Mettre en place Dynamic Access Control et AD RMS

Nous allons voir dans ce post comment mettre en place Dynamic Access Control (que j’appellerais DAC par la suite) et AD RMS.

Pour rappel :

AD RMS (Active Directory Rights Management Services) est une technologie qui permet grosso modo de mettre des DRM dans vos fichiers (Office par défaut, certains éditeurs tiers offrent des solutions qui permettent d’étendre ca à d’autres formats de fichiers). AD RMS va vous permettre de chiffrer vos fichiers et de fournir une série de droits à des utilisateurs pré définis (des droits d’affichage, de modification, de copie de contenu…).

DAC est une fonction apparue avec Windows Server 2012 qui va vous permettre de faire de la classification de fichier de manière plus ou moins automatisée et d’assigner des permissions sur vos ressources en fonction de cette classification, du niveau d’habilitation de l’utilisateur et de son canal d’accès.

Ces deux technologies se coordonnent assez bien pour diminuer les risques de fuites d’informations.

Les prérequis

Nous allons dans cet exemple installer AD RMS sur notre serveur de fichier. Pour notre maquette nous allons avoir besoin :

  • D’un serveur Windows Server 2012, qui fera ici office de serveur de fichier et de serveur AD RMS. (Note : Le volume qui hébergera les données partagées devra être formaté en NTFS, REFS ne permet pas de faire de classification de données).
  • D’un serveur SQL pour AD RMS, une installation basique avec tout simplement le rôle « moteur de bases de données » et le groupe admin local du serveur placé dans les administrateurs SQL. Je vous épargnais donc le détail de l’installation.
  • D’un compte de service pour AD RMS, un compte de domaine simple fera l’affaire. Il suffit ensuite d’ajouter celui-ci aux admins locaux du serveur.
  • D’un certificat de serveur WEB délivré à votre serveur RMS. Le nom du sujet sera celui de votre URL de cluster RMS.
  • Vos utilisateurs doivent avoir le champ e-mail dans l’AD renseigné.
  • D’un contrôleur de domaine en Windows Server 2012, cela nous permettra de créer nos règles d’accès en centralisé et de les distribuer par GPO.

Première étape : l’installation d’AD RMS

Il va falloir pour RMS fournir une URL vers le cluster que nous nous prêtons à créer (oui il faut créer un cluster même avec un seul serveur RMS).

Avant toute chose, trouvez un nom pour votre url et dans votre DNS créez un alias portant le nom de votre cluster qui pointe vers votre serveur RMS.

Ici mon URL sera rms.maquette.lan et cet alias pointe vers srv-file01.maquette.lan qui est mon serveur RMS.

Lancez l’assistant d’ajout de rôles sur voter serveur de fichiers.

Choisissez le rôle « services AD RMS ».

Poursuivez l’assistant jusqu’au choix des services de rôles. Nous ne verrons pas ici la notion de fédération. Pas besoin donc de choisir le service associé.
Validez l’assistant pour lancer l’installation du rôle.
Une fois installé, vous pouvez lancer l’assistant de configuration initiale d’AD RMS.
Spécifiez le compte qui va procéder à l’installation.
Choisissez de créer un nouveau Cluster.
Entrez les informations concernant votre serveur SQL.
Spécifiez le compte de service que vous avez créé.
Choisissez le mode de chiffrement. Le mode 2 est plus sécurisé.
Choisissez de stocker la clé du cluster de manière centralisée.
Entrez un mot de passe pour protéger la clé du cluster.
Choisissez le site IIS qui hébergera le cluster RMS.
Choisissez de communiquer en SSL et donnez une URL à votre cluster RMS.
Choisissez le certificat qui a été fourni par notre CA interne. Il s’agit je le rappelle d’un simple certificat web.
Donnez un nom à votre certificat.
Choisissez d’enregistrer votre serveur maintenant.
Validez pour procéder à la configuration initiale.
Il va falloir ensuite ajouter deux clés de registre pour assurer le bon fonctionnement de la console RMS :

HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters
Name:  DisableStrictNameChecking
Type:  DWORD
Value: 1

HKML\SYSTEM\CurrentControlSet\Control\Lsa
Name:  DisableLoopbackCheck
Type:  DWORD
Value: 1

Et enfin pour être sur que DAC et RMS puissent fonctionner ensemble

Modifiez les droits du fichier c:\inetpub\wwwroot\_wmcs\certification\servercertification.asmx

Donnez les droits « lecture et exécution » aux comptes du serveur (domaine\nomdeserveur$) et du groupe de service AD RMS (il s’agit d’un groupe local sur le serveur).

Et voilà un serveur RMS qui roule !

Deuxième étape : Mettre en place Dynamic Access Control

La mise en place de DAC va se faire en plusieurs étapes :

Nous allons premièrement ajouter le rôle de gestionnaire de ressources de serveur de fichiers à notre serveur.

Nous utiliserons ensuite le centre d’administration AD pour créer nos règles centralisées que nous pousserons par GPO

Puis nous définirons nos règles de classification et de protection des contenus.

L’installation du rôle de gestionnaire de ressources de serveur de fichiers

Lancez l’assistant d’ajout de rôles sur voter serveur de fichiers.

Choisissez le rôle « gestionnaire de ressources de serveur de fichiers ».

Poursuivez l’assistant pour continuer.

Création des règles centralisées

Nous allons maintenant créer nos règles d’accès centralisées.

Là aussi l’opération va se dérouler en plusieurs étapes :

  • Définition des types de revendication : Les types de revendications sont des propriétés associées aux utilisateurs ou à leur périphérique. Il s’agit typiquement d’attributs AD.
  • Définition des propriétés de ressources : Les propriétés de ressources sont des propriétés qui seront associées à des fichiers ou à des dossiers partagés.
  • Définition des règles d’accès central : Les règles d’accès central permettent de choisir des ressources selon leurs propriétés et d’y affecter des ACLs à des groupes ou à des utilisateurs tout en faisant du conditionnel grâce à leurs revendications.
  • Définition des stratégies d’accès central : Les stratégies d’accès central permettent de regrouper une ou plusieurs règles d’accès central, nous pourrons ensuite déployer cette stratégie par GPO.

Toutes ces étapes se font dans le centre d’administration Active Directory et nécessitent la présence d’un contrôleur de domaine en Server 2012. Si vous ne disposez pas de controlleur de domaine en Server 2012 alors vous ne pourrez pas utiliser les revendications utilisateurs et périphériques.

Dans cet exemple nous allons paramétrer les autorisations d’accès sur un dossier partagé nommé RH. Les données disposeront d’une valeur de confidentialité pouvant valoir « basse », « moyenne » ou « haute ». Nous voulons mettre en place la politique (pas terrible certes mais c’est pour l’exemple) suivante :

  • Les utilisateurs du groupe g_RH_analyst auront l’accès en lecture seule aux données marquées comme étant RH et qui ont une confidentialité inferieure à haute.
  • Les utilisateurs du groupe g_RH_responsables auront un accès en contrôle total sur les données RH peu importe leur niveau de confidentialité.
  • Les fichiers contenant le mot « salaire » doivent être considérés comme étant de confidentialité haute.
  • Les fichiers de confidentialité haute doivent êtres chiffrés dans la mesure du possible.
Commencez par choisir de créer un type de revendication.
Choisissez un attribut AD qui sera utilisé pour créer la revendication.

Nous allons ici choisir l’attribut « Department » de l’AD. Nous allons choisir d’en faire une revendication de type utilisateur.

Dans la partie « Valeurs suggérées » nous allons assigner les valeurs « IT » et « RH » à notre revendication.

Il faut bien évidemment prendre garde à ce que les valeurs que nous mettons dans les revendications soient représentatives des valeurs en cours dans l’AD.

Nous allons maintenant définir des propriétés de ressources.

Vous pouvez définir vos propres propriétés mais Microsoft en propose quelques-unes par défaut.

Double cliquez sur « Ressources Properties ».

Assurez-vous que les propriétés « Confidentiality », « Department » et « Folder usage » sont activées.

Double cliquez sur « Confidentiality ».

Assurez-vous que les valeurs suggérées par défaut vous conviennent. Sinon modifiez-les.

Faites de même pour « department » et « folder usage ».

Pour veillez à la bonne mise en œuvre de ma politique j’ai ajouté la valeur « Données RH » à « folder usage ».

Nous avons des propriétés de ressources et des revendications utilisateur.

Il est temps de relier tout cela avec une règle d’accès centralisée.

Créez une nouvelle règle d’accès centralisée.

Commencez par donner un nom à votre règle. Ici « Regle access RH responsables », cette règle va donner un accès full control aux données RH de haute confidentialité.

La première étape et de choisir les données qui vont être soumises à cette règle.

Cliquez sur modifier dans l’encart des ressources cibles.

Cliquez sur ajouter une condition.
Choisissez les ressources dont le département vaut « RH ».

Cliquez sur ajouter une condition à nouveau.

Choisissez les ressources dont la confidentialité et haute.

Validez

Nous allons maintenant définir les autorisations qui seront appliquées en temps réel sur les données ciblées.

Cliquez sur « modifier » dans l’encart autorisations.

Les autorisations s’affichent.

Cliquez sur ajouter.

Cliquez sur « Sélectionner un principal » pour ajouter notre groupe de responsables RH.
Une fois le groupe ajouté, définissez les droits nécessaires.

Notez ici le lien « Ajouter une condition ». Je vous invite à cliquer dessus car c’est ici que vous pourrez utiliser les revendications. Les revendications vont ainsi vous permettre de sélectionner plus finement vos utilisateurs sur lesquels vont s’appliquer vos droits.

On peut imaginer que dans cette règle je choisisse la revendication « country » vaut « France ». Ainsi seuls les membres français du groupe g_RH_responsable auront accès à mes données ciblées.

Dans le cadre de ce post nous n’utiliserons pas les revendications.

Créez une deuxième règle d’accès nommée « regle access RH analyst » qui cible toutes les ressources avec la propriété RH et qui donne le contrôle total au groupe des responsables RH et la lecture seule au groupe des analystes RH.
Il n’y a plus maintenant qu’à déployer ces règles.

Nous allons pour cela créer une stratégie d’accès central. Qui va nous permettre de déployer par GPO nos règles d’accès central.

Créez une stratégie d’accès central.

Donnez un nom à la stratégie d’accès et ajoutez les règles d’accès que nous avons créé.

Déploiement des règles centralisées

Nous allons maintenant déployer nos règles d’accès centralisées. Cela va permettre de rendre actif sur notre serveur de fichier les propriétés et regles d’accès que nous avons défini.

Créez une GPO.

Allez dans les stratégies ordinateur, les paramètres Windows / paramètres de sécurité / système de fichier et stratégie d’accès centralisée.

Cliquer sur gérer les stratégies d’accès centralisées.

Ajoutez votre stratégie d’accès centralisée.
Appliquez votre GPO au serveur de fichier.

Configurer le serveur de fichier

Nous allons maintenant faire en sorte que notre serveur de fichier applique nos règles de sécurité. Pour cela nous venons de lui transmettre les propriétés qu’il est possible d’affecter aux données et les règles d’accès qui vont découler de cette classification.

Nous allons donc déjà apprendre à notre serveur à classer les données.

Sur votre serveur de fichier ouvrer la console « Gestionnaire de ressource du serveur de fichier ».

Vous pouvez déjà voir que les propriétés que nous avons définies précédemment apparaissent avec la portée « globale ». Cela signifie que nos propriétés proviennent de la GPO.

Pour pouvoir exploiter nos règles de classification il nous faut déjà préparer le terrain en assignant des « folder usage » aux dossiers de notre serveur de fichier.

Cliquez sur « Définir les propriétés de gestion des dossiers »

Cliquez sur ajouter.
Entrez le chemin du dossier concerné. Et choisissez le folder usage correspondant.
Nous allons maintenant créer une règle de classification.
Donnez un nom à votre règle.
Choisissez l’étendue d’application de la règle. C’est ici que notre propriété folder usage prend toute son importance. N’hésitez pas à définir autant de folder usage que nécessaire.
Nous voulons ici donner la propriété « RH » aux données contenues sous le dossier RH.

Choisissez donc le classificateur de dossier.

Choisissez la propriété à affecter.

Conservez les paramètres par défaut pour le dernier onglet.
Nous allons maintenant créer une règle qui va affecter la propriété de haute confidentialité aux données qui contiennent le mot salaire.
Dans l’onglet classification choisissez cette fois un classificateur de contenu.

Choisissez la propriété à affecter et cliquer sur configurer.

Ici je me base sur la simple présence du mot « salaire ». j’aurais aussi pu faire une expression régulière.
Nos règles sont créées, et je peux effectivement voir mes propriétés appliquées sur un fichier.
Il ne me reste plus maintenant qu’à activer le chiffrement des données confidentielles avec RMS.

Créez une tache de gestion de fichiers.

Donnez un nom à votre tâche.
Donnez l’étendue de votre règle.
Choisissez une action de type chiffrement RMS.

Si vous avez un template de chiffrement dans la console vous pourrez le choisir ici, sinon définissez les destinataires et les opérations qu’ils peuvent faire.

Nous allons finir avec l’onglet planification et nous allons cocher la case d’exécution continue.

Et voilà il ne vous reste plus qu’à tester tout ça. Mettez un fichier Office contenant le mot « salaire » et vous verrez que le serveur de fichier va de lui-même appliquer les bonnes propriétés au fichier. De plus le fichier étant confidentiel celui-ci sera chiffré par RMS vous protégeant ainsi contre la fuite de données (d’ailleurs essayez de faire un screenshot avec un fichier chiffré vous verrez J).

Laisser un commentaire

Choisissez une méthode de connexion pour poster votre commentaire:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s