Rheinwerk Computing < openbook > Rheinwerk Computing - Professionelle Bücher. Auch für Einsteiger.
Professionelle Bücher. Auch für Einsteiger.

Inhaltsverzeichnis
Geleitwort
1 Warum eine neue Server-Version?
2 Editionen und Lizenzen
3 Hardware und Dimensionierung
4 Protokolle
5 Was ist .NET?
6 Installation
7 Die Core-Installationsoption
8 Active Directory-Domänendienste
9 Netzwerkdienste im AD-Umfeld
10 Active Directory Lightweight Directory Services (AD LDS)
11 Active Directory-Verbunddienste (Federation Services)
12 Active Directory-Zertifikatdienste
13 Active Directory-Rechteverwaltungsdienste (AD RMS)
14 »Innere Sicherheit«
15 Dateisystem und Dateidienste
16 Drucken
17 Webserver (IIS)
18 SharePoint Foundation und SharePoint Server
19 Remotedesktopdienste (Terminaldienste)
20 Hochverfügbarkeit
21 Datensicherung
22 Servervirtualisierung mit Hyper-V
23 Windows PowerShell
Stichwort

Jetzt Buch bestellen
Ihre Meinung?
Spacer
Windows Server 2012 R2 von Ulrich B. Boddenberg
Das umfassende Handbuch
Buch: Windows Server 2012 R2

Windows Server 2012 R2
Rheinwerk Computing
1392 S., 4., aktualisierte Auflage 2014, geb.
59,90 Euro, ISBN 978-3-8362-2013-2
Pfeil 13 Active Directory-Rechteverwaltungsdienste (AD RMS)
Pfeil 13.1 Funktionsweise
Pfeil 13.2 Installation
Pfeil 13.2.1 Server-Installation
Pfeil 13.2.2 Feinkonfiguration
Pfeil 13.2.3 Vorlage für Benutzerrichtlinien erstellen
Pfeil 13.2.4 Gruppenrichtlinien
Pfeil 13.2.5 Client-Installation
Pfeil 13.3 Anwendung
Pfeil 13.3.1 Word-Dokument schützen
Pfeil 13.3.2 E-Mail schützen
Pfeil 13.4 Statistik
Pfeil 13.5 Abschlussbemerkung

13Active Directory-Rechteverwaltungsdienste (AD RMS) Zur nächsten Überschrift

Der erkannte, was ist, was sein wird, oder zuvor war,
Der auch her vor Troja der Danaer Schiffe geleitet
Durch wahrsagenden Geist, des ihn würdigte Phöbos Apollon;
Dieser begann wohlmeinend, und redete vor der Versammlung:
Peleus Sohn, du gebeutst mir, o Göttlicher, auszudeuten

Informationen bzw. Dokumente können auf verschiedene Weise geschützt werden:

  • Mit NTFS-Berechtigungen können Dokumente vor unberechtigtem Zugriff geschützt werden.
  • Mit dem Encrypting File System (EFS) können abgelegte Dokumente zusätzlich verschlüsselt werden.
  • Mit S/MIME können Mails (nebst Anhängen) auf dem Transportweg verschlüsselt werden. Dasselbe gilt für TLS (Transport Layer Security).

Stellen Sie sich nun folgendes Szenario vor:

  • Sie verfassen ein streng vertrauliches Essay und senden es einem Geschäftspartner oder einem Kollegen. Sie verschlüsseln die Mail, sodass ihr Inhalt weder bei der Übertragung noch bei der Speicherung im Exchange-Informationsspeicher unautorisierten Personen in die Hände fallen kann.
  • Wenn nun aber Ihr Kollege/Geschäftspartner nicht so vertrauenswürdig ist, wie Sie gedacht haben, und das Dokument weitergibt, fällt es in falsche Hände und kann dort beliebig gelesen, gedruckt und weiterverteilt werden.
  • Es soll – um es mal vorsichtig auszudrücken – auch schon vorgekommen sein, dass vertrauliche Dokumente schlichtweg durch Schlamperei in falsche Hände geraten sind: Wie leicht klickt man auf Weiterleiten und meinte eigentlich eine andere Mail.

Es gilt also: S/MIME, TLS & Co. schützen zwar den Transportweg, nicht aber das Dokument selbst!

Dies ist übrigens nicht nur ein Problem der Mailsysteme: NTFS-Rechte und EFS-Verschlüsselung schützen zwar das Dokument an seinem Speicherort im Dateisystem. Außerhalb des Dateisystems ist es aber nicht mehr geschützt. Wenn Ihr Geschäftsführer das Dokument auf einer CD mit sich herumträgt und diese verliert, gibt es keinen Schutz für das Dokument!

Die Fragestellung ist also, wie man das Dokument an sich schützen kann. Die Antwort auf diese Frage geben die Active Directory-Rechteverwaltungsdienste (AD RMS, Rights Management Services, http://www.microsoft.com/rms).

Die Rechteverwaltungsdienste waren ursprünglich ein separat per Download zu beziehendes Feature Pack, das Windows Rights Management Services hieß. Im Windows Server 2008 ist dieses Produkt bereits enthalten und in die Active Directory-Familie integriert worden.

Vielleicht haben Sie in den Office 2007/2010/2013-Applikationen bereits den Menüpunkt Zugriff einschränken bzw. in den Office 2003- Applikationen das Icon Berechtigung in der Symbolleiste entdeckt und sich gefragt, wozu es dient. Die Office-Applikationen Word, Excel, PowerPoint und Outlook sind von Haus aus für die Rechteverwaltungsdienste vorbereitet, und dieses Icon führt zu einem Dialog zum Setzen der Dokumentberechtigungen (siehe Abbildung 13.1 und Abbildung 13.2).

Abbildung

Abbildung 13.1 So beginnt das Schützen eines Dokuments mit Word 2013.

Abbildung

Abbildung 13.2 In Word 2003 wird dieses Symbol verwendet, um das Dokument zu schützen.

Voraussetzungen

Die Active Directory-Rechteverwaltungsdienste werden nicht von der Standard-Version (und darunter) des Office-Pakets unterstützt. Um AD RMS vollständig zu nutzen, benötigen Sie:

  • Office 2003 Professional
  • Office 2007/2010/2013 Enterprise, Professional Plus oder Ultimate ... oder entsprechend vorbereitete Software von Drittanbietern

AD RMS ist auch in folgende Produkte integriert:

  • Windows Mobile 6 und höher
  • Windows Phone 7.5 und höher
  • SharePoint Server 2007/2010/2013
  • Exchange Server 2007SP1/2010/2013

Beachten Sie, dass die Serverkomponente zwar Bestandteil der Windows Server 2012-Lizenz ist, die Clientzugriffe müssen aber mit speziellen RMS-CALs (Listenpreis derzeit 37 USD) lizenziert werden.


Rheinwerk Computing - Zum Seitenanfang

13.1 Funktionsweise Zur vorigen Überschrift

Abbildung 13.3 zeigt eine vereinfachte Darstellung der Funktion der Active Directory-Rechteverwaltungsdienste (RMS = Rights Management Services):

  1. Ein Anwender, der Dokumente schützen möchte, benötigt ein Licensor Certificate . Dieses wird vom RMS-Server ausgestellt. Dieses Zertifikat wird einmal erzeugt. Es muss nicht für jedes zu schützende Dokument neu ausgestellt werden.
  2. Die Applikation des Anwenders verschlüsselt die Datei mit einem erzeugten symmetrischen Schlüssel. Dieser symmetrische Schlüssel wird mit dem öffentlichen Schlüssel des RMS-Servers codiert. Er kann also nur vom RMS-Server entschlüsselt werden. Die von der Applikation erzeugte Publishing License erhält diesen verschlüsselten symmetrischen Schlüssel und die Informationen über die Zugriffsrechte, die Sie anderen Benutzern gewähren möchten. Die Publishing License wird an das verschlüsselte Dokument gebunden.

    Ab jetzt geht es um den Ablauf der Entschlüsselung des Dokuments für einen anderen Benutzer, der – wie auch immer – in den Besitz des verschlüsselten Dokuments gekommen ist.

  3. Die erste Voraussetzung ist, dass der Benutzer im Besitz eines RMS-Zertifikats ist und dass seine Identität festgestellt ist: dass er also im Active Directory authentifiziert ist. Alternativ kann auch dedizierten »fremden Domänen« (Partnerunternehmen etc.) oder Windows Live IDs vertraut werden.
  4. Wenn der Anwender ein RMS-geschütztes Dokument öffnen möchte, wird die Applikation (wenn diese mit RMS umgehen kann) eine Use License beim RMS-Server anfordern. Diese Anforderung erhält den öffentlichen Schlüssel des Zertifikats des Anwenders und die an das Dokument angefügte Publishing License.
  5. Der RMS-Server prüft, ob der Anwender zum Öffnen des Dokuments autorisiert ist; diese Information ist verschlüsselt in der Publishing License hinterlegt, die dem Dokument angefügt ist. Sie erinnern sich: Die Publishing License ist mit dem öffentlichen Schlüssel des RMS-Servers verschlüsselt worden, demzufolge kann der Anwender sie mit seinem privaten Schlüssel decodieren. Ist der Anwender zum Zugriff auf das Dokument berechtigt, verschlüsselt der RMS-Server den symmetrischen Schlüssel mit dem öffentlichen Schlüssel des Anwenders und fügt weitere Anweisungen (z. B. »Dokument darf nicht gedruckt werden« etc.) hinzu.

    Abbildung

    Abbildung 13.3 Eine stark vereinfachte Darstellung der Funktion der Rechteverwaltungsdienste

  6. Die erzeugte Use License wird an den Benutzer gesendet. Da diese mit dem öffentlichen Schlüssel des Anwenders verschlüsselt ist, kann die Use License, selbst wenn sie abgefangen wird, nicht missbraucht werden.
  7. Die RMS-fähige Applikation (z. B. Word, Excel, PowerPoint) kann nun das Dokument anzeigen. Je nach gewährten Rechten kann der Anwender es auch drucken, verändern und abspeichern etc.

Ihre Meinung

Wie hat Ihnen das Openbook gefallen? Wir freuen uns immer über Ihre Rückmeldung. Schreiben Sie uns gerne Ihr Feedback als E-Mail an kommunikation@rheinwerk-verlag.de.

<< zurück



Copyright © Rheinwerk Verlag GmbH, Bonn 2014
Für Ihren privaten Gebrauch dürfen Sie die Online-Version natürlich ausdrucken. Ansonsten unterliegt das Openbook denselben Bestimmungen, wie die gebundene Ausgabe: Das Werk einschließlich aller seiner Teile ist urheberrechtlich geschützt.
Alle Rechte vorbehalten einschließlich der Vervielfältigung, Übersetzung, Mikroverfilmung sowie Einspeicherung und Verarbeitung in elektronischen Systemen.


Nutzungsbestimmungen | Datenschutz | Impressum

Rheinwerk Verlag GmbH, Rheinwerkallee 4, 53227 Bonn, Tel.: 0228.42150.0, Fax 0228.42150.77, service@rheinwerk-verlag.de

Cookie-Einstellungen ändern
  Zum Rheinwerk-Shop
Zum Rheinwerk-Shop: Windows Server 2012 R2






Windows Server 2012 R2
Jetzt Buch bestellen
 Ihre Meinung?
Wie hat Ihnen das Openbook gefallen?
Ihre Meinung

 Buchempfehlungen
Zum Rheinwerk-Shop: Office 365






 Office 365

Zum Rheinwerk-Shop: Microsoft Hyper-V






 Microsoft Hyper-V

Zum Rheinwerk-Shop: Linux-Server






 Linux-Server

Zum Rheinwerk-Shop: Vmware vSphere 5






 Vmware vSphere 5

Zum Rheinwerk-Shop: Windows 8 für Administratoren






 Windows 8 für
 Administratoren

 Lieferung
Versandkostenfrei bestellen in Deutschland, Österreich und der Schweiz
InfoInfo