» Home » Signieren und Verschlüsseln » Rights Management Server

Rights Management Services (RMS)

Oft auch als Windows Rights Management oder Digital Rights Management Services bekannt. In Verbindung mit dem Windows Media Player als "Windows Media Rights Management". Nur was hat das mit Exchange zu tun ?

RMS ist die Weiterentwicklung der klassischen Verschlüsselung mittels SSL, S/Mime und PGP  Die klassische Verschlüsselung hat vier Ziele:

• Unveränderbarkeit durch Signatur
  Der Empfänger kann sicher sein, dass der Inhalt auf dem Übertragungsweg nicht verändert wurde
• Verschlüsselung
  Der Sender und Empfänger können sicher sein, dass der Inhalt auf dem Übertragungsweg nicht mitgelesen werden konnte.
• Absenderverifikation durch Signatur
  Die Signatur stellt zudem sicher, dass der Absender geprüft werden kann. Niemand kann sich dann als jemand anderes ausgehen
• Empfängerprüfung durch Verschlüsselung
  Die Verschlüsselung erlaubt nur dem gewünschten Empfängern einen Zugriff auf die Information.

Das ist aber in der neuen Welt nicht mehr ausreichend, denn es kann nicht sichergestellt werden, dass:

• Der Empfänger die Mail offen legt
  Als Absender müssen Sie darauf vertrauen, dass die Gegenseite die Informationen mit der gleichen Sorgfalt behandelt und  vor allem das Netzwerk des Empfängers ausreichend geschützt wird.
• Der Empfänger die Mail verändert
  Man kann in Outlook z.B. eingehende E-Mails verändern. Aber der Empfänger kann die Mail auch einfach weiterleiten und dann verändern. Für den darauf folgenden Empfänger ist nicht ersichtlich, dass es sich nicht mehr um das Original handelt. Eigentlich ist das eine Selbstverständlichkeit, aber es ist den meisten nicht bewusst. Das Vertrauen in die Technik ist immer noch sehr hoch (Siehe Fälschung)
• Der Empfänger die Mail nach Ablauf der Gültigkeit weiter nutzt
  z.B.: bei zeitlich befristeten Angeboten, nur auf Zeit vermieteten Informationen etc

Es gibt als Gründe hier nach Lösungen zu suchen. Und es gibt tatsächlich Produkte, die eine Verwaltung von solchen Rechten zulassen. Dazu gehört auch der Windows Rights Management Server (RMS), der manchmal auch als Digital Rights Management (DRM) und anderen Begriffen gehandelt wird.

Eigener RMS ?

In allen mir bekannten Fällen ist damit aber mehr verbunden, als nur mal einen Server zu installieren, da die Auswirkungen tief in gegebene Strukturen eingreifen:

• Passende Anwendung zum Erzeugen
  Wenn Sie ein Dokument erzeugen, welches sie schützen wollen, dann benötigen Sie eine Anwendung, um diese Funktion zu aktivieren. Diese Funktion bietet ihnen z.B.: Outlook 2003
  
• Passendes Datenformat
  Eine so geschützte Information kann natürlich nicht im Klartext übertragen werden. Also muss eine Formatbeschreibung existieren, die den Inhalt verschlüsselt aufnimmt. Das können Sie nicht mit einem Einpacken einer Datei in ein Archiv mit Kennwort vergleichen, denn hier könnte ein berechtigter Anwender den Inhalt heraus holen und ungeschützt weiter nutzen. Solange also z.B. Adobe kein DRM/RMS oder ähnliches direkt in PDF implementiert, ist es nicht nutzbar.
• Passende Anwendung zum Lesen
  Entsprechend benötigen alle Nutzer der Information die passende Software, um diese Informationen zu nutzen. Die Anwendung muss die Zugriffsberechtigungen des Nutzers prüfen und darf keinen anderen Zugriff erlauben. Insofern muss auch die Anwendung "vertrauenswürdig" sein, dass Sie die Rechte auch durchsetzt. Ob dann jemals ein Open Office eine RMS-geschützte Datei von Office 2003 lesen kann ?

Sie sehen schon, dass das alles mit Schutz, Identifizierung, Überprüfung und Vertrauen zu tun hat. Dann wird es Sie nicht wundern, wenn hier wieder Zertifikate einen Rolle spielen:

• Identifizierung des Rights Management Server
  Wenn ein Client bei einem Rights Management Server die Gültigkeit prüfen will, dann muss natürlich sichergestellt sein, dass es auch der richtige Server ist und kein gleichnamiges System eines Angreifers.
• Identifizierung des Empfängers
  Aber auch der Empfänger eines Dokuments muss sich gegenüber dem Rights Management Server "ausweisen". Was liegt näher als auch hier Zertifikate zu nutzen. Hinzu kommt aber, dass der Benutzer beim RMS natürlich "bekannt" sein muss. Lizenzfragen sind ebenfalls zu klären
• Connectivity
  Bei all dem muss natürlich sichergestellt sein, dass die Kommunikation möglich ist. Was hilft mit ein intern erreichbarer RMS, wenn der Empfänger im Internet steht und nie beim RMS seine "Lizenz" abholen kann. Umgekehrt stellt sich mir dir Frage, wie ich "offline" mit Notebook auf meine Dokumente zugreifen kann. Der Client könnte Daten cachen, aber wie lange ?. Wie stellen die System überhaupt sicher, dass ich meine Uhr nicht zurückgedreht habe ?

Sie sehen also, alles nicht so einfach. Digital Rights Management ist ein wichtiges Thema und Portale wie Musicload.de und andere nutzen solche Verfahren schon, um Audio und Video-Dokumente zu schützen, so dass nur der Käufer oder Mieter diese auf seinem Gerät für die gekaufte Zeit anschauen kann. Allerdings handelt es sich dabei nicht um MP3 und MPEG4-Datien, sondern um "andere" Format, die DRM unterstützen (WMF, WMA). Auch diverse MP3-Player unterstützen schon DRM.

Der Einsatz bei E-Mails ist zwar interessant, aber wenn ich sehe wie gleichgültig heute die meisten Personen schon allein das Thema  Verschlüsseln und Signieren ist, dann wird RMS sicher eher übermorgen ein Massenthema werden. Es kann allerdings im internen Netzwerk natürlich wunderbar genutzt werden, um kritische Dokumente, z.B. geheime Daten, Source Code, etc. besser abzusichern. Niemand außerhalb kann mit den Daten etwas anfangen, wenn er nicht auch eine Lizenz vom internen RMS-Server erhalten kann.

Passport

Theorie alleine bleibt trocken. Microsoft bietet bis auf weiteres den Office 2003 Anwendern an, einen öffentlichen RMS-Server kostenfrei zu nutzen. Office zeigt folgenden Dialog bei der ersten Verwendung von RMS-Funktionen.

Weitere Hinweise gibt es unter http://office.Microsoft.com/de-de/assistance/HA010721681031.aspx

Microsoft kann den Dienst jederzeit beenden oder kostenpflichtig machen. Dies kann dazu führen,  dass sie ihre eigenen Dokumente nicht mehr lesen können, da sie keine Lizenz mehr erhalten können.

Zwar ist eine Warnung und eine Migrationszeit von einem Monat beschrieben, aber dies kann schon sehr kurz sein, wenn Sie viele Dokumente verschlüsselt haben. Da zudem ihr Schlüssel auf diesem Server liegt, ist es dem Betreiber technisch möglich, ihre Dokumente bei Erhalt zu lesen. Ein gewisses Vertrauen müssen Sie daher mitbringen. Oder eben damit leben, dass vermutlich Geheimdienste und Verfolgungsbehörden Zugriff erhalten können. Wenn der Präsident Bush Telefone ohne richterlichen Beschluss im Namen der nationalen Sicherheit abhören lässt, dann dürfte ein Rights Management Server in den USA nur bedingt geeignet sein.

Eine nette Spielfläche ist es aber allemal, wenn wie ein Passport-Konto haben.

Office Schutz

Wenn Sie nicht gleich mit der "Großen Keule" arbeiten wollen, dann können Sie auch wie bisher ihre Dokumente der verschiedenen Programme mit Kenworten schützen oder einfach mit Kennwort packen. Das ist aber bei weitem nicht so flexible und verhindert auch keine unerlaubte Weitergabe. Oft reicht es aber schon, wenn "versteckte Informationen" in Dokumenten entfernt werden

• Dokumentenschutz mit Office 2010
  http://blogs.technet.com/b/dmelanchthon/archive/2010/06/08/dokumentenschutz-mit-office-2010.aspx
• Download der Videos
  http://edge.technet.com/Media/Dokumente-schuetzen-mit-Office-2010/

Weitere Links

• RMS Homepage
  http://www.Microsoft.com/windowsserver2003/technologies/rightsmgmt/default.mspx
• FAQ
  http://www.Microsoft.com/windowsserver2003/techinfo/overview/rmsplfaq.mspx
• What's New in Exchange Server 2007 SP1: Exchange 2007 Help
  http://technet.microsoft.com/en-us/library/bb676323.aspx
• New Transport Features in Exchange 2007 SP1
  http://technet.microsoft.com/en-us/library/bb684905.aspx
• Managing the AD RMS Prelicensing Agent Applies to: Exchange Server 2007 SP2, Exchange Server 2007 SP1 Top
  http://technet.microsoft.com/en-us/library/aa997453.aspx
• How to Configure Your System for the AD RMS Prelicensing Agent
  http://technet.microsoft.com/en-us/library/bb125006.aspx
• How to Disable or Enable the AD RMS Prelicensing Agent
  http://technet.microsoft.com/en-us/library/bb124077.aspx
• Office 2003 Rights Management mit Passport
  http://office.Microsoft.com/de-de/assistance/HA010721681031.aspx
• RMS
  http://www.Microsoft.com/windowsserver2003/technologies/rightsmgmt/default.mspx
• Demo
  http://www.Microsoft.com/windowsserver2003/evaluation/demos/rms.html
• http://www.Microsoft.com/windowsserver2003/techinfo/overview/rm.mspx
• Der versiegelte PC Was steckt hinter TCPA und Palladium?
  http://www.heise.de/ct/02/22/204/
• http://www.msexchange.org/tutorials/Rights-Management-Service-Exchange-2003-Part1.html

Keywords:

Gruppenrichtlinien GPO ADM Policies

Impressum und Datenschutzerklärung. Anmerkungen, Anregungen oder Fragen siehe "Kontakt". Alle Angaben ohne Gewähr! Namen und Produktbezeichnungen können Eigentum der jeweiligen Hersteller sein. (c) 2000-heute Frank Carius, Jede weitere Veröffentlichung nur mit meinem vorherigen Einverständnis.

• NOTFALL
• Grundlagen
• Konzepte
• Signieren und Verschlüsseln
  • Grundlagen
  • Vertrauen
  • Verschlüsseln und Signieren
  • Schlüssel
  • SMTP Sicherheit
  • SMime oder PGP
  • SSL-Grundlagen
  • Rolle der CA
  • Zertifikatarten
  • Firmen CA
  • Clientzertifikat/SMIME
  • AutoEnrollment
  • SANZertifkate
  • Wildcard Zert
  • OpenSSL
  • Verbindungen
  • Gateway
  • enQsig - Verschlüsseln und Signieren
  • Schlüsseltausch
  • SMIME mit Outlook
  • SMIME mit OWA2003
  • SMIME mit OWA2007
  • SMIME mit OWA2010
  • Zertifizierte Mail
  • ePost
  • De-Mail
  • Benutzerzertifikate im AD
  • Clientzertifikat Roaming
  • Rights Management Server
  • CA-Auswahl
  • Comodo EvalSSL
  • GoDaddy
  • AlphaSSL
  • StartSSL CA
  • IIS6 SSL einrichten
  • IIS7 SSL einrichten
• Verfügbarkeit
• Admin und Betrieb
• Ex 2000/2003
• Ex 2007/2010
• Unified Communication
• Lync 2010
• Mobile Clients
• Clients
• Connectoren
• Internet
• Spam und UCE
• Migration/Koexistenz
• Tools
• How-To
• Programmieren
• Produkte
• Events
• Buch
• Verschiedenes
• Ideen
• Sonstiges
• Net at Work
• Newsletter
• Archiv
• English pages