ЧаВо, оно же FAQ. AD RMS. Часть I


По долгу службы я регулярно встречаюсь с заказчиками и рассказываю им о продуктах и технологиях Microsoft в области информационной безопасности. Разумеется, ни одна из этих встреч не обходится без сессии вопросов-ответов. Бывает, что эти вопросы приходят по почте. Так или иначе у меня уже скопилась достаточно большая подборка ЧАстых ВОпросов (Frequently Asked Questions, FAQ) и, соответственно, ответов на них, которой я и хотел бы поделиться с читателями этого блога. Возможно среди этих вопросов вы найдете и свои.

И первый блог-пост из серии “ЧаВо, оно же FAQ” мне бы хотелось посвятить некоторым вопросам, касающимся технологии Active Directory Rights Management Services (AD RMS), по которой, как правило, задается больше всего вопросов.

Q: Где найти документацию по установке и настройке RMS?

A: Ниже представлены ссылки на русскоязычную документацию по развертыванию AD RMS на базе Windows Server 2008

Кроме того в TechNet Library можете полностью локализованный раздел по RMS.

Q: Где хранится секретный ключ пользователя?

A:

  • Machine Certificate
    File name: CERT-Machine.drm file
    Location: %USERPROFILE%\Local Settings\Application Data\Microsoft\DRM\
  • Rights account certificate
    File name prefix: GIC
    Location: %USERPROFILE%\Local Settings\Application Data\Microsoft\DRM (для Windows Vista %USERPROFILE%\AppData\Local\Microsoft\DRM)
  • Client licensor certificate
    File name prefix: CLC
    Location: %USERPROFILE%\Local Settings\Application Data\Microsoft\DRM
  • Use license
    File name prefix: EUL
    Location: %USERPROFILE%\Local Settings\Application Data\Microsoft\DRM

Q: Может ли другой пользователь или локальный администратор получить доступ к секретному ключу пользователя?

A: Нет, поскольку секретный ключ хранится в зашифрованном виде с использованием DPAPI.

Q: Как superuser может получить доступ к защищенным документам?

A: Superuser (например, сотрудник службы безопасности) получает доступ к документу (из архива, компьютера уволившегося, почты, etc.) и получает лицензию, позволяющую снять защиту (full access).

Q: Как защитить документы от просмотра сторонними пользователи после работы с ними корпоративного пользователя в internet-кафе?

A: В случае, если доступ производится с рабочей станции, не входящей в домен, от учетной записи которого пользователь аутентифицируется на сервере RMS для получения лицезии использования (use license), ему будет выдан временный сертификат пользователя (temporary rights account certificate, TRAC). Cрок жизни TRAC устанавливается администратором RMS в минутах и по умолчанию равен 15 минутам. Срок жизни стандартного RAC устанавливается в днях и по умолчанию равен 365 дням. Таким образом даже в случае кэширования use license открыть документ пользователь сможет только до тех пор пока не истек срок жизни TRAC, после чего нужно будет заново получать TRAC.

Q: Возможно ли построить географически распределенную инфраструктуру RMS?

A: Да, возможно установить несколько RMS License серверов и «разнести» их географически, чтобы пользователи обращались за лицензией публикации (publish license) к ближайшему серверу RMS. Но в этом случае получатель защищенного документа все равно будет вынужден обратиться за получением use license на сервер, выдавший publish license, за ключем шифрования контента документа.

Q: Можно ли увязать RMS с имеющейся инфраструктурой PKI и много-факторной аутентификации?

A: Поскольку запрос лицензий публикации и использования осуществляется посредством отправки запроса через web-сервис RMS на базе IIS, в настройках IIS можно указать требование аутентификации по сертификату (секретный ключ пользователя в любом случае будет храниться локально на рабочей станции).

Если у вас есть какие-то другие вопросы по этой и другим технологиям и продуктам, о которых мы писали в самом первом посте этого блога, не стесняйтесь спрашивайте. И следите за новостями, мы планируем и дальше периодически размещать здесь наиболее интересные вопросы с ответами из реальной жизни.

Comments (3)

  1. ALX_Npk says:

    Столкнулись с аналогичной проблемой. Присоединяюсь к вопросу Евгения.  Может ли ли Outlook 2003/2007/2010 открыть письмо без установки на компьютере получателя Криптопро?

  2. Anonymous says:

    Выискивая ответ на свои вопросы, вот набрел на Ваш блог, и решил их здесь задать, а вдруг поможете или направите в нужное русло. Итак.

    Подскажите пожалуйста, как возможно организовать контроль зашифрованной почты приходящей в, и уходящей из MS Exchange 2007 и 2010.

    Чтобы отдел Информационной Безопасности мог контроллировать почтовый поток. Иначе получается, если пользователь зашифровал письмо, то СБ точно никогда не узнает про утечку информации. Наверняка такое можно сделать, главное знать как правильно настроить.

    и второй вопрос около этой темы.

    Возникла следующая проблема:

    С компьютера с ОС Windows XP (SP3) через Outlook отправляется письмо с цифровой подписью (КриптоПро CSP 3.6.6253, Версия ядра СКЗИ: 3.6.5357 КС1). Судя по миганию индикатора внешего ключа, все происходит нормально, письмо отправляется. При получении адресатом, письмо приходит подписанным (видна отметка цифровой подписью на конверте), с вложением, но фон в области чтения серый, с пометкой вверху:

    " Невозможно отобразить элемент в области чтения. Откройте элемент для чтения его содержимого".

    При попытке открыть письмо полностью выдает сообщение:

    " Невозможно открыть элемент. Не поддерживаются требуемый алгоритм безопасности"

    При этом в OWA все работает успешно, письмо открывается с предупреждением "Цифровая подпись этого сообщения недопустима или не является доверенной. Не удается проверить цифровую подпись этого сообщения, так как требуемый алгоритм безопасности не поддерживается. "

    И письмо ПОЛНОСТЬЮ ЧИТАЕТСЯ! (ведь письмо просто подписано, но не зашифровано) Это уже самому пользователю решать доверять этой подписи или нет.

    В то же время я отправил письмо пользователю xxxxx@yandex.ru, пользователь получил письмо в настроеном the BAT и полностью прочитал письмо, это же письмо этой же учетки в настроенном outlook не может прочитаться.

    Поэтому вопрос, возможно ли чтобы клиент Outlook 2003/2007/2010 смог открыть письмо? (без установки на компьютере получателя Криптопро)

    Спасибо

  3. Anonymous says:

    Evgeny Artemiev,

    По вашему первому вопросу: да, это возможно. Можно настроить транспортные правила для  отправки каких-то сообщений на модерацию на основании определенных ключевых слов. Подробнее об этом можно узнать из доклада Максима Вайбурда с Платформы 2010 http://www.techdays.ru/.../1556.html. А посколько Exchange Server имеет интеграцию с AD RMS, сообщения защищенные с помощью IRM так же не будут пропущены.

    По второму вопросу я обратился непосредственно в компанию КриптоПро и вот что ответил по этому поводу Максим Коллегин (руководитель отдела разработок): "Это старинная проблема Outlook – он не показывает письма с неизвестным алгоритмом подписи (когда CSP не установлен) - мы сделать ничего не можем".

Skip to main content