IT konference TechEd DevCon

Dávno tomu jest, kdy řešení Microsoftu pro oblast Information Rights Management (IRM) spatřilo světlo světa. Vyrůstalo trochu bez pozornosti okolí, ale jak rostlo, začalo být více a více okukováno a dotýkáno. Za svobodna neslo název Rights Management Services (RMS), ale relativně nedávno proběhla svatba s Active Directory, a tak je nyní najdeme pod názvem Active Directory Rights Management Services. Novomanželé se zabydleli v lukrativní oblasti serverových rolí operačního systému Windows Server 2008 R2 či operačních systémů z něj vycházejících. To znamená například Windows Small Business Server 2008 R2. Cílem následujících řádků je zjistit, jestli můžeme bez obav jít k rodině AD RMS na návštěvu. Tedy, přesně jako v nadpise: Je to i pro mě?

externí autořiexterní autoři
SoftwareSoftware
25.06.2012 15:19:0025.06.2012 15:19:00

externí autoři

externí přispěvatelé magazínu softwarový QUAS

Microsoft

Články o různých produktech Microsoft, které nemají vlastní seriály
  1. Sedm důvodů pro Microsoft Office 2007 SB Edition
  2. Správný čas pro Microsoft Office 2007!
  3. Windows Product Activation
  4. Microsoft Expression 2
  5. SBS, EBS… aneb naše malé už i pro velké
  6. Jak dlouho si vystačíte se starými verzemi
  7. Migrace ze SourceSafe na Team Foundation Server
  8. Fenomén Windows 7
  9. Office 2007 a Vy
  10. Windows Vista a Visual Studio
  11. Dobře upletená síť
  12. SQL Server – mozek vaší organizace: Postarejte se o něj!
  13. Windows 7? Teď je ještě stihnete!
  14. Windows 7 - další dotek...
  15. Co to pořád s těmi licencemi máte?!
  16. Dokonalá komunikace
  17. Windows Essential Business Server
  18. Virtualizace ve sféře Small Businessu
  19. Windows Server 2008 R2
  20. Instalace Exchange Serveru 2010
  21. Exchange Server 2010
  22. Group Policy Preferences: báječný doplněk vašich politik!
  23. Novinky v Team Foundation Serveru 2010
  24. SharePoint – velká posila vašeho týmu
  25. BPOS: vskutku atraktivní hostitel
  26. Office 2010 ve firmě i doma,zadarmo i za peníze
  27. Expression Studio 4 Web Professional skoro zadarmo?
  28. Už není proč čekat: SharePoint 2010
  29. Nový způsob komunikace – Office Communicator, Live Meeting
  30. Licence pro desktopy v datacentrech: VDA, VDI, VECD
  31. BI, SQL a Excel
  32. Visual Studio Team Foundation Server 2010
  33. Business Inteligence pro každého: PowerPivot
  34. Visual Studio Test Professional 2010
  35. Enrollment for Education Solutions (EES)
  36. Internet Explorer 9
  37. Forefront Endpoint Protection 2010 - cesta k optimalizaci provozu desktopů
  38. Zcela jiný pohled na zabezpečení dat
  39. Bezpečnost, dostupnost, výkon
  40. Mějte informace po ruce. V SharePointu.
  41. Průvodce městem E CAL Town
  42. Aplikační servery v cloudu – vítaná změna podmínek
  43. Produkty System Center pro vaše pohodlí
  44. Opalis(ace)
  45. Úspory v datových centrech
  46. Office 365 aneb produktivita mezi nebem a zemí
  47. Jak vybrat licenční model pro poskytování IT služeb?
  48. Požadavky v organizaci a jejich vyřízení
  49. Dodejte své firmě energii jádra!
  50. Windows Server 2008 R2
  51. Exchange Server 2010 – víc než jen Mail Server
  52. Microsoft SharePoint 2010
  53. LYNC Standard CAL jako součást CORE CAL
  54. Forefront Endpoint Protection 2010
  55. SCCM: Chodí to dobře. A seje to!
  56. Microsoft Visual Studio LightSwitch
  57. Windows Intune
  58. Microsoft Product Activation
  59. Konečně konec licencím? Aneb jasná zpráva o licencích v mracích.
  60. Konečně konec licencím? Aneb jasná zpráva o licencích v mracích PODRUHÉ.
  61. Konečně konec licencím? Aneb jasná zpráva o licencích v mracích POTŘETÍ.
  62. Konečně konec licencím? Aneb jasná zpráva o licencích v mracích POČTVRTÉ.
  63. Konečně konec licencím? Aneb jasná zpráva o licencích v mracích Q & A.
  64. Síla mraku výhodně
  65. Office 365 s ostružinkou
  66. Studenti a legální software
  67. Mráčky a zase mráčky
  68. System Center 2012: licenční změny
  69. CRM? Zapomeňte na písmeno C
  70. Komunikace 21. století pro všechny…
  71. Co nikdy nedělat s SBS 2008/2011
  72. Slevy pro vývojáře
  73. VDI je cesta. Ale k čemu?
  74. Ochrana obsahu a informací – je to i pro mě?
  75. Active Directory Right Management Services – licence
  76. Windows Intune – efektivní správa koncových zařízení, která nejsou pod jednou střechou
  77. Lék na nemoci vývoje – je na co se těšit!
  78. Nástupce Windows SBS 2011 – Windows Server 2012 Essentials
DAQUAS
+420 222 512 201
+420 603 442 434
daquas@daquas.cz
Anny Letenské 7, Praha 2

Ochrana obsahu a informací – je to i pro mě?

Dávno tomu jest, kdy řešení Microsoftu pro oblast Information Rights Management (IRM) spatřilo světlo světa. Vyrůstalo trochu bez pozornosti okolí, ale jak rostlo, začalo být více a více okukováno a dotýkáno. Za svobodna neslo název Rights Management Services (RMS), ale relativně nedávno proběhla svatba s Active Directory, a tak je nyní najdeme pod názvem Active Directory Rights Management Services. Novomanželé se zabydleli v lukrativní oblasti serverových rolí operačního systému Windows Server 2008 R2 či operačních systémů z něj vycházejících. To znamená například Windows Small Business Server 2008 R2. Cílem následujících řádků je zjistit, jestli můžeme bez obav jít k rodině AD RMS na návštěvu. Tedy, přesně jako v nadpise: Je to i pro mě?

Tento článek je takové „2 v 1“. V první části si představíme, jak technicky náročné je postavit AD RMS v infrastruktuře a co všechno k tomu budete potřebovat. V druhé části se dozvíte, jaké jsou pro takové řešení potřeba licence.

Většina společností na začátku implementace poměrně logicky řeší, jestli něco takového vůbec potřebují. Pokud bych měl být ale upřímný, má otázka by byla spíše „proč to ještě nemáte?“. Skutečně mne překvapuje, že je tak málo firem v ČR, které mají AD RMS nasazeno v produkčním prostředí. Vždyť si vezměte, že každá firma řeší bezpečný přístup do Internetu skrze firewall. Drtivá většina firem je ochotná investovat minimálně do času správců IT, kteří musí vymyslet robustní nastavení práv na souborovém serveru tak, aby se k datům nedostaly nepovolané osoby. Stejně tak většina majitelů firem si uvědomuje, že firemní data vlastně určují hodnotu jejich společnosti a obsahují v sobě nejpodstatnější informace. Nebo jim to možná nedochází? Nebo to nedochází odborníkům na IT v jejich službách? Proto asi málokoho napadne, že může svá data chránit i jinak než jen pomocí práv souborového serveru. A když se k tomu ještě řekne, že AD RMS je standardní součástí prakticky všech (i těch nejmenších edic) Windows Serveru (viz okénko), tak vám musí být jasná má otázka „proč to ještě nemáme?“.

Co přesně AD RMS je a jak funguje?

V této otázce bych se odkázal na článek Zcela jiný pohled na zabezpečení dat, který v softwarovém Quasu vyšel na jaře 2011 (číslo 76). Ale abyste neřekli, že vás hned odháním od dnešního článku, tak alespoň prozradím, že AD RMS je robustní systém, který šifruje obsah souborů (v základu formátů programů Word, Excel, PowerPoint, InfoPath, Outlook). Takto šifrovaný obsah se nazývá chráněný obsah. Ke každému takto chráněnému souboru existuje:

  • publikační licence (PL): specifikuje práva, která jsou aplikována na obsah chráněný AD RMS
  • licence konečného užití (EUL): specifikuje práva, která jsou aplikována na obsah chráněný AD RMS v kontextu specifického ověřeného uživatele

Nyní již tedy víme, že bez AD RMS nemůžeme spát a že to umí šifrovat obsah souborů. Dále víme, že existují určité licence, které po ověření uživatele umožní určitou práci s chráněným obsahem, ale pořád nevíme, jaké možnosti to AD RMS vlastně nabízí. Práva, která lze v AD RMS specifikovat, jsou následující:

  • úplná kontrola,
  • zobrazení,
  • úprava,
  • uložení, export (uložit jako),
  • tisk,
  • přeposlat, odpovědět, odpovědět všem,
  • extrahování,
  • povolení maker,
  • zobrazení práv, úprava práv.

Tedy, v  obsahu chráněném pomocí AD RMS jde hlavně o to, že můžete definovat, že ověřená osoba, která má právo jen pro čtení, si daný obsah skutečně může jen přečíst. Nebude jí umožněno si obsah například vytisknout, zkopírovat do jiného dokumentu, vyfotit programem Výstřižky nebo tlačítkem „print screen“ atd. Možností je opravdu hodně. Existuje jen pár funkčních útoků na obsah chráněný pomocí AD RMS, které zaručí třeba export dat do jiného dokumentu. Například:

 

Jak nasadit ochranu

A nyní ona slibovaná část, co je k tomu vlastně potřeba. Na začátek je třeba si zvolit správnou variantu implementace. Varianty se liší kupříkladu podle topologie Active Directory. Tedy pro scénáře, kdy společnost má multi-forest Active Directory, single-forest Active Directory nebo byste chtěli například publikovat AD RMS do Internetu. S těmito implementačními nástroji vám nejvíce pomohou dokumenty na webu MS TechNet, kde jsou jednotlivé scénáře popsány.

To, co jsem ale chtěl hlavně probrat, jsou další technologie potřebné pro úspěšné nasazení AD RMS.

Tak zaprvé potřebujete operační systém Windows Server 2008 R2 nebo Windows Small Business Server 2011. Verze či edice jsou uvedeny v okénku. Nezmínil jsem zatím, které edice podporovány naopak nejsou. Tak pozorně čtěte: jsou to Windows Server 2008 (R2) Server Core, Windows Web Server 2008 i 2008 R2, Windows Server 2008 i 2008 R2 for Itanium-Based Systems. V případě nasazení na Small Business Server (SBS) důrazně doporučuji využití doplňku Premium Add-on, který vám nabídne nejen další licenci operačního systému, ale zároveň SQL Server, jenž bude také potřeba. A když už jsme u databázového serveru, databáze AD RMS sice je možné nainstalovat do Windows Internal Database, ale rovnou upozorňuji, že tento model je podporován výhradně pro testovací účely, a nikoliv pro produkční prostředí. Stejně to platí i pro SQL Server Express. V produkčním prostředí jsou podporovány pouze:

  • SQL Server 2000 Enterprise i Standard Edition with SP4
  • SQL Server 2005 Enterprise i Standard Edition with SP3
  • SQL Server 2008 Enterprise i Standard Edition with SP2
  • SQL Server 2008 R2 Datacenter, Enterprise i Standard Edition

No a nakonec vám přijde vhod také Microsoft Office. Tedy software, který je schopen vytvářet a číst chráněný obsah. AD RMS umí pracovat s formáty souborů aplikací kancelářského balíku Microsoft Office 2003, 2007 a 2010. Všechny edice Office mohou chráněný obsah číst, ale vytvářet takový obsah je možné pouze v edici Office 2010 Professional Plus nebo v edicích Office 2007 Ultimate, Professional Plus a Enterprise. AD RMS umí daleko více formátů, například PDF, ale k implementaci takového řešení je nutné využít podpory výrobců softwaru třetích stran.

Má AD RMS smysl i v menší firmě?

Dlouho jsem si kladl otázku, jestli je AD RMS cenově či technicky akceptovatelné i pro malé firmy, které spadají do segmentu Windows Small Business Serveru. Co taková firma potřebuje, aby mohla nasadit AD RMS?

  • Windows Small Business Server Standard + Premium Add-on: ne, že by role AD RMS nebyla i v edici Standard, ale AD RMS vyžaduje SQL Server.
  • Windows Small Business Server Standard CAL.
  • Windows Small Business Server Premium Add-on CAL: pro ty uživatele, kteří budou buď vytvářet, nebo i číst chráněný obsah. Ostatní uživatelé mohou mít jen Standard CAL.
  • RMS CAL: speciální CAL pro AD RMS, nutné pro uživatele, kteří vytvářejí nebo čtou chráněný obsah.
  • SQL Server: je už součástí SBS 2011 Premium Add-on.
  • Office 2010 Professional Plus: pro ty, kteří vytvářejí chráněný obsah.
  • Office 2010, 2007, 2003 libovolné edice: pro ty, kteří potřebují chráněný obsah číst.

Z tohoto výčtu je zřejmé, že i malá firma, která má Small Business Server, může finančně pokrýt řešení AD RMS, protože k SBS už toho zas tak moc navíc nepotřebuje. Hurá do světa bezpečnějších dokumentů a ochrany rodinného stříbra v podobě cenných informací, know-how a dalších pokladů, které se v nich skrývají.

Mimochodem, chráněný obsah může číst pouze osoba, která má účet v té Active Directory, kde byl chráněný obsah vytvořen (z pohledu AD forestu) nebo z federované AD. Pokud by společnost vyžadovala, aby dokumenty mohli číst i vysloveně externí lidé, je třeba pořídit External Connector.

A nyní se již pojďme podívat, jak je to vlastně s tím licencováním.

Jan Pilař | KPCS