Управление окружением IRM/RMS
Списки отзыва
Администраторы могут создавать списки отзыва, в которых они могут указать служащих, приложения, а также прочие доверенные объекты, которым дальнейший доступ к защищенной информации запрещен. Условие использования списка отзыва может определяться одним или более сертификатами, применяемыми при выдаче лицензий на публикацию и использование. RMS-совместимые клиентские приложения проверяют списки отзыва всякий раз, когда соответствующие условия определены, и в случае обнаружения доверенного объекта в списке отзыва, запрос лицензии отклоняется.
Любой сертификат может быть отозван. По умолчанию определено, что только тот объект, который выдал сертификат, может его отозвать. Таким образом, сертификат может быть отозван только списком отзыва, подписанным этим объектом. В качестве дополнительных параметров в сертификате также могут указываться:
- Один объект или несколько, которые могут отозвать данный сертификат. В качестве объекта, который используется для отзыва, может выступать третья сторона.
- Пустой открытый ключ в качестве ключа отзыва, из-за чего сертификат не сможет быть отозван.
Шаблонами политики прав могут также определяться условия использования списка отзыва. Например, организациям может понадобиться проверить списки отзыва для шаблонов, применяемых к важной для компании информации, и при этом не производить проверку списков отзыва для шаблонов, применяемых к менее важной информации. В целях еще большей защиты информации в шаблоне можно указать необходимый срок действия списка отзыва. Например, в шаблоне можно указать, что для того, чтобы можно было использовать данный список отзыва, он должен быть создан в течение последних 10 дней.
Список отзыва создается в виде обычного текстового файла формата XML с использованием языка написания XrML. При этом он подписан закрытым ключом с использованием утилиты, предоставляемой Windows RMS. После создания списка отзыва, его можно использовать для отзыва любого доверяемого объекта, открытый ключ которого соответствует использованному для подписания закрытому ключу. Файл помещают в место, доступное всем пользователям, которым он необходим. Например, можно указать URL-адрес, доступный как из сети Интернет, так и из внутренней корпоративной сети. Это обеспечивает возможность использование файла служащими, находящимися как в сети организации, так и за ее пределами. В случае, если имеются условия использования списка отзыва, но при этом невозможно обнаружить действующий список отзыва, то в доступе к защищенной информации будет отказано.
Организации могут указывать доверяемые объекты в списке отзыва в следующих случаях:
- Если закрытый ключ стал известен или имеется подозрение, что он стал ненадежным.
- Владелец ключа запрашивает его отзыв, хотя нет оснований сомневаться в его надежности.
- Доверяемый объект больше недействителен (например, при увольнении служащего).
- Обнаружена уязвимость в системе усиления безопасности (например, сертификат, который был выдан клиентскому компьютеру, стал ненадежным).
- Понадобилась повторная сертификация из-за изменений в авторизации.
Создание списков отзыва и управление ими
Для отзыва необходимо создать список отзыва, представляющий собой XML-документ, при написании которого использовался язык XrML. В списке перечислены доверяемые объекты, для которых необходимо закрыть доступ к защищенной информации. При создании списков отзыва Вам необходимо их подписывать и указывать для них штамп времени с помощью средства Revocation List Signing, предоставляемого системой Windows RMS.
Поскольку при создании списков отзыва используется большое количество настроек, рекомендуем обратиться к разделу Creating revocation lists файла помощи RMS.