Глава 15. Службы Управления правами Active Directory

Microsoft применила свой первый подход к управлению правами над информацией information rights management (IRM) представив службы управления правми Windows Windows Rights Management Services (Windows RMS) в Windows Server 2003. Это целиком соответствовало Федеральному стандарту обработки информации Federal Information Processing Standard (FIPS) 140-1. Обновлённая версия Windows RMS была переименована в AD RMS и повторно представлена в Windows Server 2008. Она продолжала прирастать функциональными возможностями и была включена в более поздние версии . Microsoft также выпустила Azure Information Protection (AIP), которую можно применять в гибридных/ исключительно облачных средах для защиты конфиденциальных данных.

Как я утверждал ранее, AD RMS это не решение для всех требований безопасности данных в организации. Наряду с данными, нам требуется защищать и прочие области, такие как сетевые среды, идентификация, роли и разрешения; традиционная защита на основании периметра больше не действует, когда речь идёт о защите данных и идентификации. Нам следует принять подход к безопасности с нулевым доверием для борьбы с современными угрозами. Нам необходимо в явном виде проверить доступ к данным и ресурсам. В процессе этой проверки не должно быть различий в процессе удостоверения пользователя, роли, местоположения, подразделения и тому подобного. Также мы должны убедиться что у пользователей имеется доступ с минимальными полномочиями к данным или ресурсам. Даже в случае взлома это предотвратит боковое смещение внутри инфраструктуры и получение доступа к более конфиденциальным сведениям. И последнее, но не менее важное: мы должны предполагать наличие взлома и быть готовым к нему. Нам следует задуматься о том как мы можем определять имеется ли взлом. Как мы можем предотвращать таким злоумышленникам получать доступ к конфиденциальным сведениям? А что ещё более важно, как мы можем выполнить восстановление после взлома? Как мы будем реагировать на взлом? Подход с нулевым доверием не только защитит конфиденциальные сведения в инфраструктуре, но и улучшит общий уровень безопасности организации.

Тогда возникает вопрос, что может предпринять AD RMS для защиты конфиденциальных данных. Давайте продолжим и рассмотрим это на примере. Rebeladmin Inc. имеет отдел продаж. Генеральный директор создаёт документ Word, содержащий конфиденциальные сведения о продажах за прошлый год, и сохраняет его в сетевой папке. Единственными людьми, которые имеют к нему доступ являются генеральный директор и менеджер по продажам. Генеральный директор отправляет электронное письмо менеджеру по продажам, информируя его об этом файле. Доступ к соответствующему общему сетевому ресурсу защищён списками управления доступом ACL (Access Control Lists). Тем не менее, если менеджер по продажам получает к нему доступ, что мешает ему отправить его по электронной почте сотруднику технического отдела или принести домой и поделиться со сторонним лицом? Когда пользователи получают к нему доступ, поведением данных управляет AD RMS. Но это не предотвратит утечку сведений через цифровые фотографии, сторонние перехваты экранного снимка, твёрдые копии или вирусы и вредоносное программное обеспечение (ПО).

AD RMS способна выполнять следующее:

Операции AD RMS поддерживаются в рамках трёх различных границ действия:

Приводимый ниже список перечисляет приложения, типы файлов и сценарии, которые мы можем применять для защиты данных при помощи AD RMS:

Таблица 15-1. Разные типы защиты данных

Требования	Приложение	Защищаемые типы файлов
Защита конфиденциальных файлов	Microsoft Outlook Windows (версии 2003 и выше), Offce for macOS 2016: Word, Excel, PowerPoint, Pdf Image processing: XPS Viewer, Gaaiho Doc, GigaTrust Desktop PDF Client for Adobe, Foxit PDF Reader, Nitro PDF Reader, Siemens JT2Go	.doc, .docm, .docx, .dot, .dotm .doc, .docm, .docx, .dot, .dotm     .ppsx, .ppt, .pptm, .txt, .xml, .jpg, .jpeg, .pdf, .png, .tif, .tiff, .bmp, .gif, .jpe, .jfif, .jt, .xps
Защита конфиденциальной почты	Microsoft Outlook Windows (версии 2003 и выше)	.msg
Защита содержимого в Интранете	Microsoft SharePoint 2007 и новее	.doc, .docm, .docx, .dot, .dotm .doc, .docm, .docx, .dot, .dotm .ppsx, .ppt, .pptm, .txt, .xml, .jpg, .jpeg, .pdf, .png, .tif, .tiff, .bmp, .gif, .jpe, .jfif, .jt, .xps
Защита мобильных данных	Microsoft Outlook Windows (версии 2003 и выше), Microsoft Word, , прикладные приложения Microsoft Word, прикладные приложения Microsoft Excel, прикладные приложения Microsoft Outlook, прикладные приложения Microsoft PowerPoint, Image processing, WordPad, Offce for macOS 2016, Word Online, TITUS Docs, Foxit PDF Reader	.doc, .docm, .docx, .dot, .dotm .doc, .docm, .docx, .dot, .dotm   .ppsx, .ppt, .pptm, .txt, .xml, .jpg, .jpeg, .pdf, .png, .tif, .tiff, .bmp, .gif, .jpe, .jfif, .jt, .xps

Приведённый выше список может регулярно обновляется новыми выпусками. Кроме того, в этом перечне могут появляться приложения сторонних разработчиков.

AD RMS обладает своей собственной ролью служб и соответствующими компонентами, которые должны работать совместно для поддержания жизнеспособности среды AD RMS:

Давайте рассмотрим подробнее каждый из них.

AD RMS это одна из ролей служб Active Directory. AD RMS может устанавливаться только в некой среде AD DS (Active Directory Domain Services). В качестве части настройки для публикации через Active Directory потребуется точко подключения службы (SCP, service connection point). Она поможет пользователям обнаруживать необходимые URL служб для своей среды AD RMS.

Кластер AD MS это отдельный сервер или группа серверов, которые совместно применяют запросы на сертификаты и лицензии из обычного отказоустойчивого кластера Windows. Даже хотя он и называется кластером, он отличается от обычного отказоустойчивого кластера. Такому отказоустойчивому кластеру требуются по крайней мере два узла. Тем не менее, в случае RMS, даже когда он обладает единственным сервером, он носит название кластера. Однако когда вовлечено множество серверов, имеется одно требование для нашего кластера AD RMS. Аналогично AD FS (Active Directory Federation Services), AD RMS поддерживает два типа баз данных. По умолчанию, он применяет WID (Windows Internal Database), а также он поддерживает базы данных Microsoft SQL Server. Когда кластер AD RMS намерен пользоваться множеством серверов, он обязан пользоваться Microsoft SQL.

В AD RMS существует два типа кластеров:

По возможности, рекомендуется пользоваться корневым кластером, поскольку он будет выполнять балансировку нагрузки как для запросов на сертификаты, так и на запросы для лицензий. Когда в системе имеются два кластера, балансировка нагрузки обрабатывается каждым кластером по отдельности, даже хотя их компоненты пребывают в одной системе.

Для AD RMS требуется Internet Information Services (IIS) со следующими службами роли:

Эти функциональные возможности могут добавляться в процессе установки данной роли.

AD RMS поддерживает базы данных WID и Microsoft SQL Server (SQL Server 2005 и далее). Если кластер AD RMS намерен применять множество серверов, работающей базой данных должна быть Microsoft SQL. AD RMS применяет три базы данных:

AD RMS поддерживает решения высокой доступности SQL, включая отказоустойчивую кластеризацию SQL, зеркалирование базы данных и доставку журналов. Тем не мене, он не поддерживает SQL Server Always On.

Ранее в этой главе я упоминал, что расширение мобильных устройств может применяться для расширения AD RMS чтобы управлять в мобильных устройствах корпоративными данными. Если вы намерены применять эту функциональную возможность, AD RMS обязна применять Microsoft SQL.

Для взаимодействия с кластером AD RMS нам требуется клиент AD RMS. Он включается во все последние операционные системы, которые выпускались после Windows XP. Тем не менее, для AD RMS его всё ещё необходимо устанавливать вручную в macOS и в мобильных устройствах.

AD RMS использует ряд сертификатов для защиты взаимодействия между компонентами AD RMS и клиентами. Большинство из них могут выпускаться при помощи корпоративного доверенного Центра сертификации (CA, certifcate authority). Напрмиер, наш кластер AD RMS может быть построен с помощью сертификата SSL для защиты взаимодействия между серверами и кластером. Когда установка AD RMS требуется для URL внешним образом публикуемой службы, тогда это потребует сертификат из общедоступного Центра сертификации (CA).

AD RMS сам по себе применяет различные сертификаты на основе XrML (eXtensible rights Markup Language) для защиты взаимодействия между компонентами и данными. Эти сертификаты отличаются от сертификатов AD CS.

На данный момент мы изучили компоненты AD RMS и их обязанности. В этом разделе мы намерены подробно изучить как все эти компоненты работают совместно для защиты чувствительных корпоративных данных.

Прежде чем мы запустим процесс защиты данных, нам необходим жизнеспособный кластер AD RMS, клиенты AD RMS (автор и адресат), а также надёжное соединение между этими компонентами. После осуществления этих предварительных требований, наш процесс защиты пройдёт через три основные этапа: защита содержимого автора, публикация защищённого содержимого и доступ к этому защищённому содержимому (адресатом).

Давайте предположим, что Пётр пытается защитить документ при помощи AD RMS. Он намерен отправить его Адаму, однако он не хочет чтобы тот изменял или распечатывал этот документ. Это самый первый раз когда он собирается воспользоваться AD RMS. В среде AD RMS наш пользователь, Пётр, будет называться автором информации. При этой первой аутентификации в своём кластере AD RMS, создаётся RAC (rights account certificate, Сертификат учётной записи прав), который будет идентичностью этого пользователя в AD RMS. Это одноразовый процесс.

Этот сертификат содержит общедоступный ключ Петра и его частный ключ (который зашифрован его общедоступным ключом компьютера). Когда Пётр регистрируется при помощи имеющегося кластера AD RMS, также создаётся другой сертификат с названием CLC (client licensor certifcate, Сертификат лицензиара клиента). Такой CLC содержит общедоступный и частный ключи CLC, которые защищены общедоступным ключом Петра. Он также включает общедоступный ключ кластера AD RM, который подписан частным ключом AD RMS.

Пётр вначале принимает решение какие данные подлежат защите. Затем вырабатывается некий симметричный ключ (случайным образом), которым шифруются подлежащие защите данные. Здесь для шифрования этих данных применяются стандарты AES-256. Когда в имеющийся кластер добавляется самый первый сервер AD RMS, он создаёт другой сертификат с названием SLC (server licensor certificate, Сертификат лицензиара сервера). Он представляет соответствующий элемент идентификации этого сервера AD RMS. Он разделяется совместно с клиентами для того, чтобы они могли применять его для шифрования данных при помощи общедоступного ключа соответствующего сервера AD RMS. Таким образом, только сам кластер AD RMS способен открывать его.

После этого соответствующий клиент RMS создаёт PL (publishing license, Лицензию публикации). Эта PL применяется для указания соответствующим допустимым получателям какими правами они обладают и какие условия будут применяться к защищённым данным. Такая Лицензия публикации содержит некий зашифрованный симметричный ключ, который может применяться для шифрования защищённых данных. Все эти данные затем шифруются при помощи соответствующего общедоступного ключа Сертификата лицензиара сервера (SLC). Помиом этого, такой клиент AD RMS также подпишет эти зашифрованные данные при помощи частного ключа SLC. В самом конце такие защищённые данные будут подключены к данной Лицензии публикации (PL). Они также содержат необходимую копию симметричного ключа, который шифруется при помощи общедоступного ключа Сертификата лицензиара сервера (SLC). Это подтверждает авторство Петра над таким защищённым документом, поэтому он способен расшифровать данный документ без применения иной лицензии. После осуществления всех шифрований и подписей данный документ готов к отправке Адаму.

Когда Адам получает этот документ, его применяющее AD RMS приложение пытается его открыть и определяет что это защищённый документ. Аналогично Петру, Адам уже обладает его Сертификатом учётной записи прав (RAC) и Сертификатом лицензиара клиента (CLC) из кластера AD RMS. Для немедленного открытия защищённого документа требуется ли его расшифровывать или подписывать каким- либо из сертификатов Адама? Нет. Однако его клиент AD RMS знает с кем необходимо связаться для решения этой задачи для него. Чтобы открыть защищённый документ, Адам должен обладать UL (Use License, Лицензией применения). Она выпускается соответствующим кластером RMS. Поэтому его клиент AD RMS запрашивает такую лицензию, также содержащую зашифрованную Лицензию публикациии (PL), зашифрованный симметричный ключ, Сертификат лицензиара клиента (CLC) Петра, а также соответствующий общедоступный ключ Сертификата учётной записи прав (RAC) Адама. Сам защищённый документ не будет отправлен вместе с этим запросом в кластер RMS.

Для расшифровки такого защищённого документа Адаму необходим симметричный ключ, который применялся Петром для шифрования этого документа. В качестве первого шага соответствующему серверу необходимо знать разрешён ли Адаму доступ к такому документу; если он ему разрешён, какой вид условий и прав будет применяться Эти сведения содержатся в самой Лицензии публикации (PL). Она шифруется при помощи общедоступного ключа Сертификата лицензиара сервера (SLC).

Владельцем частного ключа для него выступает сервер AD RMS и он способен запросто извлечь его. Если Адам не допущен к Лицензии публикации (PL), ему будет отказано в доступе к документу. Когда он допущен к Лицензии публикации (PL), создаётся перечень, в котором указаны права Адама на этот документ.

Наиболее важная часть процесса дешифрации состоит в получении необходимого симметричного ключа. Он также зашифрован при помощи общедоступного ключа Сертификата лицензиара сервера (SLC). После его выделения, он будет повторно зашифрован пр помощи общедоступного ключа Сертификата учётной записи прав (RAC) Адама. Это было частью запроса Лицензии применения (UL) и это обеспечивает что лишь система Адама будет способна видеть данный ключ. Так как наш сервер обладает всеми необходимыми сведениями, он вырабатывает необходимую Лицензию применения (UL), включая перечень полномочий и зашифрованный симметричный ключ. Затем, он отправляет её клиенту RMS Адама. По достижению системы Адама, она способна расшифровать необходимый симметричный ключ при помощи общедоступного ключа Сертификата учётной записи прав (RAC). Далее, применяющее RMS приложение расшифрует сам документ и присоединит сведения об установленных правах, полученных из Лицензии применения (UL). И наконец, вуаля! Адам способен видеть необходимое содержимое этого документа.

В нашем предыдущем примере мы наблюдали различные сертификаты, лицензии, а также шифрование и дешифрацию данных. Однако я полагаю, будет всё же лучше пояснить это на более высоком уровне чтобы подвести итог изученным моментам:

Пётр хочет отправить свой защищённый документ Адаму. Адам должен обладать полномочиями только на чтение для этого документа; он не должен быть способен изменять или распечатывать его:

В своём следующем разделе этой главы мы намерены рассмотреть различные модели, которые можно применять для развёртывания AD RMS.

Топологии развёртывания AD RMS слегка отличаются от развёртываний прочих служб роли Active Directory. Топологии развёртывания прочих служб роли Active Directory в основном сосредоточены на высокой доступности или масштабируемости. Однако развёртывания AD RMS в основном решают различные типы требований бизнеса. Давайте взглянем более подробно на эти топологии.

Это наиболее распространённая для применения топология развёртывания. При данной установке действия AD RMS будут ограничены Лесом Active Directory. Такое развёртывание будет обладать единственным кластером AD RMS для обработки сертификатов и требований лицензирования. Такой кластер может содержать любое число серверов, а балансировка нагрузки обрабатывается на уровне самого кластера. Когда он обладает множеством серверов, такой кластер AD RMS обязан применять базу данных сервера MS SQL вместо WID. Данная модель развёртывания не будет принимать во внимание расширенную защиту данных для не корпоративных сетевых сред.

Приводимая далее таблица перечисляет преимущества и недостатки единственного кластера одного Леса:

Таблица 15-2. Единственный лес - единственный кластер

Преимущества	Недостатки
Простота реализации. Применяется меньше ресурсов (серверов и лицензий).	Способна защищать данные исключительно в рамках ограниченной среды.
Сопровождение и управление системой простые по причине меньших границ действия.	N/A
Поддержка расширений в прочие топологии развёртывания.	N/A

Даже не смотря на то, что это самая простая модель реализации и сопровождения, не все организации намерены помещаться в такую модель. Давайте двинемся далее и рассмотрим прочие модели, которые могут вносить свой вклад в потребности сложного ведения дел.

Это расширенная конфигурация нашей топологи единственного кластера одного Леса. Имеется два типа кластеров AD RMS. Кластером по умолчанию выступает корневой кластер AD RMS, причём он отвечает как за запросы сертификатов, так и лицензий. Кластер исключительно для лицензий также может быть развёрнут в том же самом лесу и он отвечает лишь за запросы на лицензии. Это подходит инфраструктурам, которые обладают площадками в различных географических местоположениях. Тогда это исключит необходимость связываться с кластерами RMS через медленные подключения. Вместо этого, она будет применять для лицензий кластер только для лицензий в каждой площадке. Для данного Леса имеется лишь один корневой кластер, но он способен обладать множеством кластеров для лицензий.

На основании установленной в соответствующем сервере AD RMS роли, будет приниматься решение частью какого кластера он будет выступать. Тем не менее, пока нет особых требований, вам рекомендуется применять только корневой кластер. Балансировка нагрузки между серверами участниками обрабатывается на уровне самого кластера и его настройки независимы. Они не могут совместно применяться различными кластерами. При данной топологии важно также обладать Microsoft SQL с высокой доступностью {Прим. пер.: подробнее в нашем переводе SQL Server 2016 с высокой доступностью... Поль Бертуччи, Pearson Education, Inc., 2018.}.

Приводимая далее таблица перечисляет преимущества и недостатки данной топологии:

Таблица 15-3. Единственный Лес - множество кластеров

Преимущества	Недостатки
Удалённым площадкам нет нужды зависеть от подключений площадки и их полосы пропускания. Все запросы на лицензии обрабатывает имеющийся локальный кластер только для лицензий.	Сложность - развёртывание требует расширенных планирования и настроек.
Удовлетворяет государственному регулированию применения локальных инструментов и технологий шифрования.	Высокая стоимость - для развёртывания необходимо применять дополнительные ресурсы и лицензии. Также возрастает стоимость сопровождения.
N/A	Распределённое управление - при помещении клстеров в удалённых площадках также может потребоваться предоставление полномочий команде ИТ площадки для управления и сопровождения такой системы. Это может оказывать воздействие на безопасность и целостность системы.

И всё же, мы рассмотрели лишь среды с одним Лесом. Но что если организация обладает множеством Лесов?

Когда ваша организация обладает множеством Лесов Active Directory и когда AD RMS должен применяться в них для защиты данных, может применяться данный метод развёртывания. Каждый Лес может обладать лишь одним корневым кластером RMS. Таким образом, в средах со множеством Лесов всякий домен обязан иметь свой собственный кластер AD RMS. Такой кластер AD RMS пользуется AD DS для запроса идентификации объекта. Когда имеется множество Лесов, необходимо обладать контактами с объектами пользователей и групп для соответствующего удалённого леса. Для развёртывания AD RMS во множестве Лесов требуются такие элементы:

Доверительные отношения Active Directory между Лесами не обязательны. Это могут быть двусторонние доверительные отношения, одностороннее доверие или без доверительных отношений вовсе. Когда имеется некое доверие, это упрощает весь процесс управления и полномочий, а также удостоверения объектов между Лесами.

Приводимая далее таблица перечисляет преимущества и недостатки этого:

Таблица 15-4. AD RMS во многих Лесах

Преимущества	Недостатки
Расширенные границы защиты данных.	Сложность - развёртывание требует расширенных планирования и настроек.
Стандартизированная защита данных с партнёрами для защиты конфиденциальных данных.	Зависимости - успешность решений зависит от конфигурации системы и доступности всех компонентов AD RMS Леса имеющихся партнёров. Также могут иметься зависимости, в которых первичный Лес не обладает контролем.

При данной топологии политики доверительных отношений AD RMS управляют тем как обрабатываются запросы лицензий и защиты данных между различными кластерами AD RMS. Существует два типа политик доверительных отношений:

AD RMS в топологии со множеством Лесов требует корневого кластера в каждом из Лесов. Такая топология не требует доверительного отношения между Лесами, однако когда таковые имеются, это упрощает управление полномочиями. Тем не менее, не все партнёры или компании желают иметь доверие между Лесами. Они могут желать применять AD RMS, но они могут не хотеть устанавливать необходимый кластер AD RMS или создавать довереим между Лесами. Итак, в подобной ситуации что бы мы могли предпринять?

AD FS позволяет организации применять уже развёрнутый кластер AD RMS в неком удалённом Лесу. AD FS делает возможным использование их собственных полномочий для учётных записей пользователей, что устанавливается федеративными доверительными взаимоотношениями.

Прежде чем мы настроим их, нам необходимо осуществить определённые предварительные требования, которые необходимы между федеративными инфраструктурами. За подробностями такой конфигурации отсылаем вас к https://technet.microsoft.com/en-us/library/dn758110(v=ws.11).aspx.

Приводимая далее таблица перечисляет преимущества и недостатки этого:

Таблица 15-5. AD RMS через AD FS

Преимущества	Недостатки
Нет необходимости в сопровождении множества кластеров AD RMS между организациями. Могут применяться уже имеющиеся доверительные федеративные отношения для использования AD RMS в прочих Лесах.	Имеются подлежащие рассмотрению вопросы безопасности, поскольку имеется возможность мистификации какой- то учётной записи пользователя и доступа к защищённым данным через федеративного посредника (прокси).
Расширенные границы защиты данных и реализация менее сложна.	Когда для изготовления доверия на основе SSL (AD RMS и AD FMS) используется некий внутренний Центр сертификации (CA), соответствующий федеративный домен должен быть настроен на доверие самому корневому Центру сертификации (CA, с применением GPO для публикации самого корневого сертификата). В противном случае могут потребоваться инвестиции в использование общедоступных сертификатов.
Меньшие зависимости систем между инфраструктурами.	N/A.

Когда это гибридная среда, рекомендуется применять Azure RMS и AIP. Они могут применяться для защиты данных в обеих средах. Поскольку это размещённая служба, нам не требуется заботиться о ресурсах, сопровождении и зависимостях.

В этом разделе мы собираемся рассмотреть конкретную конфигурацию AD RMS 2022 и увидеть как она работает на самом деле. Та среда демонстрации, которую она применяет, была собрана с использованием Windows Server 2022 с самыми последними обновлениями. Соответствующие уровни функциональности Леса AD DS и домена также были установленными в Windows Server 2016.

Настройка корневого кластера AD RMS

Установка роли AD RMS

Конфигурирование роли AD RMS

Проверка - защита данных с помощью кластера AD RMS

Проверка - применение полномочий к определённому документу

Как работает Azure RMS?

Реализация AIP