Protéger vos données à demeure avec le nouveau service Microsoft RMS et les boitiers HSM Thalès
-
Upload
philippe-beraud -
Category
Technology
-
view
639 -
download
1
description
Transcript of Protéger vos données à demeure avec le nouveau service Microsoft RMS et les boitiers HSM Thalès
Sécurité
Protéger vos données à demeure avec le nouveau service Microsoft RMS et
les boitiers HSM Thalès
Philippe Beraud, Arnaud JumeletDirection Technique | Microsoft France
Eric PortraitThalès e-Security
[email protected], @[email protected], @arnaud_jumelet
#mstechdaysSécurité
Depuis votre smartphone sur :http://notes.mstechdays.fr
De nombreux lots à gagner toute les heures !!!Claviers, souris et jeux Microsoft…
Merci de nous aider à améliorer les TechDays !
Donnez votre avis !
#mstechdaysSécurité
Agenda
Mise en œuvre du connecteur RMS
Aller plus loin, avec l'option BYOK et les boîtiers HSM Thales
2 3
Vue d’ensemble Microsoft RMS
1
#mstechdaysSécurité
• Est une technologie de protection et de contrôle– Contre la divulgation d’information
• Offre une protection de l’information au repos, en transit et en cours d’utilisation via un mécanisme persistant de chiffrement
• Garantit que seules les personnes préalablement autorisés peuvent consulter l’information
– Avec une gestion des droits d’utilisation• Permet de définir qui peut ouvrir, modifier, imprimer,
transférer et / ou entreprendre d’autres actions avec l’information protégée
• Permet de fixer une date d’expiration pour l’information protégée
Microsoft RMS
#mstechdaysSécurité
• Permet de protéger vos documents et vos messages électroniques– Prend en charge tous les types de fichiers : fichiers PDF, Office,
texte, image, e-mails, etc.– L’application n’est pas compatible avec RMS ? Utilisez alors la
protection générique et l’App gratuite de partage (RMS Sharing App)
• Permet de consulter l’information protégée sur les appareils importants– Windows, Windows RT, Windows Phone, Mac OS/X, iOS, et
Android
Microsoft RMS
#mstechdaysSécurité
• Est disponible avec Office 365…– (Cf. session précédente : Protéger vos données dans un
contexte BYOD/Office 365 avec Microsoft RMS)
• …Mais également en autonome sans Office 365 pour vos charges de travail à demeure– Via le connecteur RMS et les applications compatibles RMS– Aucune infrastructure (AD RMS) requise à demeure
Microsoft RMS
#mstechdaysSécurité
• Permet une collaboration sécurisée – Entre les collaborateurs de l’entreprise– En dehors de l’entreprise avec
• Toute personne abonnée à Microsoft RMS autonome• Toute personne abonnée à Office 365• Toute autre personne. Invitez-là à s’inscrire gratuitement et
sans effort à l’offre "RMS pour les particuliers" : https://portal.aadrm.com
Collaboration sécurisée avec Microsoft RMS
#mstechdaysSécurité
• Disponible via les programmes de licences en volume Microsoft Enterprise (EA / EAS / EES)– Les clients Enterprise CAL (ECAL) peuvent ajouter le
service Microsoft RMS– 1,50€/utilisateur/mois (en quantités de 1) pour chaque
créateur de contenu• Inclut le droit d’utiliser AD RMS sur site
• La consommation et la collaboration sur un document déjà protégé sont gratuites. Seule la protection initiale est soumise à licence
Microsoft RMS en mode autonome
#mstechdaysSécurité
• Souscrire en ligne à l’offre– https
://portal.microsoftonline.com/Signup/MainSignUp15.aspx?&OfferId=9DF77AF9-DAAE-4d51-8E0E-EEEADD4866B8&dl=RIGHTSMANAGEMENT
• Tester la solution– https://portal.microsoftonline.com/Signup/MainSignUp15.a
spx?&OfferId=A43415D3-404C-4df3-B31B-AAD28118A778&dl=RIGHTSMANAGEMENT
Obtenir Microsoft RMS autonome
Sécurité#mstechdays
COMPRENDRE LE CONNECTEUR RMS
#mstechdaysSécurité
• Est un simple proxy/relais qui interface les serveurs à demeure au service Microsoft RMS– Autorise un déploiement simple, avec juste deux serveurs
pour la redondance• Toute la configuration est stockée automatiquement dans le
cloud
– Permet une administration simple• Maintient une liste des applications autorisées
– SharePoint 2010/2013, Exchange 2010/2013 configurés comme s’ils parlaient à AD RMS à demeure
Connecteur RMS
#mstechdaysSécurité
Qu’est-ce que le connecteur Microsoft RMS ?
Windows Azure Active
Directory
Synchronization Tool
Exchange2010/2013
Azure RMS
Microsoft RMS Connector
SharePoint2010/2013
Active Directory
#mstechdaysSécurité
• Activer Microsoft RMS – Etape réalisée dans l’interface de gestion de Microsoft RMS (ou en Windows PowerShell)– Même étape que pour l’utilisation de Microsoft RMS avec Office 365
• Requiert Windows Server 2008 R2 ou Windows Server 2012– Divers SKU’s pris en charge (Toutes les versions non-core versions supportées)– Mêmes exigences matériels minimales que l’OS de base
• Requiert la synchronisation AD vers le locataire Windows Azure AD– Permet les recherches d’utilisateurs et l’expansion de groupe pour l’autorisation
• DirSync ou FIM 2010 R2 avec le connecteur Windows Azure AD– Suppose pour une expérience SSO la synchronisation de mots de passe ou l’authentification
unique avec ADFS (ou un autre STS supporté)
• Se fédérer avec le locataire Windows Azure AD– Mettre en œuvre DirSync (ou FIM avec le connecteur Windows Azure AD)– Mettre en œuvre AD FS ou activer la synchronisation de mot de passe (optionnel)
Pré-requis du connecteur RMS
#mstechdaysSécurité
1. Installer le connecteur RMS2. Configurer le connecteur RMS3. Configurer la répartition de charge et SSL
(optionnel) 4. Préparer Exchange Server/SharePoint Server pour
dialoguer avec le connecteur RMS5. Activer la capacité RMS dans Exchange
Server/SharePoint Server
Mise en œuvre du connecteur RMS
Sécurité#mstechdays
INSTALLER LE CONNECTEUR RMS
démo
Design/UX/UI#mstechdays
Sécurité
INSTALLER LE CONNECTEUR RMS
#mstechdaysSécurité
#mstechdaysSécurité
#mstechdaysSécurité
#mstechdaysSécurité
#mstechdaysSécurité
#mstechdaysSécurité
Sécurité#mstechdays
CONFIGURER LE CONNECTEUR RMS
démo
Design/UX/UI#mstechdays
Sécurité
CONFIGURER LE CONNECTEUR RMS
#mstechdaysSécurité
#mstechdaysSécurité
#mstechdaysSécurité
#mstechdaysSécurité
#mstechdaysSécurité
Sécurité#mstechdays
PRÉPARER EXCHANGE SERVER ET SHAREPOINT SERVER POUR MICROSOFT RMS
#mstechdaysSécurité
• MAJ requise pour Exchange 2010/2013 – Disponible sous la forme d’un CU (Cumulative Update)
• Exchange Server 2010 with Exchange 2010 Service Pack 3 Rollup Update 2• Exchange Server 2013 with Exchange 2013 Cumulative Update 3• OS Serveur en Mode 2 (Cf. KB 2627272 et KB 2627273)
• MAJ requise pour SharePoint 2010/2013– Via le client MSIPC 2.1 (AD RMS Client 2.1)– OS Serveur en Mode 2 (Cf. KB 2627272 et KB 2627273)
• Configuration requise pour utiliser le connecteur RMS– Appliquée via le Registre pour router les appels via le connecteur
RMS vers Microsoft RMS• Outillage additionnel pour générer les fichiers Registre, la configuration locale
ou celle relative aux GPOs
Configurer Exchange et SharePoint
#mstechdaysSécurité
Récupérer l’URL du service RMSPS C:\> Import-Module AADRMPS C:\> Connect-AadrmService –VerbosePS C:\> Enable-AadrmPS C:\> Get-AadrmConfiguration(Permet d’obtenir l’URL du service dans le champs LicensingIntranetDistributionPointUrl par exemple. Dans notre configuration : https://3599e415-dcde-4c14-ba31-765d543c5f25.rms.eu.aadrm.com)
#mstechdaysSécurité
Configurer la redirection pour Exchange 2010 HKLM\Software\Microsoft\MSDRM\ServiceLocation\ActivationREG_SZ: [Default] = "https://<MicrosoftRMSURL>/_wmcs/certification"
HKLM\Software\Microsoft\MSDRM\ServiceLocation\EnterprisePublishingREG_SZ: [Default] = "https://<MicrosoftRMSURL>/_wmcs/Licensing"
HKLM\SOFTWARE\Microsoft\ExchangeServer\v14\IRM\CertificationServerRedirection REG_SZ:"https://<MicrosoftRMSURL>/_wmcs/certification" = "http(s)://<connectorName>/_wmcs/certification" HKLM\SOFTWARE\Microsoft\ExchangeServer\v14\IRM\LicenseServerRedirection REG_SZ: "https://<MicrosoftRMSURL>/_wmcs/licensing" = "http(s)://<connectorName>/_wmcs/licensing"
#mstechdaysSécurité
Configurer la redirection pour Exchange 2013 HKLM\Software\Microsoft\MSDRM\ServiceLocation\Activation REG_SZ: [Default] = "https://<MicrosoftRMSURL>/_wmcs/certification"
HKLM\Software\Microsoft\MSDRM\ServiceLocation\EnterprisePublishingREG_SZ: [Default] = "https://<MicrosoftRMSURL>/_wmcs/Licensing"
HKLM\SOFTWARE\Microsoft\ExchangeServer\v15\IRM\CertificationServerRedirection REG_SZ:"https://<MicrosoftRMSURL>/_wmcs/certification" = "http(s)://<connectorName>/_wmcs/certification"
HKLM\SOFTWARE\Microsoft\ExchangeServer\v15\IRM\LicenseServerRedirection REG_SZ: "https://<MicrosoftRMSURL>/_wmcs/licensing" = "http(s)://<connectorURL>/_wmcs/licensing"
#mstechdaysSécurité
Configurer la redirection pour SharePointHKLM\SOFTWARE\Microsoft\MSIPC\ServiceLocation\LicensingRedirectionREG_SZ: "https://<MicrosoftRMSURL>/_wmcs/licensing"="http://<connectorName>/_wmcs/licensing"
Sécurité#mstechdays
ACTIVER EXCHANGE SERVER POUR MICROSOFT RMS
#mstechdaysSécurité
Activer Exchange pour Microsoft RMS PS C:\> Set-IRMConfiguration -InternalLicensingEnabled $true
PS C:\> Test-IRMConfiguration –sender [email protected]
PS C:\> Get-IRMConfiguration
Sécurité#mstechdays
ACTIVER SHAREPOINT SERVER POUR MICROSOFT RMS
#mstechdaysSécurité
démo
Design/UX/UI#mstechdays
Sécurité
ACTIVER ET CONFIGURER SHAREPOINT SERVER POUR MICROSOFT RMS
Sécurité#mstechdays
BRING-YOUR-OWN-KEY
Avec Microsoft RMS et les boitiers HSMs Thales
#mstechdaysSécurité
• Permet de créer des clés cryptographiques et de les protéger– De manière à ce qu’elles ne puissent être déchiffrées que
par le HSM, et PAS être exportées
• Réalise des opérations cryptographiques comme le chiffrement et les signatures numériques
Boitier HSM (Hardware Security Module)
#mstechdaysSécurité
• 19 des 20 plus grandes banques mondiales• Plus de 3000 institutions financières• 70 % des transactions bancaires dans le monde• 3 des plus grands instituts pharmaceutiques• 4 des 5 plus grands industriels pétrochimiques• 9 des 10 plus grands industriels High-Tech• 25 pays membres de l’OTAN sont équipés de
solutions Thales
Thalès e-Security en quelques chiffres
#mstechdaysSécurité
• Utilise une clé importante propre à chaque locataire– La "clé de locataire" qui est le point d’ancrage du modèle
de confiance
• La fonctionnalité Bring-Your-Own-Key (BYOK) vous donne– La capacité de générer, d’importer et de déléguer le
privilège d’utilisation de cette clé à Microsoft pour opérer le service Microsoft RMS
– L'assurance que les opérateurs Microsoft ne peuvent pas voir, récupérer, exporter, dupliquer ou voler votre clé RMS lors de l'importation ou lors du fonctionnement du service Microsoft RMS
Microsoft RMS et les clés cryptographiques
#mstechdaysSécurité
• Des logs en quasi-temps réel vous permettent d’observer l'utilisation de votre clé– Étant donné que vous nous donnez le droit d’utiliser vos
clés, vous avez le droit de contrôler l’usage qui en fait Nous vous donnons les journaux en quasi-temps réel
Bring-Your-Own-Key
Disponibles sur le Centre de téléchargement
IPC in Office 365 with Microsoft RMS
Livres blancs et guides Etape-par-EtapeLeverage the RMS connector with Microsoft RMS
Get usage logs with Microsoft RMS
Bring-Your-Key with Microsoft RMS
Share protected content with Microsoft RMS
Pour aller au-delàmicrosoft.com/rms
Microsoft TechNet Documentationhttp://technet.microsoft.com/en-us/dn175751
Microsoft MSDN Documentationhttp://msdn.microsoft.com/en-us/library/windows/desktop/dn223672(v=vs.85).aspx
Blogs Groupe produit Microsoft RMShttp://blogs.technet.com/b/rms/http://blogs.msdn.com/b/rms/
© 2014 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries.The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.
Digital is business