Il servizio Rights Management Service (RSM) è una tecnologia per la protezione dei documenti ed e-mail da un uso non autorizzato tramite applicazioni abilitate al servizio RMS .
L'aspetto della sicurezza dei dati aziendali è ormai recepito come un fattore vitale per il business svolto anche dalle persone predisposte ad autorizzare "spese informatiche" che spesso non hanno un bagaglio tecnico adeguato alle spalle. La sicurezza di una rete non deve essere curata solo ed unicamente per le intrusioni dall'esterno, ma la protezione dei documenti da chiunque non sia autorizzato all'uso è un aspetto generale.
Nel mercato sono presenti diverse tecnologie per la protezione dei documenti più o meno efficienti, più o meno complesse e più o meno costose. Cosa adottare per l'azienda dipende principalmente dalle esigenze specifiche e anche dalle risorse tecnico/finanziarie disponibili.
Già sul mercato da qualche hanno, Microsoft ha introdotto una soluzione per rafforzare la sicurezza della rete mirata alla protezione dei documenti tramite il servizio Rights Management Service (RMS). RMS introdotto per la versione Windows Server 2003, in Windows Server 2008 RMS è già incluso ed è stato rinominato in Active Directory Rights Management Services per riflettere un più alto livello di integrazione con Active Directory.
Blog serie
Rights Management Service: introduzione - pt.1
Rights Management Service: gestione del servizio - pt.2
Perchè utilizzare Rights Management Server
-
Sistemi basati su ACL ed Encryption come EFS, ad esempio, non sono efficaci se il file viene spostato dalla partizione NTFS (copiato su un floppy, CD, USB pen).
-
Documenti protetti con password possono essere facilmente craccati.
-
Se assegno i diritti READ ONLY ad un documento, l'operazione di copia & incolla del contenuto in un altro documento non può essere bloccata.
- Se il dispositivo che contiene i documenti viene perso o rubato, il contenuto può essere accessibile a chiunque.
-
RMS rende lo scambio della documentazione interna ad un'azienda più sicura.
-
RMS è FIPS compliant.
-
E' un service che non necessita costi aggiuntivi per la licenza.
Cosa fa RMS
- Tutti i documenti ed e-mail che si appoggiano a RMS sono criptati.
- La crittografia rimane allegata al file mentre sistemi come EFS proteggono i documenti solo se fisicamente salvati sulla partizione NTFS.
- A differenza di EFS, RMS lavora anche con i gruppi AD per l'assegnazione dei diritti.
- E' possibile assegnare diverse tipologie di protezione a documenti ed e-mails: read only, modify, copy, print, forwarding, etc.
I limiti di RMS
- In termini di sicurezza, il solo RMS non garantisce il grado più alto di protezione rispetto alla tecnologia PKI, ma scoraggia e rende più complicati eventuali tentativi di intrusione.
- Non protegge i documenti da foto, registrazioni vocali e screen capturing tools diversi da Microsoft.
Prerequisiti
Per il funzionamento di RMS server sono richiesti i seguenti componenti:
- Windows Server 2003
- Active Directory
- SQL server 200x
- ASP.Net
- Message Queuing
- IIS
- RMS server SP2 (solo per la versione 2003, nella versione 2008 è già incluso)
Per il funzionamento di RMS client i requisiti sono i seguenti:
- Office 2003, 2007 Professional - per pubblicare i documenti (publish)
- Office 2003, 2007 Standard - per accedere documenti (consume)
- RMS client SP2 (solo per Office 2003)
- RMS add-on (solo per Internet Explorer 6.0) - permette di accedere ai documenti protetti senza avere Office installato.
La distribuzione dell'RMS client può essere effettuata tramite GPOs, SMS o manualmente.
La topologia RMS
Il core system è composto da un server RMS (licensing server) che gestisce le licenze per effettuare il publishing e consuming (protezione e accesso) dei documenti e un server SQL che gestisce i tre database creati da RMS: Configuration, Directory Services e Logging.
La perdita del licensing server non compromette la funzionalità del servizio RMS mentre la perdita o danneggiamento del database RMS comporta un danno talvolta irreversibile nel recupero dei documenti. Per questo motivo è fortemente consigliabile tenere l'RMS e il database SQL su server diversi .
A seconda della struttura di rete, i licensing server possono essere distribuiti su varie locazioni nel caso di linee lente, un workload eccessivo, etc.
RMS è implementato a livello di forest nell'AD quindi tutti i domini membri possono beneficiare di questo servizio. Due forest possono utilizzare lo stesso servizio RMS stabilendo una trust relationship.
RMS è molto funzionale, relativamente semplice da implementare e soprattutto è un servizio aggiuntivo che non comporta nessun costo in termini di licenze.
Per affermare un progetto di questo tipo presso un'azienda o al management dove implica un "piccolo" stravolgimento della rete presente non sempre è un'impresa semplice. La presentazione deve fare leva sugli aspetti chiave della sicurezza e deve essere supportata da una demo ben fatta in modo da mostrare l'utilizzo pratico e i benefici per l'azienda anche a chi tecnicamente non è ferrato. Far cambiare certe abitudini può a volte essere più complicato che implementare un sistema come RMS.
