Из Википедии, бесплатной энциклопедии
Перейти к навигации Перейти к поиску

Службы управления правами Active Directory ( AD RMS , известные как службы управления правами или RMS до Windows Server 2008 ) - это серверное программное обеспечение для управления правами на информацию, поставляемое с Windows Server . Он использует шифрование и форму выборочного отказа в функциональности для ограничения доступа к таким документам, как корпоративная электронная почта , документы Microsoft Word и веб-страницы., и операции, которые авторизованные пользователи могут выполнять с ними. Компании могут использовать эту технологию для шифрования информации, хранящейся в таких форматах документов, и с помощью политик, встроенных в документы, предотвращать расшифровку защищенного контента, за исключением определенных людей или групп, в определенных средах, при определенных условиях и в течение определенных периодов времени. . Конкретные операции, такие как печать, копирование, редактирование, пересылка и удаление, могут быть разрешены или запрещены авторами контента для отдельных частей контента, и администраторы RMS могут развертывать шаблоны RMS, которые группируют эти права вместе в заранее определенные права, которые можно применять массово .

RMS дебютировал в Windows Server 2003 , а библиотеки клиентского API стали доступны для Windows 2000 и более поздних версий. Клиент управления правами включен в Windows Vista и более поздние версии , доступен для Windows XP , Windows 2000 или Windows Server 2003. [1] Кроме того, в Office для Mac есть реализация AD RMS для использования защиты прав в OS X и некоторые сторонние продукты доступны для защиты прав на Android , Blackberry OS , iOS и Windows RT . [2] [3]

Атаки на возможности применения политик [ править ]

В апреле 2016 года была опубликована предполагаемая атака на реализации RMS (включая Azure RMS), о которой было сообщено в Microsoft . [4] [5]Опубликованный код позволяет авторизованному пользователю, которому было предоставлено право просматривать документ, защищенный RMS, снять защиту и сохранить форматирование файла. Такой вид манипуляции требует, чтобы пользователю были предоставлены права на расшифровку контента, чтобы иметь возможность его просматривать. Хотя служба управления правами делает определенные утверждения безопасности относительно невозможности доступа неавторизованных пользователей к защищенному контенту, различие между различными правами использования для авторизованных пользователей считается частью ее возможностей по обеспечению соблюдения политик, которые, по утверждению Microsoft, будут реализованы как «максимальные усилия», поэтому Microsoft считает это не проблемой безопасности, а ограничением применения политики.Ранее RMS SDK принудительно подписывал код с использованием возможностей RMS, чтобы обеспечить определенный уровень контроля над тем, какие приложения взаимодействуют с RMS, но эта возможность была позже удалена из-за ее ограниченной способности ограничивать такое поведение, учитывая возможность писать приложения с использованием веб-сервисы напрямую для получения лицензий на расшифровку контента.[6]

Кроме того, используя этот же метод, пользователь, которому предоставлены права на просмотр защищенного документа, может манипулировать содержимым документа, не оставляя следов манипуляции. Поскольку Azure RMS не является решением для предотвращения отказа от авторства и, в отличие от решений для подписи документов, не претендует на предоставление возможностей защиты от несанкционированного доступа, а поскольку изменения могут вносить только пользователи, которым предоставлены права на документ, Microsoft не учитывает Позже проблема станет реальной атакой на заявленные возможности RMS. [7] Исследователи предоставляют инструмент проверки концепции, позволяющий оценить результаты через GitHub . [8]

Поддержка программного обеспечения [ править ]

RMS изначально поддерживается следующими продуктами:

Сторонние решения, такие как решения от Secure Islands (приобретенных Microsoft ), GigaTrust и Liquid Machines (приобретенных Check Point ), могут добавлять поддержку RMS к следующему:

  • SharePoint 2003 [10] [11] [12]
  • Microsoft Visio
  • Microsoft Project [13] [12]
  • Adobe Acrobat [14] [15] [12] [16]
  • Internet Explorer
  • IIS 6.0

См. Также [ править ]

  • Серверы Microsoft

Ссылки [ править ]

  1. ^ Клиент службы управления правами Microsoft Windows с пакетом обновления 2 - x86
  2. ^ http://www.rmsviewer.com/
  3. ^ "Архивная копия" . Архивировано из оригинала на 2012-10-31 . Проверено 14 октября 2013 .CS1 maint: заархивированная копия как заголовок ( ссылка )
  4. ^ Майнка, Кристиан; Грот, Мартин (2016-08-01). «Как нарушить работу служб управления правами Microsoft» . О веб-безопасности и небезопасности . Кафедра безопасности сети и данных Рурского университета Бохума . Проверено 4 августа 2016 .
  5. ^ Майнка, Кристиан; Грот, Мартин (2016-08-04). «Как нарушить работу служб управления правами Microsoft» . WOOT '16–10 Семинар USENIX по наступательным технологиям . Симпозиум по безопасности USENIX . Проверено 4 августа 2016 .
  6. ^ «Создание манифеста управления правами» . Сеть разработчиков Microsoft . Microsoft . Проверено 6 октября 2017 .
  7. ^ «Часто задаваемые вопросы по AD RMS» . MicrosoftDocs . Microsoft . Проверено 6 октября 2017 .
  8. ^ Майнка, Кристиан; Гроте, Мартин (07.07.2016). «MS-RMS-атаки» . MS-RMS-атаки . GitHub . Проверено 4 августа 2016 .
  9. ^ «Планирование управления правами на доступ к данным в Office 2013» . TechNet . Проверено 24 ноября 2015 .
  10. ^ "Архивная копия" . Архивировано из оригинала на 2013-02-02 . Проверено 13 июля 2010 .CS1 maint: заархивированная копия как заголовок ( ссылка )
  11. ^ "Архивная копия" . Архивировано из оригинала на 2013-02-16 . Проверено 31 января 2013 .CS1 maint: заархивированная копия как заголовок ( ссылка )
  12. ^ a b c «GigaTrust объявляет о выпуске Adobe® Rights-Management Protector для Microsoft® Office SharePoint Server 2007 (MOSS 2007)» . Архивировано из оригинала на 2008-05-17 . Проверено 18 февраля 2009 .
  13. ^ "Архивная копия" . Архивировано из оригинала на 2013-02-02 . Проверено 13 июля 2010 .CS1 maint: заархивированная копия как заголовок ( ссылка )
  14. ^ "Архивная копия" . Архивировано из оригинала на 2013-02-16 . Проверено 31 января 2013 .CS1 maint: заархивированная копия как заголовок ( ссылка )
  15. ^ http://www.prnewswire.com/news-releases/gigatrust-launches-new-rms-desktop-pdf-client-for-adobe-with-comprehensive-reporting-auditing-and-compliance-capability-277422531.html
  16. ^ http://www.foxitsoftware.com/products/rms/

Внешние ссылки [ править ]

  • Службы управления правами Windows
  • Загрузки клиента RMS
  • RMS SDK для приложений, поддерживающих RMS
  • Устранение неполадок служб управления правами Windows (RMS) - предупреждение об одном корневом сервере сертификации
  • Управление правами Active Directory - Резюме
  • SDK 2.0 служб управления правами Active Directory
  • Службы управления правами Active Directory - TechNet
  • Службы управления правами Active Directory - MSDN
  • Secure Islands IQProtector - защита и контроль информации с помощью Microsoft RMS
  • Технический обзор Windows RMS