Trabalhando diariamente das 08:00 às 23:00 hs, acabei negligenciando temporariamente as atividades aqui do blog.
Ministrei muito recentemente 120 horas de curso da formação MCSA em Windows Server 2016 e confesso que foi muito bom!!!
É a sensação de estar cumprindo meu dever, totalmente de acordo com o que acredito ser minha vocação, transmitindo conhecimento e impactando diretamente a vida de dezenas de pessoas que desejam alavancar suas carreiras, buscar aprovação nos exames oficiais de certificação ou simplesmente aprender mais.
E em cada treinamento, um ponto que noto cada vez mais interesse é sobre segurança da informação e consequente proteção de conteúdo. Como proteger informações contra acesso não autorizado, evitar vazamentos e consequentemente garantir conformidade com leis, normas e regulamentações vigentes ou prestes a entrar em vigor?
Pois é ... esse é um dos maiores problemas enfrentados diariamente por administradores de redes e analistas de segurança em todos os cantos do mundo.
Nativamente, o Windows Server fornece alguns recursos, como por exemplo as permissões de arquivo NTFS que podem ser utilizadas para determinar quem possui acesso aos arquivos. Um problema notório das permissões de arquivos e pastas é que após um arquivo ser copiado para outro local (como uma unidade USB), as permissões originais não se aplicam mais. Um arquivo que tenha sido copiado herdará as permissões do dispositivo de destino. Após um arquivo com um atributo do tipo "somente leitura" ser copiado, ele poderá ser editado e ter as permissões de arquivo e pasta alteradas.
Existe também o Encrypting File System (EFS) que pode ser implementado para controlar melhor a privacidade dos dados e ajudar a proteger o arquivo permanentemente. Entretanto, não será nada fácil compartilhar esses arquivos com outros usuários que realmente devam possuir acesso.
Assim, lhes apresentarei nos próximos artigos o Active Directory Rights Management Services ou simplesmente "AD RMS".
Com o AD RMS, é possível proteger um arquivo em qualquer local, independente das permissões de arquivo e pasta que concedem acesso e permitir que somente os usuários explicitamente autorizados a abrir um arquivo possam exibir o conteúdo, além de permitir controlar ações de arquivos, tais como copiar, imprimir e encaminhar entre outras possibilidades.
Além disso, o AD RMS integra-se a determinados produtos Microsoft, incluindo o Windows Server, Exchange Server, SharePoint Server e o Microsoft Office, além de serviços online, como o Office 365.
Mas antes de me aprofundar em aspectos fundamentalmente técnicos, vamos a alguns possíveis cenários onde essa solução atenderia bem a determinados requisitos de segurança:
Cenário 01 => Um diretor executivo copia uma
planilha que contém informações extremamente sensíveis, como por exemplo os pacotes de remuneração dos demais executivos da organização, de
uma pasta protegida em um servidor de arquivos para seu pendrive pessoal para que possa trabalhar nesse documento a partir de outro local. Durante o deslocamento para sua casa, ele perde o pendrive e alguém, sem nenhum
vinculo com a organização encontra o dispositivo.
Sem o uso do AD RMS, quem encontrar a unidade USB
poderá abrir o arquivo e consequentemente ter acesso ao seu conteúdo, colocando em risco inclusive a integridade física dos demais executivos da companhia. Com o AD RMS, adicionamos mais um camada de proteção, visando garantir que usuários
não autorizados simplesmente não abram o arquivo.
Cenário 2 => Um documento interno pode ser visualizado por um determinado grupo de pessoas mas essas pessoas não devem ser capazes de editar ou imprimir o documento.
Com o AD RMS, você pode configurar essas permissões com base em contas existentes no Active Directory ou para usuários que estão fora da organização, identificando-os através do uso de contas Microsoft.
Cenário 3 => Funcionários da organização não devem ter acesso para encaminhar mensagens de e-mail confidenciais que tenham sido atribuídas a uma classificação específica.
Com o AD RMS, pode-se habilitar um remetente para atribuir uma classificação específica a uma nova mensagem de e-mail, e essa classificação ajudará a garantir que o destinatário não possa encaminhar a mensagem a quem quer que seja.
Instalado como uma role do Windows Server, o AD RMS exige a utilização de um servidor SQL Server ou o Windows Internal Database (WID) e possui os seguintes componentes:
Cluster do AD RMS => É criado na implantação do primeiro servidor AD RMS.
Servidor AD RMS => O servidor AD RMS deve ser membro de um domínio do AD DS. Na instalação do AD RMS, as informações sobre o local do cluster são publicadas no Active Directory em um local conhecido como Service Connection Point (SCP). Os computadores membros do domínio consultam o SCP para determinar o local dos serviços do AD RMS. O AD RMS pode ser instalado através do Server Manager nos sistemas operacionais Windows Server 2016, Windows Server 2012 e Windows Server 2008.
Cliente do AD RMS => O cliente do AD RMS é incorporado aos sistemas operacionais Windows 10, Windows 8,1, Windows 8, Windows 7 e Windows Vista e permite que aplicativos habilitados para AD RMS apliquem a funcionalidade definida por um modelo do AD RMS. Sem o cliente AD RMS, os aplicativos habilitados para AD RMS não podem interagir com conteúdo protegido pelo AD RMS.
Aplicativos habilitados para AD RMS => Os aplicativos habilitados para AD RMS permitem que os usuários criem e consumam conteúdo protegido. Além disso, a Microsoft fornece um kit de desenvolvimento de software (SDK) do AD RMS para permitir que desenvolvedores de aplicativos suportem a proteção de conteúdo do AD RMS.
Bom ... Agora que já dei o gostinho da ferramenta, encerro por aqui esse artigo.
Para que não fique extremamente longo e de difícil leitura, segmentarei esse tema em diversas partes.
Enquanto isso, compartilhem esse conteúdo para que mais e mais pessoas tenham acesso ao conhecimento.
Abraços e até a próxima publicação, que será muito em breve.