Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Componentes de AD RMS:
-
El Componente principal de AD RMS es el cluster AD RMS, aunque no es un cluster como NLB, Failover,
activo-activo, , es simplemente una forma de organizar servidores en la topologia RMS.
El primer servidor AD RMS que desplegamos en un bosque se denomina AD RMS Root Certification Cluster. Solo
hay un root Certification cluster por cada bosque.
Una vez implementado el root, podemos aadir otros tipos de servidores: Servidores de certificados, servidores de
licencias de uso,
Cuando un usuario quiere proteger contenido, debe solicitar un certificado a un servidor de certificacion. Ese
certificado lo usara para cifrar la clave simetrica que utilizara para cifrar el archivo.
El usuario que ha protegido el archivo, decide a que usuarios les va a permitir el acceso mediante licencias de uso.
Estas licencias de uso, tecnicamente son certificados, pero que no se pueden usar para cifrar los archivos del
propietario del certificado, sino solo para acceder a archivos que ha cifrado otro usuario que tiene los permisos para
hacerlo. Son usuarios que solo pueden consumir los archivos y para esto acceden a servidores de licencias.
En entornos distribuidos suelen usarse License-Only Servers
Ejemplo: Tenemos un bosque con 2 dominios, adatum y contoso. Queremos que los usuarios de adatum pueden
proteger sus archivos para controlar que usuarios de contoso pueden acceder a ellos.
Los usuarios de adatum necesitaran un servidor de certificados en adatum para que les entregue certificados que
usaran para proteger los archivos.
Con ese certificado pueden cifrar sus archivos y determinar el nivel de acceso que van a dar a otros usuarios
(lectura, escritura, borrado, impresin, capturar pantalla, copiar/pegar, enviar como adjunto, ).
Los usuario de contoso solo necesitan un servidor de licencias para poder acceder a los archivos con el nivel de
privilegios determinado por el propietario. Las licencias siguen siendo certificados, pero no para cifrar, sino solo para
autenticar consumidores.
Ahora nos pide una cuenta administrada nosotros vamos a usar una cuenta normal
Antes de pasar de este paso vamos a pedir el certificado para ssl y hacemos el binding
Aqu nos dice que tenemos que cerrar sesion para finalizar
El primer servidor AD RMS en un Cluster AD RMS se denomina Root y es unico para todo el bosque.
Los clientes pueden conectarse a este servidor para:
- Proteger contenido
- Acceder a contenido protegido
Esta conexin se establece mediante http o https.
Tenemo que distingir 2 terminos:
- Certificados: se entregan para permitir que un usuario pueda proteger contenido.a
- Licencias: Tecnicamente es un certificado que se entrega para permitir que un usuario acceda a contenido
protegido.
La seguridad de toda la estructura se basa en una jerarquia de certificados:
-
SLC (Server licensor Certificate): es el principal certificado. Se utiliza para firmar todos los otros certificados y
protegerlos.
AD RMS Machine Certificate: Certificado que indentifica a una maquina confiable dentro de la estructura AD
RMS. Por defecto seran confiables todas las maquinas del bosque. Podrian ser confiables maquinas de otro
bosque mediante relaciones de confianza o mediante servicio de federacion. Tambien podemos excluir
maquinas mediante politicas de exclusion.
Rights account certificate: identifica a usuarios que son confiables. Solo los usuarios con un RAC podran
recibir certificados para proteger su contenido, o podran recibir una licencia de uso para acceder a contenido
protegido
Client licensor certificate: es el certificado que el AD RMS entrega a un RAC para que este pueda proteger su
contenido. Este certificado es necesario cuando el usuario RAC no esta conectado a la red de AD RMS.
Publishing license: Plantilla en la que se definen los diferentes permisos y privilegios que se puedan
conceder sobre el contenido protegido: lectura, escritura, borrado,
End user license: es el certificado que permite que un usuario puede acceder a contenido protegido. AD RMS
entrega una licencia end-user para cada usuario y para cada documento al que va acceder. Esta licencia
puede guardarla el cliente en cache (Client-side caching), o podemos forzar a que cada vez que vaya a
acceder al contenido tenga que pedir otra licencia.
Backup de AD RMS:
- Backup de claves privadas y certificados. Podemos exportar el SLC directamente desde la consola de AD
RMS y los certificados se almacenan en:
o AD: Backup del AD.
o CSP:estaran almacenados en hardware especifico y usamos la aplicacin del fabricante para el
backup
Backup de la BBDD de AD RMS: Se usan diferentes herramientas dependiendo de si es SQL server o WID
Backup de las plantillas: exportando a XML
Recomendacin de microsoft: ejecutar AD RMS en maquinas virtuales en alta disponibilidad y hacer copias de
seguridad mediante system center data protection manager 2012 R2
Primero tenemos que dar acceso a todos los usuarios a este archivo
Ejemplo: queremos permitir que los usuarios del grupo de finanzas puedan proteger su contenido usando AD RMS,
de forma que ellos tengan el control completo y el usuario sistemas1 solo tenga permisos de lectura. El contenido
seran archivos de word.
Empezamos compartiendo una carpeta con control total a nivel de share y ntfs a todo el mundo.
Vamos a crear la rights policy template
Aqu podemos activar la opcion de abrir los archivos con el navegador. Tambien obligar al usuario a pedir licencia
de uso cada vez que quiera acceder, util para cuando no queramos que abran los archivos fuera de la oficina
Antes de poder proteger tenemos que aadir la url de rms en sitios de la intranet
Lo guardamos en la compartida
Ahora vamos a entrar con sistemas1 y vemos que esta todo capado
En lugar de conectarse a https://lon-rms.adatum.com cada vez que un usuario necesita descargar una plantilla para
proteger contenido, es posible guardar estas plantillas en una carpeta compartida y que los usuarios las descargen
en su equipo para usarlas offline
Tenemos que conseguir que las plantillas se repliquen en esa carpeta compartida
Ahora tendriamos que modificar esta clave en el registro de los usuarios indicando la ruta y ya estaria
Politicas de Exclusion:
Las politicas de exclusion nos permiten impedir que usuarios, aplicaciones o equipos puedan usar AD RMS, tanto
para proteger contenido como para acceder a contenido protegido.
Asi bloqueariamos desde la version 2007 hasta la 2013 de powerpoint para usar RMS
Asi indicamos la minima version de sistema operativo nuestro caso windows vista
Y tambien a usuarios