Una de las mayores preocupaciones de seguridad en la actualidad es qué hace una persona con la información interna a la que accede.
Por más que protegamos la información con controles de acceso y permisos, una vez que alguien acede a una información, nada impide que pueda diseminarla, por ejemplo copiando la información a otro documento, imprimirla, o aún enviarla por correo.
Justamente para tratar de evitar ese tipo de fuga de información es que nos ayuda Rights Management Services.
En esta nota haremos una demostración simple en un ambiente de prueba lo más sencillo posible para que puedan ver el servicio en funcionamiento.
Para esto necesitaremos una infraestructura de red simple, alcanza con que tengamos un Dominio (con su Controlador de Dominio), un servidor donde estalaremos Rights Management Services, y un cliente con aplicaciones que puedan usar RMS.
Para este caso utilizaré servidores Windows Server 2008-R2 Enterprise y un cliente Windows 7 Ultimate con Office 2007.
Partiré de la premisa que ya está instalada la infraestructura básica de Active Directory. Anoto los datos que he usado, pero si alguien quiere cambiar alguno no tendrá problemas siempre y cuando haga los cambios correspondientes en el desarrollo
Dominio: GuillermoD.corp
Controlador de Dominio: DC1.GuillermoD.corp (192.168.1.200/24). Con DNS instalado
Servidor RMS: RMS1.GuillermoD.corp (192.168.1.100/24)
Cliente: CL1.GuillermoD.corp (192.168.1.1/24)
El acceso al servidor RMS se puede hacer por HTTP (inseguro) o HTTPS (seguro). Usaré el método seguro (HTTPS). Pero aún así tenemos dos alternativas, usar un certificado auto-firmado, o instalar una autoridad certificadora.
Si usamos el primer método, el sistema alertará de un certificado no confiable al acceder al servidor RMS, en cambio usando una autoridad certificadora interna eso no sucederá.
Como RMS protege los archivos usando cifrado, y para obtener un sistema seguro se deben utilizar Certificados Digitales, así que lo primero que debemos hacer es instalar y configurar una Autoridad Certificadora. Aprovechando las directivas de Dominio configuraré para la obtención automática de certificados, tanto de usuarios como de equipos, aunque para el caso alcanza con que sólo el servidor RMS tenga certificado de máquina.
Luego crearé las cuentas de usuario necesarias, tanto para la demostración como para la cuenta que utilizará el servicio RMS
Hecho lo anterior, recién instalaremos RMS, para finalmente hacer la demostración de protección de datos.
Para poder ver una demostración más completa, hay varias configuraciones más que se podrían hacer, por ejemplo tener un Exchange para poder demostrar las posibilidades de proteger correos y solicitar permisos adicionales, o en ambiente productivo se debería usar una instalación de SQL y no la Windows Internal Database.
Instalación y Configuración de la Autoridad Certificadora
La instalación de la Autoridad Certificadora es simple, vamos a Server Manager, marcamos el correspondiente rol y procedemos con el asistente de acuerdo a las figuras.
Si quieren hacerlo más simple, solamente obtengan un Certificado de máquina para el servidor RMS.
En esta demostración configuraré obtención automática para todos los usuarios y equipos.
Para la configuración de obtención automática de Certificados tanto para Usuarios como para equipos, utilizaré el procedimiento ya descripto en la nota anterior Obtención Automática de Certificados así que no mostraré el procedimiento en esta nota, supongo que lo harán desde la misma. Sólo debemos hacer la parte de la nota para asegurarnos que las cuentas obtengan certificado, así que lo aplicaré con una GPO a nivel de Dominio, en lugar de hacerlo por Unidades Organizativas.
En la siguiente figura podemos ver los nuevos tipos de Certificados
Y en esta la inclusión de la nueva GPO a nivel de Dominio, para que todos los equipos y usuarios obtengan su certificado automáticamente
En este punto conviene que en todos los equipos se ejecute GPUPDATE /FORCE para asegurarnos la aplicación de la GPO, y la obtención de Certificados.
Creación de Cuentas de Usuario
Necesitaremos crear una cuenta de usuario (normal) para que la utilice el servicio (ADRMSSvc) y por lo tanto que no caduque la contraseña, y además crearé tres cuentas de usuario para la demostración final.
Nota importante: para que las cuentas de usuario puedan obtener el Certificado necesitamos incluirles dirección de correo.
Las cuentas que crearé son:
- ADRMSSvc (adrmssvc)
- Usuario Uno (u1)
- Usuario Dos (u2)
- Usuario Tres (u3)
Instalación de ADRMS
Comenzamos como siempre, en el equipo RMS1, con Server Manager eligiendo el rol y siguiendo el asistente de acuerdo a las siguientes figuras
En la pantalla siguiente yo estoy agregando el certificado obtenido de la Autoridad Certificadora interna, pero si no la instalaron elijan crear un Certificado auto-firmado. En este caso cuando hagan el acceso con usuarios les informará que el Certificado es no-confiable, pero todo funciona normalmente.
Además de los pasos anteriores debemos asociar el Certificado de equipo al Default Web Site, así que vamos a Internet Information Service Manager, y sobre el sitio elegimos la opción Bindings, y agregamos el certificado
No debería haber ningún error, pero por las dudas asegurémosnos que el SCP se registró correctamente.
Para eso, en DC1, abrimos Active Directory Sites and Services (Sitios y Servicios de Active Directory), vamos a al menú View, y elegimos Show Services Node, abrimos Services, RightsManagementServices, entramos a las propiedades SCP, y en la ficha Attribute Editor verificamos el ServiceBindingInformation que esté correcto.
Un último detalle a ejecutar en el servidor RMS1, desde línea de comandos ejecutamos IISRESET /NOFORCE
Esto es para que un usuario que no tiene privilegios, y trata repetidamente de acceder a la información, no vuelva repetidamente al Controlador de Dominio.
Demostración de Funcionalidad Básica
Para hacer una demostración básica de funcionamiento utilizaremos el equipo CL1, que como recordamos tiene instalado Office 2007. En este caso lo probaré sólo con Word 2007, donde Usuario creará un documento y lo protegerá
Así que vamos a CL1, iniciamos sesión como Usuario Uno, creamos un documento de Word con cualquier texto que queramos.
Y lo protegemos
Marcamos la opción de protección, e indicamos los usuarios y privilegios
O si entramos por el botón More Options, vemos que hay varios elementos para modificar, por ejemplo si puede imprimir, copiar, fecha de expiración de los permisos, o inclusive si puede enviarle correo al propietario para solicitar permisos adicionales.
Una vez protegido, lo guardamos en una carpeta local o remota, tal que Usuario Dos y Usuario Tres puedan accederla.
Pero desde la protección que Usuario Dos no pueda acceder al documento, y Usuario Tres pueda acceder con sólo lectura. Para Usuario Uno, el documento queda así
Ahora cerramos sesión con Usuario Uno, iniciamos con Usuario Dos, y trataremos de acceder al documento en cuestión.
Primero veremos que nos solicita las credenciales
Nos avisa que necesita conectarse al RMS
Y finalmente nos deniega el acceso, dándonos las posibilidades de cambiar usuario, o solicitar permisos al propietario
Cerramos la sesión y ahora iniciamos con Usuario Tres y vamos a abrir el documento. El procedimiento es análogo, sólo que en este caso lo podremos abir.
Pero podemos ver las restricciones ¿Copiar y Pegar? no
¿Imprimir o guardar? tampoco
¿Qué podemos hacer?
Con esto finalizamos esta nota. Recordar que el objetivo fue mostrar en forma fácil el uso de DRM como para poder comenzar con el tema. En un ambiente productivo entran además otras configuraciones tanto desde el punto de vista seguridad, como recuperación ante problemas, ya que los documentos quedan cifrados.
WindowServer 
Comentarios
Hola, seguí tu paso a paso, pero el cliente no me conecta al servidor RSM y me genera siempre este error: «El servicio no esta disponible actualmente. Asegúrese que tiene conexión con el servidor. Este error puede ser debido a que esta trabajando sin conexión y que la configuración de proxy esta evitando su conexión o que tiene problemas de red intermitentes.
PD no hay porxy!!
Gracias por tu ayuda
Lamentablemente no puedo hacer mucho desde acá, habría que revisar en varios lugares porque el problema puede ser desde problemas de conectividad, resolución de nombres, el IIS, etc.
Te sugiero pongas la pregunta en los foros en español de Technet, y pongas más datos para que alguien pueda ayudarte, porque con un «no conecta» es difícil comprender de dónde viene el error :-)
Creo que podrías poner la consulta por ejemplo en el foro de General que está en http://social.technet.microsoft.com/Forums/es-es/windowsserveres/threads
Hola, tengo el mismo problema que AXDAC, el problema es que en el cliente, Microsoft Word siempre intenta conectarse al servicio gratuito que tiene MS para el IRMS, ¿Cómo podría forzar a que busque el RMS en mi servidor y no en internet?, un saludo
Hola Juan R. es la misma respuesta que para AXDAC :-)
De todas formas revisa si haz entrado el valor correcto en la captura número 26
Hola Guillermo
Hace tiempo que sigo tus post con mucho interés, de hecho me han salvado de alguna gorda.
Me puse manos a la obra con mi laboratorio para montar una infraestructura de RMS y enlazar con una instalación de SharePoint 2010. Después de algunas pruebas y varios errores me encontré en un callejón más o menos conocido e intente empezar de nuevo. Para ello desinstale todo, creo que correctamente, limpie los rastros en el AD y volví a empezar.
Para ello me cree una entidad Certificadora (hasta aquí todo bien) y comencé a instalar el servidor con AD RMS. En este punto han comenzado mis problemas: no se a razón pero cuando intento instalar el ROL de RMS la consola se rompe. El único mensaje que obtengo es:
Descripción:
Stopped working
Firma con problemas:
Nombre del evento de problema: CLR20r3
Firma del problema 01: mmc.exe
Firma del problema 02: 6.1.7600.16385
Firma del problema 03: 4a5bc808
Firma del problema 04: mscorlib
Firma del problema 05: 2.0.0.0
Firma del problema 06: 4ca2b851
Firma del problema 07: 4212
Firma del problema 08: a9
Firma del problema 09: System.ArgumentOutOfRange
Versión del sistema operativo: 6.1.7601.2.1.0.272.7
Id. de configuración regional: 3082
Si intento hacerlo con PowerShell, también fracaso y obtengo este mensaje:
Excepción no controlada: System.ArgumentOutOfRangeException: El índice estaba fuera del intervalo. Debe ser un valor no negativo e inferior al tamaño de la colección.
Nombre del parámetro: index
en System.Collections.ArrayList.get_Item(Int32 index)
en System.DirectoryServices.ResultPropertyValueCollection.get_Item(Int32 index)
en M Microsoft.DigitalRightsManagement.Configuration.ActiveDirectoryServiceConnectionPointRegistrar.GetEnterpriseGroupI
dentityCertificateServerRootUniformResourceLocatorFromActiveDirectory(String nameToSearch)
en Microsoft.DigitalRightsManagement.Configuration.ServiceFinder._GetEnterpriseGICServerUrlFromActiveDirectory(String fileName)
en Microsoft.DigitalRightsManagement.Configuration.ServiceFinder.GetEnterpriseGroupIdentityCertificateServiceUniformR
esourceLocator()
en Microsoft.RightsManagementServices.Configuration.HelperMethods.ObtainScp()
en Microsoft.RightsManagementServices.Configuration.ConfigHelper.Init()
en Microsoft.Windows.ServerManager.RightsManagementServices.RightsManagementServicesMetadataAttribute.ConfirmActionOr
Veto(IFeatureConfirmation featureConfirmation, IList`1 features, InstallableFeatureInformation clickedOnFeature, Feature Action action, Collection`1 dialogInfos)
en Microsoft.Windows.ServerManager.Wizards.DependencyForest.ConfirmRootFeatures(IFeatureConfirmation featureConfirmation, InstallableFeatureInformation clickedOnFeature, Collection`1 dialogInfos)
en Microsoft.Windows.ServerManager.ServerManagerCmd.ServerManagerCmd.SyncSystem()
en Microsoft.Windows.ServerManager.ServerManagerCmd.ServerManagerCmd.Process()
en Microsoft.Windows.ServerManager.ServerManagerCmd.Application.Main(String[] args)
Puedes ayudarme o indicarme por donde continuar?
Muchas gracias por adelantado.
Hola, difícil ayudarte :-(
Habría que saber cuáles fueron las pruebas y configuraciones que obligaron a recomenzar, e inclusive si la limpieza del AD realmente quitó todo
¿No lo estás haciendo con máquinas virtuales? porque esa es la mejor opción para pruebas
Yo por lo menos hago todo con virtuales, simplemente antes de comenzar cualquier configuración y periódicamente si es larga, creo snapshot/checkpoint, y ante cualquier inconveniente se vuelve todo atrás y queda «como al principio» :-)
Por el error es evidente que «algo quedó» de la instalación anterior, aunque sea un cambio de configuración
Realmente no soy un experto en RMS, simplemente me he dado maña como para instalarlo y probar
Mi consejo, es que hagas todas esas pruebas con máquinas virtuales, y recordar, siempre hacer un snapshot/checkpoint (congelar el estado) antes de comenzar con cualquier configuración compleja o que pueda presentar problemas
Lamento no poder ayudarte mucho :-(
Gracias por responderme.
Efectivamente las pruebas las hago con máquinas virtuales y suelo hacer Snapshots. Pero en este caso algo ha fallado, obviamente un error mio, y no se donde.
En mi experiencia, las desinstalaciones nunca dejan todo como estaba antes. Supongo que en muchos casos, aunque eliminan el servicio/aplicación dejan archivos de configuración, o datos en el registro. Entonces cuando se vuelve a instalar los toma automáticamente, ese es el problema
Me sucede a mí también, que a veces uno viene muy enfocado en el tema a probar, y sigue de largo sin hacer el snapshot. No te das una idea la cantidad de veces que he tenido que recomenzar todo desde cero
No conozco cuál sistema de virtualización estás usando, pero si uno hace pruebas habitualmente es conveniente tener una estructura preparada, vamos a ejemplos:
– Hyper-V: tener una instalación «normal» con SYSPREP, y luego hacer todas las demás máquinas con discos diferenciales
– VMware: Tener una instalación «normal» con SYSPREP, o varias VMs activadas, y luego hacer «linked clones»
Con cualquiera de las dos se pueden crear varias máquinas virtuales en pocos minutos
Hola, El aticulo es interesnate y he podido configurara la mayor parte, pero cuando le doy click a sitios y servicios de active directory no me parace lo de tu pantalla, tenfo un windows serve 2008 enterprice y adrms no me marca error en la consola., office no encuentra al servidor. que pasaria
Hola Humpty, no hay mucho que pueda hacer ya que habría que revisar cada uno de los pasos y comprobar que se ejecutaron correctamente. Hay mucho para revisar, si están otorgados los certificados, si se seleccionó correctamente el certificado en el IIS. Si no se encuentra al servidor RMS también podría haber un problema de DNS. En fin, muchos lugares para revisar
Hola estimado!
Solo una consulta… con este rol podemos evitar que alguien copie el archivo desde la carpeta donde esta? por ejemplo enviarlo por correo a alguien o copiarlo a su memoria. Como podemos hacer esto? que el usuario no pueda sacar el archivo del pc de ninguna manera.
Gracias!
Saludes cordiales,
Justamente la idea de RMS es justamente eso, proteger la información una vez que el usuario accede a ella
Sobre cómo implementarlo en un ambiente productivo está totalmente fuera del alcance de este blog, acá lo único que puedes ver es una implementación en ambiente de prueba. La implementación en un ambiente real requiere bastante trabajo y además implementar mecanismos para que la información no quede inaccesible a todos. Y si no cambió desde esta implementación requiere licenciamiento adicional
Hola, primero felicidades por el blog.
Estoy intentando implementarlo en un laboratorio, pero me surgen algunas dudas sobre el comportamiento de ese servicio, por ejemplo:
¿Qué ocurre cuando enviamos a otra empresa un documento protegido por AD RMS? ¿Hay que desprotegerlo antes?
¿Qué hace con los documentos que no son de Office, como RAR, vmdk, PSD… también los protege?
Si se caen los servidores de la infraestructura RMS, ¿hay acceso a los documentos mientras está caída?
¿Se podría utilizar sólo para monitorizar el acceso a los datos y la fuga de los mismos, sin restringirlos?
De antemano, muchas gracias.
Hola Carlos, hace mucho que hice esta nota, y sólo para probarlo
En los documentos no-Office que yo sepa no puede protegerlos
Y respecto al envío a terceras partes, sé que se puede aún manteniendo protección porque lo he «sufrido» :)
Hace varios años Microsoft me envió un documento de Word que sólo podía ver o imprimir completo, no había forma de seleccionar texto ni hacerle modificaciones, ni siquiera imprimir algunas páginas. Te aclaro que no tengo relación con Microsoft
Ok, muchas gracias Guillermo
Hay una manera de automatizar la protección, debido a que el usuario es el que le aplica la seguridad, y ahí es el principal falla de fuga de información.
Hay una forma que cada documento que creen se genere de una vez con la seguridad, he leido de plantillas, es correcto?.
El administrador puede crear plantillas, que los usuarios pueden utilizar. Lo que no se es si se puede hacerlo obligatorio