Microsoft Official

Course

Mdulo 7

Implementao do Active
Directory Rights Management
Services

Viso geral do mdulo

Viso geral do AD RMS
Implantao e gerenciamento de uma
infraestrutura do AD RMS
Configurao da proteo de contedo do AD
RMS
Configurao do acesso externo ao AD RMS

Lio 1: Viso geral do AD RMS

O que AD RMS?
Cenrios de uso do AD RMS
Viso geral dos componentes do AD RMS
Certificados e licenas do AD RMS
Como o AD RMS funciona

O que AD RMS?
Tecnologia de proteo de informaes
Desenvolvida para reduzir o vazamento de

informaes
Integrada a sistemas operacionais Windows,

MicrosoftOffice, Exchange Server e SharePoint

Server
Baseada na criptografia simtrica e de chave

pblica
Protege dados em repouso, em trnsito e em uso

Cenrios de uso do AD RMS

Impede a transmisso de informaes

confidenciais

Obedece aos regulamentos de privacidade

Pode ser usado com criptografia para proteger

dados em trnsito e em repouso

Viso geral dos componentes do AD RMS

Servidor AD RMS

Licencia contedo protegido pelo AD RMS

Certifica a identidade de usurios e dispositivos

confiveis

Cliente AD RMS

Integrado aos sistemas operacionais Windows Vista,

Windows 7 e Windows 8

Interage com aplicativos habilitados para o AD RMS

Aplicativos habilitados para o AD RMS

Permite a publicao e o consumo de contedo

protegido peloAD RMS

Inclui Microsoft Office, Exchange Server e SharePoint

Server

Pode ser criado usando SDKs do AD RMS

Certificados e licenas do AD RMS

O certificado e as licenas do AD RMS

incluem
Certificado

de licenciante de servidor
Certificado de mquina do AD RMS
Certificado de Conta de Direitos
Certificado de licenciante de cliente
Licena de publicao
Licena de usurio final

Como o AD RMS funciona

7 - O servidor emite
a licena de uso

5 - A chave
simtrica
criptografada na
chave pblica do
servidor

Servidor
AD RMS

6 - O aplicativo ou navegador
solicita ao servidor a licena de
uso

Destinatrio

8 - O servidor
descriptografa a chave
simtrica usando
suachave privada
Aplicativo

2 O servidor
emite
certificado de
licenciante
de cliente

Autor

4 - O aplicativo
criptografa
oarquivo com a
chave simtrica

1 O autor
configura a
proteo de
direitos
3 O autor define
umacoleo de
direitos e condies
de uso

Arquivo

9 - O servidor criptografa
novamente a chave simtrica
usando a chave pblica do
destinatrio
e adiciona a chave de sesso
criptografada licena de uso

Lio 2: Implantao e gerenciamento

deumainfraestrutura do AD RMS

Cenrios de implantao do AD RMS

Configurao do cluster do AD RMS
Demonstrao: Instalao do primeiro
servidor deum cluster do AD RMS
Requisitos do cliente AD RMS
Implementao de uma estratgia de backup
erestaurao do AD RMS
Encerramento e remoo do AD RMS

Cenrios de implantao do AD RMS

Os cenrios de implantao do AD RMS

so

AD

RMS em uma nica floresta

AD

RMS em vrias florestas

AD

RMS usado em uma extranet

AD

RMS integrado ao AD FS

Configurao do cluster do AD RMS

A configurao do AD RMS inclui a configurao do seguinte

Novo cluster ou ingressar em cluster existente

Local do banco de dados de configurao

Conta de servio

Modo criptogrfico

Armazenamento de chave do cluster

Senha da chave de cluster

Site do cluster

Endereo do cluster

Certificado de servidor

Certificado de licenciante

Registro de SCP

Demonstrao: Instalao do primeiro

servidor deum cluster do AD RMS

Nesta demonstrao, voc ver como

Configurar conta de servio
Preparar o DNS
Instalar a funo ADRMS
Configurar o ADRMS

Requisitos do cliente AD RMS

Cliente includo nos sistemas operacionais

Windows Vista, Windows 7 e Windows 8

Cliente includo nos sistemas operacionais

WindowsServer 2008, Windows Server 2008 R2

eWindows Server 2012

Cliente disponvel para download para verses

anteriores de sistemas operacionais Windows e

Mac OS X

Os aplicativos habilitados para AD RMS incluem

Office2007, Office 2010 e Office 2013

Exchange Server 2007, Exchange Server 2010 e

ExchangeServer 2013 oferecem suporte ao AD

RMS

O cliente AD RMS precisa da CAL do RMS

Implementao de uma estratgia de backup

erestaurao do AD RMS

Fazer backup de chave privada e

certificados
Garantir que o backup do banco de dados
doADRMS seja feito regularmente
Exportar modelos para fazer backup
Executar o servidor AD RMS como mquina
virtual e fazer o backup completo do
servidor

Encerramento e remoo do AD RMS

Encerar um cluster do AD RMS antes de

remov-lo
O encerramento fornece uma chave que
descriptografa o contedo do AD RMS publicado
anteriormente
Deixar o servidor em estado encerrado at que
todo ocontedo protegido pelo AD RMS seja
migrado

Exportar o certificado de licenciante do

servidor antes de desinstalar a funo AD

RMS

Lio 3: Configurao da proteo de

contedo doAD RMS

Que so modelos de poltica de direitos?

Demonstrao: Criao de um modelo de
poltica de direitos
Fornecimento de modelos de poltica de
direitos para uso offline
O que so polticas de excluso?
Demonstrao: Criao de uma poltica
deexcluso para excluir um aplicativo
Grupo Superusurios do AD RMS

Que so modelos de poltica de direitos?

Permitir que os autores apliquem formas padro

deproteo na organizao

Diferentes aplicativos permitem diferentes

formas dedireitos

Pode configurar direitos relacionados exibio,

edioe impresso de documentos

Pode configurar direitos de validade do contedo

Pode configurar a revogao de contedo

Demonstrao: Criao de um modelo de

poltica dedireitos

Nesta demonstrao, voc ver como criar

um modelo de poltica de direitos que
permita que osusurios vejam um
documento, mas no executem outras aes

Fornecimento de modelos de poltica de direitos

parauso offline

Garantir que os modelos sejam

publicados emuma pasta compartilhada

Habilitar a tarefa Gerenciamento de

Modelos de Poltica de Direitos

(Automatizada) do AD RMS

Editar a chave do Registro e especificar o

local da pasta compartilhada

O que so polticas de excluso?

Permite a voc
Bloquear

usurios especficos de acessar

ocontedo protegido pelo AD RMS
bloqueandoseu RAC

Impedir

que aplicativos especficos criem

ou consumam contedo protegido pelo AD
RMS

Bloquear

RMS

verses especficas do cliente AD

Demonstrao: Criao de uma poltica de

excluso paraexcluir um aplicativo

Nesta demonstrao, voc ver como excluir

oaplicativo Office PowerPoint do AD RMS

Grupo Superusurios do AD RMS

Os membros do grupo Superusurios recebem

plenosdireitos de proprietrio em todas as

licenas deuso que so emitidas pelo cluster
do AD RMS noqual ogrupo de superusurios
est configurado
Grupo de superusurios
No configurado por padro
Pode ser usado como mecanismo de recuperao
dedados para contedo protegido pelo AD RMS

Pode recuperar o contedo que expirou

Pode recuperar o contedo se o modelo for excludo
Pode recuperar o contedo sem exigir credenciais de
autor

Deve ser um grupo do Active Directory

Lio 4: Configurao do acesso externo ao

AD RMS

Opes para habilitar o acesso ao AD RMS

parausurios externos
Implementao de TUD
Implementao de TPD
Compartilhamento de documentos
protegidos pelo AD RMS usando o Windows
Live ID
Consideraes para implementar o acesso

deusurios externos ao AD RMS

Opes para habilitar o acesso ao AD RMS

para usurios externos
Domnios de Usurio Confiveis

Trocam contedo protegido entre duas organizaes

Domnios de Publicao Confiveis

Consolidam a arquitetura do AD RMS

Confiana de Federao

Uma infraestrutura do AD RMS fica acessvel para

parceirosADFS

Windows Live ID

Permite acesso de usurio autnomo ao contedo do

AD RMS

Microsoft Federation Gateway

Permite que um cluster do AD RMS trabalhe

comoMicrosoftFederation Gateway sem exigir
umaConfianadeFederao direta

Implementao de TUD
Permite que o AD RMS atenda solicitaes

parausurios com RACs de clusters

diferentes doAD RMS
TUDs
Oferecem suporte a excluses para usurios
individuais e grupos
Pode ser unidirecional ou bidirecional

Deve exportar o TUD do parceiro antes

deimportar o TUD localmente

Implementao de TPD
Permite uma implantao local do AD RMS

paraemitir EULs para contedo protegido

porumcluster de parceiro do AD RMS
Envolve a importao do SLC do cluster

deparceiro do AD RMS
Sem limite para o nmero de TPDs com

suporte

Compartilhamento de documentos protegidos

peloAD RMS usando o Windows Live ID
Fornece RACs para usurios que no fazem

parte de uma organizao

Usurios com contas Windows Live ID
podem consumir contedo protegido pelo
AD RMS
Usurios com contas Windows Live ID no
podem publicar contedo protegido pelo AD
RMS

Consideraes para implementar o acesso

deusurios externos ao AD RMS
Use o Windows Live ID para emitir RACs

para usurios que no fazem parte de

organizaes eque precisam consumir
contedo
Use o TUD para RACs emitidos por um
cluster diferente do AD RMS
Use o TPD para permitir que RACs locais
acessem contedo do AD RMS publicado
remotamente
Use a Confiana de Federao entre
organizaes que tenham uma relao
federada
Use o Microsoft Federation Gateway quando

Laboratrio: Implementao do AD RMS

Exerccio 1: Instalao e configurao do AD RMS
Exerccio 2: Configurao de modelos do AD RMS
Exerccio 3: Implementao de polticas de
confiana doAD RMS
Exerccio 4: Verificao da implantao do AD
Informaes de logon
RMS
Mquinas virtuais

Nome de Usurio
Senha

24412B-LON-DC1
24412B-LON-SVR1
24412B-LON-CL1
24412B-MUN-DC1
24412B-MUN-CL1
Adatum\Administrador
Pa$$w0rd

Tempo previsto: 60 minutos

Cenrio do laboratrio
Devido natureza altamente confidencial da pesquisa
realizada na A.Datum Corporation, a equipe de segurana da
A. Datum quer implementar segurana adicional para alguns
dos documentos criadospelo departamento de pesquisa. A
preocupao da equipe desegurana que qualquer pessoa
com acesso de leitura aos documentos pode modificar e
distribuir os documentos da maneira que pretender. A equipe
de segurana gostaria de fornecer um nvel adicional de
proteo que permanea com o documento mesmo queela
seja movido na rede ou para fora da rede
Como um dos administradores de rede sniores da A. Datum,
voc precisa planejar e implementar uma soluo do ADRMS
que fornea onvel de proteo exigido pela equipe de
segurana. A soluo doADRMS deve fornecer muitas
opes diferentes que podem seradaptadas para um ampla
variedade de requisitos comerciais edesegurana

Reviso do laboratrio
Que etapas voc pode executar para

garantir quevoc possa usar o

Gerenciamento de Direitos de Informao
com a funo ADRMS?

Reviso e informaes complementares do

mdulo

Perguntas de reviso
Prtica recomendada