Galileo Computing < openbook > Galileo Computing - Professionelle Bücher. Auch für Einsteiger.
Professionelle Bücher. Auch für Einsteiger.

Inhaltsverzeichnis
Geleitwort zu diesem Buch
Inhalt des Buchs
1 Warum eine neue Server-Version?
2 Editionen und Lizenzen
3 Hardware und Dimensionierung
4 Protokolle
5 Was überhaupt ist .NET?
6 Installation
7 Core-Installationsoption
8 Active Directory-Domänendienste
9 Netzwerkdienste im AD-Umfeld
10 Active Directory Lightweight Directory Services (AD LDS)
11 Active Directory-Verbunddienste (Federation Services)
12 Active Directory-Zertifikatdienste
13 Active Directory-Rechteverwaltungsdienste (AD RMS)
14 »Innere Sicherheit«
15 Dateisystem und Dateidienste
16 Drucken
17 Webserver (IIS)
18 SharePoint (Windows SharePoint Services, WSS)
19 Remotedesktopdienste (Terminaldienste)
20 Hochverfügbarkeit
21 Datensicherung
22 Servervirtualisierung mit Hyper-V
23 Windows PowerShell
24 Windows 7 und Windows Server 2008 R2
Stichwort

Download:
- ZIP, ca. 104 MB
Buch bestellen
Ihre Meinung?

Spacer
<< zurück
Windows Server 2008 R2 von Ulrich B. Boddenberg
Das umfassende Handbuch
Buch: Windows Server 2008 R2

Windows Server 2008 R2
geb., 1.410 S., 59,90 Euro
Galileo Computing
ISBN 978-3-8362-1528-2
Pfeil 13 Active Directory-Rechteverwaltungsdienste (AD RMS)
Pfeil 13.1 Funktionsweise
Pfeil 13.2 Installation
Pfeil 13.2.1 Server-Installation
Pfeil 13.2.2 Client-Installation
Pfeil 13.3 Anwendung
Pfeil 13.3.1 Word-Dokument schützen
Pfeil 13.3.2 E-Mail schützen
Pfeil 13.3.3 Geschützte Inhalte ohne Office
Pfeil 13.4 Konfiguration
Pfeil 13.4.1 Serverkonfiguration
Pfeil 13.4.2 Gruppenrichtlinien
Pfeil 13.5 Abschlussbemerkung

Der erkannte, was ist, was sein wird, oder zuvor war,
Der auch her vor Troja der Danaer Schiffe geleitet
Durch wahrsagenden Geist, des ihn würdigte Phöbos Apollon;
Dieser begann wohlmeinend, und redete vor der Versammlung:
Peleus Sohn, du gebeutst mir, o Göttlicher, auszudeuten

13 Active Directory-Rechteverwaltungsdienste (AD RMS)

Informationen bzw. Dokumente können auf verschiedene Weise geschützt werden:

  • Mit NTFS-Berechtigungen können Dokumente vor unberechtigtem Zugriff geschützt werden.
  • Mit dem Encrypting File System (EFS) können abgelegte Dokumente zusätzlich verschlüsselt werden.
  • Mit S/MIME können Mails (nebst Anhängen) auf dem Transportweg verschlüsselt werden, dasselbe gilt für TLS (Transport Layer Security).

Stellen Sie sich nun folgendes Szenario vor:

  • Sie verfassen ein streng vertrauliches Essay und senden es einem Geschäftspartner oder einem Kollegen. Sie verschlüsseln die Mail, so dass ihr Inhalt weder bei der Übertragung noch bei der Speicherung im Exchange-Informationsspeicher unautorisierten Personen in die Hände fallen kann.
  • Wenn nun aber Ihr Kollege/Geschäftspartner nicht so vertrauenswürdig ist, wie Sie gedacht haben, und das Dokument weitergibt, fällt es in falsche Hände und kann dort beliebig gelesen, gedruckt und weiterverteilt werden.
  • Es soll, um es mal vorsichtig auszurücken, auch schon vorgekommen sein, dass vertrauliche Dokumente schlichtweg durch Schlamperei in falsche Hände geraten sind: Wie leicht klickt man auf Weiterleiten und meinte eigentlich eine andere Mail.

Kurz gesagt schützen S/MIME, TLS & Co. zwar den Transportweg, nicht aber das Dokument selbst!

Dies ist übrigens nicht nur ein Problem der Mailsysteme: NTFS-Rechte und EFS-Verschlüsselung schützen zwar das Dokument an seinem Speicherort im Dateisystem. Außerhalb des Dateisystems ist es aber nicht mehr geschützt. Wenn Ihr Geschäftsführer das Dokument auf einer CD mit sich herumträgt und diese verliert, gibt es keinen Schutz für das Dokument!

Die Fragestellung ist also, wie man das Dokument an sich schützen kann. Die Antwort auf diese Frage geben die Active Directory Rechteverwaltungsdienste (AD RMS, Rights Management Services, http://www.microsoft.com/rms).

Die Rechteverwaltungsdienste waren ursprünglich ein separat per Download zu beziehendes Feature Pack, das Windows Rights Management Services hieß. Im Windows Server 2008 ist dieses Produkt bereits enthalten und in die Active Directory-Familie integriert worden.

Vielleicht haben Sie in den Office 2007-Applikationen bereits den Menüpunkt Berechtigung einschränken bzw. in den Office 2003- Applikationen das Icon Berechtigung in der Symbolleiste entdeckt und sich gefragt, wozu es dient. Die Office 2003/2007-Applikationen Word, Excel, PowerPoint und Outlook sind von Haus aus für die Rechteverwaltungsdienste vorbereitet, und dieses Icon führt zu einem Dialog zum Setzen der Dokumentberechtigungen (Abbildung 13.1, 13.2).

Abbildung 13.1 So beginnt das Schützen eines Dokuments mit Word 2007.

Abbildung 13.2 In Word 2003 wird dieses Symbol verwendet, um das Dokument zu schützen.


Voraussetzungen

Active Directory Rechteverwaltungsdienste wird nicht von der Standard-Version (und darunter) des Office-Pakets unterstützt. Um AD RMS vollständig zu nutzen, benötigen Sie:

  • Office 2003 Professional
  • Office 2007 Enterprise, Professional Plus oder Ultimate
  • … oder entsprechend vorbereitete Software von Drittanbietern
  • AD RMS ist auch in folgende Produkte integriert:
  • Windows Mobile 6
  • SharePoint Server 2007
  • Exchange Server 2007 SP1

Beachten Sie, dass die Serverkomponente zwar Bestandteil der Windows Server 2008-Lizenz ist, die Clientzugriffe müssen aber mit speziellen RMS-CALs (Listenpreis derzeit 37 US$) lizenziert werden.


Galileo Computing - Zum Seitenanfang

13.1 Funktionsweise topZur vorigen Überschrift

Abbildung 13.3 zeigt eine vereinfachte Darstellung der Funktion der Rights Management Services:

1. Ein Anwender, der Dokumente schützen möchte, benötigt ein Licensor CertificateLicensor CertificateActive Directory-RechteverwaltungsdiensteLicensor Certificate. Dieses wird vom RMS-Server ausgestellt. Dieses Zertifikat wird einmal erzeugt. Es muss nicht für jedes zu schützende Dokument neu ausgestellt werden.
2. Die Applikation des Anwenders verschlüsselt die Datei mit einem erzeugten symmetrischen Schlüssel. Dieser symmetrische Schlüssel wird mit dem öffentlichen Schlüssel des RMS-Servers codiert. Er kann also nur vom RMS-Server entschlüsselt werden. Die von der Applikation erzeugte Publishing LicensePublishing LicenseActive Directory-RechteverwaltungsdienstePublishing License erhält diesen verschlüsselten symmetrischen Schlüssel und die Informationen über die Zugriffsrechte, die Sie anderen Benutzern gewähren möchten. Die Publishing License wird an das verschlüsselte Dokument gebunden.

Ab jetzt geht es um den Ablauf der Entschlüsselung des Dokuments für einen anderen Benutzer, der – wie auch immer – in den Besitz des verschlüsselten Dokuments gekommen ist.
3. Die erste Voraussetzung ist, dass der Benutzer im Besitz eines RMS-Zertifikats ist und dass seine Identität festgestellt ist: dass er also im Active Directory authentifiziert ist. Alternativ kann auch dedizierten »fremden Domänen« (Partnerunternehmen etc.) oder Windows Live IDs vertraut werden.
4. Wenn der Anwender ein RMS-geschütztes Dokument öffnen möchte, wird die Applikation (wenn diese mit RMS umgehen kann) eine Use LicenseUse LicenseActive Directory-RechteverwaltungsdiensteUse License beim RMS-Server anfordern. Diese Anforderung erhält den öffentlichen Schlüssel des Zertifikats des Anwenders und die an das Dokument angefügte Publishing License.
5. Der RMS-Server prüft, ob der Anwender zum Öffnen des Dokuments autorisiert ist; diese Information ist verschlüsselt in der Publishing License hinterlegt, die dem Dokument angefügt ist. Sie erinnern sich: Die Publishing License ist mit dem öffentlichen Schlüssel des RMS-Servers verschlüsselt worden, demzufolge kann es sie mit seinem privaten Schlüssel decodieren. Ist der Anwender zum Zugriff auf das Dokument berechtigt, verschlüsselt der RMS-Server den symmetrischen Schlüssel mit dem öffentlichen Schlüssel des Anwenders und fügt weitere Anweisungen (z. B. Dokument darf nicht gedruckt werden etc.) hinzu.

Abbildung 13.3 Eine stark vereinfachte Darstellung der Funktion der Rechteverwaltungsdienste

6. Die erzeugte Use License wird an den Benutzer gesendet. Da diese mit dem öffentlichen Schlüssel des Anwenders verschlüsselt ist, kann die Use License, selbst wenn sie abgefangen wird, nicht missbraucht werden.
7. Die RMS-fähige Applikation (z. B. Word, Excel, PowerPoint) kann nun das Dokument anzeigen. Je nach gewährten Rechten kann er es auch drucken, verändern und abspeichern etc.


Ihr Kommentar

Wie hat Ihnen das <openbook> gefallen? Wir freuen uns immer über Ihre freundlichen und kritischen Rückmeldungen.






<< zurück
  Zum Katalog
Zum Katalog: Windows Server 2008 R2

Windows Server 2008 R2
Jetzt bestellen


 Ihre Meinung?
Wie hat Ihnen das <openbook> gefallen?
Ihre Meinung

 Buchempfehlungen
Zum Katalog: Windows 7 für Administratoren






 Windows 7 für
 Administratoren


Zum Katalog: Konzepte und Lösungen für Microsoft-Netzwerke






 Konzepte und
 Lösungen für
 Microsoft-Netzwerke


Zum Katalog: Office SharePoint Server 2007 und Windows SharePoint Services 3.0






 Office SharePoint
 Server 2007 und
 Windows SharePoint
 Services 3.0


Zum Katalog: Exchange Server 2007 und Office Communications Server 2007






 Exchange Server 2007
 und Office
 Communications
 Server 2007


Zum Katalog: Citrix XenApp 5






 Citrix XenApp 5


Zum Katalog: PC-Netzwerke






 PC-Netzwerke


Zum Katalog: VMware vSphere 4






 VMware vSphere 4


Zum Katalog: VMware vSphere 4 - Videotraining






 VMware vSphere 4
 - Videotraining


Zum Katalog: VirtualBox






 VirtualBox


 Shopping
Versandkostenfrei bestellen in Deutschland und Österreich
InfoInfo




Copyright © Galileo Press 2010
Für Ihren privaten Gebrauch dürfen Sie die Online-Version natürlich ausdrucken. Ansonsten unterliegt das <openbook> denselben Bestimmungen, wie die gebundene Ausgabe: Das Werk einschließlich aller seiner Teile ist urheberrechtlich geschützt. Alle Rechte vorbehalten einschließlich der Vervielfältigung, Übersetzung, Mikroverfilmung sowie Einspeicherung und Verarbeitung in elektronischen Systemen.


[Galileo Computing]

Galileo Press, Rheinwerkallee 4, 53227 Bonn, Tel.: 0228.42150.0, Fax 0228.42150.77, info@galileo-press.de