我白天的任务是在一家生产白名单应用程序的公司上班,这种应用程序会完全颠倒保护您计算机的常规安全性方法。本月我希望介绍保护安全的另一种方法(或许也是非常规的方法)— 企业权限管理,以及它为什么会成为真正保护机密信息的唯一途径。
在本年度的旧金山 RSA 会议中,走在展览会场四处比较各家供应商提供的软件,我不禁感到相当困惑。几乎所有会场上的供应商都在销售被动型(而非主动型)安全性解决方案。让我来解释一下,当您建造建筑物时,会在门窗上加上锁来保护它。如果您希望更安全一点,会安装报警系统。如果需要更安全呢?修建围墙。保障建筑物的安全,不是舍弃锁、报警系统和围墙,而只雇用一两名警卫四处巡察。这本身并不会提供任何保障。
考虑数据丢失防御措施
下面是一个更真实的例子。我有很多客户问到如何封闭 USB 端口来防止信息从公司泄漏(在我们消除了入站威胁的顾虑之后)。但事实是,尝试阻止数据通过端口本身根本不会提供任何保护。事实上,这就像建筑物不采取任何保护措施,只雇用警卫一样。当然,他很尽职,但他不可能同时巡视每个出入口。因此,在这两种情形中,都选择错了执行任务的工具。
封闭访问端口(还有尝试帮助您扫描或保护 UNC 共享安全、进行状态数据包检查,或进行任何其他类型的检查的所有其他解决方案)的问题在于它们都是被动的做法。它们全都是在数据从公司泄露时尝试拦截数据,但那时,为时已晚。
这让我想到以前曾在 Microsoft 发生的情形(而且我肯定您一定也有所耳闻)。在 Microsoft Office 推出信息权限管理 (IRM) 以及 Windows 推出权限管理服务 (RMS) 之前的时代,任何有趣的电子邮件(即便是清楚地标记为机密)都会在每天工作结束时转发给媒体。遗憾的是,策略、严厉的命令、数据包检查、共享安全性,甚至是威胁终止,起的作用都很有限。有时候需要采取更多行动 — 而这可能正是 Microsoft 所推出的权限管理技术派上用场的地方,它可以帮您保护 Office 内容。我现在是 IRM 和 RMS 的忠实用户,我开始将它们尊为安全性解决方案,而不只是审核、监视或符合性技术。
在保护 Office 内容方面,IRM/RMS 与使用常规密码保护相比,有什么优点?
● 有些暴力机制可入侵 Office 文档所使用的密码保护。
● 进行常规密码保护的内容与采用 IRM/RMS 保护的文档加密的方式不同。
● IRM 和 RMS 会在 Windows 内结合起来以最低的级别保护内容。
● 通过使用 IRM/RMS,您可以通过非常精确的访问控制来保护内容,这些访问控制会分配给 Active Directory 帐户。
但 IRM 和 RMS 到底是什么?这些技术最先随 Microsoft Office 2003 发布,它们会加密文档并控制对内容本身的访问,从而保护存储在 Office 文档中的知识资产,包括通过 Microsoft Outlook、Outlook Mobile Access,以及通过 Internet Explorer 的 Outlook Web Access 阅读的电子邮件。
大多数 Office 文档类型(包括新的基于 XML 的文档)以及电子邮件都可以加密,除 .msg 文件(常常附加到其他电子邮件中的电子邮件)之外。(请访问 office.microsoft.com/en-us/help/HA101029181033.aspx 以查看可通过 IRM 管理的文件类型的完整列表。)文档在由该文档的创建者授权用户打开之前不会解密。
IRM 基本上是权限管理前端,通过启用 RMS 的应用程序公开,而 RMS 是后端。RMS 服务器控制用来标识已授予用户的权限的信息,并会验证这些用户的凭据。启用 RMS 应用程序中的 IRM 组件可允许您设置和管理这些权限。IRM 和 RMS 一起使用,允许授权用户阅读、更改文档,或执行完整的编辑控制权(具体取决于分配的权限)。
当授权用户通过 Office 应用程序打开受 IRM 保护的内容时,该内容会被解密,并且可在该应用程序中阅读或编辑。请记住,虽然 IRM 和 RMS 的目的是保护信息的安全,但总可能会有一心想要搞破坏的用户。如果用户选择使用“模拟漏洞”(一种数码相机或其他屏幕捕获软件,甚至可以是手动重新键入重要信息),则 IRM 对保护信息的作用不大。不过,对于大多数情形,它可以算是相当强大的安全性措施。
权限管理的构建块
Microsoft 权限管理解决方案包含四个组件,我会详细介绍全部内容。我还会简要介绍 RMS SDK 和有用的 RMS Toolkit。第一个是内置组件,而其他组件则可从 microsoft.com/windowsserver2003/technologies/rightsmgmt 下载获得。
信息权限管理内置到 Microsoft Office 2003 和 2007 Office System(以及通过 Windows Mobile 6x 提供的 Outlook、Excel、Word 和 PowerPoint 的移动版本)的组件,允许用户将权限分配给 Word 文档、Excel 工作簿、PowerPoint 演示文稿、InfoPath 表单、Outlook 电子邮件,以及 XML 文件规范 (.xps) 文件,从而允许或阻止这些文件的收件人转发、复制、修改、打印、传真、剪贴和使用 Print Screen 键。您可以按用户或按文档来设置这些权限。
在 Active Directory 环境中,您还可以为组设置权限,如果您的组织使用 Microsoft Office SharePoint Server 2007,还可以设置库上的权限(请注意,从技术上讲,内容存储到 SharePoint 中时会被解密,然后在提供给用户时重新加密)。除非设置为过期,否则无论何时何地发送该文档,它都会一直保留 IRM 权限。
Apple Macintosh 的 Office 版本并不提供 IRM,但有几种方法可使 Mac 用户利用受 RMS 保护的内容。有关详细信息,请参阅下个月的专栏。
权限管理服务(服务器)在 Windows Server 2003 中提供,而在 Windows Server 2008 中作为角色提供。RMS 服务器是 Microsoft 企业权限管理的核心。它负责对受信任实体(用户、客户端计算机和服务器)进行认证、定义和发布使用权限和条件,注册服务器和用户,授权对受保护信息的访问,以及提供必要的管理功能以允许授权用户访问权限受保护的信息。
图 1 显示了允许您在 Windows Server 2008 系统上安装 RMS 角色的服务器管理器屏幕。虽然 RMS 需要很多依赖项,但向导会指导您逐步完成整个过程,安装所有依赖项。
图 1 选择权限管理服务服务器角色(单击可获得大图)
RMS 服务器角色(在 Windows Server 2003 或 Windows Server 2008 上)所需的服务器系统需要:
● Microsoft Message Queue Server (MSMQ)
● 启用 ASP.NET 的 IIS
● Active Directory
● SQL Server Enterprise Edition(适用于生产环境)、Microsoft SQL 桌面引擎 (MSDE) 或 SQL Server Express(很适用于测试环境)
如前所述,即使您没有安装这些组件,系统还是会在 Windows Server 2008上的安装过程中为您进行配置。对于生产实施,您的服务器需要具有有效的 SSL 数字证书,以便 RMS能够适当维护客户端与服务器之间的安全性。然而,若是用于测试,RMS 可在安装角色时提供测试证书。图 2 显示了 RMS 控制台在Windows Server 2008 下运行的情形。
图 2 RMS 控制台(单击可获得大图)
权限管理服务(客户端)它允许启用 RMS 的应用程序与 RMS 服务器一起使用,以便发布和使用受到权限保护的内容。此客户端内置到Windows Vista 和 Windows Server 2008 中,而对于旧版的Windows,可下载和安装此客户端,进而为这些操作系统提供 RMS 的功能。
如果您正在构建自己的企业部署,可能会想要通过新的系统、组策略或 System Center Configuration Manager (SCCM) 来部署 RMS 客户端,而不是让用户手动进行部署。
适用于 Internet Explorer 的权限管理加载项对于 Internet Explorer 6.0 及之后的版本,它允许您从 Internet Explorer 中查看受权限保护的内容。
RMS SDK 允许开发人员使用基于 SOAP 的权限管理服务 API 构建他们自己的应用程序,以保护自定义的内容。
RMS Toolkit 您可能会像我一样发现,RMS Toolkit 在部署您自己的 RMS基础结构及对其进行故障排除方面极为有用。此工具包中包含许多便捷的程序,可帮助您确保 RMS 系统正常工作。请注意,RMS Toolkit事实上并不属于 RMS 的一部分,也因此 Microsoft 没有正式支持它。
它如何工作?
当您在 Word2007 中的“审阅”选项卡下单击“保护文档”,或在 Excel 2007 中单击“保护工作簿”,使用 RMS保护文档时,您必须指定要用作为该文档作者的帐户 — 具备文档拥有权特权的帐户。此帐户理论上应该是 Active Directory 帐户,不过RMS 允许您使用试用版的 Windows Live 帐户(您不应该将此帐户用于实际的生产系统)。
当您通过帐户验证之后(请参见图 3),便可指定该帐户或将该帐户添加为所有者。然后,您可以迅速为您希望其拥有权限读取或更改您保护的文档的用户指定高级权限或更具体的权限(请参见图 4)。
图 3 指定要使用的帐户(单击可获得大图)
您现在已经将文档保护起来了,因此,任何尝试打开此文档的用户都必须提供凭据才能打开。此外,也会强制该用户享有文档所有者所定义的权限。
RMS 使用 IIS 和 ASP.NET 来对打开文档的任一用户进行身份验证,以验证他的标识和访问权限,并同时将此信息返回 RMS 客户端和 Office 中的 IRM 基础结构。根据 Active Directory 和 RMS 服务器所定义的权利,最终用户会获得文档的完整或有限访问权限,或者不会获得任何访问权限。
RMS 使用一个依赖 XrML(可扩展权限管理语言)的基础结构来描述受 IRM 保护的内容的最终用户所拥有的权限。事实上,这些权限包含在 XrML 许可证中,该许可证可附加到数字内容中,因而可持续存在。因为 XrML 是一种标准,所以其他希望以类似方式保护内容的应用程序也可以使用这种语言。您可以在 xrml.org 中查看更多详细信息。
在哪些地方存在漏洞?
如上所述,RMS 和 IRM 并不是百毒不侵,如果恶意的“授权”用户一心想要入侵受 IRM 保护的内容,只要花些功夫就能办到。
并且,内容可能也很容易受到恶意代码和以非标准方式运行的屏幕捕获软件中途拦截。虽然 RMS 努力尝试预防屏幕捕获及未授权的剪贴行为,但它的功能仍很有限。我看过一些尝试超越 IRM 和 RMS,保护更多内容类型的解决方案。
我认为企业权限管理是真正保护如今系统上“非静止”内容唯一合理的方法。如果您看一下如今受到入侵的内容类型(电子邮件、Office 文档等),可以看出其中大多数都可以轻易通过 IRM 和 RMS 加以保护,但情况并非如此。虽然 Windows Vista 中的完整卷加密技术(如 BitLocker)使您可以保护静止数据的安全,并且在系统遭到入侵的情况下一般都能持续保护它的安全,但它们并不能保护共享上、电子邮件服务器上,或是 SharePoint 服务器上的内容。
由于内容一般“在外”不能受到保护,因此解决方案也演变成尝试跟踪内容,并将它消除。 IRM 与 RMS 是专门为了插入到 Active Directory、Exchange、Office 和 Windows 中而设计 — 因此,不需要多少培训,特别是对实际使用内容的最终用户 — 而它们所能提供的保护是无限的。有关详细信息,请参阅“其他资源”边栏。
是否希望保护您的资产?
您的组织是否已采用 RMS 和 IRM?请您将对 RMS 和 IRM 的想法与我分享 — 我希望了解一些读者部署(或尚未部署)RMS 和 IRM 的方法和理由,或是您是否确信该组织已通过其他机制的保护来防止数据丢失。
图 4 设置权限
阅读(367) | 评论(0) | 转发(0) |