--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------Module 7: Implementing Active Directory Rights Management Services

--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------Active Directory Rights Management Services:

Cuando queremos proteger la informacion de la empresa tenemos 3 estados:
- Transito: VPNs, DirectAccess, cifrado mediante certificados digitales.
- Reposo: Permisos NTFS, Permisos de carpeta compartida, EFS, Bitlocker, DAC.
- Uso: No es posible proteger la informacion en uso, por que en memoria siempre esta sin cifrar
Hay escenarios en los que estos mecanismos de proteccion no son suficiente.
AD RMS es la implementacion de Microsoft de DRM (Digital Rights Management). El objetivo es evitar lo que se
denomina information leakage (Fugas de informacion)
En AD RMS es el usuario el que protege su propia informacion. Habra 2 tipos de usuario:
- Los que pueden aplicar restricciones de uso a sus archivos.
- Los usuarios que consumen informacion protegida, pero no pueden proteger su informacion.

Componentes de AD RMS:
-

El Componente principal de AD RMS es el cluster AD RMS, aunque no es un cluster como NLB, Failover,
activo-activo, , es simplemente una forma de organizar servidores en la topologia RMS.

El primer servidor AD RMS que desplegamos en un bosque se denomina AD RMS Root Certification Cluster. Solo
hay un root Certification cluster por cada bosque.
Una vez implementado el root, podemos aadir otros tipos de servidores: Servidores de certificados, servidores de
licencias de uso,
Cuando un usuario quiere proteger contenido, debe solicitar un certificado a un servidor de certificacion. Ese
certificado lo usara para cifrar la clave simetrica que utilizara para cifrar el archivo.
El usuario que ha protegido el archivo, decide a que usuarios les va a permitir el acceso mediante licencias de uso.
Estas licencias de uso, tecnicamente son certificados, pero que no se pueden usar para cifrar los archivos del
propietario del certificado, sino solo para acceder a archivos que ha cifrado otro usuario que tiene los permisos para
hacerlo. Son usuarios que solo pueden consumir los archivos y para esto acceden a servidores de licencias.
En entornos distribuidos suelen usarse License-Only Servers

Ejemplo: Tenemos un bosque con 2 dominios, adatum y contoso. Queremos que los usuarios de adatum pueden
proteger sus archivos para controlar que usuarios de contoso pueden acceder a ellos.
Los usuarios de adatum necesitaran un servidor de certificados en adatum para que les entregue certificados que
usaran para proteger los archivos.
Con ese certificado pueden cifrar sus archivos y determinar el nivel de acceso que van a dar a otros usuarios
(lectura, escritura, borrado, impresin, capturar pantalla, copiar/pegar, enviar como adjunto, ).
Los usuario de contoso solo necesitan un servidor de licencias para poder acceder a los archivos con el nivel de
privilegios determinado por el propietario. Las licencias siguen siendo certificados, pero no para cifrar, sino solo para
autenticar consumidores.

Certificados y licencias en AD RMS:

Se usan varios tipos de certificados en RMS para garantizar la seguiridad del sistema:
- Server Licensor Certificate (SLC): en el certificado que se utiliza para proteger otros certificados. Su
seguridad es critica. Se genera cuando instalamos el root. Tiene una validez de 250 aos.
- AD RMS Machine Certificate: Se utiliza para identificar equipos confiables en la red. Podemos impedir que
un usuario, aunque tenga permisos adecuados, pueda abrir un archivo si no esta en una maquina de la red.
- AD Rights Account Certificate: Identifica a un usuario confiable dentro de la red. Para que un usuario
acceda a un archivo, debe tener su certificado RAC y una licencia de uso sobre ese archivo. Siendo un
usuario confiable podria abrirlo o podria abir ese archivo desde un equipo no confiable, pero de forma muy
limitada, solo duarante 15 minutos.
- Client Licensor Certificate: Este es el certificado que autoriza a un usuario a proteger su contenido y sus
archivos. Para proteger el contenido, debe estar en la red donde se encuentra el cluster y ese certificado se
asocia a un RAC.
- Publishing License: Son las plantillas que definen los privilegios y permisos que se conceden a los
consumidores del contenido. Determina si un usuario puede leer, editar, borrar, imprimir, enviar como
adjunto,
- End-user License: Es la licencia (certificado) que permite a un usuario consumir contenido protegido. AD
RMS entrega una End-user license por cada usuario para cada documento.

Escenarios de implementacion de AD RMS:

- unico bosque: Es la implementacion mas simple.
- Multiples bosques: Habra un root por cada bosque.
- Integrado con AD FS: AD RMS puede integrarse con el servicio de federacion.
- Extranet: el servidor de certificados se matiene en la red local y se coloca un servidor de licencias en la
extranet

Requisitos para implementar el Cluster AD RMS:

- El serividor Root no debe instalarse en un DC, Pero debe ser un servidor miembro.
- Para entornos de produccion la base de datos debe ser SQL server, pero en entornos de pruebas puede
usarse WID.
- La instalacion debe hacerse con una group managed Account.
- Se recomienda usar un CSP (Cryptographic service provider) para almacenar los certificados criticos en un
hardware especifico. En caso contrario, se almacenaran en el AD.
- Los usuarios de AD RMS localizaran los servidores mediante un SCP (Service Connection Point). Para
registrar los servidores AD RMS coomo SCP necesitamos una cuanta Enterprise Administrator.
- La comunicacin con el Ad RMS se hace mediante HTTPS, por lo que necesitaremos IIS con un certificado
SSL.

Instalacion del rol

Instalamos con las dependencias por defecto

Los usuarios que vayamos a utilizar tiene que tener el campo email definido sino no funciona y los grupos
tienen que tener tambien el email definido y ser universales
Configuracion del ROL

No tenemos sql asique usamos WID

Ahora nos pide una cuenta administrada nosotros vamos a usar una cuenta normal

Aqu podriamos definir el hardware especifico de encriptacion

Contrasea para aadir otros servidores al cluster.

Antes de pasar de este paso vamos a pedir el certificado para ssl y hacemos el binding

No se puede cambiar despues el FQDN

Aqu necesitamos que sea entrerprise admin

Aqu nos dice que tenemos que cerrar sesion para finalizar

Despues de cerrar sesion ya nos aparece la consola

El primer servidor AD RMS en un Cluster AD RMS se denomina Root y es unico para todo el bosque.
Los clientes pueden conectarse a este servidor para:
- Proteger contenido
- Acceder a contenido protegido
Esta conexin se establece mediante http o https.
Tenemo que distingir 2 terminos:
- Certificados: se entregan para permitir que un usuario pueda proteger contenido.a
- Licencias: Tecnicamente es un certificado que se entrega para permitir que un usuario acceda a contenido
protegido.
La seguridad de toda la estructura se basa en una jerarquia de certificados:
-

SLC (Server licensor Certificate): es el principal certificado. Se utiliza para firmar todos los otros certificados y
protegerlos.
AD RMS Machine Certificate: Certificado que indentifica a una maquina confiable dentro de la estructura AD
RMS. Por defecto seran confiables todas las maquinas del bosque. Podrian ser confiables maquinas de otro
bosque mediante relaciones de confianza o mediante servicio de federacion. Tambien podemos excluir
maquinas mediante politicas de exclusion.
Rights account certificate: identifica a usuarios que son confiables. Solo los usuarios con un RAC podran
recibir certificados para proteger su contenido, o podran recibir una licencia de uso para acceder a contenido
protegido
Client licensor certificate: es el certificado que el AD RMS entrega a un RAC para que este pueda proteger su
contenido. Este certificado es necesario cuando el usuario RAC no esta conectado a la red de AD RMS.
Publishing license: Plantilla en la que se definen los diferentes permisos y privilegios que se puedan
conceder sobre el contenido protegido: lectura, escritura, borrado,
End user license: es el certificado que permite que un usuario puede acceder a contenido protegido. AD RMS
entrega una licencia end-user para cada usuario y para cada documento al que va acceder. Esta licencia
puede guardarla el cliente en cache (Client-side caching), o podemos forzar a que cada vez que vaya a
acceder al contenido tenga que pedir otra licencia.

Backup de AD RMS:
- Backup de claves privadas y certificados. Podemos exportar el SLC directamente desde la consola de AD
RMS y los certificados se almacenan en:
o AD: Backup del AD.
o CSP:estaran almacenados en hardware especifico y usamos la aplicacin del fabricante para el
backup

Backup de la BBDD de AD RMS: Se usan diferentes herramientas dependiendo de si es SQL server o WID
Backup de las plantillas: exportando a XML

Recomendacin de microsoft: ejecutar AD RMS en maquinas virtuales en alta disponibilidad y hacer copias de
seguridad mediante system center data protection manager 2012 R2

Eliminar de la red AD RMS:

Si desinstalamos el rol sin mas, todo el contenido dejara de ser accesible, por que se perderan los certificados.
Para eliminar AD RMS, tenemos que pasar por un proceso de Decommissioning. Durante un periodo de tiempo, AD
RMS esta en el estado decommission, se generaran claves que permite que cualquier usuario, independientemente
de las restricciones que tuviera anteriormente, pueda acceder al contenido. Esto permite migrar este contenido para
que deje de estar cifrado. Cuando ya este todo el contenido migrado, podemos eliminar AD RMS.

Primero tenemos que dar acceso a todos los usuarios a este archivo

Ahora ya podriamos pulsar el boton verde

Y ya se nos activaria el boton final esta accion es irreversible

Ahora dejariamos un tiempo y eliminariamos el rol

Rights Policy templates:

Cuando un usuario de AD RMS quiere proteger contenido, la aplicacin se conecta al cluster de AD RMS y se
descarga las plantillas que esten creadas. El usuario aplicara una de estas plantillas a sus archivos.
En estas plantillas indicamos:
- Permisos a conceder (no se pueden denegar permisos de forma explicita): lectura escritura borrado, un
desarrollador puede crear sus propios permisos persolanizados para aplicaciones que soporten AD RMS.
Estas aplicaciones se crean con el SDK de AD RMS.
- Ususarios a los que se concederan los permisos. Estos usuarios deben ser RACs que tengan asociado a su
campo e-mail.
- Definimos el periodo de validez del contenido y de las licencias de uso.
- Definimos las politicas de revocacion

Ejemplo: queremos permitir que los usuarios del grupo de finanzas puedan proteger su contenido usando AD RMS,
de forma que ellos tengan el control completo y el usuario sistemas1 solo tenga permisos de lectura. El contenido
seran archivos de word.
Empezamos compartiendo una carpeta con control total a nivel de share y ntfs a todo el mundo.
Vamos a crear la rights policy template

Las plantillas dependen del idioma de la aplicacion

Aadimos al usuario que queramos controlar y elegimos el permiso que tendra

Podemos indicar una direccion para solocitar acceso o a una pagina de ayuda

Aqu definimos la caducidad del contenido y el tiempo de las licencias de uso

Aqu podemos activar la opcion de abrir los archivos con el navegador. Tambien obligar al usuario a pedir licencia
de uso cada vez que quiera acceder, util para cuando no queramos que abran los archivos fuera de la oficina

Aqu definimos las revocaciones

Antes de poder proteger tenemos que aadir la url de rms en sitios de la intranet

Ahora podriamos ir al word para proteger

Ahora volvemos y ya vemos las plantillas

Asi se queda si aplicamos la nuestra

Lo guardamos en la compartida

Si intentamos entrar con otro usuario sale este mensaje

Y nos pide credenciales

Ahora vamos a entrar con sistemas1 y vemos que esta todo capado

En lugar de conectarse a https://lon-rms.adatum.com cada vez que un usuario necesita descargar una plantilla para
proteger contenido, es posible guardar estas plantillas en una carpeta compartida y que los usuarios las descargen
en su equipo para usarlas offline
Tenemos que conseguir que las plantillas se repliquen en esa carpeta compartida

Aqu indicamos donde exportar las plantillas

Ahora nos vamos al progamador de tareas y habilitariamos esta tarea

Ahora tendriamos que modificar esta clave en el registro de los usuarios indicando la ruta y ya estaria

Politicas de Exclusion:
Las politicas de exclusion nos permiten impedir que usuarios, aplicaciones o equipos puedan usar AD RMS, tanto
para proteger contenido como para acceder a contenido protegido.

Asi bloqueariamos desde la version 2007 hasta la 2013 de powerpoint para usar RMS

Aqu habilitamos el bloqueo a maquinas

Asi indicamos la minima version de sistema operativo nuestro caso windows vista

Y tambien a usuarios

Super users group:

Cada cluster AD RMS puede tener un grupo con privilegios especiales en todo el cluster: Super Users Group
Este grupo tiene el control completo sobre todo el contenido protegido en el cluster AD RMS donde se define el
grupo.
Ademas de acceso completo a todo el contenido cifrado, tambien puede:
- Recuperar contenido que ha caducado
- Recuperar contenido inaccesible por que se ha borrado la plantilla con la que se habia protegido

Primero hay que activarlo

Acceso externo a AD RMS:

Podemos habilitar usuarios externos (fuera de nuestro bosque) para que accedan a nuestro cluster RMS, tanto
como usuarios que pueden usar nuestros servicios RMS para proteger su contenido o como consumidores que
soloacceden a contenido protegido.
Para esto tenemos varias opciones:
- Trusted user domain (TUD): es una politica de confianza que permite usuarios de otro cluster AD RMS
puedan solicitar a nuestro cluster AD RMS certificados CLC (client licensor certificate certificado de cifrar) o
End-user.
- Trusted Publishing domain (TDP): es una politica de confianza que permite que usuarios de otro cluster AD
RMS puedan solicitar a nuestro cluster AD RMS certificados End-user.
- Federation Trust: usando un servidor de federacion (AD FS), podemos permitir que usuarios de otras
organizaciones accedan a nuestro cluster AD RMS, tanto para proteger contenido, como para acceder a
contenido protegido.
- Windows Live ID Trust (microsoft account trust): esta politica de confianza permite usuarios con una
microsoft account (antigua windows live), puedan consumir contenido protegido por nuestro cluster pero no
pueden recibir certificados CLC para proteger.
- Federation Gateway trust: Permite que usuarios externos puedan consumir contenido protegido en nuestro
cluster AD RMS basandose en claimsen lugar de un correo electronico. Es posible en este tipo de confianza
dar permisos a los usuarios externos para que obtengan certificados CLC

Trusted user domain (TUD):

Nos tendrian que mandar su certificado root de su servidor AD RMS exportandolo
Tendriamos que importar ese certificado en nuestro AD RMS aqu

Trusted Publishing domain (TDP)

Aqu nos pide el XML

Se saca de esa misma consola en el otro RMS

Windows Live ID Trust (microsoft account trust):

Ahora ya solo se puede hacer desde linea de comandos
Import-RmsTUD windowsliveid fulanito@hotmail.com
Nos pedira el path que tendremos que buscar en el technet
Se conectara a internet y descargara el id