Bezpečnost dat v podobě AD RMS

V následujícím článku si povíme něco o tom, jak vnímá Microsoft „Information Rights Management“ (IRM) a jak proč tuto podivně znějící záležitost ve své firmě nasadit.

Obecně o AD RMS

Microsoft poskytuje IRM jako serverovou roli v prakticky každé edici operačního systému Windows Server, a to již od verze 2008. Její celý název je Active Directory Rights Management Services (dále jen ADRMS). Cílem této role je povýšit standardní mechanismy zabezpečení dokumentů a informací na zcela jinou úroveň. Jak typická firma zabezpečuje data? Jednoduše tak, že nastaví práva na složky či jednotlivé soubory a lidé ve firmě do dané složky mají, nebo nemají přístup. Klasická správa NTFS ACL, tak jak ji známe asi všichni. Jenže definice oprávnění pomocí NTFS je svým způsobem hodně povrchní a funguje trochu arabským modelem, tedy „buď a nebo“. Buďto někdo má přístup k datům (alespoň pro čtení), nebo nemá. Nic mezi. Těžko určíte, zdali ten či onen uživatel může s daným dokumentem nakládat tak či onak. Tím se rozumí, zdali si může například vykopírovat obsah dokumentu do jiného dokumentu, zdali ho může „vyfotit“ pomocí print screen nebo snipping toolem. Zdali ho může otevírat kdykoliv nebo zdali nepotřebuji kontrolovat i dobu, po kterou je obsah platný a dále již čtení znemožnit. Takovýchto scénářů a možností bychom našli spousty. Pokud jste si v předešlém krátkém výčtu řekli „aha, to by vážně nebylo špatné hlídat“, pak vězte, že ADRMS je přesně to, co potřebujete.

Proč bych o AD RMS měl přemýšlet?

Proberme si teď, co vlastně ADRMS může nabídnout. Jeho primárním účelem je poskytnout ochranu dokumentů proti riziku krádeže jeho obsahu. Nebavíme se teď o souboru, ale o obsahu souboru. Krádež informací nemusí nutně pocházet jen od cizích lidí, čili hackerů, jak se často lidé domnívají. Nejčastěji informace kradou, ztrácejí nebo nevhodně použijí vlastní interní zaměstnanci. Podle studie Forrester Consulting je až 80% incidentů ztráty dat způsobeno omylem a interním zaměstnancem. Stejná studie následně říká, že zatímco ztracený notebook přišel v rámci vzorku zkoumaných firem na půl milionu korun, cílená krádež dat byla vyčíslena na téměř 7 000 000 Kč. A to není málo.

Proto je třeba dbát zvýšené ostrahy i před svými vlastními zaměstnanci. Tedy, v běžných případech, pokud svým lidem na NTFS nastavíte práva pro práci s daty, protože je to jejich práce, už nemáte žádný mechanismus, jak ohlídat, aby se s informacemi nakládalo bezpečně. ADRMS umí pracovat s formáty souborů aplikací kancelářského balíku Microsoft Office 2003, 2007 a 2010, konkrétně Word, Excel, Outlook, PowerPoint a InfoPath. Všechny edice Office mohou chráněný obsah číst, ale vytvářet takový obsah je možné pouze v edicích Professional Plus (ve verzi Office 2007 ještě Ultimate a Enterprise). ADRMS umí daleko více formátů, například PDF, ale k implementaci takového řešení je nutné využít podpory výrobců softwaru třetích stran.

Jak to vlastně celé funguje?

Na jedné straně je klientská stanice a na straně druhé je ADRMS server, nebo servery. Stanice získá certifikát pomocí aktivace ADRMS klienta, který je integrován v operačním systému Windows 7 i 8(.1). U některých OS se musí agent doinstalovat, či aktualizovat. Aktivovat se však musí i konkrétní uživatel, tak aby oba byli jednoznačně identifikovatelní pro ADRMS servery. Uživatel se samozřejmě identifikuje pomocí svého uživatelského účtu v Active Directory, respektive konkrétně pomocí atributu e-mailové adresy. ADRMS klient zároveň zprostředkovává komunikaci mezi klientem a servery ADRMS. Pro uživatele však zcela transparentně. Tedy, pokud by uživatel chtěl otevřít chráněný dokument, tento požadavek a veškerou režii okolo něj bude zprostředkovávat ADRMS klient. Řekněme, že je to takový váš právní zástupce před soudem, který rozhoduje, zda-li vám dá přístup k obsahu dokumentu a jaká práva vůči němu budete mít.

Jak již bylo uvedeno, chráněný obsah IRM lze číst nebo vytvářet pouze aplikacemi k tomu určenými. Klasickým Notepadem chráněný obsah neotevřete, i kdyby formát souboru byl s Notepadem kompatibilní. Notepad prostě neumí komunikovat s ADRMS klientem.

Vůči uživateli se vše chová velmi jednoduše, není se tedy třeba obávat, že nasazení a využití této technologie vyžaduje od uživatelů hodiny a hodiny studia či školení na danou technologii. Výhodou také je, že ADRMS se nespoléhá na to, že když uživatel píše e-mail, tak vždy uvědoměle zprávu opatří IRM. Na základě politik se totiž mohou ADRMS politiky aplikovat automaticky! Tedy, dokumenty, obsah a komunikace se může šifrovat a chránit, aniž by o to uživatel usiloval. K čemu mi je nástroj na ostrahu dokumentů, který může eliminovat omyl v podobě nešťastného odeslání e-mailu, když uživatel dělající tento omyl samozřejmě zapomene dokument ochránit. Nedělá to naschvál. Od toho jsou automatické mechanismy.

Ukázka AD RMS konzole pro správu

Klepněte pro větší obrázek

Co mi AD RMS umí nabídnout?

Nyní již tedy víme, že bez AD RMS nemůžeme spát a že to umí šifrovat obsah souborů. Dále víme, že existují určité licence, které po ověření uživatele umožní určitou práci s chráněným obsahem, ale pořád nevíme, jaké možnosti to AD RMS vlastně nabízí. Práva, která lze v AD RMS specifikovat jsou následující:

  • úplná kontrola,
  • zobrazení,
  • úprava,
  • uložení, export (uložit jako),
  • tisk,
  • přeposlat, odpovědět, odpovědět všem,
  • extrahování,
  • povolení maker,
  • zobrazení práv, úprava práv.

Tedy, v obsahu chráněném pomocí AD RMS jde hlavně o to, že můžete definovat, že ověřená osoba, která má právo jen pro čtení si daný obsah skutečně může jen přečíst. Nebude jí umožněno si obsah například vytisknout, zkopírovat do jiného dokumentu, vyfotit programem Výstřižky nebo tlačítkem „print screen“ atd. Možností je opravdu hodně. Existuje jen pár funkčních útoků na obsah chráněný pomocí AD RMS, které zaručí například export dat do jiného dokumentu. Například:

Klepněte pro větší obrázek

Specifikem jsou AD RMS šablony a v článku je na toto několikrát odkazování. AD RMS šablona je objekt, který se vytváří v RMS konzoli pro správce. Tento objekt vlastně předdefinuje ochranu tak, aby uživatel, který informace má chránit nemusel pokaždé určovat kdo - co může. Je to set přednastavených oprávnění dle uživatelů nebo skupin.

Ukázka správy šablon v AD RMS

Klepněte pro větší obrázek

Ukázka chráněného e-mailu, který jsem „omylem“ poslal na špatnou adresu

Klepněte pro větší obrázek

AD RMS a Sharepoint

Obecně lze říci, že AD RMS je možné integrovat s dalšími produkty společnosti Microsoft. Jedním z nich je Sharepoint. V tomto případě se na straně Sharepointu jednoduše specifikuje URL adresa AD RMS clusteru (nebo se využije SCP v AD) a následně se nad každou knihovnou dokumentů zapíná, zda-li chceme zapnout ochranu dokumentů, či nikoliv. A pokud ji zapneme, pak ACL práva Sharepointu jsou přeložena do AD RMS práv + získáme možnosti jako nastavení expirace obsahu, nebo možnost zakázání tisku dokumentu. Co však u Sharepointu nelze je stahovat si předpřipravené šablony z AD RMS serveru.

Klepněte pro větší obrázek

AD RMS a Exchange

U Exchange je situace dvojí. Integrace je rovněž velmi jednoduchá, leč spolupráce s AD RMS funguje na dvou úrovních. Tou první úrovní je Outlook. Zde si uživatel může definovat oprávnění (zakázat přeposlání, zakázat odpovědět všem, zakázat tisk…) ručně, nebo pomocí šablony z AD RMS serveru. Tím ochrání e-mail jako takový. V případě, že taktový chráněný email uživatel pošle, Exchange jako taková má stále právo tento email dešifrovat, provést anti-spam a antivir kontrolu, provést úkony dle transportních pravidel a zase zpátky zašifrovat. Tedy, nestane se, že by po tomto procesu odešel chráněný mail neochráněn, ale Exchange (HUB Transport servery) mají právo obsah dešifrovat (nikoliv však administrátor). Druhou věcí pak je, že lze rovněž automatizovat šifrování a tedy ochranu informací i na základě transportních pravidel přímo na Exchange serveru. Tedy, pokud si například nastavíte pravidlo „když se odesílá mail s příznakem důležité, tak použij následující AD RMS šablonu“. A automaticky se data chrání. A ano, na rozdíl od Sharepointu, Exchange umí spolupracovat s AD RMS šablonami. Chráněný obsah umí zobrazit a vytvářet OWA.

AD RMS a file server

U file serveru je situace taková, že správce může pomocí CLI nástroje AD RMS Bulk Protection Tool (zdarma) šifrovat obsah složek nebo konkrétní dokumenty užitím AD RMS šablon. A tedy, když si vytvoří naplánovanou úlohu, která se bude každou minutu spouštět a tato naplánovaná úloha spustí jednoduchý příkaz na zašifrování všech souborů dané složky (ale jen podporované formáty, viz výše), tak bez ohledu na zásah uživatele se dokumenty ochrání. Tedy, opět se nespoléhá na to, že uživatel si je vědom důležitosti daných informací. Dále jde celý systém nasadit jako nadstavbu nad FCI, kdy Windows Server klasifikuje data na základě definovaných parametrů a ty pak slouží k volbě konkrétní AD RMS šablony a ochraně informací.

AD RMS a PDF

Samotná služba AD RMS tento formát nepodporuje a je nutné využití nástroje třetí strany. Tímto nástrojem je například Foxit Software a jejich Foxit Reader. Respektive RMS Protection Suite. Tento serverový nástroj se integruje například s Sharepointem a následně jsou PDF soubory po nahrání do knihovny dokumentů chráněny úplně stejným způsobem, jako Office formáty. Rovněž lze využít CLI nástroj od Foxitu pro integraci s File Serverem a mnoho dalšího. RMS práva podporovaná v Foxit PDF pak jsou ekvivalentem ke klasickým právům Office (zobrazení, tisk, expirace obsahu, kopírování…). I když tento balík není zdarma, je pro integraci AD RMS a PDF formátu téměř jediným funkčním řešením.

Závěr

A jaký z toho všeho plyne závěr? Můžeme být klidně v zemi Mordoru a stejně se vševidoucí oko nedozví, kde prsten, který vládne všem, je. Pokud ho chrání vhodně nastavené ADRMS, pak je v bezpečí i před samotným Frodem, který i kdyby chtěl, informaci nevynese. V některém dalším článku popíšeme službu Azure RMS a Microsoft RMS. Porovnáme jí s klasickým AD RMS tak, jak je popisováno zde. Do té doby začněte o této službě vážně uvažovat, protože dnešní digitální doba přímo svádí k útokům na vaše data a pokud vy byste chtěli znát a vidět data vaší konkurence, tak věřte, že oni chtějí to samé. A na vás je, jak se s tím vypořádáte.

Autor: Jan Pilař, MVP - KPCS s.r.o.

Články ze série Microsoft TechNet nevytváří redakce Živě.cz, ale partneři programu Microsoft TechNet. Jsou publikovány v rámci mediálního partnerství Živě.cz a společnosti Microsoft.

Váš názor Další článek: Microsoft začal nabízet Windows 8.1 zdarma. Ale jen neziskovkám

Témata článku: Microsoft, Ztracený notebook, Celý název, Klientská stanice, Úplná kontrola, Pila, Určitý objekt, Funkční řešení, Běžný případ, Nutná úprava, Právní zástupce, Stejná úloha, Jimi, Zobrazená data, Aha, Obsah, Print Screen, Chráněná složka, Celá studie, Předpřipravená šablona, Notebooky bez os, Ono, Chráněný obsah


Určitě si přečtěte

eObčanka: Jak a proč si zřídit elektronický občanský průkaz s čipem

eObčanka: Jak a proč si zřídit elektronický občanský průkaz s čipem

** Občanka s čipem už je standardně vydávaným osobním dokladem v Česku ** Umožní využívat Portál občana a funkce elektronické státní správy ** Pokud ji chcete naplno využívat, musíte si čip aktivovat

David Polesný | 94

Jak a proč používat alternativní DNS: Zrychlí internet a odblokuje weby

Jak a proč používat alternativní DNS: Zrychlí internet a odblokuje weby

** Alternativní DNS servery mohou zpříjemnit surfování na internetu ** Existuje několik ověřených alternativ, nejen známé DNS od Googlu ** Alternativní DNS však mají i své nevýhody, pozor na ně

Petr Březina | 33

Užijte si poslední změny času: Už od března 2019 můžeme mít trvale letní čas

Užijte si poslední změny času: Už od března 2019 můžeme mít trvale letní čas

** Evropská komise přijala legislativní návrh na zrušení střídaní času ** Možná tak v březnu 2019 přesuneme ručičky hodinek naposledy ** Od toho okamžiku bude permanentně platit letní čas

Karel Kilián | 96

Nová americká jaderná puma změní strategii boje

Nová americká jaderná puma změní strategii boje

** Bombardér Northrop Grumman B-2 Spirit amerického letectva nedávno svrhl jadernou pumu ** Šlo o test nové varianty pumy B61-12 ** Ta by měla mít hlavice schopné explodovat se silou 0,3 až 50 kilotun

Stanislav Mihulka | 58

Odposlouchávali jsme děravou domácnost: Katka z Brightonu právě sedí doma, zatímco její manžel hraje asi golf

Odposlouchávali jsme děravou domácnost: Katka z Brightonu právě sedí doma, zatímco její manžel hraje asi golf

** Na internetu jsou tisíce nezabezpečených chytrých domácností ** Podívali jsme se na jednu z britského Brightonu ** Útočník sestaví kompletní socioekonomický profil rodiny

Jakub Čížek | 31

PortraitPro: Vyzkoušeli jsme program, který prý udělá z každé „žáby“ krasavici

PortraitPro: Vyzkoušeli jsme program, který prý udělá z každé „žáby“ krasavici

** V digitálním světě nemůžete věřit všemu ** Nová generace 3D fotoeditorů zvládne divy ** Vyzkoušeli jsme PortraitPro, který vám změní i kontaktní čočky

Jakub Čížek | 10

Američtí mariňáci si tisknou kasárna z betonu na 3D tiskárně

Američtí mariňáci si tisknou kasárna z betonu na 3D tiskárně

** Americká námořní pěchota nedávno představila 3D tištěná kasárna pro vojáky ** Ty jim tiskne velká 3D tiskárna na beton ** Výsledkem je solidní obytný prostor, který je slušně chráněný před nepřátelskou palbou

Stanislav Mihulka | 18


Aktuální číslo časopisu Computer

Megatest: 13 grafických karet

Srovnání 7 dokovacích stanic s USB-C

Jak na perfektní noční fotografie

Kvalitní zdroje informací pro sebevzdělávání