Proteja los documentos de Microsoft Office del acceso no autorizado. Protección del sistema para aplicaciones de MS Office
Microsoft Office 2003
Libro Blanco
Anotación.
Information Rights Management (IRM) es una tecnología que proporciona una sólida protección de la información a nivel de archivos que ayuda a proteger la información confidencial y la propiedad intelectual digital contra el uso no autorizado. IRM aprovecha al máximo los Servicios de administración de derechos (RMS) de Microsoft® Windows® que se encuentran en Windows Server™ 2003, Microsoft Internet Explorer y todas las versiones de Microsoft Office 2003. Este documento proporciona una descripción general de los beneficios de esta tecnología IRM. También analiza aspectos de su despliegue e implementación.
Para obtener la información más reciente, visite http://office.microsoft.com/home/default.aspx
En esta pagina
Conceptos básicos
Servicios de administración de derechos (RMS) de Microsoft® Windows® Windows Server™ 2003 es una tecnología de seguridad de la información que se utiliza con aplicaciones compatibles con RMS, como Microsoft Office 2003. RMS protege la información digital del uso no autorizado sin importar dónde o cómo se use: fuera de línea, dentro o fuera de una red con firewall. Al combinar las capacidades de Windows Server 2003, herramientas de desarrollo y tecnologías de seguridad estándar de la industria (incluido el cifrado, los certificados de lenguaje de marcado de derechos extensibles (XrML) y la autenticación), RMS amplía la estrategia de seguridad de una empresa mediante el uso de políticas sólidas para proteger la información que permanece. con información independientemente de dónde se utilice.
Gestión de derechos de información (IRM) amplía las capacidades de uso del servicio RMS en aplicaciones de Microsoft Office 2003, así como en el navegador Microsoft Internet Explorer. Los trabajadores de la información ahora pueden especificar quién puede utilizar un documento. También pueden determinar las acciones que se pueden realizar en el documento. Por ejemplo, pueden otorgar derechos para abrir, editar, imprimir, reenviar un documento y realizar otras acciones. Las organizaciones pueden crear sus propias plantillas de políticas de uso, como la plantilla Confidencial de solo lectura, que se pueden aplicar directamente a estados financieros, especificaciones de productos, información de clientes, mensajes de correo electrónico y otros documentos importantes.
información general
Un componente necesario del concepto de Computación confiable es la disponibilidad de tecnología que pueda proteger de manera confiable el contenido y mantener la confidencialidad de la información privada presentada en forma digital. El servicio IRM de Microsoft Office proporciona a las organizaciones y a sus empleados que manejan la información un mecanismo mediante el cual pueden proteger la información confidencial.
Este documento describe el uso de RMS en la infraestructura de una organización, su soporte para IRM y las mejoras de seguridad de la información en Microsoft Office 2003. El propósito de este documento es proporcionar una fuente única de información para ayudarlo a comprender los desafíos asociados con la protección de la información. mediante el uso de IRM y RMS, y también identificar formas de solucionarlos. Aunque la información presentada en las secciones de este documento no debe considerarse completa, es suficiente para respaldar la implementación y administración de una configuración típica. El documento también proporciona enlaces a secciones relevantes de los archivos de ayuda de RMS y a secciones del sitio web de RMS que brindan información más completa sobre los temas tratados. Estas fuentes proporcionan mucha más información sobre este tema. Por ejemplo, describe los beneficios comerciales del uso de RMS e IRM, describe las capacidades de arquitectura y topología y proporciona otra información a considerar al planificar su implementación.
Descripción general de los servicios IRM y RMS
RMS es una solución de seguridad de la información de Windows que funciona con aplicaciones compatibles con RMS para ayudar a proteger la información confidencial y confidencial del uso no autorizado, sin importar dónde se encuentre la información. Para satisfacer las demandas de los consumidores de una mayor seguridad de los datos, Microsoft diseñó RMS para aprovechar Windows Server 2003, las herramientas de desarrollo y las tecnologías de seguridad de la industria (incluido el cifrado, los certificados basados en XrML y la autenticación). Este enfoque permite a las organizaciones crear soluciones confiables de seguridad de la información. Para obtener más información sobre el significado y los beneficios de IRM y RMS, consulte el sitio web de RMS http://www.microsoft.com/windowsserver2003/technologies/rightsmgmt/default.mspx.
IRM le permite aprovechar las capacidades de seguridad de la información proporcionadas por RMS en sus computadoras de escritorio. IRM es una tecnología sólida de seguridad de datos a nivel de archivos que permite a los trabajadores de la información definir derechos de acceso a documentos o mensajes de correo electrónico y proteger la información de propiedad intelectual de propiedad digital contra impresiones, reenvíos o copias no autorizadas. Tenga en cuenta que IRM y la función de protección de documentos que se encuentra en Microsoft Office Word 2003 son cosas diferentes. La seguridad de los documentos permite a los trabajadores de la información establecer restricciones en el formato del documento y otorgar a usuarios y grupos específicos derechos de edición sobre partes específicas del documento.
La protección que brinda la tecnología IRM va de la mano del archivo. Una vez que haya protegido un documento o mensaje de correo electrónico utilizando la tecnología IRM, los derechos de uso establecidos para él se aplican sin importar dónde se use el documento (incluso si se usa fuera de la red de la organización). Para explorar cómo se pueden utilizar IRM y RMS juntos, consulte el documento Gestión de derechos de información en Microsoft Office 2003 Gestión de derechos de información en Microsoft Office 2003.
Una vez que al trabajador de la información se le otorga el derecho a usar un archivo, los derechos o restricciones de uso correspondientes (como la copia) se aplican a través de la interfaz de usuario (UI) de la aplicación y el modelo de objetos cuando se abre el archivo. Sin embargo, IRM no es una característica de seguridad; Al igual que otras políticas, es posible que estas restricciones no prevengan todas las posibilidades de uso indebido.
Casos de uso más comunes para IRM y RMS
IRM puede ayudar a proteger la información en una variedad de situaciones. La mayoría de las veces, los usuarios utilizan las capacidades de IRM en Office 2003 en dos casos:
Protección de mensajes de correo electrónico. El correo electrónico se utiliza como método principal para intercambiar información dentro y fuera de una organización. Los empleados utilizan el correo electrónico para comunicarse con los miembros del grupo de trabajo, otros grupos, clientes y proveedores. Los agentes de ventas de campo utilizan el correo electrónico para comunicarse con la oficina corporativa y negociar nuevas políticas de precios y actualizaciones de productos. Los directivos ejecutivos utilizan el correo electrónico para intercambiar información dentro de la organización. Los mensajes de correo electrónico se pueden ver sin conexión en un avión o en un hotel, lo que facilita que el empleado externo revise y redacte documentos.
Sin embargo, es precisamente debido a esta facilidad de intercambio de datos que aumenta el riesgo de fuga de información. Los mensajes de correo electrónico que contienen información confidencial (como un nuevo plan de producto o una fusión pendiente) pueden enviarse fácilmente (incluso accidentalmente) a un competidor, proveedor o los medios de comunicación. Las consecuencias negativas que pueden derivarse de dichas filtraciones de información pueden incluir pérdida de ventaja sobre los competidores, pérdida de ingresos y pérdida de confianza del consumidor en los productos. El uso de seguridad de correo electrónico basada en derechos ayuda a prevenir fugas de información al evitar que los mensajes se reenvíen accidentalmente. Esto también elimina la posibilidad de una situación en la que un atacante pueda alegar ignorancia de las reglas de la organización. La Figura 1 a continuación muestra un mensaje de correo electrónico protegido mediante la plantilla No reenviar. Los destinatarios de este correo electrónico no podrán reenviarlo ni copiar ni imprimir su contenido.
Figura 1: Protección de un correo electrónico mediante la plantilla IRM No reenviar
Protección de documentos. Una gran cantidad de información creada y utilizada por los empleados está contenida en documentos creados con programas de escritorio cotidianos. Los gerentes, ventas, recursos humanos, desarrollo de productos e investigación de productos utilizan los programas de Office 2003 para crear pronósticos financieros, planificar ventas, planificar ingresos, planificar ciclos de vida de productos, evaluar el desempeño de los empleados y escribir resultados de investigaciones, toda la cual información podría plantear una amenaza para la empresa si cae en las manos equivocadas. IRM proporciona a los trabajadores de la información la capacidad de establecer derechos de seguridad para información confidencial cuando utilizan programas incluidos con Office 2003 y determinar quién puede abrir o realizar cambios en un documento dentro de un período de tiempo específico.
Para aplicar la protección IRM, debe utilizar el botón ubicado en la barra de herramientas, como se muestra a continuación en la Figura 2:
Figura 2: Botón No distribuir (Permiso) que se encuentra en los programas de Office 2003
Si el servicio RMS se ha implementado en la empresa, cuando haga clic en este botón, se abrirá un cuadro de diálogo Permisos como se muestra en la Figura 3:
Figura 3: cuadro de diálogo de permisos, que enumera los usuarios y les asigna derechos
La ventana principal de permisos le permite otorgar rápida y fácilmente permisos de lectura y cambio a diferentes usuarios. Este utiliza su dirección de correo electrónico, que se almacena en Active Directory, para identificar a los usuarios, pero también puede utilizar una lista de correo. También puede especificar direcciones externas si su organización tiene una política de confianza que las especifique. Al hacer clic en el botón, se abrirá el cuadro de diálogo que se muestra en la Figura 4.
Figura 4 – Cuadro de diálogo Más opciones
Usando el primer parámetro adicional, puede establecer la fecha de vencimiento de los derechos de uso del documento. Una vez que especifique la fecha, los usuarios cuyos permisos hayan expirado no podrán abrir el documento. Además de especificar el período de validez de los derechos en el cuadro de diálogo Más opciones Los autores de documentos pueden otorgar selectivamente a otros empleados derechos para imprimir, copiar y abrir el documento mediante programación. Por defecto en el campo Configuraciones adicionales Se indica la dirección de correo electrónico del autor del documento, para que los destinatarios puedan ponerse en contacto con él para obtener derechos adicionales para utilizar este documento (consulte la Figura 5 a continuación para ver el enlace). Hay una solicitud de permisos adicionales... (Solicitar permisos adicionales)). El autor del documento también puede permitir o bloquear a los usuarios de versiones anteriores de Office para que no abran el documento para leerlo. Finalmente, es posible que el autor del documento desee establecer una conexión cada vez que se abre el documento. Sin embargo, de forma predeterminada, los destinatarios deben conectarse desde esta computadora al servidor RMS solo una vez para verificar su autoridad.
Cuando la usuaria Victoria, a quien se le han otorgado derechos de lectura sobre el documento (ver Figura 4), recibe el documento y lo abre, Word 2003 establece una conexión con el servidor RMS corporativo, que verifica sus derechos. Si se confirma que tiene derechos para leer el documento, se abrirá (si resulta que no tiene los derechos correspondientes, no se abrirá el documento). Una vez que abre el documento, no puede copiarlo, imprimirlo ni editarlo. Puede ver sus propios derechos para trabajar con este documento haciendo clic en en el panel de tareas:
Figura 5: Ver permisos para trabajar con un archivo protegido
Cuando se aplica IRM, los derechos de uso de la información siempre permanecen con él, incluso si la información se utiliza fuera de línea. Esto significa que los derechos de uso se aplicarán a la información protegida incluso si el empleado abre el correo electrónico o el documento sin conexión o cuando lo guardó previamente en el disco.
Descripción técnica de IRM y RMS
En el lado del servidor de Windows, RMS gestiona las funciones de licencia, activación de máquinas, inscripción y administración. RMS utiliza el servicio de directorio Active Directory® de Windows Server (Windows Server 2000 o posterior), así como una base de datos SQL, como Microsoft SQL Server™, para almacenar los ajustes de configuración.
Crear o ver contenido protegido en la estación de trabajo requiere un programa compatible con RMS. Microsoft Office 2003 incluye los primeros programas compatibles con RMS desarrollados por Microsoft. Para crear o ver documentos, hojas de cálculo, presentaciones y mensajes de correo electrónico protegidos, debe tener Microsoft Office Professional 2003. Si utiliza otras versiones de Office 2003, los destinatarios de los documentos protegidos sólo podrán trabajar con ellos (pero no crearlos) si Para ello, el autor del documento le ha concedido los derechos adecuados. El complemento Rights Management (RMA) para Internet Explorer permite a los empleados ver información protegida incluso si no tienen Microsoft Office 2003 instalado.
Arquitectura IRM y RMS
RMS es un servicio web administrado que utiliza ASP.NET, el protocolo de solicitud/respuesta HTTP SOAP y XrML para permitir a las organizaciones crear e implementar sus propias soluciones de seguridad de la información. Gracias a su alta escalabilidad, topología flexible, facilidad de administración y uso, el servicio RMS puede satisfacer todas las necesidades de protección de la información de cualquier organización.
El núcleo de la tecnología Windows RMS son las políticas de uso persistente (también conocidas como derechos y términos de uso). Los creadores de contenido pueden aplicar políticas de uso persistentes a nivel de archivos. Una vez que el autor (propietario) aplica estas políticas a un archivo, permanecen vigentes para siempre. Esto sucederá incluso si el archivo se ha movido fuera de la red corporativa.
RMS permite la aplicación persistente de políticas mediante la instalación de los siguientes elementos necesarios:
Objetos confiables. Las organizaciones pueden definir objetos, incluidos usuarios individuales, grupos de empleados, computadoras o aplicaciones, que se considerarán participantes confiables en el sistema RMS. Al definir objetos confiables, RMS puede garantizar que la información esté protegida al permitir el acceso solo a participantes debidamente autenticados. |
|
Derechos y condiciones de uso. Las organizaciones y los usuarios individuales pueden asignar derechos y condiciones de uso, determinando así qué acciones pueden realizar las entidades confiables sobre la información protegida. Ejemplos de estos derechos incluyen permiso para ver, copiar, imprimir, guardar, almacenar, reenviar y modificar. Los derechos de uso también pueden controlar cuándo caducan estos permisos y qué aplicaciones y objetos que no son de confianza tienen prohibido utilizar información protegida. |
|
Cifrado. El cifrado es un proceso en el que los datos se protegen mediante claves electrónicas. RMS cifra la información, haciéndola accesible solo si los objetos confiables se han autenticado exitosamente y se han aplicado ciertas políticas de uso. Una vez que la información está bloqueada, solo las entidades confiables con derechos para usar la información, sujetas a ciertas condiciones (si las hay), pueden desbloquear o descifrar la información y ejercer los derechos de uso que se les otorgan. |
Conceptos básicos de RMS
La tecnología Windows RMS, que utiliza componentes de servidor y cliente, proporciona las siguientes capacidades:
Creación de archivos y contenedores protegidos. Los trabajadores de la información designados como objetos confiables en RMS pueden crear y administrar fácilmente archivos protegidos utilizando programas familiares y herramientas de desarrollo que incluyen la tecnología Windows RMS. Por ejemplo, utilizando barras de herramientas de aplicaciones familiares, los empleados pueden asignar permisos y términos para el uso de información como correos electrónicos y documentos. Además, las aplicaciones compatibles con RMS pueden utilizar plantillas de políticas de derechos adoptadas formalmente y asignadas de manera centralizada, lo que ayuda a los empleados a aplicar de manera efectiva políticas de uso predefinidas organizacionalmente. |
|
Licencia y distribución de información protegida. Los certificados basados en XrML emitidos por RMS identifican entidades confiables que pueden publicar información protegida. Los usuarios designados como entidades confiables en RMS pueden asignar derechos y condiciones a la información que desean proteger. Estas políticas de uso definen quién puede acceder y utilizar la información. En un proceso que ocurre detrás de escena de los empleados de la información, el sistema RMS verifica la autenticidad de los elementos confiables y emite licencias de publicación que contienen los derechos y términos de uso definidos por el autor de la información. La información se cifra mediante claves electrónicas obtenidas de aplicaciones o de certificados de entidades de confianza basados en XrML. Una vez que la información está protegida mediante este mecanismo, solo puede ser desbloqueada y utilizada por entidades confiables definidas en las licencias de publicación. Los empleados pueden compartir información protegida con colegas dentro de su organización o con usuarios externos de confianza proporcionándoles la información por correo electrónico, compartiéndola en un servidor o transfiriéndola a un disquete. |
|
Obtención de licencias para descifrar información protegida y hacer cumplir las políticas de uso. Los usuarios que son entidades confiables pueden acceder a información protegida utilizando clientes confiables. Estos clientes son computadoras y aplicaciones habilitadas para RMS que aplican políticas de uso, lo que permite a los empleados ver e interactuar con información protegida. |
El servidor RMS, que tiene la clave pública utilizada para cifrar la información, verifica las credenciales del destinatario sin que éste lo sepa y emite una licencia de uso que contiene los derechos y términos de uso especificados en la licencia de publicación. La información se descifra mediante claves electrónicas obtenidas de licencias de uso y certificados de objetos confiables basados en XrML. Luego, la aplicación compatible con RMS hace cumplir los derechos y términos de uso. Son permanentes y se aplican a la información sin importar dónde se utilice a continuación.
componentes RMS
Software de servidor RMS de Windows está representado por un servicio web de Windows Server 2003 que administra la certificación de objetos confiables basada en XrML, las licencias de información protegida, la inscripción de servidores y usuarios y funciones administrativas. |
|
Software cliente de administración de derechos de Windows es un grupo de API de Windows que simplifica el proceso de activación de computadoras y permite que las aplicaciones compatibles con RMS funcionen con el servidor RMS para licenciar la publicación y utilizar información protegida. |
|
SDK para los componentes del servidor y del cliente incluye documentación y ejemplos de código que permiten a los desarrolladores de software personalizar el entorno del servidor Windows RMS y crear aplicaciones compatibles con RMS. |
Software de servidor RMS
El núcleo de la tecnología Windows RMS es el componente del servidor, que gestiona la certificación de confianza, la concesión de licencias de información protegida, la inscripción y subinscripción de servidores y usuarios, y realiza funciones administrativas. El software de servidor facilita los pasos de configuración que permiten a entidades confiables utilizar información protegida. A continuación se detallan las características proporcionadas por la parte del servidor RMS:
Configuración de objetos confiables. La tecnología Windows RMS proporciona herramientas para instalar y configurar servidores, computadoras cliente y cuentas de usuario como objetos confiables de RMS. Esto hace lo siguiente:
|
|||||||||||
Licencias de publicación que definen derechos y condiciones de uso. Las entidades confiables pueden utilizar herramientas simples incluidas con aplicaciones compatibles con RMS para asignar derechos y condiciones específicos para el uso de su información que sean consistentes con las políticas de su organización. Los derechos y condiciones de uso se establecen en licencias publicadas, que enumeran quién está autorizado a acceder a la información y cómo se puede utilizar y compartir la información. RMS utiliza eXtensible Rights Markup Language (XrML) versión 1.2.1, que se basa en XML, para asignar derechos y condiciones de uso. |
|||||||||||
Utilice licencias que definan el cumplimiento de los derechos y los términos de uso. Cada objeto confiable que actúa como destinatario de información protegida, al intentar abrirlo, solicita y recibe una licencia de uso del servidor RMS, y esto pasa desapercibido para el destinatario. Se otorga una licencia de uso a los destinatarios autorizados, definiendo sus derechos y condiciones de uso de la información. Las aplicaciones compatibles con RMS utilizan las capacidades de la tecnología RMS de Windows para leer información, procesar y hacer cumplir los derechos y términos de uso definidos en la licencia de uso. |
|||||||||||
Cifrado y claves. La información protegida siempre está cifrada. Las aplicaciones compatibles con RMS utilizan claves simétricas para cifrar información. Todos los servidores RMS, computadoras cliente y cuentas de usuario tienen un par de claves RSA de 1024 bits (claves públicas y privadas). Windows RMS utiliza claves públicas y privadas para cifrar la clave simétrica almacenada en licencias publicadas y en uso, y para firmar licencias y certificados basados en XrML utilizados para la administración de derechos, lo que permite el acceso solo a objetos confiables. |
|||||||||||
Plantillas de políticas de derechos. Los administradores pueden crear y distribuir plantillas de políticas de derechos oficiales, asignando derechos y condiciones de uso a empleados específicos. Para obtener más información, consulte la sección Uso de plantillas de políticas de derechos. El uso de plantillas en una organización le permite gestionar la información, llevándola a una forma ordenada y jerárquica. Por ejemplo, puede crear plantillas de políticas de derechos para los empleados de su organización, especificando diversos derechos y condiciones para utilizar información confidencial, clasificada y de propiedad exclusiva de la empresa. Estas plantillas pueden ser utilizadas por aplicaciones compatibles con RMS, lo que permite a los empleados aplicar políticas predefinidas a la información de manera fácil y consistente. |
|||||||||||
Listas de recuerdo. Los administradores pueden crear y distribuir listas de revocación que identifiquen objetos confiables que ya no son confiables, lo que hace que se eliminen del sistema RMS y dejen de ser válidos (los objetos confiables incluyen individuos, grupos de usuarios, computadoras o programas que son participantes confiables en el sistema RMS). ). Una lista de revocación distribuida en toda una organización le permite invalidar computadoras o cuentas de usuario específicas. Por ejemplo, si un empleado se va, cualquier objeto de confianza asociado con el empleado puede agregarse a la lista de revocación, lo que provocará que ya no se utilice en operaciones relacionadas con RMS. |
|||||||||||
Políticas de exclusión. Del lado del servidor, los administradores pueden hacer cumplir políticas de exclusión. Estas políticas le permiten impedir el procesamiento de solicitudes de licencia basadas en el ID de usuario (credenciales de inicio de sesión de Windows o .NET Passport), el certificado que define los derechos de la cuenta o la versión del almacén seguro que administra los derechos. Las políticas de exclusión impiden el procesamiento de nuevas solicitudes de licencia enviadas por objetos confiables que no son confiables, pero a diferencia de la revocación, las políticas de exclusión no invalidan los objetos confiables. Los administradores también pueden aplicar una política de exclusión a aplicaciones potencialmente peligrosas o que no son de confianza, evitando que esas aplicaciones descifren información protegida. |
|||||||||||
Explotación florestal. Los administradores pueden monitorear y revisar el uso de la información protegida dentro de la organización. RMS proporciona soporte de registro para que su organización tenga un registro de las actividades asociadas con el uso de RMS, incluidos registros del otorgamiento o denegación de licencias de publicación y uso. |
Kit de desarrollo RMS
El servicio Windows RMS tiene un SDK (Kit de desarrollo de software) de Windows RMS. Este paquete incluye un conjunto de herramientas, documentación y ejemplos de código que permiten a las organizaciones personalizar Windows RMS. El SDK incluye interfaces SOAP (protocolo simple de acceso a objetos), que permiten a los desarrolladores crear componentes para diversos fines, por ejemplo, para:
SDK para clientes RMS
La tecnología Windows RMS proporciona un SDK (kit de desarrollo de software) para clientes RMS. El SDK incluye un conjunto de herramientas, documentación y ejemplos de código que permiten a los desarrolladores crear aplicaciones compatibles con RMS. Utilizando el SDK y las interfaces de programación de aplicaciones (API) cliente que lo acompañan, los desarrolladores pueden crear aplicaciones cliente confiables que pueden otorgar licencias, publicar y consumir información protegida.
El SDK para clientes RMS incluye los siguientes componentes:
Software de cliente RMS
Cada computadora cliente RMS debe tener instalado el cliente Windows Rights Management (WRM). Este componente de cliente, necesario para utilizar aplicaciones compatibles con RMS, es un grupo de API de Windows Rights Management que se pueden preinstalar o descargar desde el sitio web de Windows Update. El cliente WRM también se utiliza durante el proceso de activación de la computadora.
Componentes IRM
Office 2003 incluye las primeras aplicaciones compatibles con RMS. Además, las aplicaciones de Office 2003 amplían las capacidades de RMS.
Cómo funciona RMS/IRM
Los empleados no necesitan tomar ninguna medida especial para proteger los datos utilizando Windows RMS. Funcionan exactamente igual que con la información normal.
La Figura 7 a continuación muestra cómo funciona RMS al publicar y utilizar información protegida por parte de los usuarios.
Figura 7 – Publicación y uso de información protegida
En el proceso de publicación y uso de la información se realizan los siguientes pasos (numerados arriba en la figura):
Utilizando una aplicación compatible con RMS (como Office Professional 2003), el autor crea un archivo y establece los derechos y condiciones de uso del mismo. |
|
Luego, la aplicación cifra el archivo utilizando una clave simétrica, que a su vez se cifra utilizando la clave pública del servidor RMS del autor. Luego, la clave se agrega a la licencia de publicación, que a su vez se agrega al archivo. Sólo el servidor RMS del autor puede emitir licencias para descifrar el archivo. La Figura 8 a continuación muestra en qué consiste un archivo protegido de Office 2003.  Figura 8 – Contenido del archivo protegido |
|
El usuario recibe el archivo protegido como de costumbre y lo abre mediante una aplicación o navegador compatible con RMS. Si la computadora o dispositivo del destinatario no tiene un certificado de cuenta, se emitirá un certificado (suponiendo que el destinatario tenga acceso al servidor raíz RMS y tenga una cuenta en la empresa). |
|
La aplicación solicita una licencia de uso del servidor que emitió la licencia para publicar datos protegidos. La solicitud incluye el certificado de cuenta del destinatario (que contiene la clave pública del destinatario) y una licencia de publicación (que contiene la clave simétrica que se utilizó para cifrar el archivo). La licencia de publicación emitida por el certificado del licenciante del cliente contiene la URL del servidor que emitió el certificado. En este caso, la solicitud de licencia de uso se envía al servidor RMS que emitió el certificado de licencia del cliente, en lugar de a la computadora que emitió la licencia de publicación. |
|
El servidor de licencias RMS verifica el nombre de usuario, verifica la identidad del destinatario y crea una licencia de uso. Durante este proceso, el servidor descifra la clave simétrica utilizando la clave privada del servidor, la vuelve a cifrar con la clave pública del destinatario y la agrega a la licencia de uso. Además, el servidor agrega términos relevantes a la licencia de uso, como fechas de vencimiento, exclusión de determinadas aplicaciones o sistemas operativos. Después de esto, sólo el usuario al que está destinada esta información podrá descifrar la clave simétrica, descifrando así el archivo protegido. |
|
Una vez que se completa la autenticación, el servidor de licencias devuelve la licencia de uso a la computadora cliente del destinatario. |
|
Después de recibir una licencia de uso, la aplicación verifica tanto la licencia como el certificado de cuenta del destinatario para determinar si hay un certificado en la cadena de confianza que deba verificarse en la lista de revocación. Si hay una, la aplicación busca una copia local de la lista de revocación que aún no haya caducado. Si es necesario, la aplicación recibe una copia de la lista de revocación actual y luego cumple con las condiciones de revocación que se aplican en ese caso. Si no existen condiciones de revocación que bloqueen el acceso al fichero, la aplicación proporciona los datos al usuario, tras lo cual podrá trabajar con ellos de acuerdo con los derechos que le fueron concedidos. |
Para garantizar la confidencialidad de la información en formato electrónico, los usuarios, por regla general, utilizan medios tales como empaquetar en archivos con una contraseña, asignar permisos de acceso a determinadas carpetas y archivos para los usuarios de computadoras, cifrar mediante herramientas del sistema de archivos, cifrar mediante diversos programas especializados. y etc. Al mismo tiempo, para proteger información de poco valor, a veces utilizan "artillería pesada" como PGP, etc. Y viceversa, el usuario deja un documento valioso desprotegido porque no conoce las posibilidades de protegerlo. . Mientras tanto, algunos programas tienen medios integrados para proteger los datos de miradas indiscretas.
Los programas de seguridad de la información incluyen, por ejemplo, componentes del conocido paquete de software Microsoft Office. Usando las herramientas integradas en ellos, es posible prohibir no solo abrir un archivo, sino también cambiar la información que contiene, y también es posible permitir cambios solo en elementos individuales del documento.
Configuración de seguridad en MS Word
S Word le permite establecer las siguientes restricciones en los documentos:
- prohibición de abrir un expediente;
- prohibición de escribir un archivo;
- prohibición de modificar el documento, excepto para registrar correcciones;
- prohibición de modificar el documento, excepto para insertar notas;
- prohibición de modificar el documento, excepto ingresar datos en los campos del formulario.
Consideremos estas posibilidades.
Protección con contraseña para abrir un archivo
Esta es la protección más completa y confiable de las enumeradas. Cuando lo instala, se le solicita una contraseña para acceder al documento, y cuando guarda el archivo, el documento se cifra para que no pueda leerse sin pasar la contraseña por ningún programa que no sea MS Word. Durante el cifrado, el texto original cambia por completo.
Si observa el contenido de dicho archivo, sólo verá una mezcla incoherente de caracteres. Al abrir dicho documento, MS Word solicita una contraseña y, si es correcta, el documento se descifra.
Sin embargo, vale la pena señalar que, al igual que el yogur, no todos los tipos de cifrado son “igualmente útiles”. Aquí, como en la vida real, una cerradura que a su propietario le parece una protección confiable y un obstáculo insuperable, a veces puede ser abierta fácil y rápidamente por un atacante con habilidades y herramientas especiales.
Por lo tanto, en la versión de MS Word 95 se utilizó un método de cifrado extremadamente poco confiable, por lo que la contraseña para abrir un documento se puede calcular mediante decodificación directa utilizando programas especiales.
Las versiones de MS Word 97/2000 utilizan un algoritmo de cifrado RC4 más estable. El cifrado RC4 se usa ampliamente en varios sistemas de seguridad de la información, por ejemplo, para cifrar contraseñas en la familia Windows NT. Encontrar una contraseña para un documento cifrado sólo se puede hacer buscando entre las opciones, y esto puede llevar meses de trabajo continuo. En la versión de MS Word XP, al configurar una contraseña, el usuario puede elegir uno de los tipos de cifrado disponibles y especificar la seguridad de la clave.
Veamos cómo configurar la protección para abrir un documento (Fig. 1).
Después de hacer clic en Aceptar, aparecerá la ventana Confirmar contraseña, pidiéndole que vuelva a ingresar la misma contraseña. Esto es necesario para que el usuario no pueda "bloquear" inadvertidamente el documento ingresando una secuencia aleatoria de caracteres.
Después de confirmar con éxito la contraseña, deberá guardar el documento, que quedará cifrado.
Cuando abres un documento protegido de esta manera, aparece un cuadro de diálogo en el que debes ingresar una contraseña. Si los caracteres ingresados coinciden con la contraseña, se abre el documento; de lo contrario, se muestra un mensaje que indica que la contraseña es incorrecta.
Si ya no es necesario proteger el documento, puede eliminarlo fácilmente abriendo el documento, eliminando los asteriscos en el campo de contraseña (Herramientas => Opciones => Guardar) y guardando el archivo.
Protección con contraseña para escribir un archivo
El objetivo de esta protección no es ocultar el contenido del documento, sino protegerlo de cambios no deseados. Después de instalarlo, al abrir un documento, aparece un cuadro de diálogo (Fig. 2) que le solicita que ingrese una contraseña. Si el usuario no conoce la contraseña o por algún motivo no quiere ingresarla, puede hacer clic en el botón “Solo lectura” y se abrirá el documento. Sin embargo, si intenta guardar los cambios realizados en este documento, aparecerá el cuadro de diálogo Guardar documento, al igual que cuando guardó por primera vez, donde el usuario tendrá que especificar un nuevo nombre de archivo, un nuevo directorio o ambos. Así, esta protección no permite que los usuarios que desconocen la contraseña dañen el documento. Sin embargo, por ejemplo, no está prohibido tomarlo como base y guardarlo con otro nombre.
Esta protección se configura de manera similar a la anterior (Herramientas => Opciones => Guardar), solo se debe ingresar la contraseña en el campo “Contraseña de permiso de escritura” (ver Fig. 1). Puede ingresar una contraseña en ambos campos. Por lo tanto, a algunos usuarios se les puede bloquear completamente el acceso al archivo, mientras que a otros solo se les puede prohibir sobrescribirlo.
Desafortunadamente, el algoritmo de esta protección es muy vulnerable a la piratería, por lo que no debes confiarle la única copia de un documento importante.
Para configurar dicha recomendación, debe abrir el documento deseado, ejecutar el comando de menú Herramientas => Opciones y en la pestaña "Guardar" marcar la casilla "Recomendar acceso de solo lectura" (ver Fig. 1).
Las correcciones en MS Word significan cambios en un documento, es decir, eliminar fragmentos de texto, agregar, formatear, etc. Al editar un documento normalmente, los cambios realizados serán irreversibles, por lo que será muy difícil determinar posteriormente qué se cambió exactamente. Si el modo de corrección de registros está habilitado, se registran todos los cambios, el texto eliminado en realidad no se elimina, sino que solo se marca como eliminado, y el autor del documento puede descubrir fácilmente qué cambios realizó el revisor al encender la pantalla. de correcciones en el modo de pantalla.
Puede saber si el modo de grabación de corrección está habilitado o no mediante el indicador "ISPR" en la barra de estado: letras negras: el modo está activado, letras grises: apagado. Al hacer doble clic en este indicador se alterna este modo. Los comandos para trabajar con correcciones se encuentran en el menú Herramientas => Correcciones y en el menú contextual del indicador "ISPR".
Por lo tanto, al cambiar el documento, es posible que el revisor ni siquiera se dé cuenta de que "todos los movimientos están registrados". Si un documento pasa secuencialmente por varios revisores, MS Word marca automáticamente las correcciones de cada uno de ellos en diferentes colores y registra sus nombres y apellidos especificados en la pestaña Herramientas => Opciones => Usuario, así como la fecha y hora de la corrección.
MS Word le permite evitar que sus revisores realicen cambios en el documento que no sean correcciones de registro. Sin conocer la contraseña, el revisor no podrá desactivar el modo de grabación de correcciones y realizar cambios que quizás no note más adelante.
Si lo solicita, la prohibición puede ser de carácter consultivo, ya que no es obligatorio ingresar una contraseña para esta protección.
Las notas en MS Word son el equivalente electrónico de las notas en los márgenes de un documento en papel. Le dan al revisor la oportunidad de expresar sus observaciones, consideraciones y comentarios sobre el texto sin cambiar el texto mismo. Para insertar una nota, debe seleccionar el fragmento comentado y ejecutar el comando de menú Insertar => Nota.
Luego aparece el Área de notas en la parte inferior de la pantalla, donde puede ingresar el texto de su nota. Si un revisor no puede expresar sus pensamientos con palabras, puede insertar una nota de audio presionando un botón, agregar un objeto de audio y decir lo que necesite decir en el micrófono. Cuando hayas terminado de ingresar tu nota, deberás hacer clic en el botón “Cerrar”. Para poder determinar a qué revisor pertenece esta nota, antes de cada uno de ellos, MS Word inserta automáticamente las iniciales del revisor, especificadas en la pestaña Herramientas => Opciones => Usuario, y un número de serie. Para ver las notas insertadas, debe ejecutar el comando de menú Ver => Notas. Además, si en la pestaña "Ver" del cuadro de diálogo "Opciones" (Herramientas => Opciones) el elemento "Mostrar información sobre herramientas" está habilitado, los fragmentos de texto comentados se resaltan sobre un fondo amarillo (en MS Word XP - con corchetes de colores) y al pasar el cursor sobre Al hacer clic en el puntero del mouse, aparece información sobre herramientas que contiene el nombre del autor y el texto de la nota.
La prohibición de cambios en el documento, excepto la inserción de notas, se lleva a cabo de manera similar a la prohibición anterior (Herramientas => Establecer protección), solo que en el cuadro de diálogo "Protección del documento" (ver Fig. 3) debe seleccionar el elemento “Prohibir cualquier cambio, excepto la inserción de notas”.
MS Word le permite crear formularios electrónicos, es decir, formularios en los que se completan ciertos campos. Para hacer esto, se crea un documento con el contenido requerido y los campos del formulario se insertan en los lugares donde luego se ingresarán los datos usando el comando de menú Insertar => Campo de formulario. Los campos de formulario son de tres tipos: cuadro de texto, casilla de verificación y cuadro combinado. El tipo de campo de texto puede ser diferente: texto sin formato, número, fecha, hora y cálculo. En el último caso, los cálculos se pueden realizar en dicho campo basándose en los datos ingresados en otros campos del formulario, ya que cada campo está marcado con un marcador y tiene un nombre único. El campo "Casilla de verificación" se utiliza para marcar elementos individuales del formulario con una cruz haciendo clic en él. El “cuadro combinado” se utiliza para permitir al usuario seleccionar fácilmente una de las opciones de respuesta propuestas.
El formulario creado está bloqueado y el usuario que lo completa solo puede ingresar datos en estos campos. Esto asegura que el usuario no estropee el formulario ingresando datos en el lugar incorrecto.
La prohibición de cambios en un documento, excepto ingresar datos en los campos del formulario, se realiza de manera similar a los dos anteriores (Herramientas => Establecer protección), solo que en el cuadro de diálogo "Protección de documento" (ver Fig. 3) debe seleccionar la opción elemento "Prohibir cualquier cambio, excepto ingresar datos en los campos del formulario". Si un documento consta de dos o más secciones creadas con el comando de menú Insertar => Romper => Nueva sección, entonces esta prohibición se puede aplicar a secciones individuales haciendo clic en el botón "Secciones" en el cuadro de diálogo "Protección del documento".
Configuración de seguridad en MS Excel
S Excel le permite establecer las siguientes restricciones:
- prohibición de abrir un expediente;
- prohibición de escribir un archivo;
- recomendación de abrir el archivo en modo de sólo lectura;
- protección de láminas;
- protección de libros;
- protección del libro mayor.
Consideremos estas posibilidades.
El propósito de las tres primeras restricciones es el mismo que en MS Word. Cuando establece una contraseña para abrir el libro, el libro se cifra, pero el algoritmo de cifrado es menos resistente a la piratería en MS Excel en comparación con el algoritmo de MS Word.
Estas restricciones se establecen en MS Excel no en el cuadro de diálogo "Opciones", como en MS Word, sino al guardar el archivo en el cuadro de diálogo "Guardar documento" seleccionando el comando de menú Herramientas => Opciones generales (Fig. 4) ( en MS Excel XP - Configuración de seguridad).
Protección de hoja con contraseña
MS Excel le permite proteger hojas individuales de un libro contra cambios. En este caso, la protección puede extenderse al contenido de las celdas, a los objetos gráficos y diagramas, así como a los scripts. MS Excel XP en una hoja protegida también le permite permitir o prohibir formatear, insertar y eliminar filas y columnas, etc. Si lo solicita, la prohibición puede ser de carácter consultivo, ya que no es obligatorio ingresar una contraseña para proteger la hoja.
La protección de contenido significa prohibir cualquier cambio en las celdas protegidas (cambiar valores, mover y eliminar), así como prohibir la visualización de fórmulas contenidas en las celdas de la barra de fórmulas.
Proteger objetos gráficos y diagramas significa prohibir su modificación, movimiento y eliminación. La reconstrucción de gráficos cuando cambian los datos de origen no está bloqueada.
Proteger los scripts significa prohibir su modificación y eliminación. Un script en MS Excel es un conjunto de valores para varias celdas. Con la ayuda de scripts, puede cambiar rápidamente los valores de varias celdas a la vez y analizar los resultados.
Para trabajar con scripts, utilice el comando de menú Herramientas => Scripts.
Para configurar la protección de la hoja activa, debe ejecutar el comando de menú Herramientas => Protección => Proteger hoja. En el cuadro de diálogo “Proteger hoja” que aparece (Fig. 5), debe seleccionar los elementos protegidos de la hoja y, si es necesario, ingresar una contraseña.
La protección de hojas sólo afecta a aquellas celdas y objetos cuyas propiedades tengan habilitada su protección. Para habilitarlo o deshabilitarlo, debe abrir el cuadro de diálogo para configurar el formato del elemento correspondiente ejecutando el comando de menú Formato => Celdas o Formato => Autoforma o Formato => Área seleccionada del gráfico, etc. y en la pestaña "Protección" (o "Propiedades" - para un diagrama) desmarque o marque la casilla responsable de proteger este elemento.
Cuando intenta editar celdas protegidas mientras la protección de la hoja de trabajo está habilitada, recibe un mensaje que indica que la celda está protegida contra modificaciones. La protección de hoja es conveniente, por ejemplo, cuando la hoja contiene una gran cantidad de fórmulas que pueden perderse si el usuario ingresa valores en estas celdas por error. En este caso, las celdas que contienen fórmulas están protegidas, pero las celdas que contienen datos editables por el usuario siguen siendo accesibles.
La eliminación de la protección de una hoja se realiza mediante el comando de menú Herramientas => Protección => Desproteger de la hoja.
MS Excel le permite proteger un libro de cambios en su estructura (agregar, eliminar, cambiar el nombre, mover, copiar hojas), así como de cambios en la ventana del libro dentro de la ventana de MS Excel (mover, cambiar el tamaño, contraer/expandir, etc. .). Si lo solicita, la prohibición puede ser de carácter consultivo, ya que no es obligatorio ingresar una contraseña para proteger el libro.
Para instalar la protección de un libro, debe ejecutar el comando de menú Herramientas => Protección => Proteger libro. En el cuadro de diálogo "Proteger libro de trabajo" que aparece, debe seleccionar los elementos protegidos del libro de trabajo (estructura o ventanas) y, si es necesario, ingresar una contraseña.
Protección con contraseña de un libro de contabilidad compartido
MS Excel le permite proteger el libro compartido para que no se desactive el modo de grabación de corrección.
Un libro compartido en MS Excel significa uno que varios usuarios pueden editar simultáneamente a través de la red. Además, para poder ver qué usuario realizó qué cambios, todos los cambios se marcan en diferentes colores como correcciones. En caso de conflicto, es decir, si diferentes usuarios ingresaron datos en la misma celda, aparece un cuadro de diálogo que pregunta qué datos dejar.
Para instalar dicha protección, debe ejecutar el comando de menú Herramientas => Protección => Proteger libro y compartir.
Protección contra virus de macros
Un aspecto importante de la seguridad cuando se trabaja con MS Office es la protección contra virus de macro.
A partir de la versión MS Office 97, sus componentes tienen protección integrada contra virus de macro.
Esta protección radica en el hecho de que al abrir un documento que contiene macros, dependiendo de la configuración del programa, las macros se deshabilitan por completo o se le ofrecen al usuario opciones de respuesta: si desea abrir el documento con las macros deshabilitadas, con las macros habilitadas o para no abrirlo en absoluto. Si las macros en el documento que abre tienen una firma digital cuya autenticidad ha sido verificada, y si el usuario confía en este desarrollador de macros, entonces puede agregarlo a la lista de fuentes confiables para que en el futuro las macros en los documentos recibidos de él se incluirán automáticamente. Si el usuario confía en la seguridad de todos los documentos que abre, puede desactivar la protección antivirus de macros incorporada.
A pesar de la presencia de protección incorporada contra virus de macro, no vale la pena confiar solo en ella, ya que hay información de que, debido a sus vulnerabilidades, en algunos casos es posible ejecutar un virus de macro sin pasar por la prohibición.
La configuración de la protección antivirus de macros en los componentes de MS Office que utilizan lenguajes de macros se realiza de forma similar. Para hacer esto, debe ejecutar el comando de menú Herramientas => Macro => Seguridad. En el cuadro de diálogo "Seguridad" que aparece (Fig. 6), debe configurar el interruptor "Nivel de seguridad" en la posición requerida: "Alto", "Medio" o "Bajo".
En la posición "Alta", la decisión de incluir o no macros al abrir un documento la toma el propio programa, en función de si la macro está firmada, si la firma está confirmada y si su autor es una fuente confiable. Si el autor de esta macro no está en la lista de fuentes confiables, se le solicita al usuario que confíe en él. Si la respuesta es positiva, el autor de la macro se agrega a esta lista. Si el usuario ya no confía en ningún autor de macro, puede ser eliminado de la lista de confianza seleccionándolo en la pestaña "Fuentes confiables" y haciendo clic en el botón "Eliminar". Si la macro no está firmada o la firma digital no se verifica, las macros se desactivan automáticamente.
En la posición Baja, las macros no se desactivan y no se realizan comprobaciones.
Además de esta protección, a partir de la versión de MS Office 2000, sus componentes tienen la capacidad de interactuar con algunos programas antivirus mediante una interfaz de programación API antivirus especial. Entre ellos se incluyen, por ejemplo, programas tan conocidos como Norton AntiVirus y Kaspersky Anti-Virus.
Si uno de estos programas está instalado en su computadora, en el cuadro de diálogo "Seguridad" (Herramientas => Macro => Seguridad), (ver Fig. 6) aparece el mensaje "Programas antivirus instalados". En este caso, al abrir documentos de MS Office, se llama automáticamente al módulo antivirus del programa correspondiente y se analiza el archivo abierto en busca de virus, como lo demuestra el mensaje "Solicitud de análisis antivirus" en la barra de estado.
Si se detecta un virus, se realizan acciones adicionales de acuerdo con la configuración del programa antivirus correspondiente. Si no se encuentra ningún programa antivirus que sea compatible con MS Office, el cuadro de diálogo "Seguridad" muestra el mensaje "El programa antivirus no está instalado".
La creación de una contraseña para un documento serio debe abordarse con seriedad, ya que de ello depende su resistencia a la piratería. El hecho es que un atacante puede adivinar fácilmente una contraseña analfabeta y acceder a un documento protegido por ella. Al mismo tiempo, existe una gran cantidad de programas especializados para buscar rápidamente contraseñas de documentos en varios paquetes de software. En teoría, puedes adivinar cualquier contraseña, pero el tiempo empleado en ello puede variar desde fracciones de segundo hasta varios miles de años. El tiempo que lleva seleccionar una contraseña depende de su longitud, los caracteres utilizados, el algoritmo de fuerza bruta y la potencia de la computadora.
Hay tres métodos principales de contraseñas de fuerza bruta: fuerza bruta directa, fuerza bruta de máscara y fuerza bruta de diccionario.
El diccionario de fuerza bruta se basa en la renuencia de los usuarios a recordar contraseñas compuestas por caracteres aleatorios. Para que sea más fácil de recordar, los usuarios suelen utilizar como contraseña varias palabras, su propio nombre, el nombre de su gato favorito, fecha de nacimiento, etc. En casos clínicos, cuando el programa solicita “Ingresar contraseña”, el usuario ingresa “contraseña”. Al mismo tiempo, el número de combinaciones posibles se reduce catastróficamente y, a veces, se puede encontrar una contraseña incluso sin el uso de medios especiales, guiados por las características psicológicas de la persona. Por lo tanto, al crear una contraseña, trate de no utilizar palabras del diccionario. Si no puede recordar contraseñas que consisten en caracteres aleatorios desconectados, por ejemplo "hJ6$bL_&gF", utilice al menos el siguiente truco: establezca una palabra rusa de longitud suficiente como contraseña, cambie al diseño en inglés, pero al ingresar Para ello, utilice teclados de letras rusas. En este caso, por ejemplo, la combinación fácil de recordar “Sidorov_A.P.” se convertirá en el mucho más incoherente "Cbljhjd_F/G/".
Por lo tanto, la longitud de la contraseña para un documento importante debe tener al menos diez caracteres, la contraseña debe contener caracteres especiales (!@#$%^&*, etc.), números, letras mayúsculas y minúsculas; la contraseña no debe consistir en palabras del diccionario escritas en orden directo o inverso, no debe contener ninguna información sobre el usuario (nombre, año de nacimiento, etc.) y no debe ser lógica en absoluto. No se debe anotar en un monitor ni en un papel al lado del ordenador. Recuerde que en el sistema de defensa más avanzado, el eslabón más débil suele ser la persona.
Conclusión
Por supuesto, la confiabilidad de la protección de la información utilizando herramientas integradas de MS Office es mucho menor que la proporcionada por programas especializados, sin embargo, en muchos casos, el uso de herramientas integradas resulta más justificado debido a su mayor flexibilidad y naturaleza incorporada.
Aquí, aparentemente, se puede aplicar el mismo principio que al elegir una alarma para automóvil: su costo debe ser aproximadamente el 10% del costo del automóvil. Es decir, cuanto más valioso sea el documento, más poderosos deben ser los medios para garantizar su seguridad.
Encontrar
Protección del sistema para aplicaciones de MS Office
Laboratorio No. 2
Protección de información en Microsoft Office (Word, Excel, Access, Power Point) y Win OS.
En la etapa de guardar archivos de Word, Excel y Access, es posible organizar la protección sistémica de las carpetas que contienen estos archivos, es decir. Para proteger carpetas utilizando tecnología (ver figura), no es necesario trabajar con accesos directos a carpetas. Esta tecnología se implementa directamente en las ventanas para guardar archivos, si, repetimos, el usuario tiene los derechos correspondientes.
Así, en Word (fig.) y Excel en la Ventana de Guardar Archivo vía Herramientas/Propiedades/Acceso o Servicio/Propiedades/Seguridad, vamos a las mismas ventanas de acceso y seguridad del sistema que en la Fig.
Dado que en Access la ubicación del nuevo archivo de base de datos que se guardará se determina en la primera etapa de su creación, la tecnología descrita se implementa en la ventana de creación del archivo de base de datos (Fig.).
Además de las medidas de protección descritas, comunes a todas las aplicaciones de MS Office, el DBMS Access implementa medidas de protección específicas contra el acceso no autorizado a objetos específicos de la base de datos (tablas, formularios, consultas, informes, macros, la base de datos en su conjunto) diferenciadas por derechos de usuario. y permisos sobre objetos. Esto es comprensible; después de todo, las bases de datos en un DBMS deben protegerse con especial cuidado.
Las operaciones de protección para una base de datos de Access existente se realizan desde el menú Herramientas/Protección (Fig.). Las operaciones para proteger contra el acceso no autorizado se especifican en todos los comandos del menú emergente.
El comando Asistente inicia un potente asistente de protección de bases de datos (la figura muestra cómo ingresar al asistente: el primer paso). En 8 pasos, el asistente de protección, habiendo creado previamente una copia de seguridad de la base de datos, protege la base de datos de forma diferencial para cada uno de los usuarios y grupos de usuarios permitidos y para los objetos de la base de datos.
a) Servicio de seguridad de acceso
Arroz. Operaciones de Seguridad en Access
b) el primer paso del Asistente de protección de acceso
Arroz. Continuación
Para iniciar el asistente de protección, debe eliminar la contraseña de la base de datos (si existe) y cambiar del modo de acceso exclusivo (sin el cual la protección con contraseña de la base de datos es imposible) al modo general. Luego, en un diálogo con el asistente, se establecen (o se aceptan de forma predeterminada) numerosos parámetros de seguridad, después de lo cual puede restaurar la protección con contraseña.
Una descripción detallada de las operaciones de seguridad del sistema de la base de datos de Access no es nuestra tarea, porque Ocupará demasiado espacio comparable en volumen a este tutorial. La interfaz de operaciones de seguridad es lo suficientemente simple como para que la comprenda un usuario final no profesional.
Si utiliza Microsoft Office 2007 y le preocupa la seguridad de sus documentos, debe recordar que este paquete, al igual que el sistema operativo, ya tiene muchas tecnologías integradas que ayudan a proteger de manera confiable los documentos contra el acceso no autorizado y la interceptación durante la transmisión. , y eso puede limitar el acceso a los documentos para diferentes usuarios. Es poco probable que la mayoría de los usuarios utilicen algo más que establecer una contraseña para un documento, por lo que les recordaré todos los tipos de protección.
Cifrar un documento con Microsoft Office 2007
En realidad, el método de protección más popular que todo el mundo utiliza es establecer una contraseña. El archivo no se puede leer a menos que conozca la contraseña. Hoy en día existen muchos programas de piratería diseñados para descifrar contraseñas, no todos y no siempre son efectivos, pero no se excluye la posibilidad de piratería.
Firma digital
Una firma digital es aproximadamente lo mismo que una firma normal certificada por un notario. Solo una firma digital no está certificada por un notario, sino que la emite una organización especial: el Centro de Certificación.
Autoridad de certificación (CA). Una organización comercial que emite certificados digitales, rastrea a quién están asignados, firma los certificados para verificar su autenticidad y monitorea el vencimiento y la revocación de los certificados emitidos.
Se puede agregar una firma digital a un documento, ya sea visible o invisible (¡sorpresa!). Sí, para obtenerlo, debe comunicarse con una organización de terceros, pero esta es la única forma legal de asegurar la autoría y proteger el documento contra robos y modificaciones. Tenga en cuenta que las firmas digitales insertadas en un documento de Microsoft Office 2007 no son compatibles con documentos de versiones anteriores de programas.
Ahora pasemos de las tecnologías integradas en la oficina a las tecnologías disponibles en Windows XP y superior.
Gestión de derechos de información
IRM es un servicio de gestión de derechos de información para aplicaciones de Microsoft Office, asociado al servicio Servicios de gestión de derechos – servicio de gestión de derechos. Windows RMS proporciona seguridad y control de extremo a extremo sobre quién puede leer, imprimir, editar, reenviar o copiar documentos.
IRM es una tecnología de seguridad de la información (no una tecnología de firewall) que le permite compartir documentos y enviarlos en mensajes de correo electrónico mientras proporciona control completo sobre el acceso a esa información al determinar quién puede verla o cambiarla. Una vez que un documento o mensaje de correo electrónico esté protegido mediante esta tecnología, esos derechos de acceso y uso seguirán aplicándose en todo momento, sin importar dónde se utilice posteriormente la información (incluso si la información se utiliza fuera de la red de la organización). Dado que la protección IRM está indisolublemente ligada al archivo protegido, las restricciones de uso establecidas siempre estarán vigentes.
Puede obtener más información sobre las capacidades de IRM en el sitio web de los desarrolladores: http://www.microsoft.com/rus/technet/articles/office/4134.mspx.
IPSec: seguridad del protocolo de Internet, un método de cifrado que se utiliza durante la transmisión de datos a través de la red. La tecnología permite cifrar los datos sólo durante la transmisión, la protección finaliza en el momento en que la información llega a su destino. Los detalles y parámetros técnicos están disponibles a través de los desarrolladores: http://technet.microsoft.com/ru-ru/library/cc757613.aspx.
Junto con las tecnologías que permiten cifrar datos durante la transmisión, también existe el cifrado local de información.
Sistema de cifrado de archivos
Y otra tecnología que le permite cifrar datos localmente, que apareció en Windows Vista: BitLocker. Le permite cifrar todo el disco del sistema, protegiendo así el contenido de ataques de apagado, que están diseñados para obtener datos sin pasar por el sistema operativo.
BitLocker utiliza el algoritmo AES con una clave de 128 bits. Para mayor confiabilidad, la longitud de la clave se puede aumentar a 256 bits mediante Políticas de grupo o mediante el proveedor de Instrumental de administración de Windows (WMI) para BitLocker.
Espero que esta publicación amplíe su perspectiva sobre las formas de preservar documentos. Por cierto, ¿sabes cómo (dónde y de quién) se puede obtener una firma digital en Rusia y Ucrania?
Además de los mecanismos de protección de carpetas y archivos implementados a nivel del sistema operativo, las aplicaciones de MS Office tienen mecanismos de protección adicionales. Los desarrolladores de MS Office han incorporado la capacidad de proteger los archivos obtenidos como resultado de los programas de aplicación del paquete. Las principales funciones de protección para las principales aplicaciones de MS Office 2013 (MS Word, MS Excel, MS PowerPoint) son las mismas. Por tanto, a partir de ahora nos referiremos al documento, libro o presentación como un archivo de MS Office. Si existen funciones de seguridad, por ejemplo en MS Excel, se mencionarán específicamente.
Las aplicaciones de MS Office 2013 implementan los siguientes mecanismos de protección de datos:
- - cifrado de archivos;
- - limitar la lista de operaciones permitidas al editar archivos;
- - uso de firma electrónica.
Los archivos de la aplicación Microsoft Office 2013 están protegidos contra el acceso no autorizado mediante cifrado. Este procedimiento se llama “Cifrar con contraseña”. Si un atacante pudo acceder a la computadora, no podrá trabajar con archivos cifrados. De forma predeterminada, se utiliza el criptosistema AES con una clave de 128 bits para cifrar archivos.
Para cifrar un archivo abierto se realiza la siguiente secuencia de acciones: ARCHIVO / Información / Proteger un documento (libros, presentaciones) / Cifrar usando contraseña, ingresar una contraseña. Al abrir un archivo cifrado, el sistema solicita que ingrese una contraseña, después de lo cual el archivo se descifra y se abre en la ventana de la aplicación.
En MS Office, el usuario tiene la oportunidad. restricciones en la lista de operaciones permitidas , que se puede ejecutar en relación con el archivo protegido. Por ejemplo, se permite solo lectura y no se permite escritura.
En MS Word, sólo puedes permitir las siguientes acciones en un documento:
- - sólo lectura;
- - registrar correcciones;
- - notas;
- - ingresar datos en los campos del formulario.
Para establecer una restricción al cambiar el texto principal de un documento, debe realizar las siguientes configuraciones. Abra el archivo, luego en Paneles de tareas: REVISAR / Proteger / Restringir edición / Restricciones de edición / Marcar Permitir solo el método especificado para editar un documento / Elemento Solo lectura / Habilitar protección / Sí, habilitar protección. El usuario tiene la oportunidad de utilizar una contraseña. Si se ingresa una contraseña, se le solicitará cuando intente cambiar el modo de restricción de edición de documentos.
Cuando abre un archivo con el modo Solo lectura habilitado, solo está disponible para su visualización. Para acceder a la edición de un archivo, vaya a la pestaña VER y seleccione Editar documento. en el abierto Paneles de tareas la protección está deshabilitada (Desactivar protección). Si es necesario, ingrese una contraseña.
Si, en lugar del modo de restricción de edición de Solo lectura, selecciona los modos Escribir correcciones, Notas, Ingresar datos en campos de formulario, conservará la capacidad de leer el documento y podrá trabajar con correcciones, comentarios e ingresar datos en el formulario. campos, respectivamente. Habilitar y deshabilitar estos modos requiere realizar acciones similares a las analizadas cuando se trabaja con el modo Solo lectura.
La aplicación MS Excel también puede establecer restricciones sobre las acciones del usuario con archivos, que se pueden agrupar de la siguiente manera:
- - proteger la estructura del libro;
- - proteger la hoja actual.
Proteger la estructura del libro implica la prohibición de agregar, cambiar el nombre y eliminar hojas del libro. El modo de protección del libro abierto se configura de dos maneras:
- - Archivo / Detalles / Protección del libro / Proteger la estructura del libro;
- - Revisar / Proteger el libro.
Para completar el proceso de configuración del modo de protección del libro, debe ingresar una contraseña (opcional) en la ventana que se abre, que será necesaria para cancelar el modo. Negarse a utilizar una contraseña le permite proteger el libro de trabajo solo de cambios involuntarios en el libro de trabajo. El modo de protección de la estructura del libro en este caso se elimina haciendo clic en el botón Proteger libro en la pestaña REVISAR. El modo no se guarda al copiar un archivo. Si se ingresó una contraseña, el modo se puede cancelar haciendo clic en el botón Proteger libro en la pestaña REVISAR y luego ingresando la contraseña.
Configurar el modo Proteger hoja actual le permite excluir la posibilidad de cambiar el contenido de las celdas y permitir selectivamente seleccionar y formatear bloques de celdas, insertar o eliminar columnas o filas, y algunas otras acciones.
El usuario puede elegir una de las dos formas disponibles para configurar el modo de protección de la hoja actual:
- - ARCHIVO / Detalles / Protección de libros / Proteger hoja actual;
- - REVISAR/Proteger hoja.
Como en el caso de proteger la estructura del libro, el usuario puede negarse a ingresar una contraseña. Para eliminar la protección, simplemente haga clic en el botón REVISAR / Desproteger hoja. Si se ha utilizado una contraseña, se le pedirá que la ingrese después de hacer clic en este botón.
En MS Excel se pueden crear condiciones de acceso especiales para bloques de celdas individuales o celdas individuales. Para permitir la edición de bloques individuales de celdas en una hoja protegida, debe abrir la ventana REVISAR / Permitir rangos de edición. En esta ventana, haga clic en el botón Crear. En la ventana Nuevo rango, debe ingresar el nombre del rango seleccionado (deje el nombre sugerido) y seleccionar el rango requerido.
Si planea proporcionar acceso al bloque seleccionado mediante una contraseña, debe ingresarla. Si no se utiliza una contraseña, se establece el acceso libre al bloque seleccionado para editarlo. Luego se instala la protección de la hoja. Para hacer esto, en la ventana Permitir cambiar rangos, haga clic en el botón Proteger hoja. en la ventana Protección de láminas También se le solicitará que ingrese una contraseña. Las contraseñas de protección de hojas y de protección de bloques deben ser diferentes. De lo contrario, se pierde el significado de restringir el acceso a un bloque de celdas: es suficiente para proteger la hoja. Si se pretende delegar los derechos para editar solo una parte separada de la hoja (puede haber varios bloques de celdas con reglas de acceso especiales) a un ejecutante específico, entonces se le informa solo la contraseña de acceso a ciertos bloques de la hoja. .
Para eliminar permisos de rango o cambiar la configuración de permisos de rango, primero desproteja la hoja (REVISAR/Desproteger hoja) y luego elimine/cambie la información del rango en la ventana Permitir cambios de rango. No se requiere una contraseña para eliminar el permiso para editar rangos, incluso si se usó una al ingresar el permiso. Además, para eliminar la protección de una hoja creada con una contraseña, debe ingresar una contraseña.
En la aplicación MS Excel, para diferentes usuarios de computadoras, se puede permitir al propietario del archivo editar bloques individuales de una hoja protegida sin contraseñas (incluso si se han creado contraseñas para los bloques). Para hacer esto, en la ventana Permitir cambiar rangos, seleccione el rango requerido y haga clic en el botón Permisos. En la ventana Permisos para el grupo Nombre de rango, haga clic en Agregar. En las siguientes ventanas que se abren secuencialmente, haga clic en Avanzado, Buscar, seleccione los usuarios de computadora requeridos y regrese usando el botón Aceptar. Desde la ventana Permisos para el grupo Nombre de rango, regrese a la ventana Permitir cambios de rangos y configure Protección de hoja.
Los usuarios para quienes se ha creado acceso a rangos individuales tienen derecho a editar estos rangos sin contraseña. Al resto de rangos solo se puede acceder mediante contraseña.
Usando una firma digital se utiliza para controlar la integridad y confirmar la autoría de archivos de Word, Excel y PowerPoint (la documentación de MS Office utiliza el término "firma digital"). Al abrir un documento, libro o presentación, no se muestra la firma electrónica.
El algoritmo general para trabajar con firma electrónica implica el uso de un certificado y una clave secreta. La clave privada se utiliza al crear una firma y el certificado es necesario para verificar la autenticidad e integridad del documento certificado por la firma. El algoritmo de verificación utiliza directamente la clave pública contenida en el certificado. La información restante del certificado se utiliza principalmente para confirmar que la clave pública pertenece a la persona que firma el documento.
La confirmación de la autenticidad del certificado se realiza mediante autoridades de certificación. En la Federación de Rusia, se ha creado un sistema de centros de certificación para organizar el flujo estatal de documentos electrónicos legalmente significativos. Hay docenas de autoridades de certificación raíz confiables en Internet que permiten el intercambio de mensajes firmados.
Si la computadora del usuario no tiene un certificado, se puede obtener uno de uno de los socios de Microsoft. Se pueden obtener enlaces a los sitios web de dichas autoridades de certificación al intentar crear una firma digital: ARCHIVO / Detalles / Protección del documento / Agregar firma digital.
Si no puede obtener un certificado de una autoridad certificadora, puede crear su propio certificado. Dicho certificado no está certificado por una autoridad de certificación confiable y no puede usarse para confirmar la autoría de un documento (mensaje). Un certificado personal sólo le permite verificar la integridad de los archivos. También se puede utilizar para adquirir habilidades para trabajar con firmas electrónicas.
Para crear un certificado personal, debe buscar y ejecutar el programa Selfcert.exe: INICIO / Ingrese el nombre del programa Selfcert.exe en la ventana Buscar programas y archivos / Activar el programa Selfcert.exe.
El proceso de creación de una firma electrónica (firma digital invisible) incluye los siguientes pasos.
1. ARCHIVO / Detalles / Proteger documento (Proteger libro o Proteger presentación) / Agregar firma digital. En la ventana Firma se indica información sobre el tipo de firma, el propósito de firmar el archivo, así como información sobre la persona que firmó el documento, libro o presentación. La firma se escribe en el archivo después de hacer clic en el botón Firmar.
La presencia de una firma de archivo invisible se indica mediante el botón Este documento contiene firmas en la barra de estado, así como una línea amarilla que advierte que el archivo está marcado como Final. Una firma digital no puede impedir cambios en un archivo y sirve como medio para verificar la integridad del archivo. Si hace clic en el botón Editar de todos modos en la línea de advertencia, la firma digital se elimina, lo que indica cambios en el archivo firmado.
La información sobre la presencia de una firma de archivo se puede obtener después de ir a ARCHIVO / Detalles. Aparece un enlace para ver firmas en la ventana que se abre. Si sigue el enlace, en el área de tareas que se abre Firmas proporciona la posibilidad de ver los parámetros de la firma y eliminarlos. Para hacer esto, use el menú desplegable de firma digital.
Junto con la firma electrónica, que en la documentación de MS Microsoft se denomina digital o invisible, se utiliza línea de firma visible. La línea de firma se parece a un área de firma típica en un documento impreso, pero funciona de manera diferente. Al agregar una línea de firma a un documento de Word o un libro de Excel, el autor puede proporcionar detalles e instrucciones para el firmante previsto. Cuando se envía una copia electrónica de un archivo al firmante previsto, ve una línea de firma y una notificación de que se requiere su firma. Él puede:
- - introducir una firma;
- - seleccione una imagen de una firma digital;
- - introducir una firma utilizando la función de escritura a mano en la tableta.
Junto con la firma visible, se añade automáticamente al documento una firma electrónica (invisible) para confirmar la identidad del firmante.
El proceso de creación de una línea de firma es un proceso de cuatro pasos.
- 1. Coloque el puntero del mouse en la ubicación del documento u hoja de trabajo donde desea crear una línea de firma.
- 2. En la pestaña INSERTAR, en el grupo Texto, expanda la lista Línea de firma y seleccione Línea de firma de Microsoft Office.
- 3. En el cuadro de diálogo Configuración de firma, ingrese la información que aparecerá en la línea de firma:
- - firmante propuesto - nombre completo del firmante;
- - cargo del firmante propuesto - cargo del firmante (si lo hubiera);
- - dirección de correo electrónico del firmante propuesto - dirección de correo electrónico del firmante (si es necesario);
- - instrucciones para el firmante - instrucciones para el firmante;
- - permitir al firmante agregar notas en la ventana de firma - permitir al firmante indicar el propósito de agregar la firma;
- - mostrar la fecha de la firma en la línea de la firma - mostrar la fecha de la firma junto con la firma.
- 4. Haga clic en Aceptar.
Como resultado, se creará una línea de firma (Fig. 5.3) en forma de formulario incompleto (sin firma).
Arroz. 53.
Para iniciar sesión en la línea de firma de un documento de Word o Excel, haga clic derecho en la línea de firma del archivo. Seleccione el comando Firmar del menú. Se abre la ventana Firma.
Se puede ingresar la siguiente información junto al ícono x:
- - texto impreso del nombre del firmante (desde el teclado);
- - firma manuscrita, escaneada previamente (vaya al enlace Seleccionar una imagen);
- - firma manuscrita, si es posible la introducción directa de información gráfica desde la pantalla de una computadora (tableta).
Al firmar una línea de firma se añade tanto una firma visible como una firma electrónica.
Para eliminar firmas digitales de un documento de Word o Excel, siga estos pasos:
- 1. Abra un documento u hoja con una firma visible que desee eliminar.
- 2. Haga clic derecho en la línea de la firma.
- 3. Seleccione el comando Eliminar firma del menú.
- 4. Haga clic en Sí.
Además de las funciones de seguridad, las aplicaciones de Office 2013 pueden utilizar mecanismos que no pueden clasificarse como funciones de seguridad completas, pero que restringen algunas operaciones con archivos. No afectan a la protección del fichero contra la pérdida de confidencialidad, integridad y disponibilidad. Estos mecanismos incluyen la asignación de un estado de archivo. Final para todos los archivos de MS Office y prohíbe el uso de ciertos estilos de formato en MS Word. El primero de ellos no puede prohibir cambiar el archivo, sino que solo sirve como advertencia sobre la inconveniencia de cambiar el archivo. El segundo se refiere únicamente a las restricciones de formato.
El usuario de MS Office tiene la capacidad de asignar un estado de archivo Final. Por lo general, un archivo se marca como final una vez que el equipo ha terminado de trabajar en él. Las aplicaciones prohíben ingresar a dicho archivo, editarlo y revisar la ortografía. Sin embargo, cualquier usuario puede cancelar este modo de uso de archivos. El mecanismo debe considerarse como un medio para notificar el estado del expediente y protegerlo de cambios accidentales una vez completado el trabajo acordado sobre el mismo.
Para dar el estado de un archivo Final debes abrir el archivo y seguir estos pasos: ARCHIVO / Detalles / Proteger documento / Marcar como final. Una señal de estatus Final sirve como advertencia sobre un fondo amarillo en la parte superior de la ventana y un ícono Marcado como final en la barra de estado.
Estado Final se cancela después de presionar la tecla Editar de todos modos en la barra de advertencia amarilla en la parte superior de la ventana de la aplicación.
Los mecanismos restrictivos también incluyen la posibilidad de prohibir el uso de ciertos estilos de formato de archivos en MS Word. La configuración de restricciones de formato está disponible cuando realiza las siguientes acciones: REVISAR / Proteger / Restringir edición / Restricciones de formato. Seleccionar/eliminar la casilla de verificación Restringir el conjunto de estilos permitidos le permite controlar el acceso a ciertos estilos de formato de documentos.
Por lo tanto, en las versiones modernas del sistema operativo Windows y las aplicaciones de MS Office se han desarrollado mecanismos para garantizar la seguridad de la información. El usuario tiene la posibilidad de configurarlos de acuerdo con la política de seguridad seleccionada.
