Guest writer: Anders Olsson on Active Directory Rights Management Services

  • Article

Här kommer en text författad av Anders Olsson. Anders driver den svenska Forefront-bloggen, och jobbar som IT säkerhetskonsult på Onevinn med fokus på Microsoft Forefront.

Här kommer texten, enjoy!:

Vi är oftast duktiga på att skydda våra servrar och klienter. Vi har allt ifrån brandväggar till antimalware för att skydda våra tjänster från otillåten access och hålla maskinera rena från skadlig kod. Något som många dock missar är att skydda vår data och själva informationen, som faktiskt är det mest kritiska för de allra flesta företag och myndigheter. Hur hanterar vi viktiga dokument, allt ifrån till sekretessklassad och konfidentiell känslig information, som lämnar företaget antingen via e-post eller USB minnen och dylikt. Hur ser vi till att informationen inte kommer i fel händer?

På TechDays i april körde jag tillsammans med min kollega Tom en session om hur man erhåller en säker infrastruktur med hjälp av bl.a. säkerhetsfunktioner som ingår i Windows. Sessionssalen var fullsatt och tyvärr var det många som inte fick plats. Under sessionen ställde vi frågan till en publik på drygt 200 personer om de nyttjade AD RMS för att skydda konfidentiell information och med förvåning kunde vi se att i stort sett ingen i salen hade hört talas om funktionen eller nyttjade den. Efter sessionen var det många som besökte Onevinns monter och utryckte samma konstaterande "Det är ju faktiskt idioti att inte använda den här tekniken" vilket ligger till grund för den här artikeln.

AD RMS står för Active Directory Rights Management Services och med den kan du styra vem som får ta del av dokument du författat och även vad personen i fråga får göra med dokumentet.

Du kan avgöra om man får se, editera, kopiera innehåll eller skriva ut dokumentet, för att förhindra att informationen kommer på villovägar. Med AD RMS kan du skriva ett dokument och se till att enbart de personer du vill kan få ta del av informationen oavsett vart filen (dokumentet) befinner sig. Du kan också tidsbegränsa hur länge informationen ska vara tillgänglig och på ett "Mission Impossible-liknande" sätt styra så informationen inte längre är nåbar efter ett visst datum.

Tekniken är integrerad i Officepaketet men även i SharePoint och Exchange, vilket ger möjlighet att dels automatisera så alla dokument som sparas på en viss SharePoint site blir RMS-skyddade med rätt säkerhetskrav och exempelvis inte är läsbar för icke anställda. Integrationen i Exchange och Outlook ger möjlighet att RMS-skydda hela mail där intern säkerhetsklassad information som går ut till anställda förhindras från att vidarebefordras, kopieras, ta printscreens eller skrivas ut.

Hur kommer man igång med AD RMS då?

Först och främst behöver vi en (eller helst två för redundans) AD RMS-server och det här är en roll du installerar på förslagsvis en Windows 2008 R2 (med SP1 för att stödja högre kryptering med SHA-2/RSA 2048 bitars).

På AD RMS-servern kan vi konfigurera färdiga mallar som förenklar för användarna när de vill skydda sina olika typer av dokument.

AD RMS-stöd är integrerat i Office (Enterprise, Professional Plus eller Ultimate) från 2003 och framåt, det finns även tredjepartsprodukter som ger möjlighet att RMS-skydda andra typer av dokument exempelvis pdf och cad-filer.

Användaren styr sedan rättigheterna till sitt dokument direkt från Office och kan här antingen styra exakt mottagare av dokumentet eller välja någon av de mallar som företagetfördefinierat.

Om mottagaren har rätt att öppna dokumentet redovisas även behörigheterna på dokumentet och ger även möjlighet för användaren att begära ytterligare behörighet.

En mottagare som har fått ett AD RMS-skyddat mail där man enbart tillåter att läsa informationen har ingen möjlighet att vidarebefordra eller kopiera informationen. Naturligtvis kan man inte hindra användaren att fotografera skärmen men man minskar risken för informationsspridning och det skulle i så fall vara en medveten handling om att man gjorde något otillåtet.

Användaren kan styra vem mottagaren av dokumentet är baserat på användarkontot i Active Directory, både den egna domänen och federerade domäner. Det är även möjligt att ge en extern mottagare behörighet att läsa dokumentet, genom att använda Microsoftkonton som tillexempel Office365 eller Hotmail/Live-adresser.

Under ett införande projekt är AD RMS själva tekniken, men det största arbetet handlar om att identifiera och klassificera  informationen för att få ut så mycket som möjligt av AD RMS som verktyg.

Det mest kritiska för en verksamhet är det oftast själva informationen, vilket är viktigt att ha i åtanke i alla IT-projekt.