Services de gestion des droits Active Directory - Active Directory Rights Management Services

Active Directory Rights Management Services ( AD RMS , connu sous le nom de Rights Management Services ou RMS avant Windows Server 2008 ) est un logiciel serveur pour la gestion des droits d'information fourni avec Windows Server . Il utilise le cryptage et une forme de refus de fonctionnalité sélective pour limiter l'accès aux documents tels que les courriers électroniques d'entreprise , les documents Microsoft Word et les pages Web , ainsi que les opérations que les utilisateurs autorisés peuvent effectuer sur eux. Les entreprises peuvent utiliser cette technologie pour crypter les informations stockées dans de tels formats de documents et, grâce à des politiques intégrées dans les documents, empêcher le contenu protégé d'être décrypté sauf par des personnes ou des groupes spécifiques, dans certains environnements, sous certaines conditions et pendant certaines périodes. . Des opérations spécifiques telles que l'impression, la copie, l'édition, le transfert et la suppression peuvent être autorisées ou interdites par les auteurs de contenu pour des éléments de contenu individuels, et les administrateurs RMS peuvent déployer des modèles RMS qui regroupent ces droits en droits prédéfinis qui peuvent être appliqués en masse .

RMS a fait ses débuts dans Windows Server 2003 , avec des bibliothèques d'API client disponibles pour Windows 2000 et versions ultérieures. Le client Rights Management est inclus dans Windows Vista et les versions ultérieures, est disponible pour Windows XP , Windows 2000 ou Windows Server 2003. En outre, il existe une implémentation d'AD RMS dans Office pour Mac pour utiliser la protection des droits sous OS X et certains tiers. Les produits du parti sont disponibles pour utiliser la protection des droits sur Android , Blackberry OS , iOS et Windows RT .

Attaques contre les capacités d'application des politiques

En avril 2016, une attaque présumée contre les implémentations RMS (y compris Azure RMS) a été publiée et signalée à Microsoft . Le code publié permet à un utilisateur autorisé qui a obtenu le droit d'afficher un document protégé RMS de supprimer la protection et de conserver le formatage du fichier. Ce type de manipulation nécessite que l'utilisateur ait obtenu des droits pour déchiffrer le contenu pour pouvoir le visualiser. Alors que Rights Management Services émet certaines affirmations de sécurité concernant l'incapacité pour les utilisateurs non autorisés d'accéder au contenu protégé, la différenciation entre les différents droits d'utilisation pour les utilisateurs autorisés est considérée comme faisant partie de ses capacités d'application de la politique, que Microsoft prétend être implémentées en tant que «meilleur effort», donc il n'est pas considéré par Microsoft comme un problème de sécurité mais comme une limitation d'application de la politique. Auparavant, le SDK RMS imposait la signature de code à l'aide des capacités RMS afin de fournir un certain niveau de contrôle sur les applications interagissant avec RMS, mais cette capacité a été supprimée par la suite en raison de sa capacité limitée à restreindre de tels comportements étant donné la possibilité d'écrire des applications utilisent le services Web directement pour obtenir des licences pour décrypter le contenu.

De plus, en utilisant cette même technique, un utilisateur qui s'est vu octroyer des droits de visualisation d'un document protégé peut manipuler le contenu du document sans laisser de traces de la manipulation. Étant donné qu'Azure RMS n'est pas une solution de non-répudiation et, contrairement aux solutions de signature de documents, ne prétend pas fournir des fonctionnalités anti-falsification, et puisque les modifications ne peuvent être apportées que par les utilisateurs qui ont des droits sur le document, Microsoft ne considère pas le plus tard, il s'agissait d'une attaque réelle contre les capacités revendiquées de RMS. Les chercheurs fournissent un outil de preuve de concept, pour permettre l'évaluation des résultats, via GitHub .

Support logiciel

RMS est nativement pris en charge par les produits suivants:

• Microsoft Office 2003 et versions ultérieures: Word , Excel , PowerPoint , Outlook , InfoPath
• Microsoft Office pour Mac 2011 et versions ultérieures: Word, Excel, PowerPoint, Outlook
• SharePoint 2007 et versions ultérieures
• Exchange Server 2007 et versions ultérieures
• Spécification papier XML (XPS)

Les solutions tierces, telles que celles de Secure Islands (acquises par Microsoft ), GigaTrust et Liquid Machines (acquises par Check Point ) peuvent ajouter la prise en charge RMS aux éléments suivants:

• SharePoint 2003
• Microsoft Visio
• Projet Microsoft
• Adobe Acrobat
• Internet Explorer
• IIS 6.0

Voir également

• Serveurs Microsoft

Références

Liens externes

• Services de gestion des droits Windows
• Téléchargements du client RMS
• SDK RMS pour les applications activant RMS
• Dépannage des services de gestion des droits Windows (RMS) - Avertissement concernant un serveur de certification racine
• Gestion des droits Active Directory - En résumé
• Kit de développement logiciel (SDK) 2.0 des services de gestion des droits Active Directory
• Services de gestion des droits Active Directory - TechNet
• Services de gestion des droits Active Directory - MSDN
• Secure Islands IQProtector - Protection et contrôle des informations à l'aide de Microsoft RMS
• Présentation technique de Windows RMS