Rights Management Services
Rights Management Services (RMS) — это технология управления правами доступа к информации (Information Rights Management, IRM), разработанная корпорацией Microsoft. RMS представляет собой серверную и клиентскую инфраструктуру, предназначенную для защиты конфиденциальных данных путём шифрования и назначения политик использования, которые сохраняются прикреплёнными к файлу независимо от его местонахождения. Система позволяет контролировать, кто и при каких условиях может открывать, редактировать, копировать, печатать или пересылать защищённый документ или сообщение электронной почты.
История
Разработка RMS началась в начале 2000-х годов как ответ на растущие потребности корпоративных клиентов в защите интеллектуальной собственности и соблюдении нормативных требований. Первая версия технологии была выпущена в составе Windows Rights Management Services (WRMS) for Windows Server 2003. В 2004 году Microsoft выпустила обновлённую версию, переименованную в Active Directory Rights Management Services (AD RMS), которая стала частью платформы Windows Server 2008. В 2013 году, с выходом Windows Server 2012 R2, технология была переименована в Active Directory Rights Management Services (AD RMS), а в 2014 году Microsoft представила облачную версию — Azure Information Protection (AIP), которая стала преемницей AD RMS в облачной инфраструктуре. В 2022 году Microsoft объявила о прекращении поддержки локальной версии AD RMS, сосредоточив усилия на развитии Azure Information Protection.
Архитектура и принцип работы
RMS работает на основе клиент-серверной архитектуры. Основные компоненты включают:
- Сервер RMS (RMS Server) — центральный узел, отвечающий за выдачу лицензий на использование, управление сертификатами и политиками. Сервер может быть развёрнут локально (AD RMS) или в облаке (Azure RMS).
- Клиент RMS (RMS Client) — программное обеспечение, встраиваемое в приложения (например, Microsoft Office, Outlook, Internet Explorer), которое обеспечивает шифрование и расшифровку данных, а также применение политик использования.
- Сертификаты и лицензии — ключевые элементы защиты. Каждый пользователь получает сертификат учётной записи (RAC — Rights Account Certificate), а для каждого защищённого файла создаётся лицензия на использование (EUL — End User License), которая определяет права конкретного пользователя.
Процесс защиты выглядит следующим образом:
- Автор документа создаёт файл и с помощью клиента RMS задаёт политики использования (например, «только чтение», «запрет на печать», «срок действия до 01.01.2025»).
- Клиент RMS шифрует файл и отправляет запрос на сервер RMS для получения лицензии.
- Сервер RMS проверяет подлинность пользователя (через Active Directory или Azure AD) и выдаёт лицензию, которая прикрепляется к файлу.
- При попытке открыть защищённый файл другой пользователь отправляет запрос на сервер RMS, который проверяет его права и выдаёт ключ расшифровки, если политики разрешают доступ.
Возможности и функции
RMS предоставляет широкий набор средств управления доступом:
- Определение прав доступа — возможность задавать конкретные действия (чтение, изменение, копирование, печать, пересылка, сохранение, удаление) для отдельных пользователей или групп.
- Ограничение срока действия — возможность установить дату истечения лицензии, после которой файл становится недоступным.
- Защита от копирования — запрет на копирование содержимого в буфер обмена или снятие скриншотов (реализуется на уровне приложения).
- Защита от пересылки — возможность запретить пересылку защищённого файла по электронной почте или через мессенджеры.
- Принудительное применение политик — политики сохраняются внутри файла, поэтому даже если файл скопирован на другой носитель или отправлен третьему лицу, защита сохраняется.
- Аудит и журналирование — сервер RMS может вести журнал всех запросов на доступ, что позволяет отслеживать попытки несанкционированного использования.
Применение
RMS активно используется в корпоративной среде для защиты конфиденциальной информации:
- Защита документов — конфиденциальные отчёты, финансовые документы, юридические соглашения, проектная документация.
- Защита электронной почты — шифрование и управление правами на письма в Microsoft Outlook, что предотвращает утечку информации через пересылку.
- Защита веб-контента — ограничение доступа к веб-страницам, защищённым RMS, только для авторизованных пользователей.
- Соблюдение нормативных требований — помощь в выполнении требований законодательства о защите персональных данных (например, Федеральный закон № 152-ФЗ «О персональных данных» в РФ, GDPR в Европе).
Преимущества и недостатки
Преимущества
- Постоянная защита — политики прикрепляются к файлу и действуют независимо от его местонахождения.
- Интеграция с Active Directory и Azure AD — простота управления пользователями и группами в существующей инфраструктуре.
- Гибкость — возможность настройки политик под конкретные потребности организации.
- Прозрачность для пользователя — защита работает на уровне приложения, не требуя от пользователя дополнительных действий.
Недостатки
- Зависимость от инфраструктуры — для работы RMS требуется сервер (локальный или облачный) и клиентское ПО.
- Сложность развёртывания — настройка сервера RMS требует квалифицированных специалистов и интеграции с Active Directory.
- Ограниченная поддержка сторонних приложений — большинство функций RMS доступны только в продуктах Microsoft (Office, Outlook, SharePoint). Для других приложений требуется разработка собственных решений.
- Уязвимость к атакам на уровне ОС — если злоумышленник имеет административный доступ к компьютеру, он может попытаться обойти защиту на уровне приложения (например, сняв скриншот с помощью стороннего ПО).
Критика и альтернативы
Критики RMS отмечают, что технология не обеспечивает абсолютной защиты, так как злоумышленник, имеющий физический доступ к компьютеру, может попытаться извлечь данные из памяти или использовать уязвимости ОС. Кроме того, RMS не защищает от утечки информации через фотографирование экрана. В качестве альтернатив RMS на рынке представлены решения от других вендоров, такие как Adobe LiveCycle Rights Management, Seclore, Vera (теперь часть Proofpoint), а также открытые проекты, например, OpenPGP. Однако RMS остаётся одной из наиболее распространённых технологий IRM в корпоративном сегменте благодаря интеграции с экосистемой Microsoft.
Современное состояние
С 2014 года Microsoft активно развивает облачную версию RMS — Azure Information Protection (AIP), которая входит в состав Microsoft 365. AIP предлагает более широкие возможности, включая автоматическую классификацию данных, интеграцию с Microsoft Defender for Cloud Apps и поддержку мобильных устройств. Локальная версия AD RMS официально переведена в режим поддержки и не получает новых функций. В 2022 году Microsoft объявила, что новые клиенты не могут приобретать лицензии на AD RMS, и рекомендует переходить на AIP. В России технология RMS используется в корпоративном секторе, особенно в банках, государственных учреждениях и крупных промышленных предприятиях, где требуется защита конфиденциальной информации в соответствии с требованиями законодательства.
Источники
- Microsoft. «Active Directory Rights Management Services Overview». TechNet Library.
- Microsoft. «Azure Information Protection documentation». Microsoft Docs.
- Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных».
- «Information Rights Management: A Technical Overview». Microsoft Research, 2005.
- «Rights Management Services: Architecture and Deployment». Microsoft Press, 2007.
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →