Der erkannte, was ist, was sein wird, oder zuvor war,
Der auch her vor Troja der Danaer Schiffe geleitet
Durch wahrsagenden Geist, des ihn würdigte Phöbos Apollon;
Dieser begann wohlmeinend, und redete vor der Versammlung:
Peleus Sohn, du gebeutst mir, o Göttlicher, auszudeuten
13 Active Directory-Rechteverwaltungsdienste (AD RMS)
Informationen bzw. Dokumente können auf verschiedene Weise geschützt werden:
- Mit NTFS-Berechtigungen können Dokumente vor unberechtigtem Zugriff geschützt werden.
- Mit dem Encrypting File System (EFS) können abgelegte Dokumente zusätzlich verschlüsselt werden.
- Mit S/MIME können Mails (nebst Anhängen) auf dem Transportweg verschlüsselt werden, dasselbe gilt für TLS (Transport Layer Security).
Stellen Sie sich nun folgendes Szenario vor:
- Sie verfassen ein streng vertrauliches Essay und senden es einem Geschäftspartner oder einem Kollegen. Sie verschlüsseln die Mail, so dass ihr Inhalt weder bei der Übertragung noch bei der Speicherung im Exchange-Informationsspeicher unautorisierten Personen in die Hände fallen kann.
- Wenn nun aber Ihr Kollege/Geschäftspartner nicht so vertrauenswürdig ist, wie Sie gedacht haben, und das Dokument weitergibt, fällt es in falsche Hände und kann dort beliebig gelesen, gedruckt und weiterverteilt werden.
- Es soll, um es mal vorsichtig auszurücken, auch schon vorgekommen sein, dass vertrauliche Dokumente schlichtweg durch Schlamperei in falsche Hände geraten sind: Wie leicht klickt man auf Weiterleiten und meinte eigentlich eine andere Mail.
Kurz gesagt schützen S/MIME, TLS & Co. zwar den Transportweg, nicht aber das Dokument selbst!
Dies ist übrigens nicht nur ein Problem der Mailsysteme: NTFS-Rechte und EFS-Verschlüsselung schützen zwar das Dokument an seinem Speicherort im Dateisystem. Außerhalb des Dateisystems ist es aber nicht mehr geschützt. Wenn Ihr Geschäftsführer das Dokument auf einer CD mit sich herumträgt und diese verliert, gibt es keinen Schutz für das Dokument!
Die Fragestellung ist also, wie man das Dokument an sich schützen kann. Die Antwort auf diese Frage geben die Active Directory Rechteverwaltungsdienste (AD RMS, Rights Management Services, http://www.microsoft.com/rms).
Die Rechteverwaltungsdienste waren ursprünglich ein separat per Download zu beziehendes Feature Pack, das Windows Rights Management Services hieß. Im Windows Server 2008 ist dieses Produkt bereits enthalten und in die Active Directory-Familie integriert worden.
Vielleicht haben Sie in den Office 2007-Applikationen bereits den Menüpunkt Berechtigung einschränken bzw. in den Office 2003- Applikationen das Icon Berechtigung in der Symbolleiste entdeckt und sich gefragt, wozu es dient. Die Office 2003/2007-Applikationen Word, Excel, PowerPoint und Outlook sind von Haus aus für die Rechteverwaltungsdienste vorbereitet, und dieses Icon führt zu einem Dialog zum Setzen der Dokumentberechtigungen (Abbildung 13.1, 13.2).
Abbildung 13.1 So beginnt das Schützen eines Dokuments mit Word 2007.
Abbildung 13.2 In Word 2003 wird dieses Symbol verwendet, um das Dokument zu schützen.
| Voraussetzungen |
|
Active Directory Rechteverwaltungsdienste wird nicht von der Standard-Version (und darunter) des Office-Pakets unterstützt. Um AD RMS vollständig zu nutzen, benötigen Sie:
|
Beachten Sie, dass die Serverkomponente zwar Bestandteil der Windows Server 2008-Lizenz ist, die Clientzugriffe müssen aber mit speziellen RMS-CALs (Listenpreis derzeit 37 US$) lizenziert werden.
13.1 Funktionsweise 
Abbildung 13.3 zeigt eine vereinfachte Darstellung der Funktion der Rights Management Services:
| 1. | Ein Anwender, der Dokumente schützen möchte, benötigt ein Licensor CertificateLicensor CertificateActive Directory-RechteverwaltungsdiensteLicensor Certificate. Dieses wird vom RMS-Server ausgestellt. Dieses Zertifikat wird einmal erzeugt. Es muss nicht für jedes zu schützende Dokument neu ausgestellt werden. |
| 2. | Die Applikation des Anwenders verschlüsselt die Datei mit einem erzeugten symmetrischen Schlüssel. Dieser symmetrische Schlüssel wird mit dem öffentlichen Schlüssel des RMS-Servers codiert. Er kann also nur vom RMS-Server entschlüsselt werden. Die von der Applikation erzeugte Publishing LicensePublishing LicenseActive Directory-RechteverwaltungsdienstePublishing License erhält diesen verschlüsselten symmetrischen Schlüssel und die Informationen über die Zugriffsrechte, die Sie anderen Benutzern gewähren möchten. Die Publishing License wird an das verschlüsselte Dokument gebunden. Ab jetzt geht es um den Ablauf der Entschlüsselung des Dokuments für einen anderen Benutzer, der – wie auch immer – in den Besitz des verschlüsselten Dokuments gekommen ist. |
| 3. | Die erste Voraussetzung ist, dass der Benutzer im Besitz eines RMS-Zertifikats ist und dass seine Identität festgestellt ist: dass er also im Active Directory authentifiziert ist. Alternativ kann auch dedizierten »fremden Domänen« (Partnerunternehmen etc.) oder Windows Live IDs vertraut werden. |
| 4. | Wenn der Anwender ein RMS-geschütztes Dokument öffnen möchte, wird die Applikation (wenn diese mit RMS umgehen kann) eine Use LicenseUse LicenseActive Directory-RechteverwaltungsdiensteUse License beim RMS-Server anfordern. Diese Anforderung erhält den öffentlichen Schlüssel des Zertifikats des Anwenders und die an das Dokument angefügte Publishing License. |
| 5. | Der RMS-Server prüft, ob der Anwender zum Öffnen des Dokuments autorisiert ist; diese Information ist verschlüsselt in der Publishing License hinterlegt, die dem Dokument angefügt ist. Sie erinnern sich: Die Publishing License ist mit dem öffentlichen Schlüssel des RMS-Servers verschlüsselt worden, demzufolge kann es sie mit seinem privaten Schlüssel decodieren. Ist der Anwender zum Zugriff auf das Dokument berechtigt, verschlüsselt der RMS-Server den symmetrischen Schlüssel mit dem öffentlichen Schlüssel des Anwenders und fügt weitere Anweisungen (z. B. Dokument darf nicht gedruckt werden etc.) hinzu. |
Abbildung 13.3 Eine stark vereinfachte Darstellung der Funktion der Rechteverwaltungsdienste
| 6. | Die erzeugte Use License wird an den Benutzer gesendet. Da diese mit dem öffentlichen Schlüssel des Anwenders verschlüsselt ist, kann die Use License, selbst wenn sie abgefangen wird, nicht missbraucht werden. |
| 7. | Die RMS-fähige Applikation (z. B. Word, Excel, PowerPoint) kann nun das Dokument anzeigen. Je nach gewährten Rechten kann er es auch drucken, verändern und abspeichern etc. |
