Introducción de AD RMS

El AD RMS no es más que una implementación del tipo de aplicaciones IRM (Infomation Rights Management). Su objetivo es evitar la fuga de información y de datos, lo que se denomina DLP (Data Leak Prevention).
La idea de AD RMS es proteger la información, no como en el modo reposo utilizando, por ejemplo, BitLocker, EFS o cuando se envía en tránsito utilizando una VPN, sino que se trata de proteger esa información de los archivos en cualquier situación, incluso cuando estén fuera de la red de la empresa.
Por ejemplo, evitar que usuarios específicos puedan enviar un archivo que sea confidencial como adjunto, de igual modo evitar que puedan imprimirlo para llevárselo en papel o evitar que puedan hacer capturas de pantalla.
Son una serie de tareas que ni con EFS, ni con BitLocker podemos resolver.
Si tenemos un archivo protegido mediante EFS y lo enviamos adjunto, en el momento que lo enviamos adjunto perdemos todo el cifrado, porque el cifrado depende del sistema de archivos en el que está. Lo mismo que si sacamos un archivo de BitLocker, porque BitLocker lo que cifra es un volumen y solamente estará cifrado el archivo cuando esté dentro de ese volumen, si lo sacamos de ese volumen y lo enviamos por correo electrónico, dejara de estar cifrado.
En cambio si lo hacemos con AD RMS podemos protegerlo cuando se envía por correo electrónico porque va a mantener el cifrado mediante un certificado, o incluso podemos impedir que un usuario de la empresa utilizando Word, Excel, Outlook o una herramienta que soporte AD RMS pueda enviarlo como adjunto o que pueda hacer una captura de pantalla.
AD RMS es un poco más complejo, complementa a esas soluciones que hemos visto hasta ahora.

¿Cómo funciona AD RMS?

AD-RMS-Overview-1024x473

Los usuarios que tengan definido el atributo de e-mail se registraran automáticamente en AD RMS mediante Active Directory. Recibirán un RAC, que es un certificado que permite que un usuario pueda obtener una licencia para proteger sus archivos o bien para acceder a archivos protegidos. Los usuarios crearan datos con las aplicaciones soportadas por AD RMS. (Word, Excel, …) Y Aplicaran sus derechos sobre los archivos mediante una plantilla de privilegios. Los archivos serán cifrados con AD RMS mediante una clave pública. Los demás usuarios que utilicen las mismas aplicaciones podrán pedir los permisos para poder acceder al contenido de los archivos mediante un End User License, si esos usuarios tienen permisos podrán acceder al contenido si no los tienen no se les permitirá acceder. El End User License estará disponible para el usuario por un tiempo prolongado.

En cuanto a las políticas de exclusión

Podemos impedir que usuarios específicos o incluso maquinas especificas puedan obtener un RAC, lo podemos hacer a modo de exclusión.
Podemos excluir:

  • Indicando los usuarios que no queremos que puedan utilizar el servicio de AD RMS, por lo tanto esos usuarios ya no tendrían la posibilidad de pedir un RAC con lo cual ya no podrían pedir ninguna licencia de lectura ni de protección. Esta exclusión será válida siempre y cuando los usuarios tengan definido el atributo e-mail. Si los usuarios no tienen definido el e-mail esto no haría falta porque ya estarían excluidos.
users
  • Aplicaciones, por ejemplo, que no se utilice el sistema de AD RMS en Word especificando desde que numero de versión hasta que numero de versión. Con lo cual Esa aplicación cuando vayamos a proteger contenido, no nos daría la opción de usar las plantillas de privilegios.
apps
  • Maquinas, por ejemplo, maquinas que no tengan una versión de sistema operativo mínima para que en ellas no se aplique, indicaríamos la versión mínima del sistema operativo, para que se pueda usar el AD RMS hay que poner el identificador de la versión.
mach

Algunas desventajas

  • AD RMS solamente se puede usar hasta la versión 13 de Office.
  • Solamente se puede usar en Windows en alguna aplicación de Adobe.
  • En On Premises ha dejado de recibir actualizaciones por lo que será sustituido por otra herramienta como Azure information protection, el cual ya no necesita una configuración como la que se realiza en On Premises sino de una forma más sencilla.

Autor/a: Jorge Michael Torres Torres

Curso: Microsoft MCSA Windows Server 2016 + Azure + AWS

Centro: Tajamar

Año académico: 2019-2020

Leave a Comment

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.