Assurer la confidentialité de vos documents

Slides:

Advertisements

Présentations similaires

OmniTouch™ 8600 My IC Mobile pour IPhone

Advertisements

Rick Claus Conseiller professionnel en TI Microsoft Canada Rodney Buike Conseillère professionnelle en TI Microsoft Canada

Installer un serveur FTP

Hygiène de la messagerie chez Microsoft

Protection du réseau périphérique avec ISA 2004

Gérer son parc hétérogène depuis MOM et SMS avec QMX de Quest Software Laurent CAYATTE Consultant avant-vente Quest Software.

Cyril VOISIN Chef de programme Sécurité Microsoft France

Botnet, défense en profondeur

Client Mac dans un réseau Wifi d’entreprise sécurisé

RMS et la Fédération d’identité

ASP.NET 2.0 et la sécurité Nicolas CLERC

Gestion de droits numériques en entreprise avec RMS SP1

« Les Mercredis du développement » Introduction Office « 12 » Présenté par Bernard Fedotoff Microsoft Regional Director Agilcom.

Revue rapide de tous les aspects du service. Tryble en trois points Tryble permet de "cloner" des contenus présents dans un PC … dans un service Internet.

Serveur jeu Le serveur fait partie d'un logiciel de jeu en ligne multi joueur en architecture client serveur. Il répond à des demandes.

Construire un site Web Internet en utilisant Microsoft Office SharePoint Server 2007.

Microsoft Office Groove Le contexte Une utilisation des postes de travail en très grande évolution chez les professionnels. Des lieux de travail.

Implémentation de la gestion de réseau dans Windows 2000 et plus

Vue d'ensemble Implémentation de la sécurité IPSec

Vue d'ensemble Création de comptes d'utilisateurs

Réseaux Privés Virtuels

La politique de Sécurité

Assistance à distance Parfois on se sent bien seul face à un problème informatique surtout si on n’est qu’un simple utilisateur. Lorsqu'un problème survient.

Août 2010 Présentation de NetIS Une plate-forme complète de publication électronique.

1 vidéogramme séance 2 du 13 février 2012 Micro Informatique au Cellier Joseph HOHN Séance du 13 février 2012 Sur le thème de Découverte de lordinateur.

Sécurité Informatique

Plateforme de gestion de données de capteurs

Protection des données dans

Public Key Infrastructure

SSL (Secure Sockets Layer) (couche de sockets sécurisée)

Etude des Technologies du Web services

Restriction daccès aux logiciels et aux matériels Problème de licence Nicolas CHABANOLES Matière : SRR Lieu: UFRIMA.

Module 1 : Préparation de l'administration d'un serveur

Le langage ASP Les variables d'environnement HTTP avec Request.

Amélioration de la sécurité des données à l'aide de SQL Server 2005

Administration de SharePoint

La mobilité des licences via la Software Assurance

Section 4 : Paiement, sécurité et certifications des sites marchands

ASP.NET Par: Hugo St-Louis. C ARACTÉRISTIQUES A SP. NET Évolution, successeur plus flexible quASP (Active Server Pages). Pages web dynamiques permettant.

Mise en place d'un serveur SSL

Les relations clients - serveurs

WINDOWS Les Versions Serveurs

Installation et administration

Présentation 1. Consumer/Soho Small BusinessMidsize Business CorporateEnterprise Windows Home Server 1-4 employés 1-4 PCs 1-4 employés 1-4 PCs 5-49 employés.

Présentation de Active Directory

Présentation de Windows 2000 Quest-ce que Windows 2000? 2 versions principales : 1.Windows 2000 Professionnel : Système dexploitation client (comme Windows.

Module 8 : Maintenance des logiciels à l'aide des services SUS

Module 7 : Accès aux ressources disque

Module 1 : Installation de Microsoft Windows XP Professionnel

Protéger Exchange avec System Center Data Protection Manager 2007

Mise en oeuvre et exploitation

PHP 5° PARTIE : LES COOKIES

Le protocole d’authentification

Expose sur « logiciel teamviewer »

Erreurs commises couramment dans le domaine de la sécurité 1.Sensibilisation aux questions de sécurité 2.Suivi des incidents 3.Gestion déficiente des.

Open Gouvernement Un tarif préférentiel pour les entités publiques

GESTION DES UTILISATEURS ET DES GROUPES

Windows 2003 Server Modification du mode de domaine

Module 3 : Création d'un domaine Windows 2000

Alain Le Hegarat Responsable Marketing Windows Server

3.3 Communication et réseaux informatiques

L’authentification Kerberos

V- Identification des ordinateurs sur le réseau

Sécurité des Web Services

EGEE-II INFSO-RI Enabling Grids for E-sciencE EGEE and gLite are registered trademarks Sécurité sur le GRID Ahmed Beriache (CGG)

Concrètement Pascal Sauliere

Chapitre 8 Protection du trafic réseau à l'aide de la sécurité IPSec et de certificats Module S43.

Chapitre 5 Configuration et gestion des systèmes de fichiers Module S41.

Chapitre 3 Administration des accès aux ressources

Transcription de la présentation:

Assurer la confidentialité de vos documents 4/2/2017 5:01 AM Assurer la confidentialité de vos documents Stephane Saunier TSP Sécurité Microsoft France © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

La problématique

Quelques faits L information numérique est devenu une composante vitale de l entreprise. Elle n’a de valeur que si elle est utilisée et partagée. La technologie et la mobilité ont énormément étendus le périmètre d’usage de cette information. La taille des entreprises ne permet plus de se reposer sur la seule confiance entre collègues. Les erreurs de manipulation sont fréquentes

La perte d information coute a l entreprise Perte financiere Le département de la justice américaine estimait en 2004 a 250 Millions de dollar le cout de fuites d information en entreprise Perte d avantage complétif Legal Dans certain domaine (bancaire et financier par exemple) une perte d information confidentiel peut générer des procès couteux Image & Credibilite La fuite de certain mails du haut management peuvent être embarrassant. Cela peut générer une perte de crédibilité pour la société et faire descendre les revenus.

Alors que faire ? Peut on utiliser un schéma de protection classique ?

Contrôle d’accès classique (ACL) Access Control List Périmètre: Pare-feu Accepté File Utilisateurs Refusé File Basé sur une protection de périmètre… … contrôle de l’accès, et non de l’usage

Ou basé sur la confiance …

Les bases de la DRM Alors que faire ? Peut on utiliser un schéma de protection classique ? … Non Il faudrait pouvoir Définir des droits d utilisations Les rendre solidaire aux données a protéger Rendre les données inaccessibles hors de control d un agent logiciel réglementant l usage. … Il faudrait que tout cela soit transparent

DRM / REL

Language d’expressions de droit (REL) 4/2/2017 5:01 AM Language d’expressions de droit (REL) Chaque « expression de droits » peut spécifier une combinaison de règles telle que : quels droits sont disponible, pour qui, Combien de fois, Pendant quelle période de temps, sous quelles conditions d’accès, pour quel montant, à l’intérieur de quel territoire, et avec quelles obligations, etc. © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Les RELs aujourd’hui Les langages d’expression de droits sont généralement fondés sur XML On peut considérer qu’aujourd’hui, il existe deux grandes familles de standards publics de REL : celle fondée sur ODRL (Open Digital Rights Languages) celle fondée sur XrML (eXtensible Rights Markup Language) Sans compter les deux « standards propriétaires » que sont AAC/FairPlay d’Apple (iPod/iTunes) Connect/ATRAC de Sony

DRM pour l’entreprise et DRM pour les médias 4/2/2017 5:01 AM Gestion de droits numériques en entreprise (IRM) DRM pour les médias (Windows Media DRM) Contenu Entreprise Documents, email, pages web, etc. Commercial content Musique, films, TV, etc. Authentification Fondée sur l’identité Fondée sur la machine Politique/Règles Politique de l’entreprise Confidentialité Cycle de vie des documents Conformité Règles business Achat Location Souscription © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

4/2/2017 5:01 AM Que sont RMS et IRM? Rights Management Services (RMS) est une plateforme pour la mise en place de solution de DRM en entreprise telle que décrite précédemment. Supporte le développement de solutions tierces riches au dessus de RMS à l’aide du Software Development Kit (SDK) RMS IRM est un développement que MS Office a effectué sur le socle RMS. © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Caractéristiques des droit IRM Définir qui peut ouvrir, modifier, imprimer, transférer et / ou entreprendre d’autres actions avec les données (possibilité d’utiliser des listes de distribution contenues dans Active Directory) Fixer une date d’expiration sur des messages électroniques ou des documents… … à une date donnée … tous les n jours, en exigeant l’acquisition d’une nouvelle licence Les droits peuvent s appliquer a l aide de Templates

Architecture

Applications Clientes & Serveurs compatibles RMS 4/2/2017 5:01 AM Les composants Active Directory Authentication Service Discovery Group Membership SQL Server Configuration data Logging RMS Client RMS Lockbox Client API RMS Server Certification Licensing Templates Applications Clientes & Serveurs compatibles RMS © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Flux de publication RMS 4/2/2017 5:01 AM L’auteur reçoit des certificats (SPC/RAC/CLC) la première fois qu’il protège des informations. SQL Server Active Directory L’auteur définit un ensemble de droits d’utilisation et de règles pour son fichier. l’application crée une licence de publication (PL) et chiffre le fichier. Serveur RMS L’auteur distribue le fichier. 1 4 Le destinataire ouvre le fichier, l’application appelle le serveur RMS qui vérifie que l’utilisateur est valide (RAC) et fournit une licence d’utilisation (UL). 2 5 3 L’application effectue le rendu du fichier et fait respecter les droits. Auteur Destinataire © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Architecture côté client Application L’application hôte est responsable du respect des droits accordés à l’utilisateur. Client RM Le client contient toute la logique pour interagir avec le serveur, pour publier de nouvelles licences et gérer le stockage des licences Lockbox La lockbox (boîte à clé) contient les clés, réalise les opérations cryptographiques, et fournit des défenses contre les modifications (ex : anti debug)

Information protégée a Création lors de la protection du fichier 4/2/2017 5:01 AM Information protégée a Création lors de la protection du fichier Ajouté au fichier lors de l'ouverture par les ayants droits Licence publication Licences utilisation Clé de session Droits pour l'ayant droit Chiffré avec clé publique serveur Chiffré avec la clé publique de l'ayant droit Droits et ayants droits (adresses e-mail) Clé de session Chiffré avec clé publique serveur Contenu du fichier (Texte, Images, méta data, etc…) Chiffré avec la clé publique de l'ayant droit Chiffré avec clé de session, typiquement DES56 ou AES128 (AES128 pour Office 2003) Les EUL E-mail (Outlook 2003) sont stockées sur le disque, et non avec les messages © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Rendu HTML de documents protégés L’utilisateur crée un document Office 2003 RMA récupère une Licence d’utilisation et offre à l’utilisateur les droits qui lui ont été accordés. Ne peut pas être utilisé pour éditer le contenu Entête de document et métadonnées Licence de publication et Licence d’utilisation Document chiffré (data stream ou MIME part) RMA extrait le contenu HTML du fichier au format Office Rendu HTML chiffré (data stream ou MIME part) Le document est protégé par des droits numériques et un rendu HTML, lui- même protégé, est créé Pied de document

IRM/RMS: solution complémentaire… 4/2/2017 5:01 AM IRM/RMS: solution complémentaire… Fonctionnalité IRM S/MIME signature S/MIME chiffrement ACLs EFS Identification de l’émetteur  Permissions par utililsateur Contrôle de la lecture non autorisée Chiffrement des contenus Expiration temporelle de l’accès au contenu Expiration liée à l’usage du contenu Contrôle de la possibilité de lire, transmettre, sauvegarder modifier ou imprimer un contenu  1 Elargir la protection au delà du périmètre initial de publication  2 1. Les ACLs peuvent être positionnées sur: modification, écriture ou lecture seule. 2. Pour un fichier copié ou déplacé, le chiffrement EFS est maintenu uniquement si le support de destination est au format NTFS et si le répertoire de destination est identifié comme devant être chiffré. © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Ce que IRM ne fait pas… …restreindre l’utilisation des MP3 4/2/2017 5:01 AM Ce que IRM ne fait pas… …restreindre l’utilisation des MP3 …être à l’épreuve du piratage …protéger contre les attaques analogiques © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

4/2/2017 5:01 AM Les limites… © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Installation Utilisation

Pré-requis RMS Active Directory Windows Server 2003 Compatibilité Windows 2000 ou Windows 2003 Utilisé pour l’authentification, la gestion des groupes (group expansion), et la découverte des services Windows Server 2003 Toute version (Web, Standard, Enterprise Edition, Datacenter) IIS 6.0, ASP.NET, & MSMQ installés Compatibilité Windows 98, Windows Me, Windows 2000 SP3, Windows XP SP1 ou supérieur

Pré-requis RMS (suite) 4/2/2017 5:01 AM Pré-requis RMS (suite) Base de données Pour stocker la configuration, certification, et le logging SQL Server 2000 ou compatible indispensable MSDE supportés en SP1 Applications compatibles RMS Microsoft Office 2003 & le Rights Management Add-On pour Internet Explorer (disponibles) Microsoft Exchange 2003 n’est pas indispensable, mais les utilisateurs doivent disposer d’une adresse de messagerie © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

(configuration simple mono-serveur) Installation initiale d’un environnement RMS 4/2/2017 5:01 AM Actions administrateur Serveur RMS (configuration simple mono-serveur) Services hébergés par Microsoft Machines clientes 1. Installer les services IIS, MSMQ, ASP.NET 2. Installer le serveur RMS 3. “Activer” le serveur RMS Partie publique de la paire de clefs Crée et signe le SLC Server Licensor Certificate (SLC) signé © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Installation du server 4/2/2017 5:01 AM Installation du server © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

MSN Server Enrollment Server 4) Signature du certificat Activation du Serveur Clé privée CA Microsoft MSN Server Enrollment Server Serveur RMS 2) requête de Certification clé publique 1) Génération Bi Clé 3) Clé public dans SLC 4) Signature du certificat 5) Réponse a la demande de certification Server Licensor Certificate Server Licensor Certificate

(configuration simple mono-serveur) Installation initiale & provisioning d’un environnement RMS 4/2/2017 5:01 AM Actions administrateur Serveur RMS (configuration simple mono-serveur) Services hébergés par Microsoft Machines clientes 1. Installer les services IIS, MSMQ, ASP.NET 2. Installer le serveur RMS 3. “Activer” le serveur RMS Partie publique de la paire de clefs Crée et signe le SLC Installation d’applications compatibles RMS (e.g. Word, Outlook…) Server Licensor Certificate (SLC) signé Installation de la partie cliente RMS HWID hash Service d’activation Activation du client RMS Création d’une paire de clefs Machine (Machine Certificate) Authentification utilisateur & premier usage de RMS Machine certificate Certification: Vérification du SID auprès de AD Crée + log une paire de clefs utilisateur Authentication credentials Publication ou consommation EN LIGNE Rights Account Certificate (RAC) -User Private Key, chiffré avec la clef publique machine -User Public Key Demande de CLC (Client Licensor Certificate) Validation du RAC Crée une paire de clefs “Cliente” RAC Client Licensor Certificate (CLC) -CLC clef privée, chiffré avec la clef publique RAC -CLC Clef publique et copie du SLC Publication HORS ligne © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

4/2/2017 5:01 AM Utilisation © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

4/2/2017 5:01 AM © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

4/2/2017 5:01 AM © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

4/2/2017 5:01 AM © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

4/2/2017 5:01 AM © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

RMS et SharePoint 4/2/2017 5:01 AM © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

4/2/2017 5:01 AM © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

4/2/2017 5:01 AM © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

4/2/2017 5:01 AM © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

4/2/2017 5:01 AM © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

4/2/2017 5:01 AM © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

4/2/2017 5:01 AM © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

4/2/2017 5:01 AM mary@contoso.com © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

4/2/2017 5:01 AM mary@contoso.com © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

4/2/2017 5:01 AM mary@contoso.com © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

4/2/2017 5:01 AM mary@contoso.com © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

4/2/2017 5:01 AM © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

4/2/2017 5:01 AM © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

4/2/2017 5:01 AM © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

4/2/2017 5:01 AM © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

4/2/2017 5:01 AM © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

4/2/2017 5:01 AM © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

4/2/2017 5:01 AM © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

4/2/2017 5:01 AM © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

4/2/2017 5:01 AM © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

4/2/2017 5:01 AM © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

4/2/2017 5:01 AM © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

4/2/2017 5:01 AM © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Resources RMS Website: http://www.microsoft.com/rms RMS Blog: http://blogs.msdn.com/rms RMS TechNet Virtual Lab: http://www.microsoft.com/technet/traincert/virtuallab/rms.mspx Microsoft Security: http://www.microsoft.com/security Microsoft IT’s RMS deployment: http://www.microsoft.com/technet/itsolutions/msit/infowork/deprmswp.mspx RMS SDK on MSDN: http://msdn.microsoft.com/library/en-us/dnanchor/html/rm_sdks_overview.asp

Pour aller plus loin … Hands-on Lab JMS 2006 Rights Management Services (RMS) Vous permettre de tester l installation, l utilisation de la solution sur des machines virtuelles

Microsoft France 18, avenue du Québec 91 957 Courtaboeuf Cedex 4/2/2017 5:01 AM Microsoft France 18, avenue du Québec 91 957 Courtaboeuf Cedex www.microsoft.com/france 0 825 827 829 msfrance@microsoft.com © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

SQL AD Client RMS Serveur RMS Document / Message Droits (XrmL) Logging – Séquestre clés Authentification Droits (XrmL) Contenu Chiffre Serveur RMS Détection Protection DRM Administration Applicatif IRM IE Applicatif IRM Office 2003 Pro Web Service RMS Certification Web Service RMS Licensing IE Extension RMA Obtention licences IIS + ASP.NET Doc Chiffre + License de publication Doc Déchiffré + License d utilisation API RMS Client Certification Client CLC SPC RAC SOAP sur SSL

Certificat machine Chaîne de certification 4/2/2017 5:01 AM Certificat machine Chaîne de certification Microsoft DRM Production Root DRM-Certificate-Authority Clé 2048 4 certificats dans le fichier CERT-Machine.drm Microsoft DRM Production CA DRM-Certificate-Authority DRM-CA-Certificate Clé 2048 , RIGHT=Issue Microsoft DRM Production Machine Activation Server CA DRM-Certificate-Authority DRM-CA-Certificate Clé 1024 , RIGHT=Issue Machine Activation Server MS-DRM-Server Server-Licensor-Certificate Clé 1024, RIGHT=Issue https://activation.drm.microsoft.com Microsoft « Machine » Machine-Unique-Identifier Machine-Certificate Clé 512 © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Certificat utilisateur - RAC Chaîne de certification 4/2/2017 5:01 AM Certificat utilisateur - RAC Chaîne de certification Microsoft DRM Production Root DRM-Certificate-Authority Clé 2048 5 certificats dans le fichier GIC-xxx.drm DRM-Certificate-Authority DRM-CA-Certificate Clé 2048 , RIGHT=Issue Microsoft DRM Production CA Microsoft DRM Production Machine Activation Server CA Microsoft DRM Production Server Enrollment CA DRM-Certificate-Authority DRM-CA-Certificate Clé 1024 , RIGHT=Issue Machine Activation Server MS-DRM-Server Server-Licensor-Certificate Clé 1024, RIGHT=Issue https://certification.drm.microsoft.com Microsoft DRM Server Enrollment Service Microsoft MS-DRM-Server Server-Licensor-Certificate Clé 1024, RIGHT=Issue https://corprights/_wmcs/Certification https://corprights.microsoft.com/_wmcs/Certification CorpRights « Machine » Group-Identity Group-Identity-Credential Clé 1024 jeanypo@ microsoft.com © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Vision en profondeur 4/2/2017 5:01 AM © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

App App RMS Client RMS Client OS OS 4/2/2017 5:01 AM How does RMS work? App App RMS Client RMS Client OS OS © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

4/2/2017 5:01 AM OS RMS Client App © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

App App RMS Client RMS Client OS 4/2/2017 5:01 AM App App L’utilisateur tente de publier ou consommer un contenu RMS Client RMS Client OS L application fait un appel au Client RMS pour créer une nouvelle session © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

4/2/2017 5:01 AM App L’utilisateur tente de publier ou consommer un contenu RMS Client OS L application fait un appel au Client RMS pour créer une nouvelle session Le Client RMS commence sa procédure d’initialisation… Activation de la machine © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

App RMS Client OS Activation de la machine Le client RMS génère une paire de clés RSA 1024-bit RMS Client La clé privée est sécurisée par les Crypto APIs. OS La clé publique est stockée dans le “security processor certificate” (SPC) Le SPC est signe par le client RMS © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

App RMS Client OS Activation de la machine Le client RMS génère une paire de clés RSA 1024-bit La clé privée est sécurisée par les Crypto APIs. La clé publique est stockée dans le “security processor certificate” (SPC) Le SPC est signe par le client RMS RMS Client OS © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Certification du compte RMS 4/2/2017 5:01 AM Certification du compte SPC © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Certification du compte RMS 4/2/2017 5:01 AM DOMAIN\username SID username@domain.com Certification du compte RMS Client initie une demande de certification au RMS Server en envoyant le SPC SID DOMAIN\username SID L utilisateur est authentifié SPC Le server valide le SPC L’adresse E-mail est récupérée de l’AD Une paire de clés RSA 1024-bit est générée et stockée dans la base de données RMS SPC © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Certification du compte RMS 4/2/2017 5:01 AM DOMAIN\username SID username@domain.com Certification du compte RMS Client initie une demande de certification au RMS Server en envoyant le SPC L utilisateur est authentifié L’adresse E-mail est récupérée de l’AD Une paire de clés RSA 1024-bit est générée et stockée dans la base de données RMS Le server valide le SPC SPC La clé privée de l utilisateur est chiffrée avec la clé publique de la machine SPC © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Certification du compte RMS 4/2/2017 5:01 AM DOMAIN\username SID username@domain.com Certification du compte f. La clé privée de l utilisateur est chiffrée avec la clé publique de la machine Le RAC est crée, l email de l’utilisateur et la clé publique y sont ajoute RAC Le server signes le RAC SPC © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Certification du compte RMS 4/2/2017 5:01 AM Certification du compte Le RAC est crée, l email de l’utilisateur et la clé publique y sont ajoute Le server signes le RAC f. La clé privée de l utilisateur est chiffrée avec la clé publique de la machine RAC RAC est retourné au client L’utilisateur a maintenant un RAC qu’il peut utiliser pour consommer du contenu Pour publier, l’utilisateur a encore besoin d un ”Client Licensor Certificate” (CLC). SPC © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Le serveur valide le RAC RMS 4/2/2017 5:01 AM Enrôlement du client Le Client RMS contacte le serveur pour s enrôler en fournissant son RAC Le serveur valide le RAC RAC Il génère une paire de clé RSA 1024-bit pour la CLC La clé privée est chiffrée avec la clé publique du RAC SPC RAC © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Il génère une paire de clé RSA 1024-bit pour la CLC RMS 4/2/2017 5:01 AM Enrôlement du client Le Client RMS contacte le serveur pour s enrôler en fournissant son RAC Il génère une paire de clé RSA 1024-bit pour la CLC La clé privée est chiffrée avec la clé publique du RAC Le serveur valide le RAC RAC CLC La CLC est crée permettant a l utilisateur de publier de l’information Des informations serveurs telles que l URL et la clé publique du serveur sont ajoutées a la CLC SPC RAC © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

La CLC est retournée au client RMS 4/2/2017 5:01 AM Enrôlement du client Des informations serveurs telles que l URL et la clé publique du serveur sont ajoutées a la CLC Le serveur signe la CLC La CLC est retournée au client CLC CLC Le client est maintenant prêt a publier et consommer du contenu. SPC RAC © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

App App RMS Client RMS Client OS 4/2/2017 5:01 AM Publication L’utilisateur crée du contenu avec une application compatible RMS. L utilisateur précise le destinataire, les droits et les condition de publication. L application appelle la couche RMS cliente pour publication. App App RMS Client RMS Client group@example.com read, print expire après 30 jours. OS CLC SPC RAC © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

App RMS Client OS Publication 4/2/2017 5:01 AM Publication L’application appelle la couche RMS cliente pour publication. RMS Client génère une clés de chiffrement 128-bit AES. … chiffre le contenu. Puis crée une licence de publication (PL) App PL RMS Client group@example.com read, print expire après 30 jours. OS CLC SPC RAC © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

App RMS Client OS Publication 4/2/2017 5:01 AM Publication Puis crée une licence de publication (PL) Les droits et la clé de chiffrement sont chiffrés par la clé publique du serveur inclue dans la CLC L’URL du serveur est ajoutée a la PL App La PL est signée par la CLC. PL RMS Client group@example.com read, print expire après 30 jours group@example.com read, print expire apres 30 jours OS SPC RAC CLC © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

App RMS Client RMS Client OS 4/2/2017 5:01 AM Publication La PL est signée par la CLC J. Le client retourne la PL a l’application. L’application peut maintenant combiner la PL avec le contenu. La contenu peut maintenant être distribué. App PL group@example.com read, print expire apres 30 jours RMS Client RMS Client PL group@example.com read, print expire apres 30 jours OS CLC SPC RAC © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

App RMS Client OS Publication 4/2/2017 5:01 AM Publication Le contenu peut maintenant être distribuée Le document est distribue aux destinataires comme n’importe quel document. Imaginons que la machine du destinataire est déjà initialisée. Le destinataire a besoin d’une licence pour accéder au document. App RMS Client PL group@example.com read, print expires 30 days OS CLC SPC RAC CLC SPC RAC © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

App App RMS Client RMS Client OS 4/2/2017 5:01 AM Acquisition de licence Le destinataire ouvre le document dans une application compatible RMS. PL L’application appel la couche RMS Client pour obtenir une licence d utilisation. RAC group@example.com expires 30 days read, print group@example.com expires 30 days read, print RMS Client envoie la PL et la RAC au serveur RMS. Le serveur valides la RAC et la PL Les données de la PL sont déchiffrée. App App RMS Client RMS Client PL group@example.com read, print expires 30 days OS CLC SPC RAC © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

App RMS Client OS Acquisition de licence 4/2/2017 5:01 AM Acquisition de licence Les données de la PL sont déchiffrées. group@example.com read, print expire après 30 jours user@example.com read, print expire après 30 jours Si le contenu a été publie pour un group, le serveur vérifie l adhérence au groupe dans l’AD. UL RAC user@example.com expires 30 days read, print group@example.com expires 30 days read, print Si l identité dans la RAC correspond a la PL, le serveur commence a construire une licence d utilisation. Les droits sont écrit dans l’ UL. App RMS Client PL group@example.com read, print expires 30 days OS CLC SPC RAC © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

App RMS Client OS Acquisition de licence 4/2/2017 5:01 AM Acquisition de licence Les droits sont écrit dans l’UL La clé de chiffrement du contenu est chiffre par la RAC. UL user@example.com expires 30 days read, print RAC Puis ajoute a l’UL L’UL est signée par le serveur L’UL est retournée au client App RMS Client PL group@example.com read, print expires 30 days OS CLC SPC RAC © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

App RMS Client OS Acquisition de licence 4/2/2017 5:01 AM Acquisition de licence Les droits sont écrit dans l’UL La clé de chiffrement du contenu est chiffre par la RAC. Puis ajoute a l’UL L’UL est signée par le serveur L’UL est retournée au client Le destinataire peut maintenant consommer le contenu App RMS Client UL user@example.com expires 30 days read, print PL group@example.com read, print expires 30 days OS CLC SPC RAC © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

App RMS Client OS App RMS Client OS 4/2/2017 5:01 AM Access au contenu SPC RAC UL user@example.com read, print expires 30 days App RMS Client OS App RMS Client UL user@example.com expires 30 days read, print PL group@example.com read, print expires 30 days OS SPC RAC CLC © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

App App RMS Client RMS Client OS 4/2/2017 5:01 AM Access au contenu L’application appel la couche RMS Client pour déchiffrer le contenu. RMS Client utilise le certificat du “security processor” pour déchiffrer la clé privée du RAC. La clé privée du RAC déchiffre la clé de chiffrement du contenu. SPC RAC UL App App RMS Client RMS Client user@example.com read, print expire apres 30 jours OS © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

App RMS Client RMS Client OS 4/2/2017 5:01 AM Access au contenu La clé privée du RAC déchiffre la clé de chiffrement du contenu. Le client RMS déchiffre le contenu. L’application affiche le contenu et applique les restrictions associée au document. App SPC RAC UL RMS Client RMS Client user@example.com read, print expire apres 30 jours OS © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.