Say my name irm

Di mi nombre..

formation Rights Management en arePointIn32

Sh22

¿De que se trata? ¿Por que lo necesito? ¿Como funciona? ¿Como lo configuro?

¿Como lo uso? Temas relacionados Conclusiones

formation Rights ManagementIn32

Agenda

formation Rights Management

Active Directory

RMS Active Directory Rights Management Services

ure RMS Azure Rights Management, también puede ser Azure Active Director

Rights Management Services (AADRMS).

Information Rights Management

Office Web Apps

Rights Management Server/Services

In32

AD

22

AD

22

Az

22

IRM

22

OWA

22

RMS

22

Glosario22

FORMATION RIGHTS MANAGEMENT

¿De que se trata?

In32

¿De que se trata?

Es un conjunto de tecnologías que protegen de accesos no autorizados a la

información sensible de una organización y controla como la misma es utilizada.

Usa políticas de encriptación, identidad y autorización.

La protección se mantiene con los archivos, independientemente de su ubicación.

Funciona a través de múltiples dispositivos – teléfonos celulares, tablets y PCs

formation Rights Management In32


¿Por que lo necesito?

In32

Documento con información sensible

Servidor SharePoint

¿Por que lo necesito? El escenario



Almacenado en la librería de documentos

SharePoint y protegidomediante permisos

Servidor SharePoint




Almacenado en la librería de documentos

SharePoint y protegidomediante permisos

Heisenberg tiene permisos de Lecturaen la librería de documentos

Servidor SharePoint



Servidor SharePoint

¿Por que lo necesito? El problema


Servidor SharePoint



Heisenberg puede descargarlo

Servidor SharePoint



Servidor SharePoint



Heisenberg puede ver su contenido

Servidor SharePoint



Servidor SharePoint



Heisenberg puede copiarlo

Servidor SharePoint



Servidor SharePoint



Heisenberg puede editarlo

Servidor SharePoint



Servidor SharePoint



Servidor SharePoint

Heisenberg puede imprimirlo



Servidor SharePoint



Servidor SharePoint



Servidor SharePoint

Heisenberg puede enviarselo a Pinkman



Servidor SharePoint



Servidor SharePoint

Límite de la

Seguridad



Servidor SharePoint

Límite de la

Seguridad



Servidor SharePoint Tan pronto como la información abandona

Sharepoint, deja de estar protegida

Límite de la

Seguridad





Límite de la

Seguridad



No se incluye información de

protección en el archivo y, entonces, la información es libre



Límite de la

Seguridad



Servidor SharePoint

¿Por que lo necesito? La Solución


Servidor SharePoint



Heisenberg puede descargarlo

Servidor SharePoint



Servidor SharePoint



Heisenberg puede ver su contenido

Servidor SharePoint



Servidor SharePoint



Heisenberg no puede copiarlo

Servidor SharePoint



Servidor SharePoint



Servidor SharePoint



Heisenberg no puede editarlo

Servidor SharePoint



Servidor SharePoint



Servidor SharePoint

Heisenberg no puede imprimirlo



Servidor SharePoint



Servidor SharePoint



Servidor SharePoint

Heisenberg no puede enviarselo a Pinkman



Servidor SharePoint

Heisenberg no puede enviarselo a Pinkman



¿Por qué lo necesito?

DEMOSTRACIÓN

¿Por que lo necesito? Sumario de la demostración

Diferencia entre usar IRM y no usarlo

Soporte de IRM en Aplicaciones Web de Office

Soporte de IRM en Cliente Office



¿Como funciona?

In32

En SharePoint, la protección IRM se aplica a:

Archivos en librerías de documentos

Archivos adjuntos a elementos de lista (pero no a los elementos de lista)

La protección se aplica a un archivo por un Protector IRM de acuerdo al tipo de

archivo

SharePoint (en instalaciones y online) incluye protectores para:

Formatos de archivo Microsoft Office 97-2003 (.doc, .xls, .ppt)

Formatos de archivo Office Open XML (.docx, .xlsx, .pptx)

Formato de archivo PDF

Formatos de archivo XML Paper Specification (XPS)

¿Como funciona?


SharePoint RMS

El usuario sube documento desprotegido a librería de

documentos con IRM activado.

¡Eso es!

Incluso en librerías de documentos con IRM activado (o

listas), los documentos no están protegidos o encriptados

cuando se almacenan.

Esto permite al servicio de búsqueda bucear por loscontenidos de los archivos, incluso en librerías y listas con IRM activado.

Usuario

¿Como funciona? Creación de Contenido

122

122


SharePoint RMS

El usuario sube un documento protegido a la librería de documentos con IRM activado.

El documento está desprotegido (desencriptado), se verifica el ID de la librería de documentos y el documento se almacena.

¡Importante!

Los contenidos del archivo nunca son enviados a RMS

cuando se protege, desprotege, comparte o se ve un

documento protegidoUsuario

Validación de la Licencia de Emisión


122

222

322

122

322

222


SharePoint RMS

Usuario requiere documento de la librería de documentos con IRM activado

Protege (encriptar) el documento.

¡Importante!

La Protección se aplica cada vez que un usuario requiere un archivo de la librería

de documentos con IRM activado. El documento protegido estará accesible solo

para el usuario que lo requirió.

Usuario

Se genera la Licencia de Emisión (IL) la cual incluye:

Clave del documento (usada para encriptar el contenido del archivo)

Lista de usuarios con acceso al documento (SharePoint y el usuario

que pidió el documento)

ID de librería de documentos


122

222

322

122

322

222

Devolver el documento al usuario.422

422


Email, documentos, archivos

RMSAD

¿Como funciona?



RMSAD

¿Como funciona?


PL

UL

PL


RMSAD

¿Como funciona?


PL

UL

PL

La protección persiste con los datos, el contenido puede

viajar donde sea.

Previene la apertura accidental de datos sensibles

aplicando políticas de uso (no se puede re-enviar, no se

puede imprimir, solo lectura)

Comparte datos con otras personas de manera segura


RMSAD

¿Como funciona?


RMS

MSDRM

Protectores de Documentos

AD

GUIDGUIDGUID

SharePoint

¿Como funciona? En SharePoint (Recapitulación)?


RMS

MSDRM


AD

GUIDGUIDGUID

SharePoint



RMS

MSDRM


AD

GUIDGUIDGUID

SharePoint



PL

RMS

MSDRM


AD

GUID

GUID

GUIDGUID

SharePoint



PL

UL

PL

RMS

MSDRM


AD

GUID

GUID GUID

GUIDGUID

SharePoint



La protección IRM aplicada depende de los permisos del usuario el la librería de documentos que contiene el archivo.

Permisos IRM

Permisos SharePoint

Administrar permisos

Administrar Web Site

Administrar Listas Si los permisos están explicitamenteconfigurados

Ver objetos Si los permisos están explicitamenteconfigurados

Otros

Editar objetos

Control Total Lectura Edición Copia Guardar Imprimir

¿Como funciona? Mapeo de Permisos

Agregar y modificar páginas


Prevenir que un observador no autorizado pueda:

Copiar un documento

Modificar un documento

Imprimir un documento

Copiar y pegar el contenido de un documento

Copiar el contenido de un documento usando Print Screen en Windows

Prevenir que un observador no autorizado pueda ver el contenido de un documento si fue

enviado en un email luego de haber sido descargado desde un servidor

Restringir el acceso al contenidopor un período específico de tiempo, despues del cual los

usuarios deberán confirmar sus credenciales

¿Como funciona? Con IRM usted puede...


Prevenir que los usuarios tomen imágenes de un documento que se muestre en pantalla

Prevenir que los usuarios copien manualmente el contenido de un documento que se

muestre en pantalla y re-escribirlo en un nuevo documento

Prevenir el copiado del contenido a traves del uso de programas de captura de pantallas de

terceras partes

Prevenir el borrado, robo, captura o transmisión mediante software malicioso tal como

caballos de troya, viruses, keyloggers y spyware.

Abrir documentos protegidos en aplicaciones cliente, como Usuarios Externos en SharePoint

Online

¿Como funciona? Con IRM usted no puede...


SharePoint RMS

MSIPC

Nuevos Protectores de

Documentos

AD

GUIDGUIDGUID

¿Como funciona? En SharePoint 2013


SharePoint RMS

MSIPC


Documentos

AD

GUIDGUIDGUID



SharePoint RMS

MSIPC


Documentos

AD

GUIDGUIDGUID



PL

SharePoint RMS

MSIPC


Documentos

AD

GUID

GUID

GUIDGUID



PL

UL

PL

SharePoint RMS

MSIPC


Documentos

AD

GUID

GUID GUID

GUIDGUID



SharePoint

RMS

Exchange

AD en Office 365

¿Como funciona? En SharePoint Online

Tenant 1 , Tenant 2 …. Tenant N Tenant 1 , Tenant 2 …. Tenant N


SharePoint

RMS

Exchange

AD en Office 365




SharePoint

RMS

Exchange

AD en Office 365

Comienza a proteger con la

suscripción a Office 365

Integrado dentro de

Exchange Online, SharePoint

Online and Office, los usuarios

utilizarán aplicaciones y

servicios con los que ya están

familiarizados hoy en día.




On premises: SharePoint Standard & Enterprise

SharePoint

AD ADFS RMS

SharePoint

Online

RMSAD

SharePoint

Online

ADFS RMSAD

¿Como funciona? Tipos de despliegue de SharePoint con IRM



¿Como lo configuro?

In32

IRM está disponible para SharePoint Server y SharePoint Online (Office 356)

pero cada uno se basa en diferentes componentes de Administración de

Derechos

SharePoint Online depende de Azure RMS

SharePoint Server puede utilizarse con AD RMS o Azure RMS (a través de

RMS Connector)

¿Como lo configuro? Nube e On Premises


Característica Azure RMS Active Directory RMS

Soporta Servicios Online (SharePoint Online, Exchange Online y Office

365)

Si No

Plantilla s de politicas de derechos por defecto 2 No disponible

Minimas versiones soportadas de Office Office 2010 con RMS Sharing App

Office para Mac 2011 no soportado

2007

Office para Mac 2011 soportado

Soporte de RMS Sharing Si Si

Longitud de claves y algoritmos de

encriptación

RSA 2048 para criptografía de clave pública

SHA 256 para operaciones de firma

AES 128 para encriptación simetrica

RSA 1024 y RSA 2048 para criptografía de clave pública

SHA 1 and SHA 256 para operaciones de firma

AES 128 para encriptación simetrica

More info: https://technet.microsoft.com/library/jj739831.aspx

Soporte de Modo Criptografico Modo 2 Modo 1 (por defecto)

Requiere configuración adicional para Modo 2.

Minima versión soportada de cliente Windows Windows 7 Windows Vista SP2

Soporte para la creación de nuevas plantillas de politicas S i Si

Confianza entre organizaciones y usuarios dentro de una organización Soporta confianza implicita entre Requiere confianza explicita usando "trusted user

organizaciones y usuarios que usan Office domains (TUD) o confianza federada via ADFS.

365, Azure RMS o RMS para particulares.

Soporta Instalaciones de Servers (SharePoint Server, Exchange Server y File Si Si

Servers que corran Windows Server con File Classification Infrastructure (FCI)

¿Como lo configuro? Azure RMS vs ADRMS


https://technet.microsoft.com/library/jj739831.aspx

Para usar IRM con Azure RMS se necesita:

Una suscripción cloud para RMS

Directorio AD Azure

Dispositivo cliente

Aplicaciones cliente

Conectividad con Internet y acceso a servicios dependientes de cloud

Mas info: https://technet.microsoft.com/library/dn655136.aspx

¿Como lo configuro? Requerimientos


https://technet.microsoft.com/library/dn655136.aspx

Por lo menos una de las siguientes suscripciones

Office 365

Enterprise E3 o E4

Education A3 o A4

Government G3 o G4

Suscripción Azure RMS Standalone

Suscripción Enterprise Mobility Suite

Suscripciones RMS for Individuals (solo para consumición)


¿Como lo configuro? - Requerimientos – Suscripción Cloud



SO dispositivo Word, Excel, PowerPoint PDF protegido Email Protección Genérica

iOS TITUS Docs

Office Online (view)

Foxit Reader (Azure RMS only)

RMS Sharing App

TITUS Docs

NitroDesk

OWA for iOS

TITUS Mail

TITUS Docs

RMS Sharing App

MacOS X Office 2011 (AD RMS only)

Office Online

RMS Sharing App Outlook 2011 (AD RMS only)

Outlook for Mac

RMS Sharing App

Windows Phone 8.1 Office Mobile (AD RMS only) RMS Sharing App Outlook Mobile RMS Sharing App


Blackberry 10 No Soportado No Soportado Blackberry Email No Soportado

Windows RT Office 2013 RT No Soportado Outlook 2013 RT No Soportado

Office Online Mail App for Windows

Android GigaTrust App GigaTrust App 9Folders RMS Sharing App

Office Online Foxit Reader (Azure RMS only) GigaTrust App

RMS Sharing App NitroDesk

OWA for Android

Samsung Email (S3+)

TITUS Classification for Mobile

Windows Office 2010/2013 GigaTrust Desktop PDF Client Outlook 2010/2013 RMS Sharing App

Office Online Foxit Reader Outlook Web App

Nitro PDF Reader

RMS Sharing App

¿Como lo configuro? - Requerimientos – Dispositivos cliente y Aplicaciones



¿Como lo configuro? – Instalaciones












¿Como lo configuro? – Office 365












¿Cómo lo configuro?

DEMOSTRACIÓN

Configurar IRM en Office 365 requiere dos simples pasos:

Activar Azure RMS en su Tenant Office 365

Activar Rights Management en SharePoint On Premise

Mas info: Set up Information Rights Management (IRM) in SharePoint admin center

¿Como lo configuro? Sumario de la Demostración


https://support.office.com/en-us/article/Set-up-Information-Rights-Management-IRM-in-SharePoint-admin-center-239ce6eb-4e81-42db-bf86-a01362fed65c?CorrelationId=7f589481-b7c3-48c2-97ca-f1d933b8fa2a&ui=en-US&rs=en-US&ad=US


Como lo uso?

In32

1. Protección de documentos en la nube (y para suscripciones on premises)

2. Proteger documentos es fácil (con derechos de uso granulares)

3. Los documentos protegidos pueden ser vistos en el navegador

4. Protección de Grupos

5. Soporte para PDF, además de los formatos Office

¿Cómo lo uso? 5 nuevas características de protección de documentos


¿Cómo lo uso? 1. Protección de documentos en SharePoint online


¿Cómo lo uso? 1. Protección de documentos en SharePoint online


¿Cómo lo uso? 1. Protección de documentos On Premise


¿Cómo lo uso? 1. Protección de documentos On Premise


Interfaz de usuario mas simple y actualizada

Derechos de uso granulares

Soporte para Aplicaciones Web de Office

Protección de grupos

¿Cómo lo uso? 2. Proteger documentos es fácil (derechos de uso granulares)


IRM está configurado a nivel de librería de

documentos o listas

IRM está configurado en 3 grupos de ajustes

Ajustes de librería IRM

Derechos de acceso a documentos

Protección de grupos e intervalo de credenciales

Configurar IRM en una librería de documentos


Document library settings






Configurar IRM en una librería de documentos – Ajustes de librería IRM






Previene subidas de documentos que no soporten IRM,

lo cual significa:

Tipos de archivo para los que no hay protectores

instalados

Tipos de archivos que SharePoint no puede

desencriptar

Tipos de archivos que tienen protección IRM en otro

programa

Remueve todas las restricciones IRM luego de una fecha específica

Previene que los documentos sean abiertos en navegadores, forzando a los usuarios a que los abran en aplicaciones mejoradas con IRM tales como aplicaciones cliente Microsoft Office

Esto puede ser importante ya que, cuando se usan aplicaciones web de Office, no se puede prevenir la captura de pantalla al estar en aplicaciones cliente.




Configurar IRM en una librería de documentos – Derechos de acceso a documentos



Previene que los usarios impriman el documento





Previene que se corra código/macros en el documento






Previene que los usuarios hagan copias locales editables del documento






Previene que los usuarios hagan copias locales editables del documento

Previene el acceso al documento por un númeroespecífico de días luego de descargado




Configurar IRM en una librería de documentos – Protección de grupos e intervalo de credenciales




Ajusta la duración de la licencia de acceso al documento, en dias.

Luego del intervalo específico, se les solicitará a los usuarios que

validen sus credenciales para que tengan acceso al contenido.




Ajusta la duración de la licencia de acceso al documento, en dias.

Luego del intervalo específico, se les solicitará a los usuarios que

validen sus credenciales para que tengan acceso al contenido.

Especifica un grupo de usuarios que pueden compartir el documento, incluso despues de descargado



¿COMO LO USO?

DEMOSTRACIÓN

¿Cómo lo uso? Sumario de la demostración

Como configurar IRM en Office 365 y SharePoint online

Como configurar IRM en Sharepoint On Premises


¿Cómo lo uso? 3. documentos protegidos pueden ser vistos en navegador






SharePoint

MSIPC

Protectores de documentos

GUIDGUIDGUID

Aplicaciones

Web

¿Cómo lo uso? 3. Como funciona WAC con IRM?


http://msdn.microsoft.com/en-us/library/hh622722(v=office.12).aspx

RMS

AD

SharePoint

usuarios

grupos

¿Cómo lo uso? 4. Protección de grupos


RMS

AD

SharePoint

usuarios

grupos



RMS

AD

SharePoint

usuarios

grupos

GUID



RMS

AD

SharePoint

usuarios

grupos

PL

GUID



RMS

AD

SharePoint

usuarios

grupos

PL

UL

PL

GUID



¿Cómo lo uso? 5. Soporte a PDF


Extension to ISO 32000 (Protección PDF)

Un nuevo protector en SharePoint

Compatible con el standard

Soporta carga de descubrimiento (discovery payload)

Compatible con lectores de 3as partes

http://go.microsoft.com/fwlink/?LinkID=231373

Llamada a la acción: Traiga su visor de PDF al mercado

¿Cómo lo uso? 5. PDF support


http://www.microsoft.com/en-us/download/details.aspx?id=29844

http://go.microsoft.com/fwlink/?LinkID=231373

¿Cómo lo uso? Lector de PDF Foxit


¿Cómo lo uso? Lector de PDF Foxit


¿Cómo lo uso?

Demostración

¿Cómo lo uso? Sumario de la demostración

Nuevas características de protección de documentos IRM



Temas relacionados

In32

Mas info: https://technet.microsoft.com/en-us/library/dn529121.aspx

Temas relacionados - Logging y Auditoría

Los logs RMS pueden ser usados para acceso auditable a

documentos protegidos

Los logs RMS son opcionales y no están habilitados por defecto

Requerimientos

Una suscripción RMS administrada por IT (no RMS for Individuals)

Suscripción a Azure (para almacenar los logs)

Windows PowerShell para Administración de Derechos


https://technet.microsoft.com/en-us/library/dn529121.aspx

Almacenado en una cuenta de almacenamiento Azure como "blobs", en formato de log

extendido W3C

Un mensaje de log puede tardar cerca de 15 minutos en aparecer

Los logs se pueden descargar usando PowerShell o Azure Storage SDK

Cada mensaje de log incluye (entre otra información):

Fecha y hora del reuest

Tipo del request (pedido hecho a la API de RMS)

ID del usuario

ID del contenido

ID de correlación (para mapear pedidos a ULS)

Información de cliente (similar a cadenas User Agent en navegadores)

Dirección IP del cliente Mas info: https://technet.microsoft.com/en-us/library/dn529121.aspx

Temas relacionados - Logging y Auditoría – Logs de Azure RMS




Conclusiones

In32

IRM es una gran manera de proteger información sensible almacenada en SharePoint

IRM puede ser usado con SharePoint Server o SharePoint Online

La protección IRM está embebida en el documento y viaja con el

La protección IRM se aplica a nivel de librería para todos los documentos

Para usar IRM con archivos PDF, se requiere una aplicación específica de lectura

Cualquier tipo de archivo puede ser protegido usando la RMS Sharing App

El logging de RMS puede ser usado para auditorías de seguridad de información

protegida

Conclusiones


“human ingenuity could not construct a cipher which human ingenuity could not solve.”

Conclusiones



Conclusiones



Conclusiones



Conclusiones



Conclusiones


Microsoft Rights Management Services

RMS for IT Professionals

Azure Rights Management

Comparing Azure Rights Management and AD RMS

Requirements for Azure Rights Management

Set up Information Rights Management (IRM) in SharePoint admin center

Apply Information Rights Management to a list or library

RMS Sharing App

Logging and Analyzing Azure Rights Management Usage

Referencias


https://technet.microsoft.com/en-us/dn175750

https://technet.microsoft.com/en-us/dn175751

https://technet.microsoft.com/en-us/library/jj585024.aspx

https://technet.microsoft.com/library/jj739831.aspx

https://technet.microsoft.com/library/dn655136.aspx#BKMK_SupportedSubscriptions

https://support.office.com/en-us/article/Set-up-Information-Rights-Management-IRM-in-SharePoint-admin-center-239ce6eb-4e81-42db-bf86-a01362fed65c?CorrelationId=a5d76104-c583-44db-89d0-c0dcbb443ae6&ui=en-US&rs=en-US&ad=US

https://support.office.com/en-au/article/Apply-Information-Rights-Management-to-a-list-or-library-3bdb5c4e-94fc-4741-b02f-4e7cc3c54aa1

https://portal.aadrm.com/Home/Download


Argentina

Buenos AiresTel.: +54 (11) 4118-8080Fax: +54 (11) 4118-8080Roosevelt 1655C1428BNC, Buenos AiresArgentina

Santa FeTel.: +54 (342) 412-0368San Jerónimo 1838S3000FPP, Santa FeArgentina

Spain

Tel.: +34 91 745-2763Fax: +34 91 561-5626c/ Francisco Giralte, 228002, MadridSpain

Mexico

Tel.: +52 (55) 5531-8878Fax: +52 (55) 5531-8878Avda. Ejército Nacional 678,Col. Polanco Reforma, Distrito Federal C.P. 11550 México D.F.

USA

Tel +1 (617) 275-24201 Broadway 14th floorCambridge, MA 02142USA

¡Muchas Gracias!

Luciano MoreiraIT & Security Practice Unit [email protected]

https://twitter.com/Baufest

https://twitter.com/Baufest

http://www.linkedin.com/company/baufest

http://www.linkedin.com/company/baufest

http://www.youtube.com/user/BaufestChannel

http://www.youtube.com/user/BaufestChannel

http://www.baufest.com/index.php/es/acerca-de-baufest/contactenos

http://www.baufest.com/index.php/es/acerca-de-baufest/contactenos

Technology

Say my name irm