NoLabNoPartY.com » rms

Rights Management Service: gestione del servizio

P@olo — Fri, 18 Jul 2008 10:52:48 +0000

Una volta implementato il servizio RMS, è fondamentale che tutte le componenti siano pienamente funzionanti per limitare al minimo il rischio di failure del sistema e quindi di accesso ai documenti protetti.

Il recupero dei documenti protetti infatti può rivelarsi impossibile dovuto ad una errata configurazione. Un’attenta pianificazione seguita da un’accurata fase di test è quindi fortemente consigliata.

1. CONFIGURAZIONE
Per un funzionamento ottimale di RMS, seguire alcune semplici regole può evitare dei forti mal di testa.

Il servizio RMS non dovrebbe risiedere su domain controller o Exchange server onde evitare il workload dei sistemi con conseguenti rallentamenti dei servizi svolti.
Nel DNS, è opportuno creare un CNAME alias dell’URL definito nell’SCP (Service Connection Point) anzichè il nome del server perchè nel caso di una sostituzione del server o cambio dell’IP del server stesso, il servizio continua a funzionare e non viene interrotto (in configurazione cluster). Si possono utilizzare più CNAME dello stesso url che puntano su diversi server.

Utilizzare un servizio web (IIS) dedicato solo per RMS.
I certificati per la protezione dei documenti vengono emessi basandosi sull’indirizzo e-mail dell’account. Verificare che ad ogni account venga attribuito un indirizzo e-mail.
Per generare il certificato è meglio utilizzare il nome del cluster.
E’ fortemente consigliato che il servizio RMS e il database SQL risiedano fisicamente su due server diversi. Un server SQL generalmente dovrebbe essere configurato in maniera da garantire tempi minimi di ripristino in caso di crash (cluster, backup). Da non dimenticare che tutte le info, certificati e configurazioni risiedono nel database SQL.
Per attivare SCP (registrare l’url in Active Directory) sono richiesti i diritti di Enterprise Admin. Se l’SCP è stato precedentemente registrato e devo re-installare da zero il servizio RMS, SCP va rimosso.

2. RIMUOVERE SCP
Per rimuovere l’SCP, si può procedere tramite la console grafica Windows RMS Administration.

Un altro metodo per effettuare l’operazione è tramite lo snap-in ADSIEDIT.MSC (si trova nei Support Tools in W2K3) connettendosi alla Configuration naming context. Aprire il nodo cn=Services e cancellare il nodo cn=RightManagementService che rimuoverà il Service Connection Point. Attenzione ad utilizzare questo tool.

Come alternativa è possibile utilizzare il DRM Toolkit lanciando il comando:

ADSCPRegister:ADSCPRegister unregisterscp https://my_domain/_wmcs/Certification

Il comando ADSCPRegister permette la registrazione dell’SCP in Active Directory. E’ utile nel caso non si abbiano sufficienti diritti in AD: mando l’istruzione all’Enterprise Admin per farla eseguire ed effettuare quindi la registrazione. Evito inoltre che altri accedano al server.

3. SOSTITUIRE IL SERVER RMS
Se ci troviamo nella situazione di dover sostituire un server impiegato per il servizio RMS (hardware obsoleto, upgrade, etc.), l’operazione è semplice in quanto è sufficiente installare un nuovo server nel cluster e rimuovere il vecchio.

Una volta configurato il nuovo server, questo deve essere aggiunto nel cluster.
Nel vecchio server da rimuovere deve essere fatta l’operazione di unprovisioning (riduzione del numero dei servers nel cluster) che ne azzera la configurazione.
Il CNAME precedentemente impostato nel DNS deve essere aggiornato per far puntare l’URL al nuovo server.
Aggiornare l’eventuale load balancing se impostato.

4. RIMUOVERE IL SERVIZIO RMS
Se spengo il server RMS, tutti i documenti protetti non sono più accessibili. Per la corretta rimozione del servizio RMS deve essere effettuata l’operazione di decommisioning per ripristinare l’accesso ai documenti. Tutti i servers coinvolti devono essere messi in questo stato.

Quando il server è in uno stato di decommissioning, solo le use licenses vengono fornite. Per rimuovere tutte le protezioni è quindi sufficiente aprire il documento protetto e poi salvarlo.

Questa procedura è utile nel caso il progetto pilota non venga approvato.

5. BACKUP E DISASTER RECOVERY
Tutte le informazioni, configurazioni e licenze (chiave pubblica e privata) di RMS risiedono nel database SQL, quindi il backup del database è fondamentale. SQL dovrebbe garantire un sistema di fault tolerance (cluster) per evitare blocchi del servizio e naturalmente una strategia di backup adeguata in base all’utilizzo del servizio.

Stesso discorso vale per il server RMS il quale deve essere adeguatamente protetto contro potenziali failures. Per questo scopo possono essere utilizzati sistemi di ripristino come Ghost, Symantec BackupExec o altri per effettuare un veloce ripristino del server.

L’utilizzo di una configurazione cluster (2 front-end) evita il blocco del servizio a patto che il database sia sempre accessibile e funzionante.

Hai già letto questi articoli?

Rights Management Service: introduzione

P@olo — Tue, 08 Jul 2008 10:26:11 +0000

L’aspetto della sicurezza dei dati aziendali è ormai recepito come un fattore vitale per il business svolto anche dalle persone predisposte ad autorizzare “spese informatiche” che spesso non hanno un bagaglio tecnico adeguato alle spalle. La sicurezza di una rete non deve essere curata solo ed unicamente per le intrusioni dall’esterno, ma la protezione dei documenti da chiunque non sia autorizzato all’uso è un aspetto generale.

Nel mercato sono presenti diverse tecnologie per la protezione dei documenti più o meno efficienti, più o meno complesse e più o meno costose. Cosa adottare per l’azienda dipende principalmente dalle esigenze specifiche e anche dalle risorse tecnico/finanziarie disponibili.

Già sul mercato da qualche hanno, Microsoft ha introdotto una soluzione per rafforzare la sicurezza della rete mirata alla protezione dei documenti tramite il servizio Rights Management Service (RMS). RMS introdotto per la versione Windows Server 2003, è una tecnologia per la protezione dei documenti ed e-mail con applicazioni abilitate al servizio RMS per favorire la salvaguardia delle informazioni digitali da un uso non autorizzato.

In Windows Server 2008, RMS è già incluso ed è stato rinominato in Active Directory Rights Management Services per riflettere un più alto livello di integrazione con Active Directory.

1. PERCHE’ RMS

Sistemi basati su ACL ed Encryption come EFS, ad esempio, non sono efficaci se il file viene spostato dalla partizione NTFS (copiato su un floppy, CD, USB pen).
Documenti protetti con password possono essere facilmente craccati.
Se assegno i diritti READ ONLY ad un documento, l’operazione di copia & incolla del contenuto in un altro documento non può essere bloccata.
Se il dispositivo che contiene i documenti viene perso o rubato, il contenuto può essere accessibile a chiunque.
RMS rende lo scambio della documentazione interna ad un’azienda più sicura.
RMS è FIPS compliant.
E’ un service che non necessita costi aggiuntivi per la licenza.

2. COSA FA RMS

Tutti i documenti ed e-mail che si appoggiano a RMS sono criptati.
La crittografia rimane allegata al file mentre sistemi come EFS proteggono i documenti solo se fisicamente salvati sulla partizione NTFS.
A differenza di EFS, RMS lavora anche con i gruppi AD per l’assegnazione dei diritti.
E’ possibile assegnare diverse tipologie di protezione a documenti ed e-mails: read only, modify, copy, print, forwarding, etc.

3. I LIMITI DI RMS

In termini di sicurezza, il solo RMS non garantisce il grado più alto di protezione rispetto alla tecnologia PKI, ma scoraggia e rende più complicati eventuali tentativi di intrusione.
Non protegge i documenti da foto, registrazioni vocali e screen capturing tools diversi da Microsoft.

4. I REQUISITI
Per il funzionamento di RMS server sono richiesti i seguenti componenti:

Windows Server 2003
Active Directory
SQL server 200x
ASP.Net
Message Queuing
IIS
RMS server SP2 (solo per la versione 2003, nella versione 2008 è già incluso)

Per il funzionamento di RMS client i requisiti sono i seguenti:

Office 2003, 2007 Professional – per pubblicare i documenti (publish)
Office 2003, 2007 Standard – per accedere documenti (consume)
RMS client SP2 (solo per Office 2003)
RMS add-on (solo per Internet Explorer 6.0) – permette di accedere ai documenti protetti senza avere Office installato.

La distribuzione dell’RMS client può essere effettuata tramite GPOs, SMS o manualmente.

5. LA TOPOLOGIA RMS
Il core system è composto da un server RMS (licensing server) che gestisce le licenze per effettuare il publishing e consuming (protezione e accesso) dei documenti e un server SQL che gestisce i tre database creati da RMS: Configuration, Directory Services e Logging.

La perdita del licensing server non compromette la funzionalità del servizio RMS mentre la perdita o danneggiamento del database RMS comporta un danno talvolta irreversibile nel recupero dei documenti. Per questo motivo è fortemente consigliabile tenere l’RMS e il database SQL su server diversi .

A seconda della struttura di rete, i licensing server possono essere distribuiti su varie locazioni nel caso di linee lente, un workload eccessivo, etc.

RMS è implementato a livello di forest nell’AD quindi tutti i domini membri possono beneficiare di questo servizio. Due forest possono utilizzare lo stesso servizio RMS stabilendo una trust relationship.

6. NOTE
RMS è molto funzionale, relativamente semplice da implementare e soprattutto è un servizio aggiuntivo che non comporta nessun costo in termini di licenze.

Per affermare un progetto di questo tipo presso un’azienda o al management dove implica un “piccolo” stravolgimento della rete presente non sempre è un’impresa semplice. La presentazione deve fare leva sugli aspetti chiave della sicurezza e deve essere supportata da una demo ben fatta in modo da mostrare l’utilizzo pratico e i benefici per l’azienda anche a chi tecnicamente non è ferrato. Far cambiare certe abitudini può a volte essere più complicato che implementare un sistema come RMS:-)…