Dohledatelnost dokumentů pomocí Azure RMS
Služba Azure Right management je cloudovou službou, jež primárně slouží k zabezpečení dokumentů. Tuto službu jsme si v její základní podobě představili v minulém článku. Dnes se soustředíme na další aspekt služby, která je dostupná v rámci edice RMS Premium, případně jako součást balíčku EMS, a tou je dohledatelnost jednotlivých dokumentů. U dokumentů chráněných pomocí RMS sharing app je možné zpětně zjistit, kdo, kde, kdy a s jakým výsledkem se dokument pokoušel otevřít. Funkcionalita je dostupná jak z pohledu koncového uživatele, který má tak přehled o všech svých dokumentech chráněných RMS, tak z pohledu administrátora, jenž má k dispozici vlastní logy ze systému a může nad nimi vytvářet příslušné dotazy a filtry.
Dohledatelnost z pohledu koncového uživatele
Kterýkoliv koncový uživatel má možnost přístupu na tracking portal na adrese track.azurerms.com, kde najde seznam svých dokumentů. Po vybrání konkrétního dokumentu pak má uživatel možnost spatřit, kdo dokument dosud otevřel, nebo se snažil otevřít, a grafickou reprezentaci, kde k otevření dokumentu došlo.
U každého přístupu je vidět rovněž oprávnění, s nímž dotyčný dokument otevřel. Na portálu má uživatel také možnost zvolit, že si přeje dostat e-mail pokaždé, když někdo dokument otevře, případně zakázat přístup k dokumentu (revoke access). V případě volby revoke access služba RMS přestane vydávat příslušné certifikáty nutné k dešifrování dokumentu. Tyto certifikáty jsou v defaultním nastavení cachovány na pracovních stanicích po dobu 7 dnů. V případě revoke access je tedy zajištěno, že nejdéle po 7 dnech dokument již nikdo neotevře. V případě citlivých dokumentů je možné již při zabezpečení dokumentu zvolit volbu „Allow me instantly revoke access to these documents“, která zakáže cachování, a tím umožní revokovat přístup k dokumentu okamžitě.
Dohledatelnost a logování přístupů z pohledu administrátora
Administrátor může základní informace o využití RMS v rámci organizace získat z Azure portálu. Informace je dostupná v sekci Active directory -> Vlastní directory organizace -> reports. V sekci reports jsou v tuto chvíli dostupné čtyři reporty týkající se RMS funkcionality:
- RMS summary – zde máme k dispozici základní informace o použití RMS v rámci daného tenantu. Tedy počet uživatelů přistupujících k chráněným dokumentům, celkový počet otevřených dokumentů a počet zamítnutých přístupů.
- RMS Active users– počet povolených/ zamítnutých přístupů uživatele (portál zobrazí až 1000 nejaktivnějších uživatelů).
- RMS device platforms – statistika z pohledu OS.
- RMS application usage – v této sekci je vidět, které aplikace se nejčastěji používají pro otevírání chráněných dokumentů.
Pokud potřebuji získat detailnější informace, je možné použít přímo nativní logy RMS služby. V minulosti bylo pro detailní logování nutné disponovat Azure subscription umožňující vytvoření storage account. Tato podmínka již od minulého týdne není nutná a všichni RMS zákazníci mají logování automaticky zapnuté. Vlastní logy jsou pak umístěny na Microsoft-managed store. Zákazník datové úložiště tedy nemusí konfigurovat ani se o něj starat.
Tato změna zároveň způsobí, že zákazníci, kteří již logování měli zapnuté, musí používat jiný cmdlet pro stahování logu.
Využití log souborů
1. Na pracovní stanici je třeba nainstalovat modul PowerShellu sloužící k administraci Azure RMS https://www.microsoft.com/en-us/download/details.aspx?id=30339. V případě, že již modul máte na pracovní stanici nainstalován, je nutný jeho update na aktuální verzi.
Instalovanou verzi je možné zjistit pomocí cmdletu (Get-Module aadrm -ListAvailable).Version. Pokud je vrácena verze nižší než 2.4, je nutný update.
2. Po dokončení instalace je třeba spustit PowerShell v režimu administrátora a použít cmdlet Connect-AadrmService (následně budete vyzváni k zadání jména a hesla k příslušnému tenantu).
3. Stažení log souborů na lokální disk Get-AadrmUserLog -Path <location> -fromdate <date> . Dříve používaný příkaz Get-AadrmUsageLog lze použít ke stažení logů vygenerovaných před 22. 2. 2016.
Novější cmdlet Get-AadrmUserLog má na rozdíl od staršího kolegy Get-AadrmUsageLog možnost specifikovat období, za které chci logy stáhnout.
Předchozí příkaz stáhne log soubory ve formátu 1 log soubor na den. Pokud stahuji období 10 dnů, výsledkem bude 10 log souborů. Pro snadnější práci je možné logy zkompletovat do jednoho většího celku a zkonvertovat do formátu csv. K tomuto úkolu můžeme využít nástroj log parser.
4. Kompletace všech souborů v adresáři do jednoho csv souboru s využitím log parseru
logparser –i:w3c –o:csv “SELECT * INTO AllLogs.csv FROM *.log”.
5. Soubor otevřeme v MS Excel a přidáme možnost filtrování na prvním řádku (označit první řádek a kombinace kláves CTRL+SHIFT+L).
6. Nejběžnějším úkolem je zjistit, kdo přistupoval ke kterým datům. Na sloupec „request-type“ tedy použijeme filtr „AcquireLicense“.
7. Skryjeme všechny sloupce mimo date, time, request-type, result, centent-id, owner-email, issuer, date-published, c-info a c-ip.
Výsledek bude vypadat zhruba takto, pro přehlednost je řádek rozdělen a screenshoty umístěny pod sebe:
Interpretace řádku 22:
2. února, v 12:05 uživatel Ryan otevřel soubor EdPasswords.txt, který byl vytvořen uživatelem Ed. Uživatel Ryan otevřel soubor ze stanice, jejíž veřejná adresa byla 185.64.40.41.
Interpretace řádku 26 je obdobná, avšak chybí zde položka file-name. Tato situace typicky nastane, pokud je k otevření dokumentu použita některá z aplikací používající starší API. V tomto případě se jednalo o MS Word (o jakou aplikaci jde, zjistíme z položky c-info).
Pokud máme přístup k původnímu chráněnému souboru, můžeme využít sloupce content-id. Content ID je jedinečný identifikátor každého souboru chráněného pomocí RMS. Jestliže si libovolný chráněný dokument otevřeme v textovém editoru a dáme vyhledat string <WORK><OBJECT><ID type="MS-GUID">, patřičný GUID následuje.
Nahrazení GUID v Excelu jménem souboru je již jednoduchou funkcí find/replace.
- Jaroslav Zikmund, Microsoft, Senior Premier Field Engineer
Mohlo by vás také zajímat: