Все новости от 25 февраля 2003 г. Microsoft обеспечивает предприятия средствами управления допуском
В пятницу Microsoft анонсировала новую технологию защиты, которая позволит предприятиям лучше контролировать доступ к хранящимся на их компьютерах документам и данным.
На этой неделе компания намерена выпустить новую тестовую версию Windows Rights Management Services (RMS), которая работает с Windows Server 2003. Более широкое тестирование этой системы планируется начать во втором квартале.
В первой версии Microsoft сосредоточилась на защите данных на корпоративных порталах и в интрасетях. В следующей добавится механизм защиты документов, которыми компании обмениваются по интернету.
RMS обеспечит предприятия средствами детального контроля за разрешениями на использование их деловых документов, пояснил вице-президент отделения Security Business Unit Microsoft Майк Нэш (Mike Nash). Существующие технологии контроля за разрешениями Microsoft опираются главным образом на список пользователей, имеющих доступ к документу. RMS вводит в документы разрешения, которые должны подтверждаться сервером, хранящим документ.
«Фактически мы ввели надежную защиту в сам документ, – говорит Нэш. – Даже если файл перестанет быть частью файловой системы или инфраструктуры компании, защита все равно в нем останется».
Пользуясь RMS, предприятие может ограничивать доступ персонально, по времени или сроку либо запретить копирование и передачу отдельных элементов информации. Кроме того, оно может заблокировать пересылку важных сообщений e-mail нежелательным лицам, например журналистам или конкурентам.
Microsoft планировала анонсировать RMS на будущей неделе, но, по-видимому, изменила свои планы из-за случайной публикации на веб-сайте Microsoft Developer Network (MSDN) второй бета-версии Office 2003. Документы Office 2003 содержат новую кнопку Permission (Разрешение), относящуюся к RMS. Чтобы тестеры Office 2003 могли испытать эту функцию, Microsoft одновременно с выпуском Beta 2 планирует предложить «опытный централизованный сервис».
Нэш пояснил действие RMS на примере новой функции Office 2003 Permission.
Он привел три сценария использования RMS предприятиями: ограничение доступа к веб-контенту, защита документов и предотвращение пересылки e-mail.
В первом сценарии компания помещает в интрасеть документы, содержащие конфиденциальную информацию. «В этом случае вам потребуется, чтобы посетители портала видели эту информацию, но не могли вырезать, скопировать и пересылать ее». Компания может использовать RMS, чтобы предотвратить такие действия со стороны тех пользователей, которым это не положено.
Второй сценарий позволяет размещать на внутреннем сервере файлов компании конфиденциальные документы, «доступные только тем людям, у которых есть право открывать и просматривать эти файлы, даже если они уже извлечены».
Предприятие получает детальный контроль над правами, так что у одного пользователя будет полный доступ к документу, а у другого – без права его сохранения или распечатки.
«Еще Windows Rights Management позволяет управлять продолжительностью доступа, – добавляет Нэш. – Например, я могу разрешить вам просматривать документ до шести часов… после чего ваши права автоматически аннулируются».
Третий сценарий предотвращает пересылку сотрудниками электронных писем людям, не имеющим разрешения на доступ к информации.
«Мы считаем это серьезной проблемой для крупных и мелких компаний, – говорит Нэш. – Например, в Microsoft перед нами стоит задача обеспечить открытость и обмен информацией между сотрудниками, но в то же время позаботиться о том, чтобы при таком большом количестве посвященных кто-нибудь нечаянно не допустил утечку этой информации».
Для обеспечения управления правами по этим сценариям RMS при создании документа снабжает его лицензионным сертификатом с разрешением на доступ к нему. Например, если в Office 2003 создается документ Word, его автор, чтобы задать или ограничить доступ, должен воспользоваться кнопкой Permission. RMS зашифрует файл и введет в него необходимые разрешения.
Однако в тех компаниях, где система RMS реализована недостаточно аккуратно, этот важный механизм защиты может вызвать головную боль. Чтобы эта система работала, компьютеры пользователей при первом открытии документа должны обращаться к Windows Server 2003 с RMS за подтверждением прав и расшифровкой документа. Иначе документ не откроется. В будущем Microsoft планирует предложить «офлайновый» механизм подтверждения прав, но в этой версии RMS его нет.
Другие проблемы могут быть связаны с переносимостью защищенных документов. Нэш утверждает, что RMS не зависит от платформы – то есть работает с любой операционной системой, так как «Windows Rights Management отвечает промышленным стандартам». Однако, если к защищенному документу захочет обратиться пользователь, скажем, Mac OS X или Linux, его ОС должна работать с XrML (Extensible Rights Markup Language) точно так же, как это делает Microsoft, иначе документ не откроется.
То же относится и к пользователям других версий Windows. «Если передать документ другому пользователю Windows, у которого не установлена RMS, он тоже не сможет открыть его», – признает Нэш.
«Мы предлагаем предприятиям и средства централизованного управления политикой, – добавил он. – Например, компания, если она захочет, может следить за тем, в каком месте был защищен тот или иной документ и кто к нему обращался».
В будущем Microsoft планирует заменить платформу, на которой базируется система, новой технологией защиты Palladium. Если RMS – чисто программная технология, то Palladium вводит дополнительную аппаратную защиту и механизм управления правами на базе специальных микросхем.
Предыдущие публикации:
В продолжение темы:
|
|
| Алех 25 Feb 2003 11:35 AM |
Что то меня еще ни разу не остановили ни пермишены на NTFS и "шифрование" данных, как мог скопировать или затерить так могу и это сделать. Одним словом очерадная лажа |
|
| Наблюдатель 25 Feb 2003 11:35 AM |
Очень нужная технология! Насколько это упростит многие проблемы. |
|
| Наблюдатель 25 Feb 2003 11:37 AM |
2Алех Только не обижайтесь, а силой воли вы не пробовали зажигать свет в помещении?:) |
|
| Федор 25 Feb 2003 12:21 PM |
2Алех Хотел бы я посмотреть, как вам удается читать зашифрованный документ. Особенно если админ не является агентом восстановления. |
|
| none 25 Feb 2003 1:21 PM |
удивительно, но факт - сначала предлагаем использовать файловую систему для разделения документов, потом понимаем, что это несовсем хорошо:) Вообще,такие проблемы решают системы документооборота |
|
| - 25 Feb 2003 3:57 PM |
2none А по-моему в статье говорить про совсем другие вещи. И документооборот тут не причем |
|
| Пётр - peterkdhotmail.com 25 Feb 2003 4:08 PM |
2 Alex - интересная информация. Кто же у вас так настраивает права? А может Вы владелец документа и папки? А вообще интересно будет такой сервис посмотреть. Вещь нужная и востребованная рынком. |
|
| none 25 Feb 2003 4:14 PM |
2-: а что это по Вашему как не частный случай >Даже если файл перестанет быть частью файловой системы или инфраструктуры компании, защита все равно в нем останется». Пользуясь RMS, предприятие может ограничивать доступ персонально, по времени или сроку либо запретить копирование и передачу отдельных элементов информации. Кроме того, оно может заблокировать пересылку важных сообщений e-mail нежелательным лицам |
|
| none 25 Feb 2003 4:33 PM |
Вот только интересна фраза: запретить копирование. Это в каком смысле. Если человек прочел информацию - то уж скопирует запросто (фотоаппаратом экран сфотографирует :) |
|
| me - userinternet.com 25 Feb 2003 5:58 PM |
none, фотоаппараты можно на входе отбирать :))) |
|
| Просто так 25 Feb 2003 6:23 PM |
2 none Система документооборота не при делах, как только документ покидает пределы этой системы, в отличии от предлагаемого подхода |
|
| RSM 25 Feb 2003 7:00 PM |
2Просто так: а документ и не должен покидать системы документооборота... ну кроме как уходя к пользователю не имеющему доступа к системе... впрочем здесь ровно то же самое. так что ничего нового - только попытка занять еще одну нишу выкинув конкурентов используя при этом все ту же свою монополию на рынке редакторов текстов, электронных таблиц и прочих запчатей... старо как мир =) |
|
| Nick - m.kulykattbi.com 25 Feb 2003 9:15 PM |
И слава Богу. Пусть занимают, пусть монополизируют. Какие проблемы? Вам плохо жить от этого? Если да - можно только посочувствовать. Мне от монополии Microsoft только лучше. Больше задач, которые надо решать, больше рабочих мест, больше спрос, выше зарплата. Не знаю, как в России, но здесь, в США, за работу держишься двумя руками и ногами. Только бы не уволили. Иначе - пипец. Рассуждать о том, что хорошо, а что плохо, лучше тогда, когда в желудке сытно и на банковском счете не пусто. |
|
| Отец 25 Feb 2003 10:30 PM |
Любой документ, который может быть скопирован - будет скопирован. Либо будет куплен тот, кто проставляет эти самые права на документ. Микрософт по сути своей совковая структура, и как любая совковая структура, выстраивает вокруг себя барьеры, ключики, шифрики, но все это идет на хер, когда человек просто выносит документ из совковой структуры, в любом виде. to Nick: специалисты по решению конкретных проблем и по созданию систем оборота чего угодно без работы не остаются. Им по сути все равно, на какой системе строить - были бы мозги. Что касается Штатов - за последние 4 года я бывал там трижды, ситуацию знаю, без работы может остаться кто угодно, но если ты востребован рынком, долго без нее сидеть не будешь. |
|
| Andy 26 Feb 2003 7:57 AM |
В Elcomsoft порвали два баяна... :) |
|
| Пётр - peterkdhotmail.com 26 Feb 2003 9:40 AM |
Да причём тут документооборот? И вообще чего вы раньше времени обсуждаете продукт? Вы его видели? Нет. Нужно сначала чтобы он появился, посмотреть его нужно, а уж потом хаять или хвалить. Документооборот это немного больше. То что вы называете тут документооборотом - по науке зовётся хранилищем документов. А для создания хранилища документов имеется SharePoint у MSa. А если нужен документооборот на MSовской платформе - вон DigDes из Питера сделали очень хорошую систему на .Net. Всё на Веб-сервисах построено, очень хорошая весчь. Правда она у них не имеет хранилища, по крайней мере до SharePoint не дотягивает по возможностям. |
|
| Пётр - peterkdhotmail.com 26 Feb 2003 9:41 AM |
2 Nick. У нас тут тоже приходятся за работу крепко держаться. Некоторых выгоняют, опускают всячески на работе, а они держатся. |
|
| Павел 26 Feb 2003 10:08 AM |
"Даже если файл перестанет быть частью файловой системы или инфраструктуры компании, защита все равно в нем останется". - похоже, что это реально будет работать ТОЛЬКО когда ДОКУМЕНТ перестанет быть файлом и будет храниться в центральной базе. Иначе совершенно непонятно, с каким сервером и почему будет сверяться клиент при открывании документа, и что будет, если он-таки не будет сверяться. Тогда останется только шифровать все во много слоев, что не добавит ни радости, ни производительности. |
|
| glassy 26 Feb 2003 10:47 AM |
2Павел: ты скажи по-человечески -- док+сервер не есть док+фс |
|
| ggv 26 Feb 2003 12:20 PM |
дерьмо эти вэб-сервисы не пригодные к сколько нибудь серьезной работе - ну разве это дела, для отправки 10 Byte данных гнать порядка 1,5 KB, для получения ответа - кода возврата - из одного Byte получать опятью же порядка 1.5 KB. Данные конкретные, из опыта работы с вэб-сервисом отправления SMS. Поэтому для нормальной работы (ну типа около 5 сотен сообщений в секунду размером каждое в сыром формате пол KB) не пригодны никакие тормоза в виде вжю сервисов - это к вопросу о том что что-то где-то построили на вэб сервисах и вааще это классная вещь. Эта "классная" вещь жрет полосу, жрет ресурсы компа, и пошла бы она куда подалее... Сорри за оффтопик - третий день работаю с этим, и третий день слезы льються... |
|
| DemonZla 26 Feb 2003 12:40 PM |
... хехе в Америке оказыца жить то плохо... пошла бы она тады в жо.у... ...и микрософт вместе с ней... |
|
| Павел 26 Feb 2003 1:21 PM |
2 glassy: Ну ты и сказанул ;)) "док+сервер не есть док+фс" - это, что, по-человечески? И какой вывод можно из этого сделать без дополнительных объяснений? Я хотел подчеркнуть, что, хотя в статье написано, - "ДАЖЕ если "док" не на fs, в нем все равно "останется" защита", - на самом деле (IMHO конечно) следует читать как - "поскольку получить реальную защиту документа можно ТОЛЬКО когда он не на fs, микрософт будет всеми силами продвигать а) не-fs хранилища документов ( надо ж как-то кому-то .Net и следующие версии MS SQL впаривать ) б) следующие версии виндов, скорее всего, обрастут толстыми и неуклюжими клиентами, призванными проверять в центральной базе "отпечатки пальцев" любого открываемого файла." Естественно, со всеми сопутствующими этому делу глюками. |
|
| glassy 26 Feb 2003 1:46 PM |
2ggv: то ли еще будет :) |
|
| al 26 Feb 2003 2:03 PM |
XACML - eXtensible Access Control Markup Language osp.ru/lan/2001/07-08/080.htm |
|
| glassy 26 Feb 2003 2:52 PM |
2al: ух ты! M$ прикладную криптографию изобрела! ;) |
|
| DemonZla 26 Feb 2003 4:17 PM |
угу... может они скорои велосипед изобретут специально для пользователей Windows... с кнопкой Пуск и всё такое :))) |
|
| Nick - m.kulykattbi.com 26 Feb 2003 8:57 PM |
2 Отец. Бывать трижды за 4 года - это не жить здесь постоянно. Ситуация такая, что хорошие специалисты сидят годами без работы. Угадай, к какой операционке они имеют отношение? Правильно, НЕ к Винде. Хотя согласен, что если бы была потребность, вызванная рынком, то они нашли бы работу. Но тем не менее. 2 DemonZla. В Америке жить прекрасно. До тех пор, пока у тебя есть работа или другой источник дохода. Это и делает США самой мощной страной в мире - желание работать. И вызвано это желание не идеологическими или патриотическими соображениями, а необходимостью жить хорошо. А вообще говоря, читая твои постинги, хочется сказать: "Болеем?" |
|
| Interrupt 27 Feb 2003 8:51 AM |
2 Nick: Да не обижайся на Demona Zla, пожалел бы наооборот. Человек наверняка сидит на 100$ в месяц работая под Линухом, вот и злость на тех, кто умеет деньги зарабатывать :)
|
|
| none 27 Feb 2003 11:12 AM |
2Iterrupt: умение зарабатывать деньги к ОС отношение вряд ли имеет |
|
| Павел 27 Feb 2003 9:03 PM |
2 Interrupt : А как насчет тех, кто сидит на $80k в год под, например, Солярисом, или тех, кто уж совсем бедствует за $200 в час на IBM-овских мэйнфреймах и АС/400? Ну полные же неудачники, даром что в Беркли и Массачусетсе учились.. Нет чтобы сразу под Виллигейца лечь, когда была такая возможность, так нет же, сидят себе и ругаются на времена, на нравы, на ламеров-недоучек, понаехавших из Индии, Китая, России и Украины.. |
|
| Отец 27 Feb 2003 9:24 PM |
Хе, у меня в Штатах брат программер, мне уж как эта тема знакома. А вот Павел правильно пишет. |
|
| Interrupt 27 Feb 2003 11:34 PM |
2 Павел: Да при чем тут это :) Просто вот Демон зла писал: --- ... хехе в Америке оказыца жить то плохо... пошла бы она тады в жо.у... ...и микрософт вместе с ней... --- ну так у меня и был ответ на эту реплику. Я сам под Соляркой не один год девелопил, в основном это видео было. А сейчас под CDMA телефоны пишу компоненты для RTOS-ов. Так что не надо мне сразу Билл Гейтса в глаза тыкать :)
|
|
| Пётр - peterkdhotmail.com 28 Feb 2003 10:58 AM |
Нда, робяты. У нас в стране есть люди, которые сидят под Солярисом и AS/400 за 100$ в месяц. Только причём тут MS и BG? А вот то что таким люмпенам как некоторые обитатели zdnet.ru плохо жить в Америке - потому как работать надо, это очень плохо. ДемонЗла, работать нужно. Неважно в какой стране ты живёшь. Вот такие как ты и ходят на митинги в рабочие дни - стонут, мол нам жить плохо становится. А на самом деле - делать ничего не умеешь, только языком да пальцами в форумах плести. |
|
| Отец 1 Mar 2003 12:21 PM |
Гы, Петя, помнится месяца три с половиной назад присутствовал я на некой 4-х часовой беседе, даже не беседе, а 3-х сторонней встрече тов. финдиректора одного "издательского" дома, по совместительству - моего начальника,одного из твоих "ребят", ну и меня. Обсуждалось мое плохое поведение ;-). По ходу дела было много вздохов и соплей, что, дескать, раньше начальство было плохое, всех имело, обижало,"мыши плакали, кололись, но продолжали жрать кактус". На мой простой вопрос, за какого хрена надо было это терпеть, оба ;-) товарища, повздыхав, сказали, что "бывают обстоятельства". В переводе на русский язык - нахрен никому не нужны, видимо и денег получают больше, чем стоят, однако не уходят, потому как придется же работать, а не бумажки друг другу перебрасывать. А насчет - "выгоняют, опускают" - если человек от природы жополиз, то для него находится в таком состоянии естественно. Другое дело, когда вдруг не окажется рядом того, кому надо лизать, вот тут-то что делать? ;-) |
|
| AT - 220220pager.icq.com 3 Mar 2003 1:58 AM |
Хм .. Так расписанно что как будто-бы панацею от всех проблемм шпионажа придумали. Могу уверить - хоть такая технология и защищает от хакеров которые умеют винды и оффис пеустанавливать чтобы открыть MDB файл на NTFS диске, но реальные люди никогда не будут полагаться на программную защиту. Все самые важные документы будут лежать на мащинах под хорошим замком, подключенные к правильным источникам питания, пересобираться каждыю неделю и проверяться на предмет радиоизлучений. А фотоаппараты и бумага для ксерокса будут отбираться парочкой добрых дядек на входе. Те же кто будут юзать от МСФТ решение будут ждать пока в интернете не появиться програмка помогающая снять защиту или по крайней мере полный анализ что и как делать надо чтобы доступ к файлам получить. Готов поспорить будет програмка позволяющая декодировать для дальнейшего распространения файл на рабочем месте человека имеющего к нему хоть какой-то доступ. Вопрос только в том сколько времени создание оной потребует. |
|
| Пётр - peterkdhotmail.com 3 Mar 2003 12:17 PM |
Вова. Пиши мне, если хочешь побазарить. А тот кого ты называешь одним из "моих ребят", к тому времени был твоим непосредственным начальником. Ладно закрываем тему. 2 АТ. Конечно, никто не говорит, что такое средство поможет от фотографирования экрана. Но это поможет, немного, от кражи информации внутри компании. Помнится у нас на военной кафедре, специально расставляли мониторы, чтобы их не было в окно видно. |
|
| DemonZla 3 Mar 2003 1:28 PM |
Пётр, я жестоко отомщу! :))) |
|
| me - userinternet.com 3 Mar 2003 4:51 PM |
AT, неправда твоя. Почитай еще разок статью, что ли. Никто панацею от шпионажа придумывать не собирался. Тулза предназначена для того, чтобы корпоративную переписку друзьям не форвардили (зачастую просто ради прикола) и рабочие документы на дискетках домой не таскали. Большая часть сотрудников обломается один раз и больше пытаться не будет, а с теми, кто поупрямее, можно и разъяснительную работу провести. От кнопки Print Screen и от стеганографических инструментов никакие средства не спасут, поэтому единственной "панацеей" от шпионажа (реального, оплаченного заинтересованными лицами) спасут не два добрых охранника с металлоискателем, а только отсутствие информации как таковой. ЗЫ: Кстати, АТ, не помнишь, скока там весь мир ломал RC-5? Три или пять лет, я че-то подзабыл уже? |
|
| Ефрейтор 4 Mar 2003 2:18 PM |
2 me: >ЗЫ: Кстати, АТ, не помнишь, скока там весь мир ломал RC-5? Три >или пять лет, я че-то подзабыл уже? Здесь немного другая ситуация. И ключ где-то должен хранится. Иначе юзера могут обидется, что их любимые документы по 3-4 года открываться будут :) |
|
|