Windows Server 2008 Sicherheit – Die technische Referenz - Gattner

314 Kapitel 11: Implementieren der Active Directory-Rechteverwaltungsdienste
Wie AD RMS helfen kann
Organisationen mit E-Mail-Archiven und Dokumentspeichern können von den Fähigkeiten
von AD RMS profitieren. Sie können AD RMS-Richtlinien implementieren, die den Zugriff
auf Dokumente auf autorisierte Benutzer beschränken, aber gleichzeitig sicherstellen, dass
ein Administrator oder ein anderer Verantwortlicher Jahre später ein Dokument abrufen
kann, das für einen Kunden oder eine Regierungseinrichtung benötigt wird. Zum Beispiel
schreibt SOX vor, dass öffentliche Firmen E-Mail-Nachrichten archivieren müssen, und
zwar auch Nachrichten, die unter Umständen vertrauliche Daten enthalten. Organisationen
können solche E-Mail-Archive mithilfe von AD RMS schützen und so verhindern, dass
Daten versehentlich oder absichtlich öffentlich gemacht werden, aber gleichzeitig sicherstellen,
dass die Nachrichten bei Bedarf abgerufen werden können.
Einschränkungen von AD RMS
AD RMS und andere Rechteverwaltungslösungen für den Unternehmensbereich können
verhindern, dass Benutzer die geschützten Dateien weitergeben. Aber ein entschlossener
Krimineller, der in der Lage ist, das Dokument zu lesen, weil er in den angewendeten RMS-
Richtlinien die entsprechende Berechtigung hat, kann eine Vielzahl digitaler Angriffe durchführen.
Er kann den Computermonitor abfotografieren, während er das Dokument durchblättert,
er kann das Dokument einem Komplizen am Telefon vorlesen oder er kann es in eine
andere Datei abtippen; wenn er ein gutes Gedächtnis hat, kann er den Inhalt möglicherweise
lange, nachdem er das Dokument gelesen hat, auswendig heruntersagen. Auch digitale Angriffe
sind möglich. Falls der Benutzer beliebige Anwendungen ausführen darf, könnte er
einen Debugger starten und Textseiten aus dem RAM-Abschnitt kopieren, in dem das Dokument
für die Anzeige in Office Word oder der verwendeten Anwendung gespeichert wird.
Sie können diesen Angriff abwehren, indem Sie Richtlinien für Softwareeinschränkung
definieren, die Benutzer daran hindern, unautorisierte Anwendungen wie zum Beispiel
Debugger auszuführen. Aber ich will Ihnen hier vor allem klarmachen, wo AD RMS an
seine Grenzen stößt, wenn Sie die Bereitstellung in Ihrer Organisation planen.
Zusammenfassung
Dieses Kapitel begann mit einem kurzen Überblick über Datenverschlüsselung und die
Technologietypen, die sich für verschiedene Situationen am besten eignen. Dann haben wir
uns die Active Directory-Rechteverwaltungsdienste angesehen, ihre Fähigkeiten, die grundlegende
Architektur, Anforderungen und eine Testbereitstellung. Schließlich haben Sie einen
kurzen Überblick erhalten, welche RMS-fähigen Anwendungen Microsoft zur Verfügung
stellt. AD RMS unterscheidet sich von anderen Dateiverschlüsselungstechnologien dadurch,
dass eines der zentralen Entwurfsziele darin bestand, die Zusammenarbeit möglichst nahtlos
zu machen. AD RMS hat gegenüber anderen Rechteverwaltungslösungen für den Unternehmensbereich
den Vorteil, dass es eng in Microsoft Office und Microsoft SharePoint Server
integriert ist und von einer Vielzahl von Microsoft-Partnern unterstützt wird, die leistungsfähige
Lösungen auf Basis dieser Technologieplattform anbieten.