?What are Right Management Services

9 בפברואר 2008

אין תגובות

מבוא

כיום בארגונים קיימות הגבלות רבות שניתן ליישם בכדי לשמור על פרטיות המסמכים.

ישנם פתרונות כגון:

1. הגדרת הרשאות NTFS ומתן או הסרת הרשאות בהתאם.

2. הצפנת קובץ בסיסמא שידועה למצפין בלבד.

 

כשמשתמש פותח קובץ Office לאחר שהוא עבר את מנגנון ההרשאות וההצפנה, האם ישנן הגבלות כלשהן?

התשובה היא לא!

לכן, Microsoft פיתחה מוצר הנקרא RMS) Rights Management Service) המוסיף שכבה בה תוגדר

מדיניות ברזולוציה של פעולות על המסמך, לדוגמא:

עמי כתב מסמך, אך אינו רוצה לפרסם אותו לכלל החברה, אלא רק לרשימת התפוצה אליה הוא שולח את

המסמך בדוא"ל.

יוסי, שנמצא ברשימת התפוצה, קיבל את הדוא"ל, אך כעת הוא רוצה להעבירו לגורם אחר שאינו מורשה.

למרות נסיונותיו של יוסי לשלוח את הדוא"ל הוא אינו מצליח היות ואין לו פריבילגיות מלבד קריאה על

המסמך.

אני מניח שחלקכם אומרים שניתן להדפיס את המסמך, לשמור בשם או לערוך אותו (כגון Copy-Paste)…

ובכן, גם על הפעולות הללו קיימות פריבילגיות ספציפיות.

נוסף על כך, ניתן לקבוע אף תוקף למסמכים כך שאם הם אינם רלוונטיים – לא תהיה אליהם גישה.

 

אילו ארגונים אמורים להתעניין במוצר?

למעשה כל הארגונים אמורים להתעניין בפתרון המוצע. אתן הסבר קצר על הארגונים הביטחוניים

והפיננסיים.

ארגונים ביטחוניים – ישנן רשתות המוגדרות בסיווגים שונים, לדוגמא קיימת רשת שהיא בסיוג שמור עד סודי.

האם כל המשתמשים הם בעלי סיווג סודי? התשובה היא שלילית.

האם המשתמשים בעלי הסיווג השמור יכולים לקבל ולקרוא מסמכים בסיווג סודי אף על פי שאינם מסווגים

בהתאם? חיובי!

ארגונים פיננסיים – בחלק מהארגונים קיימות כספות של קבצים.

האם משתמש פריבילגי יכול לשלוח לגורם אחר ללא הרשאה את הקובץ? אכן כן.

במידה ונשמר אחד המסמכים מהכספת מקומית על המחשב, האם גם אז המסמך מוגן? לא, יכול לבוא

משתמש אחר ולהכנס לקובץ (מותנה בהרשאות NTFS).

 

כיצד הטכנולוגיה עובדת?

1. עורך המסמך מקבל משרת ה – RMS אישור לתת רשיונות הנקראת Client Licensor Certificate.

קבלת זכות זו מתבצעת פעם אחת בלבד ונשמרת לצורך שימוש עתידי.

חשוב לציין כי לאחר קבלת ה – Client Licensor Certificate ניתן יהיה להגביל את המסמכים גם תוך כדי

עבודה במצב Offline.

2. העורך משתמש באפליקציה התומכת ב – RMS (לדוגמא: Office 2003 Pro ומעלה) בכדי ליצור זכויות

והגדרות נוספות (כגון הגדרת פג תוקף)על המסמך. פעולה זו מגדירה מדיניות לשימוש בקובץ,

דבר הנקרא Publishing License.

3. האפליקציה מצפינה את הקובץ באמצעות המפתח הסימטרי של העורך. היות ויש צורך להעביר את

המפתח הסימטרי,

המפתח הציבורי (Public Key) של שרת ה – RMS של העורך מצפין את המפתח הסימטרי.

המפתח הסימטרי המוצפן מוכנס לתוך רשיון פרסום הקובץ (Publishing License).

לאחר מכן ה – Publishing License כורך את עצמו סביב הקובץ המוצפן.

4. העורך מפיץ את המסמך לנמען או לנמענים.

5. לאחר קבלת המסמך הנמען מנסה לפתוח את הקובץ באמצעות אפליקצייה שתומכת ב – RMS.

אם אין לנמען Certificate אזי זה השלב בו הוא צריך לקבל אותו.

6. האפליקציה שולחת לשרת ה – RMS שהנפיק את ה – Publishing License בקשה לשימוש בקובץ.

הבקשה מכילה את המפתח הציבורי של הנמען (יוסבר בהמשך) ואת ה – Publishing License שבו יש את

המפתח הסימטרי המוצפן שנדרש לפתיחת הקובץ.

הערה: למרות שהעורך הוא זה שיצר בפועל את ה – Publishing License, בתוך

ה – Publishing License קיים URL לשרת ה – RMS של העורך,

וזאת כדי לדעת לאן לשלוח את הבקשה הנ"ל.

7. שרת ה – RMS בודק כי הנמען הוא מורשה לשימוש בקובץ, ויוצר רשיון שימוש בהתאם למדיניות

שהוגדרה לו.

תוך כדי הבדיקה השרת מפענח את המפתח הסימטרי שנשלח אליו היות ויש לו את המפתח הפרטי.

לאחר מכן השרת מצפין את המפתח הסימטרי באמצעות המפתח הציבורי של הנמען בכדי שיוכל

לפענח את המידע כשיגיע אליו.

8. רשיון השימוש והמפתח המוצפן מועברים יחד לנמען.

9. האפליקציה בודקת את המדיניות של המשתמש ונותנת לו גישה בהתאם להגדרות העורך.

 

האם ניתן לישם גם מחוץ לארגון?

ניתן ליישם את הטכנולוגיה הן בתוך הארגון והן מחוץ לארגון.

בפועל המשתמש מחוץ לארגון צריך רק Certificate וגישה לשרת שהנפיק את ה – Publishing License.

להלן השיטות המאפשרות שימוש מחוץ לארגון:

1. שימוש בחשבון בתוך ה – Active Directory של הארגון.

2. שימוש בחשבון של ארגון אחר שניתנת לו גישה לשרת ה – RMS הארגוני.

3. שימוש בחשבון.NET Passport.

 

————————————————

Nir Valtman

Information Security Consultant

http://www.avnet.co.il/

————————————————-

הוסף תגובה
facebook linkedin twitter email

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *