quinta-feira, 2 de maio de 2019

Protegendo conteúdo com AD RMS - Parte II

Na parte I (que pode ser acessada clicando aqui) dessa série de artigos sobre o AD RMS apresentei o produto e expus alguns cenários onde essa ferramenta pode ser útil.

Nesse artigo, tentarei explicar o funcionamento do AD RMS. Vamos lá ...

Como funciona o AD RMS?

Quando um usuário protege o conteúdo de um arquivo ou tenta acessar conteúdo protegido pelo AD RMS, várias tarefas são executadas em segundo plano, de forma invisível aos olhos.

Para diagnóstico e solução de problemas, é importante entender como o AD RMS funciona. Embora não esteja diretamente relacionado aos Serviços de Certificados do Active Directory (AD CS), o AD RMS usa certificados e recursos de criptografia de forma bastante intensa.

Basicamente, o AD RMS funciona da seguinte maneira:

1 - A primeira vez que um autor configura a proteção de direitos para um documento, um certificado de licenciante para cliente é solicitado ao servidor AD RMS. O cliente localiza o servidor AD RMS através do uso ponto de conexão de serviço (SCP) no AD DS.

2 - Após isso, o servidor emite um certificado de licenciador do cliente para o cliente, a menos que este seja membro da lista de exclusões do AD RMS.

3 - Após receber o certificado de licenciante do servidor AD RMS, o autor poderá configurar direitos de uso no documento. Essa configuração pode ser efetuada manualmente ou utilizando modelos pré-definidos.

4. Quando o autor configura os direitos de uso, o aplicativo habilitado para AD RMS criptografa o arquivo com uma chave simétrica que é gerada no dispositivo do cliente. Quando a proteção do AD RMS é aplicada ao documento, o documento está realmente criptografado.

5. Essa chave simétrica é criptografada utilizando a chave pública do servidor AD RMS que o autor está acessando. Essa chave simétrica criptografada é distribuída para o servidor AD RMS e armazenada nele. Como ele é criptografado com a chave pública do servidor, ele só pode ser descriptografado usando a chave privada do servidor.

6. O autor do conteúdo protegido por AD RMS distribui o arquivo ao destinatário. O destinatário do arquivo pode abri-lo utilizando um aplicativo associado à extensão do arquivo ou navegador do AD RMS. Não é possível abrir conteúdo protegido pelo AD RMS, a menos que o aplicativo ou navegador suporte o AD RMS. Se o destinatário não tiver um certificado de conta no dispositivo atual, será emitido um para o usuário neste momento. O aplicativo ou navegador transmite uma solicitação ao servidor AD RMS do autor para a emissão de uma licença de uso.

7. O servidor AD RMS determina se o destinatário está autorizado a acessar o conteúdo protegido. Se o destinatário estiver autorizado, o servidor AD RMS emitirá a respectiva licença de uso.

8. O servidor AD RMS, em seguida, descriptografa a chave simétrica que foi criptografada na etapa 5 usando sua chave privada.

9. O servidor AD RMS criptografa novamente a chave simétrica usando a chave pública do destinatário e, em seguida, adiciona a chave de sessão criptografada à licença de uso. A licença de uso e a chave simétrica criptografada são então distribuídas para o destinatário. O destinatário usa sua chave privada para descriptografar a chave simétrica. Depois disso, a chave simétrica é usada para descriptografar conteúdo protegido por AD RMS.

Complexo, né? Pois é ... mas esse é só o começo.

Para entender como o AD RMS funciona, também é necessário estar familiarizado com seus diferentes certificados e tipos de licença. Cada certificado e licença funciona de maneira diferente. Alguns certificados, como certificados de licenciante de servidor, são extremamente importantes e você deve fazer backup regularmente deles.

Certificado de licenciante para servidor

O certificado de licenciante para servidor é gerado na criação do cluster AD RMS e possui validade de 250 anos. Esse certificado permite que um cluster AD RMS emita:

• Certificados de licenciante de servidor para outros servidores no cluster.
• Certificados de Conta de Direitos (RACs) para clientes.
• Certificados de licenciante para clientes.
• Licenças de publicação (PLs).
• Licenças de uso.
• Modelos de política de direitos.

A chave pública do certificado de licenciante servidor criptografa a chave de conteúdo em um PL. Isso permite que um servidor AD RMS extraia a chave de conteúdo e emita licenças de usuário final em relação à chave de publicação

Certificado de máquina AD RMS

O certificado de máquina do AD RMS é usado para identificar um computador ou dispositivo confiável. A chave pública do certificado de máquina criptografa a chave privada do RAC. A chave privada da máquina descriptografa RACs.

RAC

O RAC identifica um usuário específico. O período de validade padrão para um RAC é de 365 dias e podem ser emitidos somente para usuários do AD DS que possuem endereços de e-mail associados a suas contas. 

Um RAC é emitido na primeira vez que um usuário tenta acessar conteúdo protegido pelo AD RMS ou executar uma tarefa do AD RMS, como por exemplo, a criação de um documento protegido. O período de validade padrão pode ser ajustado conforme a necessidade.

Um RAC temporário tem um período de validade de 15 minutos e é emitido quando um usuário acessa o conteúdo protegido pelo AD RMS a partir de um computador que não é membro da mesma floresta que o cluster AD RMS ou a floresta confiável. O período de validade padrão para RACs temporários também pode ser ajustado conforme a necessidade.

Certificado de licenciante para cliente

Esse certificado permite que um usuário publique conteúdo protegido pelo AD RMS quando o computador cliente não estiver conectado à mesma rede que o cluster do AD RMS. A chave pública do certificado de licenciante cliente criptografa a chave de conteúdo simétrica e a inclui no PL por ela emitido. 

A chave privada do certificado de licenciante cliente assina quaisquer PLs emitidos quando o cliente não está conectado ao cluster do AD RMS.

Os certificados de licenciante de cliente estão vinculados ao RAC de um usuário específico. 

Se outro usuário que não tenha sido emitido um RAC tentar publicar conteúdo protegido pelo AD RMS do mesmo cliente, ele não poderá fazê-lo até que o cliente esteja conectado ao cluster do AD RMS e possa emitir um RAC para esse usuário.

PL

Um PL determina os direitos que se aplicam ao conteúdo protegido pelo AD RMS. Por exemplo, o PL determina se um usuário pode editar, imprimir ou salvar um documento. 

O PL contém a chave de conteúdo, que é criptografada usando a chave pública do serviço de licenciamento. Também contém a URL e a assinatura digital do servidor AD RMS.


Licença de usuário final

É necessária uma licença de usuário final para consumo de conteúdo protegido pelo AD RMS. O servidor AD RMS emite uma licença de usuário final por usuário e por documento. Licenças de usuário final são armazenadas em cache por padrão.

Bom ... por hoje é só e tudo isso.

Retornarei muito em breve com mais informações, até que possamos efetivamente fazer a instalação e configuração da ferramenta.

Gostou??? Compartilhe e me ajude a disseminar o conhecimento.

Abraços e até a próxima publicação.