Нижегородский институт управления
- 1 year ago
- 0
- 0
Службы управления правами ( англ. Active Directory Rights Management Services , AD RMS , также известны как Rights Management Services или RMS до Windows Server 2008 ) — серверное программное обеспечение для управления правами доступа к информации, поставляемое с Windows Server . Оно использует шифрование и отказ от выборочной функциональности для ограничения доступа к таким документам, как корпоративные электронные письма, документы Microsoft Word и веб-страницы , а также авторизованных пользователей, работающих с ними.
Компании могут использовать эту технологию для шифрования информации, хранящейся в таких форматах документов, и с помощью политик , встроенных в документы, предотвращения дешифрования защищённого контента, за исключением определённых людей или групп, в определённых средах при определённых условиях и в течение определённых периодов времени.
Конкретные операции, такие как печать, копирование, редактирование, пересылка и удаление, могут разрешаться или запрещаться авторами контента для отдельных частей контента, а администраторы RMS могут развёртывать шаблоны RMS, которые группируют эти права вместе в предопределённые права, которые могут применяться в массовом порядке.
RMS дебютировал в Windows Server 2003 с библиотеками клиентских API , доступными для Windows 2000 и более поздних версий ОС . Клиент управления правами входит в состав Windows Vista и более поздних версий, доступен для Windows XP , Windows 2000 или Windows Server 2003 .
Кроме того, существует реализация AD RMS в Office для Mac для использования защиты прав в OS X , а некоторые сторонние продукты доступны для защиты прав на Android , Blackberry OS , iOS и Windows RT .
В апреле 2016 года предполагаемая атака на реализацию RMS (включая Azure RMS) была опубликована и сообщена Microsoft . Опубликованный код позволяет авторизованному пользователю с правами просмотра защищённого документа RMS удалить защиту и сохранить форматирование файла. Такая манипуляция требует, чтобы пользователю было предоставлено право расшифровать контент для дальнейшего просмотра. Хоть службы управления правами и делают определённые утверждения безопасности в отношении неспособности неавторизованных пользователей к доступу к защищённому контенту, деление между различными правами использования для авторизованных пользователей считается частью возможностей обеспечения соблюдения политик, которые, как Microsoft утверждает, реализованы как «наилучшие усилия», поэтому корпорация не рассматривает проблему безопасности, а лишь ограничивает применение политики. Ранее RMS SDK обеспечивал подпись кода с использованием возможностей RMS, чтобы обеспечить некоторый уровень контроля над взаимодействием приложений с RMS, но эта возможность впоследствии была удалена из-за ограниченной возможности ограничить такое поведение, учитывая возможность писать приложения, используя веб-сервисы напрямую для получения лицензий на расшифровку содержимого .
Кроме того, используя эту же технику, пользователь, которому были предоставлены права на просмотр защищённого документа, может манипулировать содержимым документа, не оставляя следов манипуляции. Поскольку Azure RMS не является решением без отказов и, в отличие от решений для подписи документов, не претендует на предоставление возможностей защиты от несанкционированного доступа, и поскольку изменения могут быть сделаны только пользователями, которым предоставлены права на документ, Microsoft не рассматривает последнюю проблему как фактическую атаку на заявленные возможности RMS Исследователи предоставляют доказательство концептуального инструмента, позволяющего оценивать результаты через GitHub . .
RMS поддерживается следующими продуктами:
Сторонние решения, такие как Secure Islands (приобретено Microsoft ), GigaTrust и Liquid Machines (приобретено Check Point ), могут добавить поддержку RMS для следующего ПО :