Za sedmero horami a sedmero řekami byla jednou jedna firma, kde uživatelé znali cenu dat a dle toho se k nim chovali. Kde král sítě nikdy nemusel čelit pokusu o nájezd cizích rytířů – hackerů za účelem získání firemních dat, ba dokonce každý jednotlivý poddaný – uživatel byl zcela neúplatný a data chránil vlastní ctí. Zazvonil konec a pohádky je konec. Ano, toto je možné skutečně jen v pohádkách, a tak je potřeba mít nástroje, díky kterým by náš pomyslný král mohl ochránit data tak, aby se nemohla dostat do rukou nepovolaným osobám.

externí autořiexterní autoři
SoftwareSoftware
12.05.2011 13:49:0012.05.2011 13:49:00

externí autoři

externí přispěvatelé magazínu softwarový QUAS

Microsoft

Články o různých produktech Microsoft, které nemají vlastní seriály
  1. Sedm důvodů pro Microsoft Office 2007 SB Edition
  2. Správný čas pro Microsoft Office 2007!
  3. Windows Product Activation
  4. Microsoft Expression 2
  5. SBS, EBS… aneb naše malé už i pro velké
  6. Jak dlouho si vystačíte se starými verzemi
  7. Migrace ze SourceSafe na Team Foundation Server
  8. Fenomén Windows 7
  9. Office 2007 a Vy
  10. Windows Vista a Visual Studio
  11. Dobře upletená síť
  12. SQL Server – mozek vaší organizace: Postarejte se o něj!
  13. Windows 7? Teď je ještě stihnete!
  14. Windows 7 - další dotek...
  15. Co to pořád s těmi licencemi máte?!
  16. Dokonalá komunikace
  17. Windows Essential Business Server
  18. Virtualizace ve sféře Small Businessu
  19. Windows Server 2008 R2
  20. Instalace Exchange Serveru 2010
  21. Exchange Server 2010
  22. Group Policy Preferences: báječný doplněk vašich politik!
  23. Novinky v Team Foundation Serveru 2010
  24. SharePoint – velká posila vašeho týmu
  25. BPOS: vskutku atraktivní hostitel
  26. Office 2010 ve firmě i doma,zadarmo i za peníze
  27. Expression Studio 4 Web Professional skoro zadarmo?
  28. Už není proč čekat: SharePoint 2010
  29. Nový způsob komunikace – Office Communicator, Live Meeting
  30. Licence pro desktopy v datacentrech: VDA, VDI, VECD
  31. BI, SQL a Excel
  32. Visual Studio Team Foundation Server 2010
  33. Business Inteligence pro každého: PowerPivot
  34. Visual Studio Test Professional 2010
  35. Enrollment for Education Solutions (EES)
  36. Internet Explorer 9
  37. Forefront Endpoint Protection 2010 - cesta k optimalizaci provozu desktopů
  38. Zcela jiný pohled na zabezpečení dat
  39. Bezpečnost, dostupnost, výkon
  40. Mějte informace po ruce. V SharePointu.
  41. Průvodce městem E CAL Town
  42. Aplikační servery v cloudu – vítaná změna podmínek
  43. Produkty System Center pro vaše pohodlí
  44. Opalis(ace)
  45. Úspory v datových centrech
  46. Office 365 aneb produktivita mezi nebem a zemí
  47. Jak vybrat licenční model pro poskytování IT služeb?
  48. Požadavky v organizaci a jejich vyřízení
  49. Dodejte své firmě energii jádra!
  50. Windows Server 2008 R2
  51. Exchange Server 2010 – víc než jen Mail Server
  52. Microsoft SharePoint 2010
  53. LYNC Standard CAL jako součást CORE CAL
  54. Forefront Endpoint Protection 2010
  55. SCCM: Chodí to dobře. A seje to!
  56. Microsoft Visual Studio LightSwitch
  57. Windows Intune
  58. Microsoft Product Activation
  59. Konečně konec licencím? Aneb jasná zpráva o licencích v mracích.
  60. Konečně konec licencím? Aneb jasná zpráva o licencích v mracích PODRUHÉ.
  61. Konečně konec licencím? Aneb jasná zpráva o licencích v mracích POTŘETÍ.
  62. Konečně konec licencím? Aneb jasná zpráva o licencích v mracích POČTVRTÉ.
  63. Konečně konec licencím? Aneb jasná zpráva o licencích v mracích Q & A.
  64. Síla mraku výhodně
  65. Office 365 s ostružinkou
  66. Studenti a legální software
  67. Mráčky a zase mráčky
  68. System Center 2012: licenční změny
  69. CRM? Zapomeňte na písmeno C
  70. Komunikace 21. století pro všechny…
  71. Co nikdy nedělat s SBS 2008/2011
  72. Slevy pro vývojáře
  73. VDI je cesta. Ale k čemu?
  74. Ochrana obsahu a informací – je to i pro mě?
  75. Active Directory Right Management Services – licence
  76. Windows Intune – efektivní správa koncových zařízení, která nejsou pod jednou střechou
  77. Lék na nemoci vývoje – je na co se těšit!
  78. Nástupce Windows SBS 2011 – Windows Server 2012 Essentials
ALSO Czech Republic s.r.o.
+420 222 512 201
+420 603 442 434
daquas@daquas.cz
Anny Letenské 7, Praha 2

Zcela jiný pohled na zabezpečení dat

Za sedmero horami a sedmero řekami byla jednou jedna firma, kde uživatelé znali cenu dat a dle toho se k nim chovali. Kde král sítě nikdy nemusel čelit pokusu o nájezd cizích rytířů – hackerů za účelem získání firemních dat, ba dokonce každý jednotlivý poddaný – uživatel byl zcela neúplatný a data chránil vlastní ctí. Zazvonil konec a pohádky je konec.
Ano, toto je možné skutečně jen v pohádkách, a tak je potřeba mít nástroje, díky kterým by náš pomyslný král mohl ochránit data tak, aby se nemohla dostat do rukou nepovolaným osobám.

Nepovolané osoby nemusí být nutně cizí „rytíři“, ale i vlastní „poddaní“. Jaká je tedy realita? Krutá! Tu pravou realitu a cenu dat si bohužel uvědomuje velmi málo společností, a tak nechávají svá data často nestřežena či je chrání metodikou zamčené brány, okolo které je ovšem místo betonové zdi velmi pěkné posekaný nízký živý plůtek. Aneb „berte, berte“, jako kořenářky na trhu.

Na co se ale spolehnout, když bych chtěl mít opravdu bezpečná data? Slyšeli jste už někdy o Information Rights Managementu (IRM)? Ne? Pak tomuto textu můžete vesele holdovat dále.

IRM a Windows Server

Microsoft poskytuje IRM jako serverovou roli v každé edici operačního systému Windows Server 2008 R2. Její celý název je Active Directory Rights Management Services (dále jen ADRMS). Cílem této role je povýšit standardní mechanismy zabezpečení dokumentů a informací na zcela jinou úroveň. Jak typická firma zabezpečuje data? Jednoduše tak, že nastaví práva na složky či jednotlivé soubory a lidé ve firmě do dané složky mají nebo nemají přístup. Klasická správa NTFS ACL, tak jak ji známe asi všichni. Jenže definice oprávnění pomocí NTFS je svým způsobem hodně povrchní a funguje trochu arabským modelem, tedy „buď a nebo“. Buďto někdo má přístup k datům (alespoň pro čtení), nebo nemá. Nic mezi. Těžko určíte, zda-li ten či onen uživatel může s daným dokumentem nakládat tak či onak. Tím se rozumí, zda-li si může například vykopírovat obsah dokumentu do jiného dokumentu, zda-li ho může „vyfotit“ pomocí print screen nebo snipping toolem. Takovýchto scénářů a možností bychom našli spousty. Pokud jste si v předešlém krátkém výčtu řekli „aha, to by vážně nebylo špatné hlídat“, pak vězte, že IRM/ADRMS je přesně to, co potřebujete.

IRM a Office

Proberme si teď, co vlastně ADRMS může nabídnout. Jeho primárním účelem je poskytnout ochranu dokumentů proti riziku krádeže jeho obsahu. Nebavíme se teď o souboru, ale o obsahu souboru. Krádež informací nemusí nutně pocházet jen od cizích lidí, čili hackerů, jak se často lidé domnívají. Nejčastěji informace kradou, ztrácejí nebo nevhodně použijí vlastní interní zaměstnanci. A pokud takovým lidem na NTFS nastavíte práva pro práci s daty, protože je to jejich práce, už nemáte žádný mechanismus, jak ohlídat, aby se s informacemi nakládalo bezpečně. ADRMS umí pracovat s formáty souborů aplikací kancelářského balíku Microsoft Office 2003, 2007 a 2010, konkrétně Word, Excel, Outlook, PowerPoint a InfoPath. Všechny edice Office mohou chráněný obsah číst, ale vytvářet takový obsah je možné pouze v edicích Ultimate, Professional Plus, Enterprise. ADRMS umí daleko více formátů, například PDF, ale k implementaci takového řešení je nutné využít podpory výrobců softwaru třetích stran. A o jaké ochraně dokumentů mluvíme? ADRMS může hlídat, kdo smí dokument například otevřít, upravit, tisknout, přeposlat a tak dále. Protože dokument je šifrován, i kdyby ho oprávněná osoba zaslala v příloze neoprávněné osobě, tak tato neoprávněná osoba si nic nepřečte, protože nebude ověřena její identita proti ADRMS serveru.

Jak to vlastně celé funguje?

Na jedné straně je klientská stanice a na straně druhé je ADRMS server, nebo servery. Stanice získá certifikát pomocí aktivace ADRMS klienta, který je integrován v operačním systému Windows 7. U některých OS se musí agent doinstalovat, či aktualizovat. Aktivovat se však musí i konkrétní uživatel, aby oba byli jednoznačně identifikovatelní pro ADRMS servery. ADRMS klient zároveň zprostředkovává komunikaci mezi klientem a servery ADRMS. Tedy, pokud by uživatel chtěl otevřít chráněný dokument, tento požadavek a veškerou režii okolo něj bude zprostředkovávat ADRMS klient. Řekněme, že je to takový váš právní zástupce před soudem, který rozhoduje, zda-li vám dá přístup k obsahu dokumentu a jaká práva vůči němu budete mít.
Jak již bylo uvedeno, chráněný obsah IRM lze číst nebo vytvářet pouze aplikacemi k tomu určenými. Klasickým Notepadem chráněný obsah neotevřete, i kdyby formát souboru byl s Notepadem kompatibilní. Notepad prostě neumí komunikovat s ADRMS klientem.
Vůči uživateli se vše chová velmi jednoduše, není se tedy třeba obávat, že nasazení a využití této technologie vyžaduje od uživatelů hodiny a hodiny studia či školení na danou technologii. Výhodou také je, že ADRMS se nespoléhá na to, že když uživatel píše e-mail, tak vždy uvědoměle zprávu opatří IRM. Na základě politik se totiž mohou ADRMS politiky aplikovat automaticky! 

A jaký z toho všeho plyne závěr? Můžeme být klidně v zemi Mordoru a stejně se vševidoucí oko nedozví, kde prsten, který vládne všem, je. Pokud ho chrání vhodně nastavené ADRMS, pak je v bezpečí i před samotným Frodem, který i kdyby chtěl, informaci nevynese. 

Jan Pilař | KPCS