Skydda dokument i OneDrive/SharePoint med IRM

SharePoint (OneDrive for Business) IRM säkerhetsställer att informationen är skyddad när den lämnar SharePoint.

Jag får många frågor runt Information Rights Management (IRM) i SharePoint och om hur det hänger ihop med Rights Management Services (RMS). Fullt förståeligt att detta blir rörigt så vi börjar med att reda ut begreppen.

RMS är krypteringslösningen som används både av IRM och Azure Information Protection (AIP) för att skydda och behörighetskontrollera data.

IRM är ett koncept för SharePoint och OneDrive for Business som ser till att skydda vår information så fort den på något sätt lämnar SharePoint. Antingen vid nedladdning av filer, synk av ett bibliotek eller vid delning. Krypteringen som används är RMS.

De filer som krypteras är Office-dokument i form av Word, Excel, PowerPoint, XML-filer samt PDF.Övriga filformat berörs inte av IRM och kommer inte krypteras varken vid nedladdning eller delning. Det går dock att begränsa så enbart filtyper som stöds får laddas upp till OneDrive och på så sätt se till att all information är krypterad i alla lägen.

Trots att dokumenten är krypterade av IRM stöds fortfarande online versionerna av Word, Excel, PowerPoint och möjliggör visning och editering via webbläsaren. Vid begränsad behörighet förhindras exempelvis utskrift och kopiering av data.
Notera här att det är tack vare IRM som skyddade Office-filer kan visas med exempelvis Word Online, då IRM hanterar både kryptering och dekryptering med RMS. En fil som är RMS skyddad innan uppladdning är inte läsbar av IRM och kan därav inte visas med online-tjänsterna. Där emot kan en fil som RMS-krypterats av IRM flyttas mellan olika bibliotek i SharePoint/OneDrive och på så sätt se till att rätt personer har tillgång till dokumentet. Det är användarnas rättigheter till det aktuella biblioteket eller filen i sig som definierar RMS-behörigheten.

image

Delning på ett säkert sätt

Den stora fördelen med SharePoint/OneDrive är att kunna samarbeta och dela ett dokument där flera parter är inne och tittar/editerar dokumentet samtidigt. IRM begränsar inte arbetssättet utan tillför högre säkerhet vid både delning och nyttjande av onlinetjänsterna.
Office-filer kan delas både från Office applikationen eller från webgränssnittet med den stora fördelen att slutanvändaren märker ingen skillnad utan jobbar precis som vanligt.

RMS krypterar och definierar behörighet i form av enbart visning eller editeringsmöjlighet utefter de två alternativ som finns vid delning, view eller edit.

image image

Det som inte fungerar är att skicka en direktlänk till dokumentet om det inte finns definierat att just den användaren även har RMS-mässigt behörighet till dokumentet.

Automatisk kryptering från utforskaren och Office

När en användare sparar eller flyttar ett Office-dokument till OneDrive kommer dokumentet bli krypterat så fort filen stängs och synkas till OneDrive.

image image

OBS den senaste versionen av OneDrive klienten (OneDrive.exe) stödjer än så länge inte IRM. Stödet finns idag med OneDrive for Business klienten (groove.exe)

Användaren kan själva ändra behörighet men inte ta bort skyddet

Användaren har alltid full kontroll över sina egna filer i exempelvis OneDrive och kan även förändra rättigheterna på filen. Antingen RMS -mässigt genom att klicka ”Change Permission” eller genom att klassificera dokumentet med Azure Information Protection och en informationsklass som också krypterar och ändrar behörighet till dokumentet. Skulle skyddet plockas bort av användaren kommer nästa synk att påtvinga ett skydd igen. IRM säkerhetställer att alla dokument kommer vara skyddade.

image

Viktigt att tänka på om RMS-skyddet förändras av användaren är att krypteringen då genomförs med användarens nycklar och ger fördelen användaren kan spåra och återkalla behörighet till filen. IRM kommer dock inte längre kunna läsa filen och därmed begränsas nyttjande av Word Online.

image

PDF

Skyddade PDF-filer öppnas med Azure Information Protection Viewer, eller annan PDF applikation med stöd för RMS.

Då användaren alltid har fulla rättigheter är det möjligt att skapa en oskyddad PDF genom att välja ”Save As” i AIP Viewer och spara den på en annan plats än just OneDrive.

image image

Om PDF-filer försöker öppnas med en läsare som inte supporterar RMS får användaren följande:
image

Alla filer är krypterade i SharePoint Online och OneDrive for Business

Tack vare IRM är våra Office-dokument och PDF:er alltid krypterade med ett skydd som följer med själva filen, oavsett om de flyttas eller delas. IRM krypterar inte filerna när de lagras. Skyddet appliceras av IRM när filen konsumeras eller lämnar SharePoint/OneDrive.

Men hur krypteras då filerna i SharePoint Online och OneDrive for Business?
Alla filer oavsett filtyp som lagras i online tjänsterna krypteras. För detaljer om krypteringen och dess nyckelhantering se nedanstående beskrivning

 

Det finns flera designmässiga lösningar runt AIP/RMS/IRM som bör anpassas utefter verksamhetens behov. Återkom om stöttning behövs i dessa frågeställningar.

Publicerat i Informationssäkerhet, RMS | Märkt , , | Lämna en kommentar

RANSOMWARE ÖKAR LAVINARTAT

Ni har säkert inte missat i media om det virusutbrott som härjar sedan i fredags. Ett Ransomware som både krypterar data, låser ut användarna och begär lösensumma för att återge tillgång.

Det ransomware som nu sprider sig lavinartat heter WannaCrypt/WannaCry som nyttjar en sårbarhet i SMB i Windows.

Denna sårbarhet patchade Microsoft redan i mars månad. Verifiera både bland servrar och klienter att följande uppdatering finns installerad MS17-10 Håll sedan fortsatt fokus på att alltid uppdatera all mjukvara

Förutom att uppdatera sårbarheter i mjukvara är det viktigt att informera/utbilda alla användare att vara vaksamma och tänka till, innan man klickar på länkar och öppnar bifogade filer bland annat via epost.

Det är också viktigt att det finns backup/restore av all viktig information om det väl skulle inträffa ett utbrott hos er.

Publicerat i Okategoriserade | Märkt , | Lämna en kommentar

Viktig engineuppdatering av Microsofts antimalware

Under gårdagen skickade Microsoft ut en viktig säkerhetsuppdatering för motorn till sina antimalwareprodukter (Oavsett Defender, Endpoint Protection, Security Essential är det samma antimalwaremotor/engine som används).

Sårbarheten identifierades av en professionell säkerhetsforskare som detekterade en sårbarhet i en del av motorn som kallas nscript som vid en attack skulle kunna både ge tillgång till datorn eller crasha datorn (DoS) bara genom att den scannar en viss manipulerad fil innehållande ett JavaScript. Microsoft blev direkt kontaktad av forskaren och har både offentliggjort sårbarheten och direkt skickat ut en säkerhetsuppdatering som åtgärdar felet.

Denna uppdatering går ut med automatik och varken IT eller slutanvändare behöver vidta någon åtgärd. Det kan dock vara bra att verifiera att uppdateringen är på plats! För isolerade maskiner som saknar uppdateringsmöjlighet genomföra uppdateringen manuellt snarast.

Versionen som har sårbarhet har versionsnummer: 1.1.13701.0
Har du någon annan version är du inte drabbad av denna sårbarhet.
Denna säkerhetsuppdateringen som åtgärdar ovanstående sårbarhet ger versionsnummer: 1.1.13704.0

image

För mer information se Microsoft Security TechCenter

Publicerat i Endpoint Protection | Lämna en kommentar

Identitetsskydd på plats

ITSäkerhetsGuiden fortsätter att utvecklas och för de uppmärksammade är ännu en statisk sida på plats, nu för identitetsskydd.

På motsvarande sätt som informationsskydd når du en sammanfattning som kommer uppdateras frekvent med betydande nyheter nu även inom identitetsskydd:
https://itsakerhetsguiden.se/identitetsskydd/

Framöver planerar jag även att komplettera med klientskydd och skydd av lokal infrastruktur. Med allt ifrån nya tjänster så som Advanced Threat Protection, Advanced Threat Analytics till klassiska lösningar som Applocker, Defender, SDI m.m. (som fortfarande är avgörande för att skydda vår infrastruktur mot dagens attacker).

All feedback är välkommet

Publicerat i Generell Säkerhet | Lämna en kommentar

Upplev TechX säkerhetsdag i efterhand

Missade du Microsoft TechX för någon vecka sedan? Eller va du där och såg min session och även den bugg som påträffades och därmed vill se hur det fungerar även utan demospöke?

techx

Allt spelades in och kan ses här (inklusive ett kort klipp där jag visar hur Windows Information Protection skall fungera i skarp version till skillnad från den bugg i en tidig Preview version som identifierades under sessionen)

 

 

 

 

 

Publicerat i Advanced Threat Analytics, Endpoint Protection, Informationssäkerhet, Microsoft Event, RMS | Märkt | Lämna en kommentar

Dela känslig information mellan organisationer

Det är nu enklare än någonsin att dela skyddad information mellan organisationer. De flesta verksamheter har någon form av kontinuerligt samarbete med leverantörer, partners eller kunder. I många fall är det känslig information som delas i form av allt ifrån kundlistor till olika avtal.

Det har kommit en stor nyhet i Azure Information Protection! Verksamheten kan nu skapa en fördefinierad mall med olika rättigheter till olika samarbetspartners, vilket förenklar för våra slutanvändare. Mallen definierar vilka rättigheter som skall gälla för användare inom en viss domän och handlar det om samarbete med flera olika företag/organisationer kan vi definiera olika rättigheter per domän för att matcha verksamhetsbehoven. På samma sätt kan vi även automatisera med dessa mallar så känslig information skyddas med automatik baserat var det lagras eller skickas med samma mall.

Lösningen gör det inte bara enklare för vår egen verksamhet utan ger också möjlighet för samarbetspartnern att hantera informationen inom sin verksamhet. Har de tillräckligt med rättigheter för att exempelvis kunna vidarebefordra information kan de fortsätta kommunicera internt.
Den stora fördelen är också att den som applicerar skyddet hela tiden kan övervaka och spåra vilka inom respektive verksamhet som tagit del av informationen. Vid behov kan även tillgången till informationen dras tillbaka både av den som delat informationen ursprungligen. alternativt av de som administrerar lösningen.

Vi tar ett exempel!

I det här fallet har vi skapat mall för vår demoverksamhet som ger full behörighet för samarbete med alla på Onevinn, vi har även definierat att om det skickas till något på Microsoft har de även rättigheter att läsa innehållet. Där emot är det enbart Onevinn anställda som med denna konfiguration har rättighet att dela informationen via epost internt.

image

Slutanvändaren har en säkerhetsklassning som gör att den enkelt kan definiera klassning och därmed detta skydd oavsett fil. Precis som tidigare skyddas även eventuell bifogat office-dokument om man skyddar ett mail i Outlook.

Användaren väljer i detta fall informationsklassningen Secret och “Cooperation with Onevinn and Microsoft”. (Motsvarande kan även genomföras med automatik baserat på innehåll i mail eller bifogad fil)

image

En anställd på Microsoft som mottager det här mailet är begränsad att kunna vidarebefordra mailat och bifogat dokument är enbart tillgängligt för läsning.

image

Däremot har den på Onevinn som får detta mail fulla rättigheter att vidarebefordra mailet men det är enbart användare inom Onevinn som har rättigheter att läsa och ändra innehållet i dokumentet. Skulle någon vidarebordra mailet och bifogat dokument utanför Onevinn blockeras tillgången och försöket loggas.

image

Användaren kan sedan följa vilka som tagit del av detta dokument och vid behov även blockera tillgången till dokumentet.

image

Publicerat i Informationssäkerhet | Märkt , , | 1 kommentar

Rättighetskrav för att redovisa informationsklassning i Office

Att kunna redovisa för en mottagare av ett dokument vilken informationsklassning informationen har är viktigt. Att belysa om ett dokument är av publik karaktär eller säkerhetsklassat styr användarens betende både vad gäller redigering och hantering av dokumentet.

Med Azure Informations Protections plug-in förenklas en utrullning av RMS avsevärt tack vare den pedagogiska listen som beskriver informationsklassningen.

image

Som det ser ut i dagsläget så krävs det att ett RMS krypterat dokument ger mottagaren följande behörighet:

image

Om denna behörighet saknas kan listen i Office nämligen inte visas i nuläget (detta kan komma att förändras framöver i Office 2016 men inte i tidigare Office -versioner)

image

Som standard tillåts inte detta i RMS grundmall “Confidential View Only” utan alla Office dokument skyddade med denna och andra mallar baserat på “Viewer” kommer få ovanstående beteende där listen inte kan visas.

image

För att lösa detta modifiera därför de RMS mallar som är definierade som Viewer och manuellt lägg till de rättigheter som gäller, inklusive rättigheten “OBJMODEL”, beskrivs som “Allow Macros” i portalen.

image

Publicerat i Informationssäkerhet, RMS | Märkt , | Lämna en kommentar