Gestion de droits numériques en entreprise avec RMS SP1 Philippe Beraud Consultant Principal...
-
Upload
vivienne-pichon -
Category
Documents
-
view
108 -
download
2
Transcript of Gestion de droits numériques en entreprise avec RMS SP1 Philippe Beraud Consultant Principal...
Gestion de droits numériques Gestion de droits numériques en entreprise avec RMS SP1en entreprise avec RMS SP1Gestion de droits numériques Gestion de droits numériques en entreprise avec RMS SP1en entreprise avec RMS SP1
Philippe BeraudPhilippe BeraudConsultant PrincipalConsultant PrincipalMicrosoft FranceMicrosoft France
La stratégie sécurité de MicrosoftLa stratégie sécurité de Microsoft
Isolation et Isolation et résiliencerésilience
Excellence Excellence dede
l’engineeringl’engineering
Conseils,Conseils,Outils,Outils,
RéponseRéponse
Mise à jourMise à jouravancéeavancée
Authentification,Authentification,Autorisation,Autorisation,
AuditAudit
SommaireSommaire
Besoin d’une protection persistante de l’informationBesoin d’une protection persistante de l’information
Rights Management ServicesRights Management Services (RMS) (RMS)
Principes de fonctionnement et de mise en œuvre de RMSPrincipes de fonctionnement et de mise en œuvre de RMSScénario IntranetScénario Intranet
Scénarios B2B - Relations de confiance RMSScénarios B2B - Relations de confiance RMS
Gabarits (Gabarits (TemplatesTemplates) de RMS) de RMS
Bénéfices de RMS et du SP1Bénéfices de RMS et du SP1
Contrôle d’accès classiqueContrôle d’accès classique
Protection à base de périmètre de contrôle l’accès, et non lié à l’usageProtection à base de périmètre de contrôle l’accès, et non lié à l’usageLes ACLs ne restreignent pas ce que l’utilisateur peut faireLes ACLs ne restreignent pas ce que l’utilisateur peut faire
Possibilité de copier, modifier et rediffuser l’information même avec un accès en lecture seulePossibilité de copier, modifier et rediffuser l’information même avec un accès en lecture seule
Access Control List
Access Control List
(ACL)(ACL)
Pare-feuPare-feu
UsagersUsagers
Accepté
Accepté
Refusé
Refusé
Gérer l’information numériqueGérer l’information numérique
ConstatsConstatsDes information sensibles (documents, e-mails, contenu intranet, Des information sensibles (documents, e-mails, contenu intranet, etc.) peuvent être divulguées accidentellement ou etc.) peuvent être divulguées accidentellement ou intentionnellementintentionnellement
http://www.internalmemos.com http://www.internalmemos.com
Les coûts associés en termes de perte de revenu, d’avantage Les coûts associés en termes de perte de revenu, d’avantage concurrentiels, de confiance clients peuvent s’avérer importantconcurrentiels, de confiance clients peuvent s’avérer important
« « Le vol d’informations propriétaires est la plus grande source de Le vol d’informations propriétaires est la plus grande source de dommages financiers parmi tous les incidents de sécuritédommages financiers parmi tous les incidents de sécurité » »
CSI/FBI Computer Crime and Security SurveyCSI/FBI Computer Crime and Security Survey, 2001, 2001
BesoinsBesoinsProtection permanentes des informations sensiblesProtection permanentes des informations sensibles
Technologie qui soit facilement utilisableTechnologie qui soit facilement utilisable
Technologie qui soit souple, facilement déployable, et extensibleTechnologie qui soit souple, facilement déployable, et extensible
Technologie qui aille au-delà du contrôle d’accès et du chiffrementTechnologie qui aille au-delà du contrôle d’accès et du chiffrement
Contrôle de l’usageContrôle de l’usage
Windows Rights Management ServicesWindows Rights Management Services
Technologie d’infrastructure destinée aux environnements Technologie d’infrastructure destinée aux environnements d’entreprise pour la protection des documents et e-mailsd’entreprise pour la protection des documents et e-mails
N’est pas destinée à la protection de l’audio, vidéo et media en N’est pas destinée à la protection de l’audio, vidéo et media en « streaming »« streaming »
Microsoft propose une solution « Microsoft propose une solution « Digital Right ManagementDigital Right Management » » pour celapour cela
Ne nécessite pas d’infrastructure PKI X.509Ne nécessite pas d’infrastructure PKI X.509RELRELCertificats/Licences XrML (Certificats/Licences XrML (eXtensible Rights Markup Language, eXtensible Rights Markup Language, http://www.xrml.orghttp://www.xrml.org) intégrés et transparents pour l’utilisateur ) intégrés et transparents pour l’utilisateur et l’administrateuret l’administrateur
Permet non seulement le contrôle d’accès à l’information, mais Permet non seulement le contrôle d’accès à l’information, mais surtout le contrôle de surtout le contrôle de l’usagel’usage qui en est fait qui en est fait
Protection de l’information indépendamment d’un périmètreProtection de l’information indépendamment d’un périmètreLa protection est attachée à l’informationLa protection est attachée à l’information
L’auteur/propriétaire définit et applique une politique d’usageL’auteur/propriétaire définit et applique une politique d’usageAttachée à l’informationAttachée à l’information
Indépendant du format des donnéesIndépendant du format des donnéesPersiste et suit l’informationPersiste et suit l’information
Échange d’un contenu protégé en usage entre Échange d’un contenu protégé en usage entre deux utilisateursdeux utilisateurs
Principes de fonctionnement Principes de fonctionnement
Définition d’entités de confiance (participants)Définition d’entités de confiance (participants)Machines, Individus, Groupes d’utilisateurs, ApplicationsMachines, Individus, Groupes d’utilisateurs, Applications
Assignation des droits à l’informationAssignation des droits à l’informationUtilisation d’une application « RMS-enabled »Utilisation d’une application « RMS-enabled »Licence de publication (Licence de publication (Publish LicensesPublish Licenses))
Quels droits (lecture, copie, impression, transfert, etc.)Quels droits (lecture, copie, impression, transfert, etc.)A qui (Individus ou Groupes) @ e-mailA qui (Individus ou Groupes) @ e-mailSous quelles conditions (expire le 31/06/2005, etc.)Sous quelles conditions (expire le 31/06/2005, etc.)
Protection de l’information et des droits associésProtection de l’information et des droits associésChiffrement (AES 128 bits)Chiffrement (AES 128 bits)
Distribution de l’informationDistribution de l’informationSelon application, à la charge de l’applicationSelon application, à la charge de l’application
Consommation du contenu à l’informationConsommation du contenu à l’informationSeules les entités de confiance peuvent accéder à l’information Seules les entités de confiance peuvent accéder à l’information (déchiffrement) et selon les droits spécifiés via une application « RMS-(déchiffrement) et selon les droits spécifiés via une application « RMS-enabled »enabled »
Les applications (« RMS-enabled ») s’appuient sur les services Les applications (« RMS-enabled ») s’appuient sur les services RMS (RMS (servicesservices Web) pour Web) pour
La protection de l’information (publication)La protection de l’information (publication)La consommation de l’information protégée (utilisation)La consommation de l’information protégée (utilisation)
Principes de mise en œuvre en 4 étapesPrincipes de mise en œuvre en 4 étapes
Étape 1 - Installation et configuration de RMSÉtape 1 - Installation et configuration de RMSÉtape 2 - Activation des machines clientÉtape 2 - Activation des machines clientÉtape 3 - Protection de l’information (publication)Étape 3 - Protection de l’information (publication)Étape 4 - Consommation de l’information protégée (utilisation)Étape 4 - Consommation de l’information protégée (utilisation)
Illustration des principes et des différents certificats et licences Illustration des principes et des différents certificats et licences utilisés au travers d’une mise en œuvre de principeutilisés au travers d’une mise en œuvre de principe
Unique Serveur de Certification RMSUnique Serveur de Certification RMSAgissant également comme Serveur de Licences RMSAgissant également comme Serveur de Licences RMS
Aucun tolérance aux pannesAucun tolérance aux pannesPas de Cluster RMS ou de la base de donnéesPas de Cluster RMS ou de la base de donnéesUn seul contrôleur de domaine agissant comme Catalogue GlobalUn seul contrôleur de domaine agissant comme Catalogue Global
Cette session ne traite pas des différentes topologies Cette session ne traite pas des différentes topologies d’installation et des mécanismes de tolérance aux pannesd’installation et des mécanismes de tolérance aux pannes
« « Windows Rights Management ServicesWindows Rights Management Services » »http://www.microsoft.com/windowsserver2003/technologies/http://www.microsoft.com/windowsserver2003/technologies/rightsmgmt/default.mspxrightsmgmt/default.mspx
Installation et configuration de RMSInstallation et configuration de RMSÉtape 1 - Les composants RMS Server sont installés sur un Étape 1 - Les composants RMS Server sont installés sur un serveur membre dans un domaine AD afin de créer un Serveur serveur membre dans un domaine AD afin de créer un Serveur de Certification RMSde Certification RMS
Serveur de Certification
RMSSQL Server
Active Directory
Serveur membreServeur membreWindows Server 2003 (Windows Server 2003 (Web, Standard, Web, Standard, Enterprise Edition, DataCenterEnterprise Edition, DataCenter))
IIS 6.0, ASP.NET et MSMQ installésIIS 6.0, ASP.NET et MSMQ installés
Serveur de base de donnéesServeur de base de donnéesSQL Server 2000 ou MSDESQL Server 2000 ou MSDE
Utilisé pour le stockage de la configuration, les Utilisé pour le stockage de la configuration, les données de certification et de journalisationdonnées de certification et de journalisation
Active DirectoryActive DirectoryWindows Server 2000 ou Windows Server Windows Server 2000 ou Windows Server 20032003
Utilisé pour l’authentification, l’expansion de Utilisé pour l’authentification, l’expansion de groupes et la localisation de services (SCP)groupes et la localisation de services (SCP)
Exchange Server n’est pas requisExchange Server n’est pas requisLes comptes utilisateur doivent cependant Les comptes utilisateur doivent cependant disposer d’une @ e-maildisposer d’une @ e-mail
Installation et configuration de RMSInstallation et configuration de RMSÉtape Étape 2 - Le 2 - Le ServeurServeur RMS RMS obtientobtient un un Server Licensor CertificateServer Licensor Certificate (SLC) (SLC) à travers un enrôlement en ligne ou hors ligneà travers un enrôlement en ligne ou hors ligne
Requête d’enrôlement vers le serveur MS RMS RacineRequête d’enrôlement vers le serveur MS RMS Racine
Contient la clé publique du Serveur de Certification RMS Contient la clé publique du Serveur de Certification RMS
Génération du SLC par le Serveur MS RMS RacineGénération du SLC par le Serveur MS RMS Racine
Clé publique du Serveur de Certification RMS dans le SLCClé publique du Serveur de Certification RMS dans le SLC
Signature du SLC avec la clé privée du Serveur MS RMS RacineSignature du SLC avec la clé privée du Serveur MS RMS Racine
Serveur de Certification
RMSSQL Server
Active Directory
PC connecté à Internet
Exportation de la requête SLC
Importation du SLC
Serveur RMS Racine hébergé chez Microsoft
Installation et configuration de RMSInstallation et configuration de RMS
Étape 3Étape 3 - Un - Un objetobjet serviceConnectionPointserviceConnectionPoint avec l’URL du avec l’URL du Serveur deServeur de Certification RMS Certification RMS est écrit dansest écrit dans AD AD
CN=SCP,CN=RightManagementServices,CN=Services,CN=ConfigurCN=SCP,CN=RightManagementServices,CN=Services,CN=Configuration,DC=<forest>,DC=comation,DC=<forest>,DC=com
Serveur de Certification RMS SQL Server 2000
ou MSDE
Windows Server 200x, Active
Directory
Création de l’objet serviceConnectionPo
int
Installation et configuration de RMSInstallation et configuration de RMSÉtape Étape 4 - Le Client RMS 4 - Le Client RMS est installé sur une machine client est installé sur une machine client compatiblecompatible
Right Management Client APIsRight Management Client APIs
Windows 98, Windows Me, Windows 2000 SP3, Windows XP SP1 Windows 98, Windows Me, Windows 2000 SP3, Windows XP SP1 ou supérieurou supérieurPermet la publication et la consommation de contenu protégéPermet la publication et la consommation de contenu protégé
Installation de la « lockbox » avec le Client RMSInstallation de la « lockbox » avec le Client RMS
Contient les algorithmes de chiffrement RSA, DES et AES 128Contient les algorithmes de chiffrement RSA, DES et AES 128
Contient la logique nécessaire à la génération, stockage et Contient la logique nécessaire à la génération, stockage et signature numérique des « lettres de créance » machinesignature numérique des « lettres de créance » machine
Activation à la première utilisationActivation à la première utilisation
Office 2003 permet l’activation d’une machineOffice 2003 permet l’activation d’une machine
Lors de l’installation si non déjà activéeLors de l’installation si non déjà activée
Lors de la publication ou de la consommation si non déjà Lors de la publication ou de la consommation si non déjà activéeactivée
Poste Client avec le Client RMS installé
Activation d’un client RMS SP1Activation d’un client RMS SP1Étape Étape 1 - 1 - L’utilisateur ouvre une session sur le domaine en L’utilisateur ouvre une session sur le domaine en utilisant ses « lettres de créances » de domaineutilisant ses « lettres de créances » de domaine
« Lettres de créance » validées par le DC
« Lettres de créance »
Serveur de Certification
RMSSQL Server
Active Directory
Activation d’un client RMS SP1Activation d’un client RMS SP1
Étape Étape 2 - 2 - L’utilisateur essaie de protéger le contenu d’un L’utilisateur essaie de protéger le contenu d’un document avec une application « RMS-enabled »document avec une application « RMS-enabled »
Ex. Microsoft Office 2003/Outlook 2003Ex. Microsoft Office 2003/Outlook 2003
Création et consommation de contenu protégéCréation et consommation de contenu protégé
Rights Management Add-OnRights Management Add-On pour Internet Explorer (RMA) pour Internet Explorer (RMA)
Consommation (visualisation) de contenu protégé par RMS Consommation (visualisation) de contenu protégé par RMS uniquementuniquement
Utilisateurs sans Office 2003, portail Web, etc.Utilisateurs sans Office 2003, portail Web, etc.
IE6 SP1/IE5.5 SP2 (à partir de Windows ME seulement)IE6 SP1/IE5.5 SP2 (à partir de Windows ME seulement)
Les ISVs développent des applications avec le Les ISVs développent des applications avec le Software Software Development KitDevelopment Kit (SDK) RMS (SDK) RMS
L’utilisateur crée un document et essaie de le protéger en terme d’usage
Activation d’un client RMS SP1Activation d’un client RMS SP1
Étape Étape 3 – 3 – Le Client RMS active la « lockbox »Le Client RMS active la « lockbox »Mécanisme d’auto activation avec le SP1Mécanisme d’auto activation avec le SP1
Aucun accès réseau nécessaireAucun accès réseau nécessaire
Aucun privilège d’administrateur local nécessaireAucun privilège d’administrateur local nécessaire
Génération et stockage de la bi-clé unique machine nécessaire pour Génération et stockage de la bi-clé unique machine nécessaire pour la protection de contenula protection de contenu
« Lettres de créance » machine« Lettres de créance » machine
Clé RAS 1024 liéeClé RAS 1024 liée au au HWID (Hardware ID)HWID (Hardware ID)
Propre à chaque utilisateur (SP1)Propre à chaque utilisateur (SP1)
Génération et signature du Certificat MachineGénération et signature du Certificat Machine
Contient la clé publique de machineContient la clé publique de machine
Protection de l’information (publication) Protection de l’information (publication) avec RMSavec RMS
Étape Étape 1 – 1 – Si l’utilisateur ne dispose pas encoreSi l’utilisateur ne dispose pas encore d’un d’un Rights Rights Management Account CertificateManagement Account Certificate (RAC) (RAC) valide, le Clientvalide, le Client RMS RMS effectue une recherche du Serveur deeffectue une recherche du Serveur de Certification RMS Certification RMS
Le client RMS effectue une recherche du serviceConnectionPoint pour obtenir l’URL du Serveur de Certification RMS
Serveur de Certification
RMSSQL Server
Active Directory
Protection de l’information (publication) Protection de l’information (publication) avec RMSavec RMS
Étape Étape 2 – 2 – Le Client RMS effectue une requête RACLe Client RMS effectue une requête RACProcessus de Certification Utilisateur (activation de l’utilisateur)Processus de Certification Utilisateur (activation de l’utilisateur)Requête RAC à destination du Serveur de Certification RMSRequête RAC à destination du Serveur de Certification RMS
Inclut le Certificat Machine et les « lettres de créance » Inclut le Certificat Machine et les « lettres de créance » utilisateur (authentification Windows intégrée)utilisateur (authentification Windows intégrée)
Recherche par le Serveur de Certification RMS d’une paire de clés Recherche par le Serveur de Certification RMS d’une paire de clés existante pour l’utilisateur, sinon…existante pour l’utilisateur, sinon…
Création d’une paire de clé RSA 1024, Séquestre de la paire de Création d’une paire de clé RSA 1024, Séquestre de la paire de clés dans la base SQLclés dans la base SQLConstitution duConstitution du RAC RAC
Chiffrement de la clé privée avec le Certificat Machine et Chiffrement de la clé privée avec le Certificat Machine et placement dans le RACplacement dans le RAC
Propre à un utilisateur ET à une machinePropre à un utilisateur ET à une machinePlacement de la clé publique dans le RACPlacement de la clé publique dans le RAC
Signature du RAC avec la clé privée du Serveur de Certification Signature du RAC avec la clé privée du Serveur de Certification RMSRMS
Renvoi du RAC au clientRenvoi du RAC au client
Protection de l’information (publication) Protection de l’information (publication) avec RMSavec RMS
Étape Étape 2 – 2 – Le Client RMS effectue une requête RACLe Client RMS effectue une requête RAC
Les « lettres de créance » utilisateur sont validées par le DC et l’attribut e-mail de l‘objet utilisateur ou inetOrgPerson est obtenu
Une copie des clés utilisateur sont stockées dans la base de données « lettres de créance »
Le Client RMS effectue une requête RAC au Serveur de Certification RMS et un RAC est retourné
Serveur de Certification
RMSSQL Server
Active Directory
Protection de l’information (publication) Protection de l’information (publication) avec RMSavec RMS
Étape Étape 3 – Le Client RMS 3 – Le Client RMS effectue une requêteeffectue une requête Client Licensor CertificateClient Licensor Certificate (CLC) (CLC) si le client n’en dispose pas d’unsi le client n’en dispose pas d’un
Permet d’émettre des Licences de Publication (Permet d’émettre des Licences de Publication (Publish LicensesPublish Licenses) hors ) hors connexionconnexion
Le serveur délègue au client l’émission de Licences de PublicationLe serveur délègue au client l’émission de Licences de Publication
Requête CLC à destination du Serveur de Licences RMSRequête CLC à destination du Serveur de Licences RMS
Inclut le Certificat Machine et les « lettres de créance » utilisateur Inclut le Certificat Machine et les « lettres de créance » utilisateur (authentification Windows intégrée)(authentification Windows intégrée)
Création d’un CLC par le Serveur de Licences RMSCréation d’un CLC par le Serveur de Licences RMS
Création d’une paire de clé RSA 1024Création d’une paire de clé RSA 1024
Paire de clé spécifique autre que celle du RACPaire de clé spécifique autre que celle du RAC
Chiffrement de la clé privée avec le RAC et placement dans le CLCChiffrement de la clé privée avec le RAC et placement dans le CLC
Placement de la clé publique dans le CLCPlacement de la clé publique dans le CLC
Placement de la clé publique du Serveur de Licences RMS dans le Placement de la clé publique du Serveur de Licences RMS dans le CLCCLC
Placement de Placement de l’URLl’URL du Serveur de Licences du Serveur de Licences
Signature de la CLC en tant que Clé de Signature de la CLC en tant que Clé de LicensingLicensing subordonnée subordonnée
Certification de la clé publique du Serveur de Licences RMS Certification de la clé publique du Serveur de Licences RMS pour la signature de licences par l’utilisateurpour la signature de licences par l’utilisateur
Renvoi du CLC au clientRenvoi du CLC au client
Protection de l’information (publication) Protection de l’information (publication) avec RMSavec RMS
Étape Étape 3 – Le Client RMS 3 – Le Client RMS effectue une requêteeffectue une requête Client Licensor Client Licensor CertificateCertificate (CLC) (CLC) si le client n’en dispose pas d’unsi le client n’en dispose pas d’un
Le client RMS envoie le RAC de l’utilisateur dans une requête CLC au Serveur de Licences RMS. Un CLC est retournée
Serveur de Certification
RMSSQL Server
Active Directory
Protection de l’information (publication) Protection de l’information (publication) avec RMSavec RMS
Étape Étape 4 – Le Client RMS 4 – Le Client RMS (Générique) publie un contenu en ligne(Générique) publie un contenu en ligneGénération d’une clé de contenu symétrique (AES 128-bit)Génération d’une clé de contenu symétrique (AES 128-bit)
Chiffrement du contenu Chiffrement du contenu
Préparation d’une Licence de Publication non signéePréparation d’une Licence de Publication non signée
Acquisition du SLCAcquisition du SLC
Chiffrement des droits avec la clé de contenuChiffrement des droits avec la clé de contenu
Chiffrement de la clé de contenu avec le SLCChiffrement de la clé de contenu avec le SLC
Envoi de la requêteEnvoi de la requête
Envoi de la licence non signée au Serveur de Licences RMSEnvoi de la licence non signée au Serveur de Licences RMS
Finalisation de la Licence de Publication signée par le Serveur de Finalisation de la Licence de Publication signée par le Serveur de Licences RMSLicences RMS
Placement de Placement de l’URLl’URL ddu Serveur de Licences RMSu Serveur de Licences RMS
Signature de la licence avec la clé privée du Serveur de Licences Signature de la licence avec la clé privée du Serveur de Licences RMS RMS
Renvoi de la licence signée au clientRenvoi de la licence signée au client
Rajout par le client de la Licence de Publication au documentRajout par le client de la Licence de Publication au document
Protection de l’information (publication) Protection de l’information (publication) avec RMSavec RMS
Étape Étape 4 Bis – Le Client RMS (Office 2003)4 Bis – Le Client RMS (Office 2003) publie un contenu publie un contenuGénération d’une clé de contenu symétrique (AES 128-bit)Génération d’une clé de contenu symétrique (AES 128-bit)
Chiffrement du contenu et des droitsChiffrement du contenu et des droits
Création d’une Licence de PublicationCréation d’une Licence de Publication
Localisation de la clé publique du Serveur de Licences RMS dans le Localisation de la clé publique du Serveur de Licences RMS dans le CLCCLC
Chiffrement de la clé de contenu avec la clé publique du Serveur Chiffrement de la clé de contenu avec la clé publique du Serveur de Licences RMSde Licences RMS
Placement de la clé de contenu chiffrée dans la Licence de Placement de la clé de contenu chiffrée dans la Licence de PublicationPublication
Placement de Placement de l’URLl’URL du Serveur de Licence RMS à partir du CLC du Serveur de Licence RMS à partir du CLC
Signature de la Licence de Publication avec le CLC (clé privée)Signature de la Licence de Publication avec le CLC (clé privée)Licence de Publication
a. URL Serveur RMS de Licences
b. Clé de contenuc. Droits et ayant
droits (@ e-mail)
Contenu du fichierTexte, images, méta données,
etc.
Chiffré avec la clé publique serveur depuis le CLCChiffré avec la clé symétrique de contenu (AES128 pour Office 2003)Chiffré avec la clé symétrique de contenu (AES128 pour Office 2003)
Consommation de l’information protégée Consommation de l’information protégée (utilisation)(utilisation)
Étape Étape 1 - 1 - L’utilisateur reçoit un contenu protégé en droits et L’utilisateur reçoit un contenu protégé en droits et l’ouvre à l’aide d’une application « RMS-enabled »l’ouvre à l’aide d’une application « RMS-enabled » (Office 2003, (Office 2003, RMA, etc.)RMA, etc.)
Si la machine n’est pas activée ou si l’utilisateur ne dispose pas Si la machine n’est pas activée ou si l’utilisateur ne dispose pas d’un RAC, le client active alors la machine et va chercher un RACd’un RAC, le client active alors la machine et va chercher un RAC
L’utilisateur reçoit un contenu protégé et l’ouvre avec une application « RMS-enabled »
Consommation de l’information protégée Consommation de l’information protégée (utilisation)(utilisation)
Étape Étape 2 - 2 - Le Client RMS extraitLe Client RMS extrait la la LicenceLicence de Publication de Publication et et l’envoie ainsi que le RAC de l’utilisateur au serveur RMS l’envoie ainsi que le RAC de l’utilisateur au serveur RMS identifié par l’URL dans laidentifié par l’URL dans la LicenceLicence de Publication de Publication
Le client envoie la Licence de Publication et le RAC de l’utilisateur à l’URL contenue dans la Licence de Publication
Serveur RMS SQL Server
Active Directory
Consommation de l’information protégée Consommation de l’information protégée (utilisation)(utilisation)
Étape Étape 3 - 3 - Le Serveur (de Licences) RMS valide le RAC et vérifie Le Serveur (de Licences) RMS valide le RAC et vérifie que l’utilisateur s’est vu conférer un accès au contenuque l’utilisateur s’est vu conférer un accès au contenu
Une expansion de groupe est réalisée si nécessaire
Le serveur de Licences RMS valide le RAC et vérifie que l’@ email de l’utilisateur dans le RAC est dans la Licence de Publication ou est membre de l’un des groupes nommés dans la Licence de Publication
L’expansion de groupe est mise en cache afin d’améliorer les performances de futures recherches
Serveur RMS SQL Server
Active Directory
Consommation de l’information protégéeConsommation de l’information protégée
Étape Étape 4 – 4 – Le Serveur (de Licences) RMS crée une Licence Le Serveur (de Licences) RMS crée une Licence d’Utilisation (d’Utilisation (Use LicenseUse License ouou UL) UL)
Le serveur extrait la clé de contenu de la Licence de PublicationLe serveur extrait la clé de contenu de la Licence de Publication et et la déchiffre avec sa clé privéela déchiffre avec sa clé privée
Le serveur extrait la clé publique de l’utilisateur de son RACLe serveur extrait la clé publique de l’utilisateur de son RAC
Le serveur chiffre la clé de contenu et les droits données à Le serveur chiffre la clé de contenu et les droits données à l’utilisateur avec la RAC (clé publique)l’utilisateur avec la RAC (clé publique)
Le serveur signe l’Le serveur signe l’ULUL avec sa clé privée avec sa clé privée
L’UL contenant la clé symétrique re-chiffrée et les droits donnés à l’utilisateur est retournée au client
Serveur RMS SQL Server
Active Directory
secproc.dll
Consommation de l’information protégéeConsommation de l’information protégéeÉtape Étape 5 - 5 - Le Client RMS retourne l’UL à l’application « RMS-enabled »Le Client RMS retourne l’UL à l’application « RMS-enabled »
La « lockbox » déchiffre la clé privée de l’utilisateur (RAC) avec la clé La « lockbox » déchiffre la clé privée de l’utilisateur (RAC) avec la clé privée de la machine (imbriquée dans la « lockbox »)privée de la machine (imbriquée dans la « lockbox »)
La « lockbox » déchiffre la clé de contenu avec la clé privée de La « lockbox » déchiffre la clé de contenu avec la clé privée de l’utilisateurl’utilisateur
Déchiffrement du contenu et des droits avec la clé de contenuDéchiffrement du contenu et des droits avec la clé de contenuLicence de Publicatio
n
Licence d’Utilisation
a. Droits pour l’utilisateur
b. Clé de contenu
a. Droits pour l’utilisateur
b. Clé de contenu
a. Droits pour l’utilisateur
b. Clé de contenu
Client RMS
secproc.dll CSP
Responsable de la vérification du RAC, de l’UL et du manifest de l’application afin d’assurer la protection du contenu
Contenu présenté par l’application
Les UL e-mail (Outlook 2003) sont stockées sur le disque, et non avec les messages
Validation de l'accès à l’information Validation de l'accès à l’information protégéeprotégée
Validation de la RAC et de la Licence de PublicationValidation de la RAC et de la Licence de Publication en tant en tant qu'entités de confiancequ'entités de confiance
Validation que le fichier n'a pas été modifié depuis sa signature Validation que le fichier n'a pas été modifié depuis sa signature (condensé chiffré correspond au condensé recalculé)(condensé chiffré correspond au condensé recalculé)
Validation de la signature de la RACValidation de la signature de la RAC
Validation de la signature de la Licence d’UtilisationValidation de la signature de la Licence d’Utilisation
Validation de la chaîne de certification jusqu'à la racineValidation de la chaîne de certification jusqu'à la racine
La « La « lockboxlockbox » « connaît » la racine dont elle détient la clé » « connaît » la racine dont elle détient la clé publiquepublique
Validation de l'application en tant qu'entité de confianceValidation de l'application en tant qu'entité de confianceLocalisation du manifeste de l'applicationLocalisation du manifeste de l'application
Vérification du condensé de tous les fichiers du manifesteVérification du condensé de tous les fichiers du manifeste
Vérification de la signature et de la chaîne de certification du Vérification de la signature et de la chaîne de certification du manifestemanifeste
Vérification des droits de la licence par rapport aux actions Vérification des droits de la licence par rapport aux actions demandéesdemandées
Validation de l'identifiant de l'utilisateur connecté (SID) par Validation de l'identifiant de l'utilisateur connecté (SID) par rapport à celui de la RACrapport à celui de la RAC
Relations de confiance RMSRelations de confiance RMS
Deux type de relations de confianceDeux type de relations de confiance1.1. Use TrustUse Trust - Scénarios d'interopérabilité- Scénarios d'interopérabilité
Entre organisations, entre forêtsEntre organisations, entre forêts
Ressemble à une CTL en PKIRessemble à une CTL en PKIOn fait confiance une clé publiqueOn fait confiance une clé publique
C'est une vraie relation de confianceC'est une vraie relation de confiance
2.2. Publish TrustPublish Trust - Scénarios de migration et de fusion- Scénarios de migration et de fusionRachat de sociétés, consolidation de serveurs, etc.Rachat de sociétés, consolidation de serveurs, etc.
Ne constitue pas vraiment une relation de confianceNe constitue pas vraiment une relation de confiance
Les relations de confiance sont établis « Les relations de confiance sont établis « OOut ut OOf f BBandand » »SLCSLC et clé privée (Publish Trust) échangés OOBet clé privée (Publish Trust) échangés OOB
Les relations de confiance ne requièrent aucune connexionLes relations de confiance ne requièrent aucune connexionAucune réplication ou validation effectué en ligneAucune réplication ou validation effectué en ligne
Les serveurs RMS approuvant honorent les RACs des Serveurs RMS Les serveurs RMS approuvant honorent les RACs des Serveurs RMS approuvés (de confiance)approuvés (de confiance)
L'administrateur établit, détruit, et met à jour les relations de L'administrateur établit, détruit, et met à jour les relations de confiance manuellementconfiance manuellement
Relation de confiance Relation de confiance Use TrustUse Trust
Un domaine Utilisateurs RMSUn domaine Utilisateurs RMSUn Serveur (ou Cluster) de Certification, racine d‘EntrepriseUn Serveur (ou Cluster) de Certification, racine d‘Entreprise
Les RACs qu'il délivre (ses utilisateurs), Les RACs qu'il délivre (ses utilisateurs),
Et les éventuels serveurs (ou Cluster(s)) de Licences RMS qui lui Et les éventuels serveurs (ou Cluster(s)) de Licences RMS qui lui sont subordonnéssont subordonnés
Par défaut, un Serveur de Licences RMS n'octroie de licences Par défaut, un Serveur de Licences RMS n'octroie de licences d'utilisation qu'à des RACs de son domained'utilisation qu'à des RACs de son domaine
Permet aux utilisateurs du domaine approuvé (B) de Permet aux utilisateurs du domaine approuvé (B) de consommer du contenu du domaine approuvant (A)consommer du contenu du domaine approuvant (A)
Permet aux utilisateurs du domaine approuvant (A) de publier du Permet aux utilisateurs du domaine approuvant (A) de publier du contenu à destination d'utilisateurs du domaine approuvé (B), contenu à destination d'utilisateurs du domaine approuvé (B), sachant qu'il sera consommablesachant qu'il sera consommable
S'établit au niveau de chaque cluster (Serveur) de Licences S'établit au niveau de chaque cluster (Serveur) de Licences RMSRMS
On importe la clé publique du domaine de confiance (Serveur de On importe la clé publique du domaine de confiance (Serveur de Certification racine d'entreprise B)Certification racine d'entreprise B)
Relation de confiance Relation de confiance Use TrustUse Trust
1. Le Server Licensor Certificate (SLC) est exporté depuis le serveur RMS
6. Le destinataire obtient un RAC du serveur RMS
2. Le SLC est transmis OOB à l’administrateur de l’entreprise partenaire
3. Le SLC est importé dans le serveur RMS pour établir le Use Trust
5. Le contenu est transmis à l’utilisateur de l’entreprise partenaire RMS4. L’utilisateur protège un
contenu avec le CLC émis par le serveur RMS
8. Le serveur RMS valide le RAC et traite la requête UL 7. La requête UL est envoyée
avec le RAC
9. L’UL est retournée au client
Serveur de Certification RMS
SQL Server
SQL Server
Serveur de Licences RMS
Relation de confianceDomaine A Domaine B
Relation de confiance Relation de confiance PublishPublish TrustTrust
Un Domaine de Publication RMSUn Domaine de Publication RMSun Serveur de Licences RMS et les licences qu'il émetun Serveur de Licences RMS et les licences qu'il émetPar défaut un Serveur (ou Cluster) de Licences RMS ne peut octroyer Par défaut un Serveur (ou Cluster) de Licences RMS ne peut octroyer de licence d'utilisation que pour du contenu dont les licences de de licence d'utilisation que pour du contenu dont les licences de publications sont les siennespublications sont les siennes
Clé de contenu chiffrée avec sa clé publiqueClé de contenu chiffrée avec sa clé publique
Permet à un Serveur de Licence (domaine de publication) Permet à un Serveur de Licence (domaine de publication) d'émettre des d'émettre des Publish LicencesPublish Licences pour du contenu qui a été publié pour du contenu qui a été publié sur un autre Serveur de Licences RMSsur un autre Serveur de Licences RMS
Permet aux utilisateurs de contenu d'un Serveur de Licences RMS (B) Permet aux utilisateurs de contenu d'un Serveur de Licences RMS (B) d'utiliser un autre Serveur de Licences RMS (A) pour accéder à ce d'utiliser un autre Serveur de Licences RMS (A) pour accéder à ce contenucontenu
S'établit au niveau de chaque Serveur (ou Cluster) de Licences S'établit au niveau de chaque Serveur (ou Cluster) de Licences RMSRMS
On importe la clé privée du domaine approuvé (Serveur de Licences B)On importe la clé privée du domaine approuvé (Serveur de Licences B)Au niveau des postes client, le registre est utilisé pour la localisation Au niveau des postes client, le registre est utilisé pour la localisation des servicesdes services
Entrées de registre par applicationEntrées de registre par applicationHKLM\Software\Microsoft\Office\11.0\Common\DRM\CorpLicenseServerHKLM\Software\Microsoft\Office\11.0\Common\DRM\CorpLicenseServer
N'a de sens que pour des fusions ou des consolidations, ou vis-à-N'a de sens que pour des fusions ou des consolidations, ou vis-à-vis du poids de l’héritage (legacy) suite à un vis du poids de l’héritage (legacy) suite à un decommissioningdecommissioning
Il faut rediriger l'URL du serveur décommissionné vers le nouveau Il faut rediriger l'URL du serveur décommissionné vers le nouveau serveurserveur
Relation de confiance Relation de confiance Publish TrustPublish Trust
Serveur de Licences RMS
Serveur de Licences RMS
1. Le Server Licensor Certificate (SLC), la clé privée et les gabarits sont exportés du serveur RMS
2. Les données exportées sont transmis OOB à l’administrateur de l’entreprise partenaire
3. Les données sont importées dans le serveur RMS pour établir le Publish Trust
4. L’utilisateur protège un contenu avec le CLC émis par le serveur RMS
5. Le contenu est transmis à l’utilisateur de l’entreprise partenaire RMS
6. Le client utilise la « surchage » du registre pour la découverture du service et l’envoi de la requête UL au serveur RMS local
7. Le serveur RMS utilise la clé privé importée et les données de gabarit si nécessaire pour créer l’UL et l’envoyer au client
SQL Server
SQL Server
Domaine de publication A
Domaine de publication B
Contenu Domaine
B
UL
Contenu Domaine
A
UL
Où sont les clés au niveau client ?Où sont les clés au niveau client ?
LLa « a « lockboxlockbox » contient la clé privée machine: » contient la clé privée machine: machine_privmachine_priv
Le Certificat Machine contient la clé publique Le Certificat Machine contient la clé publique machine_pubmachine_pub
Le RAC contientLe RAC contientLa clé publique La clé publique user_pubuser_pub
La clé privée La clé privée user_privuser_priv chiffrée pour la machine chiffrée pour la machine
user_privuser_privmachine_pubmachine_pub
Le CLC contient Le CLC contient publishing_pubpublishing_pub et et publishing_privpublishing_privuser_pubuser_pub
La Licence de Publication contient La Licence de Publication contient Content_KeyContent_Keyserver_pubserver_pub
Clé de contenu chiffrée pour le Serveur de Licences RMSClé de contenu chiffrée pour le Serveur de Licences RMS
La Licence d’Utilisation contient La Licence d’Utilisation contient Content_KeyContent_Keyuser_pubuser_pub
Clé de contenu chiffrée pour le RACClé de contenu chiffrée pour le RACPropre à un utilisateur et une machinePropre à un utilisateur et une machine
Où sont les clés au niveau serveur ? Où sont les clés au niveau serveur ? Clé privée serveurClé privée serveur
Base SQL de configuration (si protection logicielle)Base SQL de configuration (si protection logicielle)Chiffrement avec mot de passeChiffrement avec mot de passe
Mot de passe chiffré avec mot de passe du compte de serviceMot de passe chiffré avec mot de passe du compte de serviceStockage dans base SQL de configurationStockage dans base SQL de configuration
Bonne pratique Bonne pratique mot de passe fort pour le compte de service mot de passe fort pour le compte de serviceBoîtier HSM (si protection matérielle)Boîtier HSM (si protection matérielle)
Clé publique serveurClé publique serveurDans le Dans le Server Licensor CertificateServer Licensor Certificate (SLC) (SLC)
Paire de clé des RACPaire de clé des RACBase SQL de configurationBase SQL de configuration
Chiffrement avec la clé publique du serveur RMSChiffrement avec la clé publique du serveur RMS
Relations de confianceRelations de confianceServeurs de publication (SLC)Serveurs de publication (SLC)
Base SQL de configurationBase SQL de configurationServeurs de licence (clé privée)Serveurs de licence (clé privée)
Base SQL de configurationBase SQL de configurationChiffrement avec clé publique du serveur RMSChiffrement avec clé publique du serveur RMS
Gabarits (Templates)Gabarits (Templates)
Modèle pour un ensemble de droits, d'utilisateurs, et de Modèle pour un ensemble de droits, d'utilisateurs, et de conditions à appliquer sur du contenuconditions à appliquer sur du contenu
Permet à l'utilisateur d'appliquer le modèle définit par Permet à l'utilisateur d'appliquer le modèle définit par l'administrateur, plutôt que de devoir définir les l'administrateur, plutôt que de devoir définir les droits/conditions/utilisateurs individuellement à chaque droits/conditions/utilisateurs individuellement à chaque protectionprotection
Sans les gabarits, l'application de droits/utilisateurs/conditions Sans les gabarits, l'application de droits/utilisateurs/conditions serait rapidement fastidieuxserait rapidement fastidieux
ExemplesExemplesTout le mondeTout le monde peut visualiser, peut visualiser, seul l'auteurseul l'auteur peut modifier peut modifier
L’utilisateur désignéL’utilisateur désigné peut visualiser le contenu pendant un mois peut visualiser le contenu pendant un mois
Soumission d'un manuscrit à une maison d'éditionSoumission d'un manuscrit à une maison d'édition
Offre d'un contrat d'emploi limitée dans le tempsOffre d'un contrat d'emploi limitée dans le temps
Tout le mondeTout le monde peut visualiser, sauf partenaires et clients externes peut visualiser, sauf partenaires et clients externes
Classification/labellisationClassification/labellisation
Non protégé, Diffusion Restreinte, Confidentiel DéfenseNon protégé, Diffusion Restreinte, Confidentiel Défense
Gabarits (Templates)Gabarits (Templates)
Création à l'aide des pages d'administration RMSCréation à l'aide des pages d'administration RMSLes gabarits source résident dans la base SQLLes gabarits source résident dans la base SQL
On les publie sur un point de distributionOn les publie sur un point de distribution
Typiquement on les rend disponibles sur un partage réseau, ou Typiquement on les rend disponibles sur un partage réseau, ou on les place sur les disques des postes par un moyen au choix on les place sur les disques des postes par un moyen au choix (GPO, SMS, etc.)(GPO, SMS, etc.)
Outlook 2003Outlook 2003Utilisation obligatoire de gabarits pour l'application d'une Utilisation obligatoire de gabarits pour l'application d'une protection fine (au delà du « protection fine (au delà du « do not forwarddo not forward ») »)
Comme par exemple pour définir une expiration de contenuComme par exemple pour définir une expiration de contenu
Bénéfices de la technologie RMSBénéfices de la technologie RMSMeilleure protection de l’information sensibleMeilleure protection de l’information sensible
Conserver l’information interne en interneConserver l’information interne en interne
Les contenus protégés ne peuvent être consultés que par les Les contenus protégés ne peuvent être consultés que par les personnes dûment autoriséspersonnes dûment autorisés
Étendre les technologies de sécurité de type « périmètre de sécurité »Étendre les technologies de sécurité de type « périmètre de sécurité »
Protection persistante Protection persistante Protéger l’information sensible où qu’elle ailleProtéger l’information sensible où qu’elle aille
Le contenu protégé est chiffré avec des techniques de chiffrement Le contenu protégé est chiffré avec des techniques de chiffrement moderne (AES 128 bit)moderne (AES 128 bit)
Imposer numériquement la politique de l’entreprise définie avec les Imposer numériquement la politique de l’entreprise définie avec les gabaritsgabarits
Les utilisateurs/producteurs d’information peuvent définir précisément Les utilisateurs/producteurs d’information peuvent définir précisément l’usage que peuvent en faire les destinataires/consommateursl’usage que peuvent en faire les destinataires/consommateurs
Technologie souple et extensibleTechnologie souple et extensibleS’intégrer avec les applications usuelles et facilité d’utilisationS’intégrer avec les applications usuelles et facilité d’utilisation
S’appuie sur les adresses e-mails et groupes familiers (liste de S’appuie sur les adresses e-mails et groupes familiers (liste de distribution dans AD)distribution dans AD)
Offrir la souplesse attendue pour désigner un contrôle de l’usage vis-Offrir la souplesse attendue pour désigner un contrôle de l’usage vis-à-vis d’une population d’utilisateursà-vis d’une population d’utilisateurs
Permettre le développement de solutions personnalisées via les Permettre le développement de solutions personnalisées via les SDKsSDKs
Bénéfices du SP1Bénéfices du SP1
Suppression de la nécessité d’une connexion Internet pour le Suppression de la nécessité d’une connexion Internet pour le déploiementdéploiement
Possibilité pour des tierces parties d’intégrer la protection Possibilité pour des tierces parties d’intégrer la protection d’information RMS au sein d’applications serveurd’information RMS au sein d’applications serveur
Intégration « SmartCard » pour un niveau supplémentaire de sécuritéIntégration « SmartCard » pour un niveau supplémentaire de sécurité
Conformité avec FIPS (Conformité avec FIPS (Federal Information Processing StandardsFederal Information Processing Standards))
Déploiement facilité avec des technologies Microsoft familières Déploiement facilité avec des technologies Microsoft familières comme SMScomme SMS
Support de la sécurité dynamique basée sur les rôles afin d’appliquer Support de la sécurité dynamique basée sur les rôles afin d’appliquer des politiques RMS basées sur des groupes dynamiques et définies des politiques RMS basées sur des groupes dynamiques et définies par des requêtes d’AD sur certains attributspar des requêtes d’AD sur certains attributs
Support de Virtual PCSupport de Virtual PC
Processus d’authentification pour RPC sur HTTP afin d’offrir une Processus d’authentification pour RPC sur HTTP afin d’offrir une meilleure expérience utilisateurmeilleure expérience utilisateur
Déploiement de RMS SP1 au sein d’environnement v1.0Déploiement de RMS SP1 au sein d’environnement v1.0
Amélioration des outils et des recommandations avec le RMS SP1 Amélioration des outils et des recommandations avec le RMS SP1 ToolkitToolkit
Télécharger RMS SP1Télécharger RMS SP1
« « Windows RMS SP1Windows RMS SP1»»http://www.microsoft.com/downloads/details.aspx?FamilyId=8EF6D80A-http://www.microsoft.com/downloads/details.aspx?FamilyId=8EF6D80A-6A9C-4FB9-AB51-790980816FFE&displaylang=en6A9C-4FB9-AB51-790980816FFE&displaylang=en
« « Windows RMS SP1 Client Windows RMS SP1 Client »»http://www.microsoft.com/downloads/details.aspx?FamilyId=A154648C-http://www.microsoft.com/downloads/details.aspx?FamilyId=A154648C-881A-41DA-8455-042D7033372B&displaylang=en881A-41DA-8455-042D7033372B&displaylang=en
« « Windows RMS SP1 Client & Server SDKsWindows RMS SP1 Client & Server SDKs » »http://www.microsoft.com/downloads/details.aspx?FamilyId=3C918424-http://www.microsoft.com/downloads/details.aspx?FamilyId=3C918424-40E6-4CB9-BCBD-E89686F036A3&displaylang=en40E6-4CB9-BCBD-E89686F036A3&displaylang=en
« « Windows RMS SP1 Administrative Toolkit Windows RMS SP1 Administrative Toolkit »»http://www.microsoft.com/downloads/details.aspx?FamilyId=B287CEC3-http://www.microsoft.com/downloads/details.aspx?FamilyId=B287CEC3-B6CA-4C0B-A9F5-11428092CC3F&displaylang=enB6CA-4C0B-A9F5-11428092CC3F&displaylang=en
« « Rights Management Add-on for Internet ExplorerRights Management Add-on for Internet Explorer »»http://www.microsoft.com/windows/ie/downloads/addon/rm.mspx http://www.microsoft.com/windows/ie/downloads/addon/rm.mspx
Pour plus d’informationsPour plus d’informations
« « Windows Rights Management ServicesWindows Rights Management Services » »http://www.microsoft.com/windowsserver2003/technologies/http://www.microsoft.com/windowsserver2003/technologies/rightsmgmt/default.mspxrightsmgmt/default.mspx
« « TechNet Virtual Lab: Rights Management Services Virtual TechNet Virtual Lab: Rights Management Services Virtual LabLab » »
http://www.microsoft.com/technet/traincert/virtuallab/rms.mspxhttp://www.microsoft.com/technet/traincert/virtuallab/rms.mspx
« « Deploying Windows Rights Management Services at MicrosoftDeploying Windows Rights Management Services at Microsoft » »
httphttp://www.microsoft.com/technet/itsolutions/msit/infowork/://www.microsoft.com/technet/itsolutions/msit/infowork/deprmswp.mspxdeprmswp.mspx
Microsoft FranceMicrosoft France18, avenue du Québec18, avenue du Québec
91 957 Courtaboeuf Cedex91 957 Courtaboeuf Cedex
www.microsoft.com/france
0 825 827 8290 825 827 829
[email protected]@microsoft.com