По долгу службы я регулярно встречаюсь с заказчиками и рассказываю им о продуктах и технологиях Microsoft в области информационной безопасности. Разумеется, ни одна из этих встреч не обходится без сессии вопросов-ответов. Бывает, что эти вопросы приходят по почте. Так или иначе у меня уже скопилась достаточно большая подборка ЧАстых ВОпросов (Frequently Asked Questions, FAQ) и, соответственно, ответов на них, которой я и хотел бы поделиться с читателями этого блога. Возможно среди этих вопросов вы найдете и свои.
И первый блог-пост из серии “ЧаВо, оно же FAQ” мне бы хотелось посвятить некоторым вопросам, касающимся технологии Active Directory Rights Management Services (AD RMS), по которой, как правило, задается больше всего вопросов.
Q: Где найти документацию по установке и настройке RMS?
A: Ниже представлены ссылки на русскоязычную документацию по развертыванию AD RMS на базе Windows Server 2008
Кроме того в TechNet Library можете полностью локализованный раздел по RMS.
Q: Где хранится секретный ключ пользователя?
A:
- Machine Certificate
File name: CERT-Machine.drm file
Location: %USERPROFILE%\Local Settings\Application Data\Microsoft\DRM\ - Rights account certificate
File name prefix: GIC
Location: %USERPROFILE%\Local Settings\Application Data\Microsoft\DRM (для Windows Vista %USERPROFILE%\AppData\Local\Microsoft\DRM) - Client licensor certificate
File name prefix: CLC
Location: %USERPROFILE%\Local Settings\Application Data\Microsoft\DRM - Use license
File name prefix: EUL
Location: %USERPROFILE%\Local Settings\Application Data\Microsoft\DRM
Q: Может ли другой пользователь или локальный администратор получить доступ к секретному ключу пользователя?
A: Нет, поскольку секретный ключ хранится в зашифрованном виде с использованием DPAPI.
Q: Как superuser может получить доступ к защищенным документам?
A: Superuser (например, сотрудник службы безопасности) получает доступ к документу (из архива, компьютера уволившегося, почты, etc.) и получает лицензию, позволяющую снять защиту (full access).
Q: Как защитить документы от просмотра сторонними пользователи после работы с ними корпоративного пользователя в internet-кафе?
A: В случае, если доступ производится с рабочей станции, не входящей в домен, от учетной записи которого пользователь аутентифицируется на сервере RMS для получения лицезии использования (use license), ему будет выдан временный сертификат пользователя (temporary rights account certificate, TRAC). Cрок жизни TRAC устанавливается администратором RMS в минутах и по умолчанию равен 15 минутам. Срок жизни стандартного RAC устанавливается в днях и по умолчанию равен 365 дням. Таким образом даже в случае кэширования use license открыть документ пользователь сможет только до тех пор пока не истек срок жизни TRAC, после чего нужно будет заново получать TRAC.
Q: Возможно ли построить географически распределенную инфраструктуру RMS?
A: Да, возможно установить несколько RMS License серверов и «разнести» их географически, чтобы пользователи обращались за лицензией публикации (publish license) к ближайшему серверу RMS. Но в этом случае получатель защищенного документа все равно будет вынужден обратиться за получением use license на сервер, выдавший publish license, за ключем шифрования контента документа.
Q: Можно ли увязать RMS с имеющейся инфраструктурой PKI и много-факторной аутентификации?
A: Поскольку запрос лицензий публикации и использования осуществляется посредством отправки запроса через web-сервис RMS на базе IIS, в настройках IIS можно указать требование аутентификации по сертификату (секретный ключ пользователя в любом случае будет храниться локально на рабочей станции).
Если у вас есть какие-то другие вопросы по этой и другим технологиям и продуктам, о которых мы писали в самом первом посте этого блога, не стесняйтесь спрашивайте. И следите за новостями, мы планируем и дальше периодически размещать здесь наиболее интересные вопросы с ответами из реальной жизни.