Wenn die Sprache auf DRM kommt, dann kommen mir die berühmten Worte aus dem Film The Matrix in den Sinn, als Morpheus zu Neo sagte: “Leider kann man niemandem erklären, was die Matrix ist. Man muss sie selbst gesehen haben.” Man kann dem nicht viel mehr hinzuführen. Aus diesem Grund werden wir in diesem Beitrag aufzeigen, wie das Microsoft Digital Rights Management Framework installiert und konfiguriert wird. Das Framework besteht dabei aus verschiedenen Komponenten, die ihrerseits separat angegangen werden müssen:

Das Grundprinzip der Architektur haben wir im Beitrag DRM/RMS – Die nächste Generation von Zugriffsrechten ausgiebig diskutiert.

Im Windows-Umfeld gibt es typischerweise drei Möglichkeiten, wie digitale Daten durch kryptografische Mechanismen geschützt werden können:

• Datenträgerverschlüsselung (BitLocker)
• Dateisystemverschlüsselung (EFS)
• Applikationsdatenverschlüsselung (RMS)

In der nachfolgenden Tabelle werden einige typische Szenarien unter Zuhilfenahme dieser Mechanismen zusammengestellt:

Szenario

Gehen wir nun dazu über, einen typischen Use-Case mit den von Microsoft bereitgestellten Technologien umzusetzen. Wir werden auf der Basis von Windows 2012R2 eine Testumgebung realisieren, die folgende Aspekte zu adressieren in der Lage ist:

1. Identifizieren von vertraulichen Office-Dokumenten auf Freigaben (auf der Basis ihrer Inhalte)
2. Einstufen dieser Dateien zwecks Einschränkung (Klassifizierung: HIGH)
3. Automatisiertes Durchsetzen der Zugriffsrechte auf klassifizierte Dokumente (minimale Rechte zulassen)
4. Öffnen der Dateien mit DRM-aktivierten Anwendungen, um Daten auf der Basis der Zugriffsrechte einsehen und ändern zu können

Voraussetzungen

Bevor wir beginnen können, müssen die folgenden Voraussetzungen geschaffen werden:

1. Installation eines Windows Server 2012R2
2. Konfiguration dessen als Domain Controller und Einrichten einer Domain
3. Einen Benutzer zur Domain hinzufügen, um mit diesem arbeiten zu können
4. Mit einem Windows-Client auf die Domain zugreifen (Windows 7, 8 oder 10)
5. Installation von Microsoft Word auf dem Client (MS Office 2010, 2013 oder 2016)
6. Optional: Ein Mailserver (nicht zwingend MS Exchange)

Wir werden Windows Server 2012R2 als einzige Instanz für die gesamte Umgebung installieren. Es wird sowohl als Dateiserver als auch als AD RMS Server Cluster fungieren. Selbstverständlich wird in einer produktiven Umgebung auf separierte Server für diese Komponenten gesetzt. Dies bedeutet, dass zusätzlich zur AD-Umgebung ebenfalls Folgendes erforderlich ist (Mindestanforderung):

• Dedizierter Dateiserver
• Ein MS SQL Server (oder eine separierte Datenbank-Instanz auf einem bestehenden SQL-Server)
• Zwei Server für den AD RMS Server Cluster

Installation FSRM

Ein einfacher weg, um die erforderlichen File Services zu installieren, ist das Ausführen dieses Skripts:

Install-WindowsFeature FS-Resource-Manager -IncludeManagementTools -Restart -Confirm

Mit dem Kommando Get-WindowsFeature kann geprüft werden, ob die Installation erfolgreich war:

[X] File and Storage Services                   FileAndStorage-Services        Installed
[X] File and iSCSI Services                     File-Services                  Installed
[X] File Server                                 FS-FileServer                  Installed
[ ] BranchCache for Network Files               FS-BranchCache                 Available
[ ] Data Deduplication                          FS-Data-Deduplication          Available
[ ] DFS Namespaces                              FS-DFS-Namespace               Available
[ ] DFS Replication                             FS-DFS-Replication             Available
[X] File Server Resource Manager                FS-Resource-Manager            Installed
[ ] File Server VSS Agent Service               FS-VSS-Agent                   Available
[ ] iSCSI Target Server                         FS-iSCSITarget-Server          Available
[ ] iSCSI Target Storage Provider (VDS and V... iSCSITarget-VSS-VDS            Available
[ ] Server for NFS                              FS-NFS-Service                 Available
[ ] Work Folders                                FS-SyncShareService            Available
[X] Storage Services                            Storage-Services               Installed

Danach kann der File Server Resource Manager im Tools-Menu Server Manager Dashboard gestartet werden.

Stellen Sie sicher, dass der Test-Client Zugriff auf den freigegebenen Ordner hat:

New-Item S:\group -type directory
New-SmbShare -Name group -Path "S:\group" -Description test

Konfiguration FCI

Nun sehen wir uns in der Lage, die Eigenschaften für die Dateiklassifizierung zu bestimmen. Um spezifische Daten erkennen zu können, benötigen wir zuerst eine Eigenschaft: In unserem Fall ist dies die Vertraulichkeit (engl. Confidentiality). Seit Windows Server 2012 stehen im Active Directory viele verschiedene Eigenschaften schon zur Verfügung, so dass diese nur noch aktiviert werden müssen. Dies kann über das Active Directory Administrative Center getan werden:

• Die Baumansicht auswählen
• Dynamic Access Control anwählen
• Resource Properties anklicken
• Rechtsklick auf Confidentiality und aktivieren

Dies kann von nun an im FCI Management Interface gesehen werden:

Bei den Eigenschaften können die entsprechenden Werte angepasst werden, wobei wir aber in diesem Beispiel bei den Standardeinstellungen bleiben.

Get-FsrmClassificationPropertyDefinition -Name Confidentiality_MS


   AppliesTo      : {Files, Folders}
   Description    : The Confidentiality property specifies the level of confidentiality of the resource,
                    and the potential impact of inadvertant access or disclosure.
   DisplayName    : Confidentiality
   Flags          : {Global, Secure}
   Name           : Confidentiality_MS
   Parameters     : 
   PossibleValue  : {MSFT_FSRMClassificationPropertyValue, MSFT_FSRMClassificationPropertyValue, 
                 MSFT_FSRMClassificationPropertyValue}
   Type           : OrderedList
   PSComputerName : 

Jetzt kann eine Regel erstellt werden, um die Richtlinie durchsetzen zu können:

Schritt	Abbildung
Rechtsklick auf Classification Rules.	-
Auswählen von Create Classification Rule…	-
Die Felder ausfüllen (in unserem Fall Confidentiality – High)
Scope: (wo muss geprüft werden) Aktivieren von Group Files zur Automatisierten Prüfung der freigegebenen Ordner
Classification: Selektieren von Confidentiality in Properties und Auswählen von High in Value.
Konfigurieren der Parameter: Definieren von Mustern, nach denen gesucht werden soll. In unserem Beispiel suchen wir nach der Zeichenkette secret (case insensitive) und wählen Ok.
Selektieren von Evaluation Type und auswählen von Re-evaluate… / Overwrite… / Clear Automatically…

Die definierte Regel kann dann begutachtet werden:

  Get-FsrmClassificationRule -Name "Confidentiality - High"


   ClassificationMechanism    : Content Classifier
   ContentRegularExpression   : 
   ContentString              : {secret}
   ContentStringCaseSensitive : 
   Description                : 
   Disabled                   : False
   Flags                      : 
   LastModified               : 23.02.2016 16:58:44
   Name                       : Confidentiality - High
   Namespace                  : {[FolderUsage_MS=Group Files]}
   Parameters                 : {FSRMClearPropertyInternal=0}
   Property                   : Confidentiality_MS
   PropertyValue              : 3000
   ReevaluateProperty         : Never
   PSComputerName             :

Die Einrichtung von FCI ist fast vollzogen. Jetzt muss die Regel nur noch aktiviert werden, um die FSRM-Eigenschaften nutzen zu können:

• Rechtsklick auf File Server Resource Manager (Local)
• Auswählen von Configure Options…
• Auswählen des Tabs Automatic Classification

Hier kann nun ausgewählt werden, dass sowohl regelmässig (täglich in der Nacht) aber auch beim Erstellen einer Datei eine Prüfung stattfinden soll. Ein Report diesbezüglich kann automatisch erstellt und dem Administrator zugestellt werden, um die Nachvollziehbarkeit gewährleisten zu können.

Zwischenzeitlich haben wir die Schritte 1 und 2 unseres Szenarios abgearbeitet. Wir widmen uns nun Schritt 3.

Installation und Konfiguration AD RMS

Jetzt kann die AD RMS Infrastruktur aufgesetzt werden. Die Installation kann durch die Eingabe des folgenden Kommandos initiiert werden:

Install-WindowsFeature ADRMS-Server -Restart -Confirm -IncludeAllSubFeature -IncludeManagementTools

Nach der erfolgreichen Installation, kann das AD RMS Administration Tool aus dem Server Manager Dashboard gestartet werden:

Dies sind nun die Schritte zur Konfiguration:

Schritt	Abbildung
Auswählen von Right Policy Templates und Klick auf Create distributed rights policy template. Folgen Sie den Anweisungen des Wizards.	–
Hinzufügen von template identification und bestimmen von Name und Beschreibung.
Auswahl von Benutzern und Rechten je nach Bedarf.
Es ist möglich das Ablaufen von Inhalten zu definieren (zum Beispiel während einer Projektlaufzeit).
Zusätzliche Eigenschaften können bei individuellen Bedürfnissen hinzugefügt werden (um zum Beispiel Client-Caching zu verhindern).
Zusätzlich kann eine Prüfung stattfinden, ob Inhalte zurückgezogen wurden (um zum Beispiel nachträglich Fehler zu adressieren).

Nun kann der Task-Wizard geschlossen und zusätzliche Tasks hinzugefügt werden. In unserem Beispiel wurden insgesamt vier unterschiedliche Tasks erstellt.

In einem letzten Schritt wird nun ein Job erstellt, der nach klassifizierten Dateien schaut und einen der vier AD RMS Tasks darauf anwendet. Hierzu muss nun zurück zum FCI Management Interface gegangen werden:

Schritt	Abbildung
Rechtsklick auf File Management Task und auswählen Create File Management Task…
Hinzufügen eines Task name und einer optionalen Description.
Der Scope bleibt gleich, weshalb wir unmittelbar zum Tab Action wechseln und dort das RMS-Template auswählen (Restricted Access in unserem Fall).
Unter Notification kann ausgewählt werden, wann und wie jemand benachrichtigt wird…
…und was für Details rapportiert werden sollen.
Jetzt sind wir im Hauptbereich unserer Task-Konfiguration angekommen, wo wir definieren, was passieren soll: Es muss eine Condition hinzugefügt werden, wenn im Dokument die Confidentiality auf High gesetzt wird.
Und zum Schluss muss ausgewählt werden, wann der Task ausgeführt werden soll (in unserem Fall täglich um 03:00 Uhr).

Von nun an kann der Task manuell ausgeführt werden, indem durch einen Rechtsklick der Punkt Run File Task Management Now… ausgewählt wird. Oder man wartet darauf, bis der Task im Rahmen des Scheduling ausgeführt wird.

Schritt 3 unseres Szenarios ist erreicht. Es gibt eine Vielzahl an anderen Möglichkeiten, wie Tasks strukturiert werden können. Probieren Sie die verschiedenen Varianten aus, um zu sehen, ob damit ihre persönlichen Bedürfnisse adressiert werden können. Jetzt gehen wir den letzten Schritt 4 an.

Konfiguration Client-Anwendungen

Schritt 4 in unserem Szenario widmet sich dem Umgang mit DRM-geschützten Dokumenten. Gehen wir davon aus, dass wir Office auf einem Client installiert haben und nun ein Dokument erstellen, das einen DRM-Task ausführt:

• Erstellen Sie ein Dokument, das die Zeichenkette secret enthält
• Speichern Sie das Dokument in ein freigegebenes Verzeichnis, das überwacht wird
• Führen Sie nun den File Management Task über das FCI Management Interface aus

Jetzt folgen Sie diesen Schritten:

Schritt	Abbildung
Überprüfen Sie, ob die Klassifizierung wie gewünscht angepasst wurde (Rechtsklick auf die Datei unter Properties), und klicken Sie auf den Tab Classification.
Öffnen Sie die klassifizierte Datei in Word (in unserem Fall Word 2016) und Sie sollten eine Meldung sehen…
…diese Meldung des AD RMS sollte auf den RMS License Server hinweisen.
Word fragt nach, ob die Zugriffsrechte für das geöffnete Dokument geprüft werden sollen.
Einmal geöffnet, sollte ein gelber Hinweis mit dem Text RESTRICTED ACCESS über dem Inhalt zu sehen sein.
Als Inhaber des Dokuments sehen wir uns in der Lage, beliebig auf dieses zuzugreifen (so wie es im RMS-Task spezifiziert wurde).
Nun könnten wir die durch das AD RMS Template auferlegten Rechte anpassen
Unter Word 2010 sieht dies ein bisschen anders aus.
Trotzdem bleiben die Berechtigungen bestehen.

Mit dem Durchspielen des Aufsetzens der Umgebung, Konfigurationd er Vorgaben und Erstellen einer entsprechenden Datei haben wir gesehen, wie AD RMS funktioniert. In einem weiteren Schritt wollen wir uns anschauen, wie gesicherte Dokumente auf der Dateiebene aussehen.

Analyse von DRM-geschützten Dokumenten

Sobald ein Dokument durch DRM geschützt wird, wird es durch die im AD RMS integrierten Crypto Services in eine verschlüsselte Version umgewandelt. Wenn man sich dieses Resultat anschaut, dann sieht man eine Header-Struktur, die beim Entschlüsseln behilflich ist. Darin findet sich die URL des License Server, die genutzten kryptografischen Mechanismen, die unterstützten Versionen, etc. Dies sieht dann so aus:

Weiter findet sich das öffentliche Zertifikat (Base64-encoded) des RMS-Cluster:

Zusätzliche Details zu den eingesetzten Kryptoalgorithmen:

<SIGNATURE>
  <DIGEST>
	 <ALGORITHM>SHA256</ALGORITHM>
	 <PARAMETER name="codingtype">
		<VALUE encoding="string">surface-coding</VALUE>
	 </PARAMETER>
	 <VALUE encoding="base64" size="256">12PNjR52sSxGOJKsukG4+fDLR+U4cwbIQLV5xTwikDg=</VALUE>
  </DIGEST>
  <ALGORITHM>RSA PKCS#1-V1.5</ALGORITHM>
  ...
</SIGNATURE>

Am Ende der Datei findet sich der eigentliche Dateiinhalt als Datenstream:

Wie gesehen werden kann, ist die Datei nun geschützt und kann nicht mehr als Standard Word-Dokument im DOCX-Format (ein ZIP-Container) wahrgenommen werden.

Fazit

In diesem Beitrag haben wir nur an der Oberfläche der Möglichkeiten von Microsoft FSRM/FCI & ADRSM gekratzt. Es gibt eine Vielzahl an Varianten, wie komplexe Anforderungen zum Schutz von Daten umgesetzt werden können. Als Grundlage dient eine Dateiklassifizierung und diese Aufgabe sollte nicht unterschätzt werden.

Eine solide Datenklassifizierung und ein gewisses Mass an Digital Right Management sind die Voraussetzungen, um Daten sicher bearbeiten zu können, so dass zukünftige Data Leak/Loss Prevention (DLP) Mechanismen ohne grössere Aufwände umgesetzt werden können.

Über den Autor

Andrea Covello ist seit den 1990er Jahren im Bereich der Informationssicherheit tätig. Seine Schwerpunkte liegen traditionell im Engineering, wobei er als Spezialist im Bereich Windows-Sicherheit, Firewalling und Virtualisierung gilt.