Службы управления правами

Материал из Википедии — свободной энциклопедии
Перейти к навигации Перейти к поиску
компонент Windows Server
Службы управления правами
Тип компонента Сервер
Включён в Windows Server 2003, Windows Server 2008, Windows Server 2008 R2, Windows Server 2012, Windows Server 2012 R2, Windows Server 2016
Название сервиса Active Directory Rights Management Services, RMS
Описание сервиса Контроль доступа
Состояние Активное

Службы управления правами (англ. Active Directory Rights Management Services, AD RMS, также известны как Rights Management Services или RMS до Windows Server 2008) — серверное программное обеспечение для управления правами доступа к информации, поставляемое с Windows Server. Оно использует шифрование и отказ от выборочной функциональности для ограничения доступа к таким документам, как корпоративные электронные письма, документы Microsoft Word и веб-страницы, а также авторизованных пользователей, работающих с ними.

Компании могут использовать эту технологию для шифрования информации, хранящейся в таких форматах документов, и с помощью политик, встроенных в документы, предотвращения дешифрования защищённого контента, за исключением определённых людей или групп, в определённых средах при определённых условиях и в течение определённых периодов времени.

Конкретные операции, такие как печать, копирование, редактирование, пересылка и удаление, могут разрешаться или запрещаться авторами контента для отдельных частей контента, а администраторы RMS могут развёртывать шаблоны RMS, которые группируют эти права вместе в предопределённые права, которые могут применяться в массовом порядке.

RMS дебютировал в Windows Server 2003 с библиотеками клиентских API, доступными для Windows 2000 и более поздних версий ОС. Клиент управления правами входит в состав Windows Vista и более поздних версий, доступен для Windows XP, Windows 2000 или Windows Server 2003[1].

Кроме того, существует реализация AD RMS в Office для Mac для использования защиты прав в OS X, а некоторые сторонние продукты доступны для защиты прав на Android, Blackberry OS, iOS и Windows RT[2][3].

Возможности политик против атак

[править | править код]

В апреле 2016 года предполагаемая атака на реализацию RMS (включая Azure RMS) была опубликована и сообщена Microsoft[4][5]. Опубликованный код позволяет авторизованному пользователю с правами просмотра защищённого документа RMS удалить защиту и сохранить форматирование файла. Такая манипуляция требует, чтобы пользователю было предоставлено право расшифровать контент для дальнейшего просмотра. Хоть службы управления правами и делают определённые утверждения безопасности в отношении неспособности неавторизованных пользователей к доступу к защищённому контенту, деление между различными правами использования для авторизованных пользователей считается частью возможностей обеспечения соблюдения политик, которые, как Microsoft утверждает, реализованы как «наилучшие усилия», поэтому корпорация не рассматривает проблему безопасности, а лишь ограничивает применение политики. Ранее RMS SDK обеспечивал подпись кода с использованием возможностей RMS, чтобы обеспечить некоторый уровень контроля над взаимодействием приложений с RMS, но эта возможность впоследствии была удалена из-за ограниченной возможности ограничить такое поведение, учитывая возможность писать приложения, используя веб-сервисы напрямую для получения лицензий на расшифровку содержимого[6].

Кроме того, используя эту же технику, пользователь, которому были предоставлены права на просмотр защищённого документа, может манипулировать содержимым документа, не оставляя следов манипуляции. Поскольку Azure RMS не является решением без отказов и, в отличие от решений для подписи документов, не претендует на предоставление возможностей защиты от несанкционированного доступа, и поскольку изменения могут быть сделаны только пользователями, которым предоставлены права на документ, Microsoft не рассматривает последнюю проблему как фактическую атаку на заявленные возможности RMS[7] Исследователи предоставляют доказательство концептуального инструмента, позволяющего оценивать результаты через GitHub.[8].

Поддерживаемое ПО

[править | править код]

RMS поддерживается следующими продуктами:

Сторонние решения, такие как Secure Islands (приобретено Microsoft), GigaTrust и Liquid Machines (приобретено Check Point), могут добавить поддержку RMS для следующего ПО:

Примечания

[править | править код]
  1. Microsoft Windows Rights Management Services Client with Service Pack 2 - x86. Microsoft Download Center. Дата обращения: 28 декабря 2017. Архивировано 29 декабря 2017 года.
  2. RMS Viewer | Mobile Rights Management for iPhone, iPad, Android and Blackberry. www.rmsviewer.com. Дата обращения: 28 декабря 2017. Архивировано из оригинала 16 октября 2013 года.
  3. GigaTrust – iPhone and iPad (31 октября 2012). Дата обращения: 28 декабря 2017. Архивировано из оригинала 31 октября 2012 года.
  4. How to Break Microsoft Rights Management Services. web-in-security.blogspot.de. Дата обращения: 28 декабря 2017. Архивировано 7 октября 2017 года.
  5. How to Break Microsoft Rights Management Services | USENIX (англ.). www.usenix.org. Дата обращения: 28 декабря 2017. Архивировано 7 октября 2017 года.
  6. Creating an Application Manifest (Windows) (англ.). msdn.microsoft.com. Дата обращения: 28 декабря 2017. Архивировано 7 октября 2017 года.
  7. RMS FAQ: Security Concerns (англ.). msdn.microsoft.com. Дата обращения: 28 декабря 2017. Архивировано 7 октября 2017 года.
  8. MS-RMS-Attacks: Breaking the security of Microsoft's RMS. — 2017-12-21. Архивировано 29 апреля 2017 года.
  9. Plan Information Rights Management in Office 2013 (англ.). technet.microsoft.com. Дата обращения: 28 декабря 2017. Архивировано 26 августа 2017 года.
  10. Active Directory Rights Management Services (англ.) // Wikipedia. — 2017-10-06.
  11. http://www.secureislands.com/solutions/sharepoint-classification-and-protection.html. Дата обращения: 28 декабря 2017. Архивировано из оригинала 16 февраля 2013 года.
  12. 1 2 3 https://web.archive.org/web/20080517125543/http://www.gigatrust.com/news/rms_protect_pdf_files.shtml. Архивировано из оригинала 17 мая 2008 года.
  13. http://www.secureislands.com/. Дата обращения: 28 декабря 2017. Архивировано из оригинала 2 февраля 2013 года.
  14. http://www.secureislands.com/products/iqprotector-file-protection.html. Дата обращения: 28 декабря 2017. Архивировано из оригинала 16 февраля 2013 года.
  15. http://www.prnewswire.com/news-releases/gigatrust-launches-new-rms-desktop-pdf-client-for-adobe-with-comprehensive-reporting-auditing-and-compliance-capability-277422531.html. Дата обращения: 28 декабря 2017. Архивировано 29 декабря 2017 года.
  16. http://www.foxitsoftware.com/products/rms/. Дата обращения: 28 декабря 2017. Архивировано 24 октября 2017 года.