Rättighetsförvaltningstjänster

Windows Server- komponent
Rättighetsförvaltningstjänster
Komponenttyp Server
Ingår i Windows Server 2003 , Windows Server 2008 , Windows Server 2008 R2 , Windows Server 2012 , Windows Server 2012 R2 , Windows Server 2016
Service namn Active Directory Rights Management Services, RMS
Service beskrivning Åtkomstkontroll
stat Aktiva

Rights Management Services ( Active Directory Rights Management Services ,  AD RMS , även känd som Rights Management Services eller RMS före Windows Server 2008 ) är programvara för hantering av åtkomsträttigheter på serversidan som följer med Windows Server . Den använder kryptering och opt-out-funktioner för att begränsa åtkomsten till dokument som företags-e-postmeddelanden, Microsoft Word -dokument och webbsidor , såväl som behöriga användare som arbetar med dem.

Företag kan använda denna teknik för att kryptera information som lagras i dessa dokumentformat och, genom policyer inbäddade i dokument, förhindra dekryptering av skyddat innehåll, förutom för vissa personer eller grupper, i vissa miljöer, under vissa förhållanden och under vissa tidsperioder.

Specifika operationer som att skriva ut, kopiera, redigera, vidarebefordra och ta bort kan aktiveras eller inaktiveras av innehållsförfattare för enskilda delar av innehåll, och RMS-administratörer kan distribuera RMS-mallar som grupperar dessa rättigheter till fördefinierade rättigheter som kan tillämpas massvis.

RMS debuterade i Windows Server 2003 med klient -API- bibliotek tillgängliga för Windows 2000 och senare operativsystem . Rights Management-klienten ingår i Windows Vista och senare, tillgänglig för Windows XP , Windows 2000 eller Windows Server 2003 [1] .

Dessutom finns det en implementering av AD RMS i Office för Mac för att använda rättighetsskydd i OS X , och vissa tredjepartsprodukter är tillgängliga för rättighetsskydd på Android , Blackberry OS , iOS och Windows RT [2] [3] .

Anti-attack-policyer

I april 2016 publicerades en påstådd attack mot RMS-implementeringen (inklusive Azure RMS) och rapporterades till Microsoft [4] [5] . Den publicerade koden tillåter en auktoriserad användare med rättigheter att se ett skyddat RMS-dokument för att ta bort skyddet och bevara filens formatering. Sådan manipulation kräver att användaren ges rätt att dekryptera innehållet för vidare visning. Medan rättighetshanteringstjänster gör vissa säkerhetspåståenden angående obehöriga användares oförmåga att få åtkomst till skyddat innehåll, anses uppdelningen mellan olika användningsrättigheter för auktoriserade användare vara en del av de policytillämpningsmöjligheter som Microsoft hävdar implementeras som "bästa ansträngning", så Microsoft gör det. inte ta upp frågan om säkerhet, utan begränsar bara tillämpningen av policyn. Tidigare tillhandahöll RMS SDK kodsignering med RMS-funktioner för att ge en viss nivå av kontroll över hur applikationer interagerar med RMS, men denna funktion har sedan dess tagits bort på grund av begränsad möjlighet att begränsa detta beteende, givet möjligheten att skriva applikationer direkt med webbtjänster för att få licenser för att dekryptera innehållet [6] .

Med samma teknik kan en användare som har beviljats ​​rättigheter att se ett skyddat dokument dessutom manipulera innehållet i dokumentet utan att lämna några spår av manipulationen. Eftersom Azure RMS inte är en felsäker lösning och, till skillnad från lösningar för dokumentsignering, inte gör anspråk på att tillhandahålla manipuleringssäkring, och eftersom ändringar endast kan göras av användare som har beviljats ​​rättigheter till dokumentet, behandlar Microsoft inte den senare frågan som en faktisk fråga attack mot påstådda RMS-förmåga [7] Forskare tillhandahåller ett proof of concept-verktyg för att utvärdera resultat via GitHub . [8] .

Programvara som stöds

RMS stöds av följande produkter:

Tredjepartslösningar som Secure Islands (förvärvade av Microsoft ), GigaTrust och Liquid Machines (förvärvade av Check Point ) kan lägga till RMS-stöd för följande programvara :

Anteckningar

  1. Microsoft Windows Rights Management Services-klient med Service Pack 2 - x86 . Microsoft Download Center. Hämtad: 28 december 2017.
  2. RMS Viewer | Mobile Rights Management för iPhone, iPad, Android och Blackberry . www.rmsviewer.com. Hämtad: 28 december 2017.
  3. GigaTrust - iPhone och iPad (ej tillgänglig länk) (31 oktober 2012). Hämtad 28 december 2017. Arkiverad från originalet 31 oktober 2012. 
  4. Hur man bryter Microsoft Rights Management Services . web-in-security.blogspot.de. Hämtad: 28 december 2017.
  5. Hur man bryter Microsoft Rights Management Services | USENIX  (engelska) . www.usenix.org. Hämtad: 28 december 2017.
  6. Skapa ett programmanifest (Windows  ) . msdn.microsoft.com. Hämtad: 28 december 2017.
  7. ↑ RMS FAQ : Säkerhetsproblem  . msdn.microsoft.com. Hämtad: 28 december 2017.
  8. MS-RMS-Attacker: Att bryta säkerheten för Microsofts RMS . — 2017-12-21.
  9. Planera hantering av informationsrättigheter i Office  2013 . technet.microsoft.com. Hämtad: 28 december 2017.
  10. Active Directory Rights Management Services   // Wikipedia . — 2017-10-06.
  11. http://www.secureislands.com/solutions/sharepoint-classification-and-protection.html (länk ej tillgänglig) . Datum för åtkomst: 28 december 2017. Arkiverad från originalet 16 februari 2013. 
  12. ↑ 1 2 3 https://web.archive.org/web/20080517125543/http://www.gigatrust.com/news/rms_protect_pdf_files.shtml (nedlänk) . Arkiverad från originalet den 17 maj 2008. 
  13. http://www.secureislands.com/ (nedlänk) . Datum för åtkomst: 28 december 2017. Arkiverad från originalet 2 februari 2013. 
  14. http://www.secureislands.com/products/iqprotector-file-protection.html (länk ej tillgänglig) . Datum för åtkomst: 28 december 2017. Arkiverad från originalet 16 februari 2013. 
  15. http://www.prnewswire.com/news-releases/gigatrust-launches-new-rms-desktop-pdf-client-for-adobe-with-comprehensive-reporting-auditing-and-compliance-capability-277422531.html .
  16. http://www.foxitsoftware.com/products/rms/ .

Länkar