Windows Server- komponent | |
Rättighetsförvaltningstjänster | |
---|---|
Komponenttyp | Server |
Ingår i | Windows Server 2003 , Windows Server 2008 , Windows Server 2008 R2 , Windows Server 2012 , Windows Server 2012 R2 , Windows Server 2016 |
Service namn | Active Directory Rights Management Services, RMS |
Service beskrivning | Åtkomstkontroll |
stat | Aktiva |
Rights Management Services ( Active Directory Rights Management Services , AD RMS , även känd som Rights Management Services eller RMS före Windows Server 2008 ) är programvara för hantering av åtkomsträttigheter på serversidan som följer med Windows Server . Den använder kryptering och opt-out-funktioner för att begränsa åtkomsten till dokument som företags-e-postmeddelanden, Microsoft Word -dokument och webbsidor , såväl som behöriga användare som arbetar med dem.
Företag kan använda denna teknik för att kryptera information som lagras i dessa dokumentformat och, genom policyer inbäddade i dokument, förhindra dekryptering av skyddat innehåll, förutom för vissa personer eller grupper, i vissa miljöer, under vissa förhållanden och under vissa tidsperioder.
Specifika operationer som att skriva ut, kopiera, redigera, vidarebefordra och ta bort kan aktiveras eller inaktiveras av innehållsförfattare för enskilda delar av innehåll, och RMS-administratörer kan distribuera RMS-mallar som grupperar dessa rättigheter till fördefinierade rättigheter som kan tillämpas massvis.
RMS debuterade i Windows Server 2003 med klient -API- bibliotek tillgängliga för Windows 2000 och senare operativsystem . Rights Management-klienten ingår i Windows Vista och senare, tillgänglig för Windows XP , Windows 2000 eller Windows Server 2003 [1] .
Dessutom finns det en implementering av AD RMS i Office för Mac för att använda rättighetsskydd i OS X , och vissa tredjepartsprodukter är tillgängliga för rättighetsskydd på Android , Blackberry OS , iOS och Windows RT [2] [3] .
I april 2016 publicerades en påstådd attack mot RMS-implementeringen (inklusive Azure RMS) och rapporterades till Microsoft [4] [5] . Den publicerade koden tillåter en auktoriserad användare med rättigheter att se ett skyddat RMS-dokument för att ta bort skyddet och bevara filens formatering. Sådan manipulation kräver att användaren ges rätt att dekryptera innehållet för vidare visning. Medan rättighetshanteringstjänster gör vissa säkerhetspåståenden angående obehöriga användares oförmåga att få åtkomst till skyddat innehåll, anses uppdelningen mellan olika användningsrättigheter för auktoriserade användare vara en del av de policytillämpningsmöjligheter som Microsoft hävdar implementeras som "bästa ansträngning", så Microsoft gör det. inte ta upp frågan om säkerhet, utan begränsar bara tillämpningen av policyn. Tidigare tillhandahöll RMS SDK kodsignering med RMS-funktioner för att ge en viss nivå av kontroll över hur applikationer interagerar med RMS, men denna funktion har sedan dess tagits bort på grund av begränsad möjlighet att begränsa detta beteende, givet möjligheten att skriva applikationer direkt med webbtjänster för att få licenser för att dekryptera innehållet [6] .
Med samma teknik kan en användare som har beviljats rättigheter att se ett skyddat dokument dessutom manipulera innehållet i dokumentet utan att lämna några spår av manipulationen. Eftersom Azure RMS inte är en felsäker lösning och, till skillnad från lösningar för dokumentsignering, inte gör anspråk på att tillhandahålla manipuleringssäkring, och eftersom ändringar endast kan göras av användare som har beviljats rättigheter till dokumentet, behandlar Microsoft inte den senare frågan som en faktisk fråga attack mot påstådda RMS-förmåga [7] Forskare tillhandahåller ett proof of concept-verktyg för att utvärdera resultat via GitHub . [8] .
RMS stöds av följande produkter:
Tredjepartslösningar som Secure Islands (förvärvade av Microsoft ), GigaTrust och Liquid Machines (förvärvade av Check Point ) kan lägga till RMS-stöd för följande programvara :