Una de las mayores preocupaciones de seguridad en la actualidad es qué hace una persona con la información interna a la que accede.
Por más que protegamos la información con controles de acceso y permisos, una vez que alguien acede a una información, nada impide que pueda diseminarla, por ejemplo copiando la información a otro documento, imprimirla, o aún enviarla por correo.
Justamente para tratar de evitar ese tipo de fuga de información es que nos ayuda Rights Management Services.
En esta nota haremos una demostración simple en un ambiente de prueba lo más sencillo posible para que puedan ver el servicio en funcionamiento.
Para esto necesitaremos una infraestructura de red simple, alcanza con que tengamos un Dominio (con su Controlador de Dominio), un servidor donde estalaremos Rights Management Services, y un cliente con aplicaciones que puedan usar RMS.
Para este caso utilizaré servidores Windows Server 2008-R2 Enterprise y un cliente Windows 7 Ultimate con Office 2007.
Partiré de la premisa que ya está instalada la infraestructura básica de Active Directory. Anoto los datos que he usado, pero si alguien quiere cambiar alguno no tendrá problemas siempre y cuando haga los cambios correspondientes en el desarrollo
Dominio: GuillermoD.corp
Controlador de Dominio: DC1.GuillermoD.corp (192.168.1.200/24). Con DNS instalado
Servidor RMS: RMS1.GuillermoD.corp (192.168.1.100/24)
Cliente: CL1.GuillermoD.corp (192.168.1.1/24)
El acceso al servidor RMS se puede hacer por HTTP (inseguro) o HTTPS (seguro). Usaré el método seguro (HTTPS). Pero aún así tenemos dos alternativas, usar un certificado auto-firmado, o instalar una autoridad certificadora.
Si usamos el primer método, el sistema alertará de un certificado no confiable al acceder al servidor RMS, en cambio usando una autoridad certificadora interna eso no sucederá.
Como RMS protege los archivos usando cifrado, y para obtener un sistema seguro se deben utilizar Certificados Digitales, así que lo primero que debemos hacer es instalar y configurar una Autoridad Certificadora. Aprovechando las directivas de Dominio configuraré para la obtención automática de certificados, tanto de usuarios como de equipos, aunque para el caso alcanza con que sólo el servidor RMS tenga certificado de máquina.
Luego crearé las cuentas de usuario necesarias, tanto para la demostración como para la cuenta que utilizará el servicio RMS
Hecho lo anterior, recién instalaremos RMS, para finalmente hacer la demostración de protección de datos.
Para poder ver una demostración más completa, hay varias configuraciones más que se podrían hacer, por ejemplo tener un Exchange para poder demostrar las posibilidades de proteger correos y solicitar permisos adicionales, o en ambiente productivo se debería usar una instalación de SQL y no la Windows Internal Database.
Instalación y Configuración de la Autoridad Certificadora
La instalación de la Autoridad Certificadora es simple, vamos a Server Manager, marcamos el correspondiente rol y procedemos con el asistente de acuerdo a las figuras.
Si quieren hacerlo más simple, solamente obtengan un Certificado de máquina para el servidor RMS.
En esta demostración configuraré obtención automática para todos los usuarios y equipos.
Para la configuración de obtención automática de Certificados tanto para Usuarios como para equipos, utilizaré el procedimiento ya descripto en la nota anterior Obtención Automática de Certificados así que no mostraré el procedimiento en esta nota, supongo que lo harán desde la misma. Sólo debemos hacer la parte de la nota para asegurarnos que las cuentas obtengan certificado, así que lo aplicaré con una GPO a nivel de Dominio, en lugar de hacerlo por Unidades Organizativas.
En la siguiente figura podemos ver los nuevos tipos de Certificados
Y en esta la inclusión de la nueva GPO a nivel de Dominio, para que todos los equipos y usuarios obtengan su certificado automáticamente
En este punto conviene que en todos los equipos se ejecute GPUPDATE /FORCE para asegurarnos la aplicación de la GPO, y la obtención de Certificados.
Creación de Cuentas de Usuario
Necesitaremos crear una cuenta de usuario (normal) para que la utilice el servicio (ADRMSSvc) y por lo tanto que no caduque la contraseña, y además crearé tres cuentas de usuario para la demostración final.
Nota importante: para que las cuentas de usuario puedan obtener el Certificado necesitamos incluirles dirección de correo.
Las cuentas que crearé son:
- ADRMSSvc (adrmssvc)
- Usuario Uno (u1)
- Usuario Dos (u2)
- Usuario Tres (u3)
Instalación de ADRMS
Comenzamos como siempre, en el equipo RMS1, con Server Manager eligiendo el rol y siguiendo el asistente de acuerdo a las siguientes figuras
En la pantalla siguiente yo estoy agregando el certificado obtenido de la Autoridad Certificadora interna, pero si no la instalaron elijan crear un Certificado auto-firmado. En este caso cuando hagan el acceso con usuarios les informará que el Certificado es no-confiable, pero todo funciona normalmente.
Además de los pasos anteriores debemos asociar el Certificado de equipo al Default Web Site, así que vamos a Internet Information Service Manager, y sobre el sitio elegimos la opción Bindings, y agregamos el certificado
No debería haber ningún error, pero por las dudas asegurémosnos que el SCP se registró correctamente.
Para eso, en DC1, abrimos Active Directory Sites and Services (Sitios y Servicios de Active Directory), vamos a al menú View, y elegimos Show Services Node, abrimos Services, RightsManagementServices, entramos a las propiedades SCP, y en la ficha Attribute Editor verificamos el ServiceBindingInformation que esté correcto.
Un último detalle a ejecutar en el servidor RMS1, desde línea de comandos ejecutamos IISRESET /NOFORCE
Esto es para que un usuario que no tiene privilegios, y trata repetidamente de acceder a la información, no vuelva repetidamente al Controlador de Dominio.
Demostración de Funcionalidad Básica
Para hacer una demostración básica de funcionamiento utilizaremos el equipo CL1, que como recordamos tiene instalado Office 2007. En este caso lo probaré sólo con Word 2007, donde Usuario creará un documento y lo protegerá
Así que vamos a CL1, iniciamos sesión como Usuario Uno, creamos un documento de Word con cualquier texto que queramos.
Y lo protegemos
Marcamos la opción de protección, e indicamos los usuarios y privilegios
O si entramos por el botón More Options, vemos que hay varios elementos para modificar, por ejemplo si puede imprimir, copiar, fecha de expiración de los permisos, o inclusive si puede enviarle correo al propietario para solicitar permisos adicionales.
Una vez protegido, lo guardamos en una carpeta local o remota, tal que Usuario Dos y Usuario Tres puedan accederla.
Pero desde la protección que Usuario Dos no pueda acceder al documento, y Usuario Tres pueda acceder con sólo lectura. Para Usuario Uno, el documento queda así
Ahora cerramos sesión con Usuario Uno, iniciamos con Usuario Dos, y trataremos de acceder al documento en cuestión.
Primero veremos que nos solicita las credenciales
Nos avisa que necesita conectarse al RMS
Y finalmente nos deniega el acceso, dándonos las posibilidades de cambiar usuario, o solicitar permisos al propietario
Cerramos la sesión y ahora iniciamos con Usuario Tres y vamos a abrir el documento. El procedimiento es análogo, sólo que en este caso lo podremos abir.
Pero podemos ver las restricciones ¿Copiar y Pegar? no
¿Imprimir o guardar? tampoco
¿Qué podemos hacer?
Con esto finalizamos esta nota. Recordar que el objetivo fue mostrar en forma fácil el uso de DRM como para poder comenzar con el tema. En un ambiente productivo entran además otras configuraciones tanto desde el punto de vista seguridad, como recuperación ante problemas, ya que los documentos quedan cifrados.