Gestion de droits numériques en entreprise avec RMS SP1 Philippe Beraud Consultant Principal...

Gestion de droits numériques Gestion de droits numériques en entreprise avec RMS SP1en entreprise avec RMS SP1Gestion de droits numériques Gestion de droits numériques en entreprise avec RMS SP1en entreprise avec RMS SP1

Philippe BeraudPhilippe BeraudConsultant PrincipalConsultant PrincipalMicrosoft FranceMicrosoft France

La stratégie sécurité de MicrosoftLa stratégie sécurité de Microsoft

Isolation et Isolation et résiliencerésilience

Excellence Excellence dede

l’engineeringl’engineering

Conseils,Conseils,Outils,Outils,

RéponseRéponse

Mise à jourMise à jouravancéeavancée

Authentification,Authentification,Autorisation,Autorisation,

AuditAudit

SommaireSommaire

Besoin d’une protection persistante de l’informationBesoin d’une protection persistante de l’information

Rights Management ServicesRights Management Services (RMS) (RMS)

Principes de fonctionnement et de mise en œuvre de RMSPrincipes de fonctionnement et de mise en œuvre de RMSScénario IntranetScénario Intranet

Scénarios B2B - Relations de confiance RMSScénarios B2B - Relations de confiance RMS

Gabarits (Gabarits (TemplatesTemplates) de RMS) de RMS

Bénéfices de RMS et du SP1Bénéfices de RMS et du SP1

Contrôle d’accès classiqueContrôle d’accès classique

Protection à base de périmètre de contrôle l’accès, et non lié à l’usageProtection à base de périmètre de contrôle l’accès, et non lié à l’usageLes ACLs ne restreignent pas ce que l’utilisateur peut faireLes ACLs ne restreignent pas ce que l’utilisateur peut faire

Possibilité de copier, modifier et rediffuser l’information même avec un accès en lecture seulePossibilité de copier, modifier et rediffuser l’information même avec un accès en lecture seule

Access Control List

Access Control List

(ACL)(ACL)

Pare-feuPare-feu

UsagersUsagers

Accepté

Accepté

Refusé

Refusé

Gérer l’information numériqueGérer l’information numérique

ConstatsConstatsDes information sensibles (documents, e-mails, contenu intranet, Des information sensibles (documents, e-mails, contenu intranet, etc.) peuvent être divulguées accidentellement ou etc.) peuvent être divulguées accidentellement ou intentionnellementintentionnellement

http://www.internalmemos.com http://www.internalmemos.com

Les coûts associés en termes de perte de revenu, d’avantage Les coûts associés en termes de perte de revenu, d’avantage concurrentiels, de confiance clients peuvent s’avérer importantconcurrentiels, de confiance clients peuvent s’avérer important

« « Le vol d’informations propriétaires est la plus grande source de Le vol d’informations propriétaires est la plus grande source de dommages financiers parmi tous les incidents de sécuritédommages financiers parmi tous les incidents de sécurité » »

CSI/FBI Computer Crime and Security SurveyCSI/FBI Computer Crime and Security Survey, 2001, 2001

BesoinsBesoinsProtection permanentes des informations sensiblesProtection permanentes des informations sensibles

Technologie qui soit facilement utilisableTechnologie qui soit facilement utilisable

Technologie qui soit souple, facilement déployable, et extensibleTechnologie qui soit souple, facilement déployable, et extensible

Technologie qui aille au-delà du contrôle d’accès et du chiffrementTechnologie qui aille au-delà du contrôle d’accès et du chiffrement

Contrôle de l’usageContrôle de l’usage

Windows Rights Management ServicesWindows Rights Management Services

Technologie d’infrastructure destinée aux environnements Technologie d’infrastructure destinée aux environnements d’entreprise pour la protection des documents et e-mailsd’entreprise pour la protection des documents et e-mails

N’est pas destinée à la protection de l’audio, vidéo et media en N’est pas destinée à la protection de l’audio, vidéo et media en « streaming »« streaming »

Microsoft propose une solution « Microsoft propose une solution « Digital Right ManagementDigital Right Management » » pour celapour cela

Ne nécessite pas d’infrastructure PKI X.509Ne nécessite pas d’infrastructure PKI X.509RELRELCertificats/Licences XrML (Certificats/Licences XrML (eXtensible Rights Markup Language, eXtensible Rights Markup Language, http://www.xrml.orghttp://www.xrml.org) intégrés et transparents pour l’utilisateur ) intégrés et transparents pour l’utilisateur et l’administrateuret l’administrateur

Permet non seulement le contrôle d’accès à l’information, mais Permet non seulement le contrôle d’accès à l’information, mais surtout le contrôle de surtout le contrôle de l’usagel’usage qui en est fait qui en est fait

Protection de l’information indépendamment d’un périmètreProtection de l’information indépendamment d’un périmètreLa protection est attachée à l’informationLa protection est attachée à l’information

L’auteur/propriétaire définit et applique une politique d’usageL’auteur/propriétaire définit et applique une politique d’usageAttachée à l’informationAttachée à l’information

Indépendant du format des donnéesIndépendant du format des donnéesPersiste et suit l’informationPersiste et suit l’information

Échange d’un contenu protégé en usage entre Échange d’un contenu protégé en usage entre deux utilisateursdeux utilisateurs

Principes de fonctionnement Principes de fonctionnement

Définition d’entités de confiance (participants)Définition d’entités de confiance (participants)Machines, Individus, Groupes d’utilisateurs, ApplicationsMachines, Individus, Groupes d’utilisateurs, Applications

Assignation des droits à l’informationAssignation des droits à l’informationUtilisation d’une application « RMS-enabled »Utilisation d’une application « RMS-enabled »Licence de publication (Licence de publication (Publish LicensesPublish Licenses))

Quels droits (lecture, copie, impression, transfert, etc.)Quels droits (lecture, copie, impression, transfert, etc.)A qui (Individus ou Groupes) @ e-mailA qui (Individus ou Groupes) @ e-mailSous quelles conditions (expire le 31/06/2005, etc.)Sous quelles conditions (expire le 31/06/2005, etc.)

Protection de l’information et des droits associésProtection de l’information et des droits associésChiffrement (AES 128 bits)Chiffrement (AES 128 bits)

Distribution de l’informationDistribution de l’informationSelon application, à la charge de l’applicationSelon application, à la charge de l’application

Consommation du contenu à l’informationConsommation du contenu à l’informationSeules les entités de confiance peuvent accéder à l’information Seules les entités de confiance peuvent accéder à l’information (déchiffrement) et selon les droits spécifiés via une application « RMS-(déchiffrement) et selon les droits spécifiés via une application « RMS-enabled »enabled »

Les applications (« RMS-enabled ») s’appuient sur les services Les applications (« RMS-enabled ») s’appuient sur les services RMS (RMS (servicesservices Web) pour Web) pour

La protection de l’information (publication)La protection de l’information (publication)La consommation de l’information protégée (utilisation)La consommation de l’information protégée (utilisation)

Principes de mise en œuvre en 4 étapesPrincipes de mise en œuvre en 4 étapes

Étape 1 - Installation et configuration de RMSÉtape 1 - Installation et configuration de RMSÉtape 2 - Activation des machines clientÉtape 2 - Activation des machines clientÉtape 3 - Protection de l’information (publication)Étape 3 - Protection de l’information (publication)Étape 4 - Consommation de l’information protégée (utilisation)Étape 4 - Consommation de l’information protégée (utilisation)

Illustration des principes et des différents certificats et licences Illustration des principes et des différents certificats et licences utilisés au travers d’une mise en œuvre de principeutilisés au travers d’une mise en œuvre de principe

Unique Serveur de Certification RMSUnique Serveur de Certification RMSAgissant également comme Serveur de Licences RMSAgissant également comme Serveur de Licences RMS

Aucun tolérance aux pannesAucun tolérance aux pannesPas de Cluster RMS ou de la base de donnéesPas de Cluster RMS ou de la base de donnéesUn seul contrôleur de domaine agissant comme Catalogue GlobalUn seul contrôleur de domaine agissant comme Catalogue Global

Cette session ne traite pas des différentes topologies Cette session ne traite pas des différentes topologies d’installation et des mécanismes de tolérance aux pannesd’installation et des mécanismes de tolérance aux pannes

« « Windows Rights Management ServicesWindows Rights Management Services » »http://www.microsoft.com/windowsserver2003/technologies/http://www.microsoft.com/windowsserver2003/technologies/rightsmgmt/default.mspxrightsmgmt/default.mspx

Installation et configuration de RMSInstallation et configuration de RMSÉtape 1 - Les composants RMS Server sont installés sur un Étape 1 - Les composants RMS Server sont installés sur un serveur membre dans un domaine AD afin de créer un Serveur serveur membre dans un domaine AD afin de créer un Serveur de Certification RMSde Certification RMS

Serveur de Certification

RMSSQL Server

Active Directory

Serveur membreServeur membreWindows Server 2003 (Windows Server 2003 (Web, Standard, Web, Standard, Enterprise Edition, DataCenterEnterprise Edition, DataCenter))

IIS 6.0, ASP.NET et MSMQ installésIIS 6.0, ASP.NET et MSMQ installés

Serveur de base de donnéesServeur de base de donnéesSQL Server 2000 ou MSDESQL Server 2000 ou MSDE

Utilisé pour le stockage de la configuration, les Utilisé pour le stockage de la configuration, les données de certification et de journalisationdonnées de certification et de journalisation

Active DirectoryActive DirectoryWindows Server 2000 ou Windows Server Windows Server 2000 ou Windows Server 20032003

Utilisé pour l’authentification, l’expansion de Utilisé pour l’authentification, l’expansion de groupes et la localisation de services (SCP)groupes et la localisation de services (SCP)

Exchange Server n’est pas requisExchange Server n’est pas requisLes comptes utilisateur doivent cependant Les comptes utilisateur doivent cependant disposer d’une @ e-maildisposer d’une @ e-mail

Installation et configuration de RMSInstallation et configuration de RMSÉtape Étape 2 - Le 2 - Le ServeurServeur RMS RMS obtientobtient un un Server Licensor CertificateServer Licensor Certificate (SLC) (SLC) à travers un enrôlement en ligne ou hors ligneà travers un enrôlement en ligne ou hors ligne

Requête d’enrôlement vers le serveur MS RMS RacineRequête d’enrôlement vers le serveur MS RMS Racine

Contient la clé publique du Serveur de Certification RMS Contient la clé publique du Serveur de Certification RMS

Génération du SLC par le Serveur MS RMS RacineGénération du SLC par le Serveur MS RMS Racine

Clé publique du Serveur de Certification RMS dans le SLCClé publique du Serveur de Certification RMS dans le SLC

Signature du SLC avec la clé privée du Serveur MS RMS RacineSignature du SLC avec la clé privée du Serveur MS RMS Racine


RMSSQL Server

Active Directory

PC connecté à Internet

Exportation de la requête SLC

Importation du SLC

Serveur RMS Racine hébergé chez Microsoft

Installation et configuration de RMSInstallation et configuration de RMS

Étape 3Étape 3 - Un - Un objetobjet serviceConnectionPointserviceConnectionPoint avec l’URL du avec l’URL du Serveur deServeur de Certification RMS Certification RMS est écrit dansest écrit dans AD AD

CN=SCP,CN=RightManagementServices,CN=Services,CN=ConfigurCN=SCP,CN=RightManagementServices,CN=Services,CN=Configuration,DC=<forest>,DC=comation,DC=<forest>,DC=com

Serveur de Certification RMS SQL Server 2000

ou MSDE

Windows Server 200x, Active

Directory

Création de l’objet serviceConnectionPo

int

Installation et configuration de RMSInstallation et configuration de RMSÉtape Étape 4 - Le Client RMS 4 - Le Client RMS est installé sur une machine client est installé sur une machine client compatiblecompatible

Right Management Client APIsRight Management Client APIs

Windows 98, Windows Me, Windows 2000 SP3, Windows XP SP1 Windows 98, Windows Me, Windows 2000 SP3, Windows XP SP1 ou supérieurou supérieurPermet la publication et la consommation de contenu protégéPermet la publication et la consommation de contenu protégé

Installation de la « lockbox » avec le Client RMSInstallation de la « lockbox » avec le Client RMS

Contient les algorithmes de chiffrement RSA, DES et AES 128Contient les algorithmes de chiffrement RSA, DES et AES 128

Contient la logique nécessaire à la génération, stockage et Contient la logique nécessaire à la génération, stockage et signature numérique des « lettres de créance » machinesignature numérique des « lettres de créance » machine

Activation à la première utilisationActivation à la première utilisation

Office 2003 permet l’activation d’une machineOffice 2003 permet l’activation d’une machine

Lors de l’installation si non déjà activéeLors de l’installation si non déjà activée

Lors de la publication ou de la consommation si non déjà Lors de la publication ou de la consommation si non déjà activéeactivée

Poste Client avec le Client RMS installé

Activation d’un client RMS SP1Activation d’un client RMS SP1Étape Étape 1 - 1 - L’utilisateur ouvre une session sur le domaine en L’utilisateur ouvre une session sur le domaine en utilisant ses « lettres de créances » de domaineutilisant ses « lettres de créances » de domaine

« Lettres de créance » validées par le DC

« Lettres de créance »


RMSSQL Server

Active Directory

Activation d’un client RMS SP1Activation d’un client RMS SP1

Étape Étape 2 - 2 - L’utilisateur essaie de protéger le contenu d’un L’utilisateur essaie de protéger le contenu d’un document avec une application « RMS-enabled »document avec une application « RMS-enabled »

Ex. Microsoft Office 2003/Outlook 2003Ex. Microsoft Office 2003/Outlook 2003

Création et consommation de contenu protégéCréation et consommation de contenu protégé

Rights Management Add-OnRights Management Add-On pour Internet Explorer (RMA) pour Internet Explorer (RMA)

Consommation (visualisation) de contenu protégé par RMS Consommation (visualisation) de contenu protégé par RMS uniquementuniquement

Utilisateurs sans Office 2003, portail Web, etc.Utilisateurs sans Office 2003, portail Web, etc.

IE6 SP1/IE5.5 SP2 (à partir de Windows ME seulement)IE6 SP1/IE5.5 SP2 (à partir de Windows ME seulement)

Les ISVs développent des applications avec le Les ISVs développent des applications avec le Software Software Development KitDevelopment Kit (SDK) RMS (SDK) RMS

L’utilisateur crée un document et essaie de le protéger en terme d’usage

Activation d’un client RMS SP1Activation d’un client RMS SP1

Étape Étape 3 – 3 – Le Client RMS active la « lockbox »Le Client RMS active la « lockbox »Mécanisme d’auto activation avec le SP1Mécanisme d’auto activation avec le SP1

Aucun accès réseau nécessaireAucun accès réseau nécessaire

Aucun privilège d’administrateur local nécessaireAucun privilège d’administrateur local nécessaire

Génération et stockage de la bi-clé unique machine nécessaire pour Génération et stockage de la bi-clé unique machine nécessaire pour la protection de contenula protection de contenu

« Lettres de créance » machine« Lettres de créance » machine

Clé RAS 1024 liéeClé RAS 1024 liée au au HWID (Hardware ID)HWID (Hardware ID)

Propre à chaque utilisateur (SP1)Propre à chaque utilisateur (SP1)

Génération et signature du Certificat MachineGénération et signature du Certificat Machine

Contient la clé publique de machineContient la clé publique de machine

Protection de l’information (publication) Protection de l’information (publication) avec RMSavec RMS

Étape Étape 1 – 1 – Si l’utilisateur ne dispose pas encoreSi l’utilisateur ne dispose pas encore d’un d’un Rights Rights Management Account CertificateManagement Account Certificate (RAC) (RAC) valide, le Clientvalide, le Client RMS RMS effectue une recherche du Serveur deeffectue une recherche du Serveur de Certification RMS Certification RMS

Le client RMS effectue une recherche du serviceConnectionPoint pour obtenir l’URL du Serveur de Certification RMS


RMSSQL Server

Active Directory


Étape Étape 2 – 2 – Le Client RMS effectue une requête RACLe Client RMS effectue une requête RACProcessus de Certification Utilisateur (activation de l’utilisateur)Processus de Certification Utilisateur (activation de l’utilisateur)Requête RAC à destination du Serveur de Certification RMSRequête RAC à destination du Serveur de Certification RMS

Inclut le Certificat Machine et les « lettres de créance » Inclut le Certificat Machine et les « lettres de créance » utilisateur (authentification Windows intégrée)utilisateur (authentification Windows intégrée)

Recherche par le Serveur de Certification RMS d’une paire de clés Recherche par le Serveur de Certification RMS d’une paire de clés existante pour l’utilisateur, sinon…existante pour l’utilisateur, sinon…

Création d’une paire de clé RSA 1024, Séquestre de la paire de Création d’une paire de clé RSA 1024, Séquestre de la paire de clés dans la base SQLclés dans la base SQLConstitution duConstitution du RAC RAC

Chiffrement de la clé privée avec le Certificat Machine et Chiffrement de la clé privée avec le Certificat Machine et placement dans le RACplacement dans le RAC

Propre à un utilisateur ET à une machinePropre à un utilisateur ET à une machinePlacement de la clé publique dans le RACPlacement de la clé publique dans le RAC

Signature du RAC avec la clé privée du Serveur de Certification Signature du RAC avec la clé privée du Serveur de Certification RMSRMS

Renvoi du RAC au clientRenvoi du RAC au client


Étape Étape 2 – 2 – Le Client RMS effectue une requête RACLe Client RMS effectue une requête RAC

Les « lettres de créance » utilisateur sont validées par le DC et l’attribut e-mail de l‘objet utilisateur ou inetOrgPerson est obtenu

Une copie des clés utilisateur sont stockées dans la base de données « lettres de créance »

Le Client RMS effectue une requête RAC au Serveur de Certification RMS et un RAC est retourné


RMSSQL Server

Active Directory


Étape Étape 3 – Le Client RMS 3 – Le Client RMS effectue une requêteeffectue une requête Client Licensor CertificateClient Licensor Certificate (CLC) (CLC) si le client n’en dispose pas d’unsi le client n’en dispose pas d’un

Permet d’émettre des Licences de Publication (Permet d’émettre des Licences de Publication (Publish LicensesPublish Licenses) hors ) hors connexionconnexion

Le serveur délègue au client l’émission de Licences de PublicationLe serveur délègue au client l’émission de Licences de Publication

Requête CLC à destination du Serveur de Licences RMSRequête CLC à destination du Serveur de Licences RMS

Inclut le Certificat Machine et les « lettres de créance » utilisateur Inclut le Certificat Machine et les « lettres de créance » utilisateur (authentification Windows intégrée)(authentification Windows intégrée)

Création d’un CLC par le Serveur de Licences RMSCréation d’un CLC par le Serveur de Licences RMS

Création d’une paire de clé RSA 1024Création d’une paire de clé RSA 1024

Paire de clé spécifique autre que celle du RACPaire de clé spécifique autre que celle du RAC

Chiffrement de la clé privée avec le RAC et placement dans le CLCChiffrement de la clé privée avec le RAC et placement dans le CLC

Placement de la clé publique dans le CLCPlacement de la clé publique dans le CLC

Placement de la clé publique du Serveur de Licences RMS dans le Placement de la clé publique du Serveur de Licences RMS dans le CLCCLC

Placement de Placement de l’URLl’URL du Serveur de Licences du Serveur de Licences

Signature de la CLC en tant que Clé de Signature de la CLC en tant que Clé de LicensingLicensing subordonnée subordonnée

Certification de la clé publique du Serveur de Licences RMS Certification de la clé publique du Serveur de Licences RMS pour la signature de licences par l’utilisateurpour la signature de licences par l’utilisateur

Renvoi du CLC au clientRenvoi du CLC au client


Étape Étape 3 – Le Client RMS 3 – Le Client RMS effectue une requêteeffectue une requête Client Licensor Client Licensor CertificateCertificate (CLC) (CLC) si le client n’en dispose pas d’unsi le client n’en dispose pas d’un

Le client RMS envoie le RAC de l’utilisateur dans une requête CLC au Serveur de Licences RMS. Un CLC est retournée


RMSSQL Server

Active Directory


Étape Étape 4 – Le Client RMS 4 – Le Client RMS (Générique) publie un contenu en ligne(Générique) publie un contenu en ligneGénération d’une clé de contenu symétrique (AES 128-bit)Génération d’une clé de contenu symétrique (AES 128-bit)

Chiffrement du contenu Chiffrement du contenu

Préparation d’une Licence de Publication non signéePréparation d’une Licence de Publication non signée

Acquisition du SLCAcquisition du SLC

Chiffrement des droits avec la clé de contenuChiffrement des droits avec la clé de contenu

Chiffrement de la clé de contenu avec le SLCChiffrement de la clé de contenu avec le SLC

Envoi de la requêteEnvoi de la requête

Envoi de la licence non signée au Serveur de Licences RMSEnvoi de la licence non signée au Serveur de Licences RMS

Finalisation de la Licence de Publication signée par le Serveur de Finalisation de la Licence de Publication signée par le Serveur de Licences RMSLicences RMS

Placement de Placement de l’URLl’URL ddu Serveur de Licences RMSu Serveur de Licences RMS

Signature de la licence avec la clé privée du Serveur de Licences Signature de la licence avec la clé privée du Serveur de Licences RMS RMS

Renvoi de la licence signée au clientRenvoi de la licence signée au client

Rajout par le client de la Licence de Publication au documentRajout par le client de la Licence de Publication au document


Étape Étape 4 Bis – Le Client RMS (Office 2003)4 Bis – Le Client RMS (Office 2003) publie un contenu publie un contenuGénération d’une clé de contenu symétrique (AES 128-bit)Génération d’une clé de contenu symétrique (AES 128-bit)

Chiffrement du contenu et des droitsChiffrement du contenu et des droits

Création d’une Licence de PublicationCréation d’une Licence de Publication

Localisation de la clé publique du Serveur de Licences RMS dans le Localisation de la clé publique du Serveur de Licences RMS dans le CLCCLC

Chiffrement de la clé de contenu avec la clé publique du Serveur Chiffrement de la clé de contenu avec la clé publique du Serveur de Licences RMSde Licences RMS

Placement de la clé de contenu chiffrée dans la Licence de Placement de la clé de contenu chiffrée dans la Licence de PublicationPublication

Placement de Placement de l’URLl’URL du Serveur de Licence RMS à partir du CLC du Serveur de Licence RMS à partir du CLC

Signature de la Licence de Publication avec le CLC (clé privée)Signature de la Licence de Publication avec le CLC (clé privée)Licence de Publication

a. URL Serveur RMS de Licences

b. Clé de contenuc. Droits et ayant

droits (@ e-mail)

Contenu du fichierTexte, images, méta données,

etc.

Chiffré avec la clé publique serveur depuis le CLCChiffré avec la clé symétrique de contenu (AES128 pour Office 2003)Chiffré avec la clé symétrique de contenu (AES128 pour Office 2003)

Consommation de l’information protégée Consommation de l’information protégée (utilisation)(utilisation)

Étape Étape 1 - 1 - L’utilisateur reçoit un contenu protégé en droits et L’utilisateur reçoit un contenu protégé en droits et l’ouvre à l’aide d’une application « RMS-enabled »l’ouvre à l’aide d’une application « RMS-enabled » (Office 2003, (Office 2003, RMA, etc.)RMA, etc.)

Si la machine n’est pas activée ou si l’utilisateur ne dispose pas Si la machine n’est pas activée ou si l’utilisateur ne dispose pas d’un RAC, le client active alors la machine et va chercher un RACd’un RAC, le client active alors la machine et va chercher un RAC

L’utilisateur reçoit un contenu protégé et l’ouvre avec une application « RMS-enabled »


Étape Étape 2 - 2 - Le Client RMS extraitLe Client RMS extrait la la LicenceLicence de Publication de Publication et et l’envoie ainsi que le RAC de l’utilisateur au serveur RMS l’envoie ainsi que le RAC de l’utilisateur au serveur RMS identifié par l’URL dans laidentifié par l’URL dans la LicenceLicence de Publication de Publication

Le client envoie la Licence de Publication et le RAC de l’utilisateur à l’URL contenue dans la Licence de Publication

Serveur RMS SQL Server

Active Directory


Étape Étape 3 - 3 - Le Serveur (de Licences) RMS valide le RAC et vérifie Le Serveur (de Licences) RMS valide le RAC et vérifie que l’utilisateur s’est vu conférer un accès au contenuque l’utilisateur s’est vu conférer un accès au contenu

Une expansion de groupe est réalisée si nécessaire

Le serveur de Licences RMS valide le RAC et vérifie que l’@ email de l’utilisateur dans le RAC est dans la Licence de Publication ou est membre de l’un des groupes nommés dans la Licence de Publication

L’expansion de groupe est mise en cache afin d’améliorer les performances de futures recherches


Active Directory

Consommation de l’information protégéeConsommation de l’information protégée

Étape Étape 4 – 4 – Le Serveur (de Licences) RMS crée une Licence Le Serveur (de Licences) RMS crée une Licence d’Utilisation (d’Utilisation (Use LicenseUse License ouou UL) UL)

Le serveur extrait la clé de contenu de la Licence de PublicationLe serveur extrait la clé de contenu de la Licence de Publication et et la déchiffre avec sa clé privéela déchiffre avec sa clé privée

Le serveur extrait la clé publique de l’utilisateur de son RACLe serveur extrait la clé publique de l’utilisateur de son RAC

Le serveur chiffre la clé de contenu et les droits données à Le serveur chiffre la clé de contenu et les droits données à l’utilisateur avec la RAC (clé publique)l’utilisateur avec la RAC (clé publique)

Le serveur signe l’Le serveur signe l’ULUL avec sa clé privée avec sa clé privée

L’UL contenant la clé symétrique re-chiffrée et les droits donnés à l’utilisateur est retournée au client


Active Directory

secproc.dll

Consommation de l’information protégéeConsommation de l’information protégéeÉtape Étape 5 - 5 - Le Client RMS retourne l’UL à l’application « RMS-enabled »Le Client RMS retourne l’UL à l’application « RMS-enabled »

La « lockbox » déchiffre la clé privée de l’utilisateur (RAC) avec la clé La « lockbox » déchiffre la clé privée de l’utilisateur (RAC) avec la clé privée de la machine (imbriquée dans la « lockbox »)privée de la machine (imbriquée dans la « lockbox »)

La « lockbox » déchiffre la clé de contenu avec la clé privée de La « lockbox » déchiffre la clé de contenu avec la clé privée de l’utilisateurl’utilisateur

Déchiffrement du contenu et des droits avec la clé de contenuDéchiffrement du contenu et des droits avec la clé de contenuLicence de Publicatio

n

Licence d’Utilisation

a. Droits pour l’utilisateur

b. Clé de contenu


b. Clé de contenu


b. Clé de contenu

Client RMS

secproc.dll CSP

Responsable de la vérification du RAC, de l’UL et du manifest de l’application afin d’assurer la protection du contenu

Contenu présenté par l’application

Les UL e-mail (Outlook 2003) sont stockées sur le disque, et non avec les messages

Validation de l'accès à l’information Validation de l'accès à l’information protégéeprotégée

Validation de la RAC et de la Licence de PublicationValidation de la RAC et de la Licence de Publication en tant en tant qu'entités de confiancequ'entités de confiance

Validation que le fichier n'a pas été modifié depuis sa signature Validation que le fichier n'a pas été modifié depuis sa signature (condensé chiffré correspond au condensé recalculé)(condensé chiffré correspond au condensé recalculé)

Validation de la signature de la RACValidation de la signature de la RAC

Validation de la signature de la Licence d’UtilisationValidation de la signature de la Licence d’Utilisation

Validation de la chaîne de certification jusqu'à la racineValidation de la chaîne de certification jusqu'à la racine

La « La « lockboxlockbox » « connaît » la racine dont elle détient la clé » « connaît » la racine dont elle détient la clé publiquepublique

Validation de l'application en tant qu'entité de confianceValidation de l'application en tant qu'entité de confianceLocalisation du manifeste de l'applicationLocalisation du manifeste de l'application

Vérification du condensé de tous les fichiers du manifesteVérification du condensé de tous les fichiers du manifeste

Vérification de la signature et de la chaîne de certification du Vérification de la signature et de la chaîne de certification du manifestemanifeste

Vérification des droits de la licence par rapport aux actions Vérification des droits de la licence par rapport aux actions demandéesdemandées

Validation de l'identifiant de l'utilisateur connecté (SID) par Validation de l'identifiant de l'utilisateur connecté (SID) par rapport à celui de la RACrapport à celui de la RAC

Relations de confiance RMSRelations de confiance RMS

Deux type de relations de confianceDeux type de relations de confiance1.1. Use TrustUse Trust - Scénarios d'interopérabilité- Scénarios d'interopérabilité

Entre organisations, entre forêtsEntre organisations, entre forêts

Ressemble à une CTL en PKIRessemble à une CTL en PKIOn fait confiance une clé publiqueOn fait confiance une clé publique

C'est une vraie relation de confianceC'est une vraie relation de confiance

2.2. Publish TrustPublish Trust - Scénarios de migration et de fusion- Scénarios de migration et de fusionRachat de sociétés, consolidation de serveurs, etc.Rachat de sociétés, consolidation de serveurs, etc.

Ne constitue pas vraiment une relation de confianceNe constitue pas vraiment une relation de confiance

Les relations de confiance sont établis « Les relations de confiance sont établis « OOut ut OOf f BBandand » »SLCSLC et clé privée (Publish Trust) échangés OOBet clé privée (Publish Trust) échangés OOB

Les relations de confiance ne requièrent aucune connexionLes relations de confiance ne requièrent aucune connexionAucune réplication ou validation effectué en ligneAucune réplication ou validation effectué en ligne

Les serveurs RMS approuvant honorent les RACs des Serveurs RMS Les serveurs RMS approuvant honorent les RACs des Serveurs RMS approuvés (de confiance)approuvés (de confiance)

L'administrateur établit, détruit, et met à jour les relations de L'administrateur établit, détruit, et met à jour les relations de confiance manuellementconfiance manuellement

Relation de confiance Relation de confiance Use TrustUse Trust

Un domaine Utilisateurs RMSUn domaine Utilisateurs RMSUn Serveur (ou Cluster) de Certification, racine d‘EntrepriseUn Serveur (ou Cluster) de Certification, racine d‘Entreprise

Les RACs qu'il délivre (ses utilisateurs), Les RACs qu'il délivre (ses utilisateurs),

Et les éventuels serveurs (ou Cluster(s)) de Licences RMS qui lui Et les éventuels serveurs (ou Cluster(s)) de Licences RMS qui lui sont subordonnéssont subordonnés

Par défaut, un Serveur de Licences RMS n'octroie de licences Par défaut, un Serveur de Licences RMS n'octroie de licences d'utilisation qu'à des RACs de son domained'utilisation qu'à des RACs de son domaine

Permet aux utilisateurs du domaine approuvé (B) de Permet aux utilisateurs du domaine approuvé (B) de consommer du contenu du domaine approuvant (A)consommer du contenu du domaine approuvant (A)

Permet aux utilisateurs du domaine approuvant (A) de publier du Permet aux utilisateurs du domaine approuvant (A) de publier du contenu à destination d'utilisateurs du domaine approuvé (B), contenu à destination d'utilisateurs du domaine approuvé (B), sachant qu'il sera consommablesachant qu'il sera consommable

S'établit au niveau de chaque cluster (Serveur) de Licences S'établit au niveau de chaque cluster (Serveur) de Licences RMSRMS

On importe la clé publique du domaine de confiance (Serveur de On importe la clé publique du domaine de confiance (Serveur de Certification racine d'entreprise B)Certification racine d'entreprise B)

Relation de confiance Relation de confiance Use TrustUse Trust

1. Le Server Licensor Certificate (SLC) est exporté depuis le serveur RMS

6. Le destinataire obtient un RAC du serveur RMS

2. Le SLC est transmis OOB à l’administrateur de l’entreprise partenaire

3. Le SLC est importé dans le serveur RMS pour établir le Use Trust

5. Le contenu est transmis à l’utilisateur de l’entreprise partenaire RMS4. L’utilisateur protège un

contenu avec le CLC émis par le serveur RMS

8. Le serveur RMS valide le RAC et traite la requête UL 7. La requête UL est envoyée

avec le RAC

9. L’UL est retournée au client

Serveur de Certification RMS

SQL Server

SQL Server

Serveur de Licences RMS

Relation de confianceDomaine A Domaine B

Relation de confiance Relation de confiance PublishPublish TrustTrust

Un Domaine de Publication RMSUn Domaine de Publication RMSun Serveur de Licences RMS et les licences qu'il émetun Serveur de Licences RMS et les licences qu'il émetPar défaut un Serveur (ou Cluster) de Licences RMS ne peut octroyer Par défaut un Serveur (ou Cluster) de Licences RMS ne peut octroyer de licence d'utilisation que pour du contenu dont les licences de de licence d'utilisation que pour du contenu dont les licences de publications sont les siennespublications sont les siennes

Clé de contenu chiffrée avec sa clé publiqueClé de contenu chiffrée avec sa clé publique

Permet à un Serveur de Licence (domaine de publication) Permet à un Serveur de Licence (domaine de publication) d'émettre des d'émettre des Publish LicencesPublish Licences pour du contenu qui a été publié pour du contenu qui a été publié sur un autre Serveur de Licences RMSsur un autre Serveur de Licences RMS

Permet aux utilisateurs de contenu d'un Serveur de Licences RMS (B) Permet aux utilisateurs de contenu d'un Serveur de Licences RMS (B) d'utiliser un autre Serveur de Licences RMS (A) pour accéder à ce d'utiliser un autre Serveur de Licences RMS (A) pour accéder à ce contenucontenu

S'établit au niveau de chaque Serveur (ou Cluster) de Licences S'établit au niveau de chaque Serveur (ou Cluster) de Licences RMSRMS

On importe la clé privée du domaine approuvé (Serveur de Licences B)On importe la clé privée du domaine approuvé (Serveur de Licences B)Au niveau des postes client, le registre est utilisé pour la localisation Au niveau des postes client, le registre est utilisé pour la localisation des servicesdes services

Entrées de registre par applicationEntrées de registre par applicationHKLM\Software\Microsoft\Office\11.0\Common\DRM\CorpLicenseServerHKLM\Software\Microsoft\Office\11.0\Common\DRM\CorpLicenseServer

N'a de sens que pour des fusions ou des consolidations, ou vis-à-N'a de sens que pour des fusions ou des consolidations, ou vis-à-vis du poids de l’héritage (legacy) suite à un vis du poids de l’héritage (legacy) suite à un decommissioningdecommissioning

Il faut rediriger l'URL du serveur décommissionné vers le nouveau Il faut rediriger l'URL du serveur décommissionné vers le nouveau serveurserveur

Relation de confiance Relation de confiance Publish TrustPublish Trust



1. Le Server Licensor Certificate (SLC), la clé privée et les gabarits sont exportés du serveur RMS

2. Les données exportées sont transmis OOB à l’administrateur de l’entreprise partenaire

3. Les données sont importées dans le serveur RMS pour établir le Publish Trust

4. L’utilisateur protège un contenu avec le CLC émis par le serveur RMS

5. Le contenu est transmis à l’utilisateur de l’entreprise partenaire RMS

6. Le client utilise la « surchage » du registre pour la découverture du service et l’envoi de la requête UL au serveur RMS local

7. Le serveur RMS utilise la clé privé importée et les données de gabarit si nécessaire pour créer l’UL et l’envoyer au client

SQL Server

SQL Server

Domaine de publication A

Domaine de publication B

Contenu Domaine

B

UL

Contenu Domaine

A

UL

Où sont les clés au niveau client ?Où sont les clés au niveau client ?

LLa « a « lockboxlockbox » contient la clé privée machine: » contient la clé privée machine: machine_privmachine_priv

Le Certificat Machine contient la clé publique Le Certificat Machine contient la clé publique machine_pubmachine_pub

Le RAC contientLe RAC contientLa clé publique La clé publique user_pubuser_pub

La clé privée La clé privée user_privuser_priv chiffrée pour la machine chiffrée pour la machine

user_privuser_privmachine_pubmachine_pub

Le CLC contient Le CLC contient publishing_pubpublishing_pub et et publishing_privpublishing_privuser_pubuser_pub

La Licence de Publication contient La Licence de Publication contient Content_KeyContent_Keyserver_pubserver_pub

Clé de contenu chiffrée pour le Serveur de Licences RMSClé de contenu chiffrée pour le Serveur de Licences RMS

La Licence d’Utilisation contient La Licence d’Utilisation contient Content_KeyContent_Keyuser_pubuser_pub

Clé de contenu chiffrée pour le RACClé de contenu chiffrée pour le RACPropre à un utilisateur et une machinePropre à un utilisateur et une machine

Où sont les clés au niveau serveur ? Où sont les clés au niveau serveur ? Clé privée serveurClé privée serveur

Base SQL de configuration (si protection logicielle)Base SQL de configuration (si protection logicielle)Chiffrement avec mot de passeChiffrement avec mot de passe

Mot de passe chiffré avec mot de passe du compte de serviceMot de passe chiffré avec mot de passe du compte de serviceStockage dans base SQL de configurationStockage dans base SQL de configuration

Bonne pratique Bonne pratique mot de passe fort pour le compte de service mot de passe fort pour le compte de serviceBoîtier HSM (si protection matérielle)Boîtier HSM (si protection matérielle)

Clé publique serveurClé publique serveurDans le Dans le Server Licensor CertificateServer Licensor Certificate (SLC) (SLC)

Paire de clé des RACPaire de clé des RACBase SQL de configurationBase SQL de configuration

Chiffrement avec la clé publique du serveur RMSChiffrement avec la clé publique du serveur RMS

Relations de confianceRelations de confianceServeurs de publication (SLC)Serveurs de publication (SLC)

Base SQL de configurationBase SQL de configurationServeurs de licence (clé privée)Serveurs de licence (clé privée)

Base SQL de configurationBase SQL de configurationChiffrement avec clé publique du serveur RMSChiffrement avec clé publique du serveur RMS

Gabarits (Templates)Gabarits (Templates)

Modèle pour un ensemble de droits, d'utilisateurs, et de Modèle pour un ensemble de droits, d'utilisateurs, et de conditions à appliquer sur du contenuconditions à appliquer sur du contenu

Permet à l'utilisateur d'appliquer le modèle définit par Permet à l'utilisateur d'appliquer le modèle définit par l'administrateur, plutôt que de devoir définir les l'administrateur, plutôt que de devoir définir les droits/conditions/utilisateurs individuellement à chaque droits/conditions/utilisateurs individuellement à chaque protectionprotection

Sans les gabarits, l'application de droits/utilisateurs/conditions Sans les gabarits, l'application de droits/utilisateurs/conditions serait rapidement fastidieuxserait rapidement fastidieux

ExemplesExemplesTout le mondeTout le monde peut visualiser, peut visualiser, seul l'auteurseul l'auteur peut modifier peut modifier

L’utilisateur désignéL’utilisateur désigné peut visualiser le contenu pendant un mois peut visualiser le contenu pendant un mois

Soumission d'un manuscrit à une maison d'éditionSoumission d'un manuscrit à une maison d'édition

Offre d'un contrat d'emploi limitée dans le tempsOffre d'un contrat d'emploi limitée dans le temps

Tout le mondeTout le monde peut visualiser, sauf partenaires et clients externes peut visualiser, sauf partenaires et clients externes

Classification/labellisationClassification/labellisation

Non protégé, Diffusion Restreinte, Confidentiel DéfenseNon protégé, Diffusion Restreinte, Confidentiel Défense

Gabarits (Templates)Gabarits (Templates)

Création à l'aide des pages d'administration RMSCréation à l'aide des pages d'administration RMSLes gabarits source résident dans la base SQLLes gabarits source résident dans la base SQL

On les publie sur un point de distributionOn les publie sur un point de distribution

Typiquement on les rend disponibles sur un partage réseau, ou Typiquement on les rend disponibles sur un partage réseau, ou on les place sur les disques des postes par un moyen au choix on les place sur les disques des postes par un moyen au choix (GPO, SMS, etc.)(GPO, SMS, etc.)

Outlook 2003Outlook 2003Utilisation obligatoire de gabarits pour l'application d'une Utilisation obligatoire de gabarits pour l'application d'une protection fine (au delà du « protection fine (au delà du « do not forwarddo not forward ») »)

Comme par exemple pour définir une expiration de contenuComme par exemple pour définir une expiration de contenu

Bénéfices de la technologie RMSBénéfices de la technologie RMSMeilleure protection de l’information sensibleMeilleure protection de l’information sensible

Conserver l’information interne en interneConserver l’information interne en interne

Les contenus protégés ne peuvent être consultés que par les Les contenus protégés ne peuvent être consultés que par les personnes dûment autoriséspersonnes dûment autorisés

Étendre les technologies de sécurité de type « périmètre de sécurité »Étendre les technologies de sécurité de type « périmètre de sécurité »

Protection persistante Protection persistante Protéger l’information sensible où qu’elle ailleProtéger l’information sensible où qu’elle aille

Le contenu protégé est chiffré avec des techniques de chiffrement Le contenu protégé est chiffré avec des techniques de chiffrement moderne (AES 128 bit)moderne (AES 128 bit)

Imposer numériquement la politique de l’entreprise définie avec les Imposer numériquement la politique de l’entreprise définie avec les gabaritsgabarits

Les utilisateurs/producteurs d’information peuvent définir précisément Les utilisateurs/producteurs d’information peuvent définir précisément l’usage que peuvent en faire les destinataires/consommateursl’usage que peuvent en faire les destinataires/consommateurs

Technologie souple et extensibleTechnologie souple et extensibleS’intégrer avec les applications usuelles et facilité d’utilisationS’intégrer avec les applications usuelles et facilité d’utilisation

S’appuie sur les adresses e-mails et groupes familiers (liste de S’appuie sur les adresses e-mails et groupes familiers (liste de distribution dans AD)distribution dans AD)

Offrir la souplesse attendue pour désigner un contrôle de l’usage vis-Offrir la souplesse attendue pour désigner un contrôle de l’usage vis-à-vis d’une population d’utilisateursà-vis d’une population d’utilisateurs

Permettre le développement de solutions personnalisées via les Permettre le développement de solutions personnalisées via les SDKsSDKs

Bénéfices du SP1Bénéfices du SP1

Suppression de la nécessité d’une connexion Internet pour le Suppression de la nécessité d’une connexion Internet pour le déploiementdéploiement

Possibilité pour des tierces parties d’intégrer la protection Possibilité pour des tierces parties d’intégrer la protection d’information RMS au sein d’applications serveurd’information RMS au sein d’applications serveur

Intégration « SmartCard » pour un niveau supplémentaire de sécuritéIntégration « SmartCard » pour un niveau supplémentaire de sécurité

Conformité avec FIPS (Conformité avec FIPS (Federal Information Processing StandardsFederal Information Processing Standards))

Déploiement facilité avec des technologies Microsoft familières Déploiement facilité avec des technologies Microsoft familières comme SMScomme SMS

Support de la sécurité dynamique basée sur les rôles afin d’appliquer Support de la sécurité dynamique basée sur les rôles afin d’appliquer des politiques RMS basées sur des groupes dynamiques et définies des politiques RMS basées sur des groupes dynamiques et définies par des requêtes d’AD sur certains attributspar des requêtes d’AD sur certains attributs

Support de Virtual PCSupport de Virtual PC

Processus d’authentification pour RPC sur HTTP afin d’offrir une Processus d’authentification pour RPC sur HTTP afin d’offrir une meilleure expérience utilisateurmeilleure expérience utilisateur

Déploiement de RMS SP1 au sein d’environnement v1.0Déploiement de RMS SP1 au sein d’environnement v1.0

Amélioration des outils et des recommandations avec le RMS SP1 Amélioration des outils et des recommandations avec le RMS SP1 ToolkitToolkit

Télécharger RMS SP1Télécharger RMS SP1

« « Windows RMS SP1Windows RMS SP1»»http://www.microsoft.com/downloads/details.aspx?FamilyId=8EF6D80A-http://www.microsoft.com/downloads/details.aspx?FamilyId=8EF6D80A-6A9C-4FB9-AB51-790980816FFE&displaylang=en6A9C-4FB9-AB51-790980816FFE&displaylang=en

« « Windows RMS SP1 Client Windows RMS SP1 Client »»http://www.microsoft.com/downloads/details.aspx?FamilyId=A154648C-http://www.microsoft.com/downloads/details.aspx?FamilyId=A154648C-881A-41DA-8455-042D7033372B&displaylang=en881A-41DA-8455-042D7033372B&displaylang=en

« « Windows RMS SP1 Client & Server SDKsWindows RMS SP1 Client & Server SDKs » »http://www.microsoft.com/downloads/details.aspx?FamilyId=3C918424-http://www.microsoft.com/downloads/details.aspx?FamilyId=3C918424-40E6-4CB9-BCBD-E89686F036A3&displaylang=en40E6-4CB9-BCBD-E89686F036A3&displaylang=en

« « Windows RMS SP1 Administrative Toolkit Windows RMS SP1 Administrative Toolkit »»http://www.microsoft.com/downloads/details.aspx?FamilyId=B287CEC3-http://www.microsoft.com/downloads/details.aspx?FamilyId=B287CEC3-B6CA-4C0B-A9F5-11428092CC3F&displaylang=enB6CA-4C0B-A9F5-11428092CC3F&displaylang=en

« « Rights Management Add-on for Internet ExplorerRights Management Add-on for Internet Explorer »»http://www.microsoft.com/windows/ie/downloads/addon/rm.mspx http://www.microsoft.com/windows/ie/downloads/addon/rm.mspx

Pour plus d’informationsPour plus d’informations

« « Windows Rights Management ServicesWindows Rights Management Services » »http://www.microsoft.com/windowsserver2003/technologies/http://www.microsoft.com/windowsserver2003/technologies/rightsmgmt/default.mspxrightsmgmt/default.mspx

« « TechNet Virtual Lab: Rights Management Services Virtual TechNet Virtual Lab: Rights Management Services Virtual LabLab » »

http://www.microsoft.com/technet/traincert/virtuallab/rms.mspxhttp://www.microsoft.com/technet/traincert/virtuallab/rms.mspx

« « Deploying Windows Rights Management Services at MicrosoftDeploying Windows Rights Management Services at Microsoft » »

httphttp://www.microsoft.com/technet/itsolutions/msit/infowork/://www.microsoft.com/technet/itsolutions/msit/infowork/deprmswp.mspxdeprmswp.mspx

Microsoft FranceMicrosoft France18, avenue du Québec18, avenue du Québec

91 957 Courtaboeuf Cedex91 957 Courtaboeuf Cedex

www.microsoft.com/france

0 825 827 8290 825 827 829

[email protected]@microsoft.com

http://www.microsoft.com/france

Gestion de droits numériques en entreprise avec RMS SP1 Philippe Beraud Consultant Principal...

Documents

Transcript of Gestion de droits numériques en entreprise avec RMS SP1 Philippe Beraud Consultant Principal...