Управление на стороне Майкрософт. Операции с ключом клиента в течение его жизненного цикла

Область применения: Azure Information Protection, Office 365

К чему относится: клиент унифицированных меток и классический клиент AIP

Примечание

Для унификации и улучшения работы пользователей поддержка классического клиента Azure Information Protection и клиента управления метками на портале Azure прекращается с 31 марта 2021 г. Хотя классический клиент продолжит работать, дальнейшая поддержка предоставляться не будет и версии для обслуживания классического клиента больше не будут выпускаться.

Рекомендуется перейти на унифицированные метки и выполнить обновление до клиента унифицированных меток. Дополнительные сведения см. в недавней записи блога о прекращении использования.

Если вашим ключом клиента для Azure Information Protection управляет Майкрософт (по умолчанию), сведения об операциях в течение жизненного цикла, относящихся к этой топологии, см. в следующих разделах.

Отзыв ключа клиента

При отмене подписки на Azure Information Protection использование вашего ключа клиента прекращается, и не требуются никакие дополнительные действия.

Повторное создание ключа клиента

Повторное создание ключа также называется обновлением ключа. При выполнении этой операции Azure Information Protection перестает использовать существующий ключ клиента для защиты документов и сообщений электронной почты и начинает использовать другой ключ. Политики и шаблоны немедленно подписываются заново, но этот переход выполняется постепенно для существующих клиентов и служб, использующих Azure Information Protection. Поэтому на протяжении некоторого времени часть нового содержимого будет по-прежнему защищаться старым ключом клиента.

Чтобы повторно создать ключ, необходимо настроить объект ключа клиента и указать альтернативный ключ. Затем ранее использованный ключ автоматически отмечается как заархивированный для Azure Information Protection. Эта конфигурация гарантирует, что содержимое, защищенное с помощью этого ключа, остается доступным.

Далее приведены примеры, когда может потребоваться повторно создать ключ для Azure Information Protection.

  • Выполнена миграция из служб Active Directory Rights Management Services (AD RMS) с ключом режима шифрования 1. После завершения миграции необходимо перейти на использование ключа с режимом шифрования 2.

  • Компания разделяется на несколько компаний. При повторном создании ключа клиента новая компания не будет иметь доступ к новому содержимому, публикуемому вашими сотрудниками. Но новая компания будет иметь доступ к старому контенту, если получит копию старого ключа клиента.

  • Вы хотите перейти с одной топологии управления ключами на другую.

  • Существуют основания предполагать, что мастер-копия ключа клиента скомпрометирована.

Чтобы сменить ключ, можно выбрать в качестве ключа клиента другой ключ, управляемый Майкрософт, но вы не сможете создать ключ, управляемый Майкрософт. Чтобы создать ключ, необходимо изменить топологию ключа на топологию под управлением клиентом (BYOK).

У вас имеется несколько управляемых Майкрософт ключей, если вы перешли со служб Active Directory Rights Management Services (AD RMS) и выбрали для Azure Information Protection топологию ключа под управлением Майкрософт. В этом сценарии у вас есть по меньшей мере два ключа, управляемых Майкрософт, для вашего клиента. Один ключ (или несколько) является ключом, импортированным из AD RMS. У вас также будет ключ по умолчанию, который был автоматически создан для вашего клиента Azure Information Protection.

Чтобы выбрать другой ключ для использования в качестве ключа активного клиента для Azure Information Protection, используйте командлет Set-аипсервицекэйпропертиес из модуля аипсервице. Чтобы узнать, какой ключ использовать, используйте командлет Get-аипсервицекэйс . Вы можете определить ключ по умолчанию, который был автоматически создан для вашего клиента Azure Information Protection, выполнив следующую команду:

(Get-AipServiceKeys) | Sort-Object CreationTime | Select-Object -First 1

Чтобы изменить топологию ключа на управляемую клиентом (BYOK), см. статью планирование и реализация ключа клиента Azure Information Protection.

Резервное копирование и восстановление ключа клиента

За резервное копирование ключа клиента отвечает Майкрософт; с вашей стороны никакие действия не требуются.

Экспорт ключа клиента

Можно экспортировать конфигурацию Azure Information Protection и ключ клиента, следуя инструкциям в следующих трех шагах.

Шаг 1. Инициация экспорта

  • Обратитесь в службу поддержки Майкрософт, чтобы создать обращение в службу поддержки Azure Information Protection с запросом на экспорт ключа Azure Information Protection. Необходимо доказать, что вы являетесь глобальным администратором вашего клиента и знаете, что для подтверждения этого процесса требуется несколько дней. Взимается стандартная плата за поддержку. Экспорт ключа клиента является платной услугой.

Шаг 2. Ожидание верификации

  • Майкрософт проверяет законность вашего запроса на выпуск ключа клиента Azure Information Protection. Это может занять до трех недель.

Шаг 3 Получение ключевых инструкций от CSS

  • Служба поддержки клиентов Майкрософт (CSS) отправит вам конфигурацию Azure Information Protection и ключ клиента в виде зашифрованного и защищенного паролем файла с расширением TPD. Для этого CSS сначала отправит вам (или лицу, инициировавшему экспорт) инструмент по электронной почте. Необходимо запустить этот инструмент в командной строке следующим образом:

    AadrmTpd.exe -createkey
    

    Будет создана пара ключей RSA; открытая и закрытая части будут сохранены в виде файлов в текущей папке. Например: PublicKey-FA29D0FE-5049-4C8E-931B-96C6152B0441.txt и PrivateKey-FA29D0FE-5049-4C8E-931B-96C6152B0441.txt.

    Ответьте на электронное письмо от CSS, вложив файл, имя которого начинается с PublicKey. Затем CSS отправит TPD-файл в виде XML-файла, зашифрованного вашим ключом RSA. Скопируйте этот файл в ту же папку, где изначально использовалось средство AadrmTpd, и снова запустите средство, используя файл, который начинается с PrivateKey, и файл от CSS. Пример:

    AadrmTpd.exe -key PrivateKey-FA29D0FE-5049-4C8E-931B-96C6152B0441.txt -target TPD-77172C7B-8E21-48B7-9854-7A4CEAC474D0.xml
    

    Команда должна вернуть два файла: один с текстовым паролем для защищенного паролем TPD-файла, второй — с самим TPD-файлом. Файлы имеют новый идентификатор GUID, например:

    • Password-5E4C2018-8C8C-4548-8705-E3218AA1544E.txt

    • ExportedTPD-5E4C2018-8C8C-4548-8705-E3218AA1544E.xml

      Создайте резервную копию этих файлов и сохраните ее в безопасном месте, чтобы можно было продолжать расшифровку содержимого, защищенного этим ключом клиента. Кроме того, при переходе на AD RMS можно импортировать этот TPD-файл (имя начинается с ExportedTDP) на сервер AD RMS.

Шаг 4. Текущие действия: защита ключа клиента

После получения ключа клиента необходимо надежно его защитить, так как любой человек, который получит к нему доступ, сможет расшифровать все документы, защищенные с использованием данного ключа

Если ключ клиент экспортируется потому, что вы не желаете дальше использовать Azure Information Protection, рекомендуется деактивировать службу Azure Rights Management из клиента Azure Information Protection прямо сейчас. Не откладывайте эту операцию после получения ключа клиента, поскольку данная мера предосторожности позволит свести к минимуму последствия в случае доступа к вашему ключу клиента со стороны неуполномоченного лица Инструкции см. в разделе списание и деактивация Rights Management Azure.

Реакция на нарушения

Ни одна система безопасности, как бы она ни была сильна, не обходится без процесса реагирования на нарушения. Ключ клиента может быть скомпрометирован или перехвачен. Даже если он хорошо защищен, могут быть найдены уязвимости в технологии создания ключа текущего поколения или в текущей длине и алгоритмах ключа.

В Майкрософт имеется специальная группа реагирования на угрозы безопасности в наших продуктах и службах. Как только появляется достоверное сообщение об инциденте, эта группа приступает к исследованиям области, корневой причины и способов устранения. Если этот инцидент влияет на ваши активы, корпорация Майкрософт будет уведомлять глобальных администраторов о вашем клиенте по электронной почте.

Если обнаруживается нарушение, то оптимальные действия, которые можно предпринять, зависят от области нарушения; в этом процессе Майкрософт будет работать совместно с вами. В следующей таблице приведены некоторые распространенные ситуации и возможные ответы, хотя точная реакция будет зависеть от всей информации, выявленной во время исследования.

Описание инцидента Вероятный ответ
Произошла утечка ключа клиента. Повторно создайте ключ клиента. Ознакомьтесь с разделом Повторное создание ключа клиента в этой статье.
Неавторизованное лицо или вредоносное ПО получило права на использование ключа клиента, но утечка самого ключа клиента не произошла. В этой ситуации повторное создание ключа клиента не поможет, и необходимо выполнить анализ основной причины. Если получение доступа несанкционированным лицом произошло вследствие ошибки в процессе или программе, то такую ситуацию необходимо исправить.
Уязвимость, обнаруженную в алгоритме RSA, в длине ключа или в результате атаки методом "грубой силы", возможно вычислить. Корпорация Майкрософт обязуется обновлять Azure Information Protection для поддержки новых алгоритмов и более длинных ключей, которые более устойчивы, и сообщать всем клиентам о необходимости повторного создания ключей.