale partneři programu Microsoft TechNet. Jsou publikovány v rámci mediálního partnerství Živě.cz a společnosti Microsoft.
