Microsoft Word - DeployingRMSWP.docdownload.microsoft.com/.../PortalTech/Implantando_R… · Web viewGerenciamento de Direitos na. Microsoft. White Paper Técnico. Publicado em: Janeiro

Implantando os Serviços de Gerenciamento de Direitos na Microsoft Página 1

Implantando os Serviços deGerenciamento de Direitos naMicrosoft

White Paper TécnicoPublicado em: Janeiro de 2004


ÍNDICE

Resumo Executivo.............................................................................................................. 3

Introdução ........................................................................................................................... 5

Serviços de Gerenciamento de Direitos do Windows (RMS).......................................... 6Extensibilidade 7

Comparação com Outras Tecnologias 7

Tecnologia RMS.................................................................................................................. 10Licenças 10

Tipos de Direitos Disponíveis 11

Modelos de RMS Personalizados Disponíveis Através da Microsoft IT 13

Encriptação Usada com o RMS 14

Processo Usado pelo IRM para Gerar e Recuperar Licenças 15

Advertências para os Computadores Semi-Confiáveis 18

Benefícios Corporativos da Implantação do RMS ........................................................... 20Benefícios à Empresa 20

Benefícios aos Usuários Finais 21

Benefícios à TI 21

Implantação......................................................................................................................... 23Abordagem e Estratégia 23

Pilotos de Implantação de Cliente 28

Ativação de Máquina e Certificação de Usuário 29

Serviço e Suporte 33

Lições Aprendidas e Práticas Recomendadas ................................................................ 36Implantação 36

Segurança 38

Administração 40

Conclusão ........................................................................................................................... 42

Para Obter Mais Informações ............................................................................................ 43


RESUMO EXECUTIVO

Com os avanços contínuos e a onipresença das comunicações eletrônicas nas empresas,além da crescente confiança na tecnologia para conduzir as operações diárias, as empresas se tornaram vulneráveis à má administração e ao roubo da propriedade intelectual e dasinformações confidenciais da empresa. Os funcionários da Microsoft confiam muito no e-mail através do Microsoft® Office Outlook® 2003 para as comunicações corporativas internas e externas. Os funcionários da Microsoft também confiam nos aplicativos do Microsoft Office Professional Edition 2003 — tais como o Microsoft Office Word 2003, o Microsoft OfficeExcel 2003 e o Microsoft Office PowerPoint® 2003 — para os documentar e trabalhar comas idéias corporativas e outras informações confidenciais da empresa. Para fazer com que a empresa permaneça flexível e ágil, a Microsoft precisou de uma solução que pudesseproteger os dados dos seus documentos e mensagens de e-mail sem interferir naprodutividade dos seus usuários.

A organização de tecnologia da informação da Microsoft (conhecida como Microsoft IT) implementou o Microsoft Windows® Rights Management Services (RMS),um novo serviço de proteção da informação disponível para o Microsoft Windows Server™ 2003. O RMS,combinado com o Office Professional Edition 2003, permite que os funcionários da Microsoft adicionem a proteção de direitos de diretivas de uso para seus documentos e mensagens dee-mail. Esses direitos podem especificar quem pode abrir o documento, o que eles podem fazer com o documento e por quanto tempo eles podem abrí-lo. Os direitos são aplicados diretamente ao objeto que está sendo protegido, seja uma mensagem de e-mail ou um arquivo de documento, de modo que as proteções aplicadas permanecem com o objeto, independentemente de onde ele esteja sendo enviado por e-mail ou armazenado como umarquivo. Cada documento ou mensagem protegida é encriptada e requer uma licença de uso através do servidor RMS para desencriptar o conteúdo protegido e para aplicar as restriçõesde uso atribuídas ao consumidor daquele conteúdo.

Desde a implementação mundial do RMS na Microsoft, uma média de aproximadamente12.000 usuários por semana aplica direitos ao conteúdo e aproximadamente 25.500 licenças de uso de conteúdo são emitidas por semana. Este número cresce continuamente com um aumento do número de usuários que adotam as tecnologias do RMS como o meio preferidode proteger seus documentos e e-mails confidenciais.

Este documento discute as necessidades que a Microsoft IT tinha para proteger os dados corporativos, as razões para a implantação do RMS ao invés das outras soluções possíveise como funciona o RMS. Este documento também oferece detalhadas lições aprendidas e práticas recomendadas derivadas do servidor RMS e implantação de cliente e a experiênciade uso da Microsoft IT. Presume-se que os leitores sejam tomadores de decisões técnicas eque já estejam familiarizados com os fundamentos dos sistemas de segurança de chave simétrica e chave pública.

Este documento usa o termo “publicador” para indicar a pessoa que cria o conteúdo protegido por direitos, como uma mensagem de e-mail ou um documento criado no OfficeProfessional Edition 2003. O termo “consumidor” indica a pessoa que precisa recuperar uma licença de uso para abrir o conteúdo protegido por direitos.

Este documento é baseado nas recomendações e na experiência da Microsoft IT como adotante precursor do RMS. O documento não tem a intenção de servir como umaorientação processual. Cada ambiente corporativo tem circunstâncias exclusivas;


consequentemente, cada organização deveria adaptar os planos e as lições aprendidas descritas neste documento para satisfazer suas necessidades específicas.

Notas: Por razões de segurança, as amostras de nomes de florestas, domínios, recursosinternos e organizações usadas neste documento não representam os nomes de recursos reais usados dentro da Microsoft e têm somente propósitos ilustrativos.

A Microsoft não faz recomendações referentes à seleção de produtos ou de terceiros fabricantes. Por melhor dizer, a Microsoft IT documenta as implementações internas como exemplos de configurações de implantações reais. Os clientes devem selecionar os produtose os fabricantes baseados em seus exclusivos ambientes de TI.


INTRODUÇÃO

A privacidade e a segurança dos dados confidenciais e da propriedade intelectual são vitais para uma empresa. Se um sistema de e-mail corporativo ou um aplicativo de produtividade corporativa não permite que uma organização controle quem pode ver as mensagens de e- mail e/ou os documentos após eles serem enviados aos consumidores, aquele sistema ou aplicativo está limitando a capacidade da organização de conduzir os negócios confidenciais com agilidade e eficiência. Hoje, muitas empresas podem estar restringindo desnecessariamente o uso dos sistemas de e-mail ou da intranet para a disseminação dos seus dados confidenciais devido à falta de conhecimento das tecnologias disponíveis para proteger aqueles dados. Inversamente, outras empresas simplesmente podem não compreender a magnitude da questão relativa à segurança e privacidade dos dados eletrônicos. Elas, não intencionalmente ou desnecessariamente, expõem seus dados confidenciais às pessoas ou organizações que nunca se pretendeu que tivessem acesso.

A Microsoft, como qualquer outra empresa que cria propriedade intelectual valiosa em uma esfera comercial altamente competitiva, precisou de capacidade para melhor proteger a privacidade de seus dados confidenciais. A Microsoft IT reconheceu essa sua necessidade tecnológica para controlar como os documentos de produtividade corporativa e asmensagens de e-mail corporativo confidenciais poderiam ser compartilhadas e usadas semo risco de perdas na produtividade. Mais especificamente, a Microsoft IT precisou implementar uma tecnologia que oferecesse ao publicador usuário final de documentos de produtividade corporativa e mensagens confidenciais de e-mail corporativo confidenciais a capacidade para gerenciar quem poderia consumir seu conteúdo e limitar o uso do seu conteúdo em uma base documento a documento. Sem tal tecnologia, a propriedade intelectual, os segredos comerciais ou os dados de gerenciamento de incidentes pertencentes à Microsoft ou aos seus parceiros corporativos poderiam ter sido, inadvertidamente ou até mesmo maliciosamente, expostos ao público, à mídia ou aosconcorrentes.


SERVIÇOS DE GERENCIAMENTO DE DIREITOS DO WINDOWS(RMS)A Microsoft IT considerou várias ferramentas tecnológicas que poderiam proteger a confidencialidade dos dados confidenciais contidos nos documentos corporativos. Entretanto, em muitos casos, uma solução viável para proteger um tipo de documento encontrou exigências inviáveis, tecnologicamente ou sem razões, em outro tipo de documento. A maioria das soluções consideradas foram simplesmente incompletas ou muito facilmente contornadas por indivíduos com intenções maliciosas.

A ferramenta que a Microsoft IT selecionou foi o RMS, um serviço da Web conectado baseado em Microsoft .NET fornecido pelo Windows Server 2003.

Nota: O RMS é um componente do Windows Server 2003, mas não está incluídonativamente no produto. EIe é gratuito e o software para download está disponível em h t t p : // www . m ic r os o ft. c o m / w in d o w sse r ve r 200 3 / do w n loa d s / f e a t u r ep a c k s / d e f a u l t. m s p x . Entretanto, o RMS requer a aquisição das licenças de acesso para cliente para cadapublicação de usuário e/ou visualizar o conteúdo protegido por direitos.

O RMS trabalha com aplicativos habilitados pelo RMS, como o Office ProfessionalEdition 2003, para fornecer uma maneira dos publicadores dos documentos e das mensagens de e-mail confidenciais controlar quem pode visualizar seus conteúdos, anexando uma diretiva de política de direitos diretamente a um objeto (tal como uma mensagem de e-mail ou um arquivo de documento). Os direitos podem restringir como o conteúdo é usado e quem está permitido a usá-lo. Uma organização pode estabelecer diferentes direitos para vários indivíduos e/ou grupos, baseado nas contas de usuário noserviço de diretório do Active Directory® (no Microsoft Windows 2000 Server ou no WindowsServer 2003), usuários nos ambiente RMS confiáveis e usuários do serviço RMS baseado em Microsoft .NET Passport. Os direitos de usuário para os consumidores também podem ser configurados para expirar após o término de um prazo.

Nota: A Microsoft IT permite que somente o conteúdo publicado pelos seus servidores RMSinternos sejam internamente confiáveis..

As diretivas de direitos de uso são associadas diretamente ao conteúdo protegido, não aolocal no qual elas estão armazenadas. Ao contrário da lista de controle de acesso (ACL), as permissões de um sistema de arquivo, tais como o sistema de arquivo NTFS, as mensagens de e-mail e os documentos protegidos com as tecnologias RMS, permanecem protegidas se elas forem encaminhadas para uma conta de e-mail fora do firewall corporativo; enviadascomo um anexo de e-mail; ou armazenadas em um website do Microsoft SharePoint™, em uma pasta compartilhada em um servidor de arquivo, em um CD-ROM, em uma unidadeUBS (Universal Serial Bus) ou em um disquete. As mensagens de e-mail e os documentosdo Office Professional Edition 2003 que são protegidos por direitos empregam a encriptação de 128 bits para impedir a visualização e o uso não autorizado do conteúdo.

O RMS serve como uma plataforma para esta tecnologia. Entretanto, a Microsoft também precisou de um aplicativo cliente que aplicasse a tecnologia do RMS. A Microsoft IT encontrou a solução com sua completa implantação corporativa do Office ProfessionalEdition 2003, o primeiro e principal conjunto de usuários finais de aplicativos para suportar aplataforma RMS. O Office Professional Edition 2003 introduziu um recurso chamado de

http://www.microsoft.com/windowsserver2003/downloads/featurepacks/default.mspx


Gerenciamento de Direitos de Informação (IRM), que permite que definições de direitos de diretiva sejam aplicadas às mensagens de e-mail e aos documentos criados nos aplicativos Word 2003, Excel 2003, Outlook 2003 e PowerPoint 2003 do Office ProfessionalEdition 2003. Ele emprega as tecnologias da plataforma RMS para aplicar e exigir o cumprimento dessas diretivas.

Ainda, para não permitir que os usuários executem o Office Professional Edition 2003 paraler as mensagens de e-mail e os documentos protegidos por direitos, a Microsoft implantou o Complemento de Gerenciamento de Direito para Internet Explorer (RMA), um visualizador cliente habilitado pelo RMS plug-in e passível de download. Este plug-in é também útil aos funcionários da Microsoft que acessam seus e-mails de trabalho em seus computadores domésticos usando o Outlook Web Access (OWA), um recurso do Microsoft Exchange 2000Server e das versões posteriores. O RMA permite que os arquivos de documentos do OfficeProfessional Edition 2003 anexados e os e-mails protegidos por direitos sejam lidos através de um navegador Web.

Nota: O RMA é uma tecnologia baseada em RMS, que não é especificamente limitada paravisualizar as mensagens de e-mail e os documentos protegidos por direitos criados no OfficeProfessional Edition 2003. Qualquer aplicativo construído para suportar a tecnologia RMSpode ser projetado para obter as vantagens do RMA.

Neste momento não há nenhum aplicativo habilitado pelo RMS para especificamenteproteger o conteúdo dentro do banco de dados ou software de código-fonte desenvolvendo ambientes. Entretanto, esses ambientes são tipicamente bloqueados por outros meios para proteger seus dados importantes contra o acesso não autorizado. O RMS protege as formas de dados que quase sempre são deixadas desprotegidas — os documentos corporativos,que são os meios através dos quais as idéias sigilosas, as propostas, os relatórios de incidentes e os dados financeiros são armazenados e usados diariamente. O RMS complementa as proteções de dados existentes dentro da organização, aumentando a capacidade global da empresa para proteger as informações internas sigilosas.

ExtensibilidadeQualquer programa que produza, armazene, gerencie, exiba, transporte ou consuma dados pode ser escrito para obter as vantagens dos serviços do RMS. Embora o OfficeProfessional Edition 2003 seja (a partir deste texto) o único aplicativo a obter as vantagensda plataforma RMS, a Microsoft está entusiasmada com o RMS devido a sua extensibilidadee escalabilidade. A Microsoft IT já está explorando maneiras para implementar a tecnologia RMS em vários dos principais aplicativos LOB (linha de negócios) e proteger futuramente o conteúdo dos websites da intranet sigilosos.

Note: Embora o Office Professional Edition 2003 seja a única versão do Office 2003 Editionsque pode criar o conteúdo protegido por direitos, as outras versões do Office 2003 Editions suportam a visualização e a edição do conteúdo protegido por direitos.

Comparação com Outras TecnologiasO RMS não é a única tecnologia que pode ajudar a proteger os conteúdos das mensagensde e-mail e dos documentos de produtividade corporativa. As outras tecnologias são SecureMultipurpose Internet Mail Extensions (S/MIME), ACLs e Encrypting File System (EFS).Cada uma dessas tecnologias tem uma finalidade valiosa e todas têm sido usadas dentro da


Microsoft. Entretanto, no que se refere a proteção da confidencialidade dos dados, cada uma dessas tecnologias é aplicável somente a um pequeno conjunto de circunstâncias. Estaseção resumidamente descreve as tecnologias e as compara com o RMS para fornecer a experiência pela qual a Microsoft escolheu por implantar o RMS.

S/MIME

A S/MIME é um superconjunto orientado à segurança da Multipurpose Internet MailExtensions (MIME), um protocolo padrão de mercado amplamente usado na Internet para oe-mail. O S/MIME adiciona encriptação de chave pública e suporte para as assinaturas digitais para o MIME. O suporte para a tecnologia S/MIME foi disponibilizado para várias versões dos produtos de mensageria da Microsoft. Entretanto, o S/MIME não ajuda aproteger os documentos; nem controla os direitos de uso, como a capacidade de restringir a cópia ou a impressão das informações protegidas. Além disso, depois que um destinatário abre o conteúdo protegido por S/MIME, esse destinatário pode encaminhar o conteúdo para outros destinatários com a proteção original removida.

ACLs

A segurança no Windows Server 2003 controla o uso dos objetos através de mecanismos inter-relacionados de autenticação e autorização. Depois que um usuário é autenticado, o Windows Server 2003 usa as tecnologias de controle de acesso e de autorização para determinar se um usuário autenticado tem a autorização correta para acessar um objeto protegido pelos meios das ACLs.

As ACLs para permissões de pasta e arquivo requerem o uso do sistema de arquivo NTFS. Quaisquer restrições de permissões atribuídas a um documento são eliminadas se o arquivoé tirado de um local onde as permissões foram estabelecidas. Por exemplo, um documentoque restringe todos os acessos para um conjunto particular de usuários será disponibilizado renderizado para todos se esse arquivo for enviado por e-mail ou for copiado para um disco que não usa o NTFS, tal como um disquete, um CD-ROM ou um disco rígido formatado com qualquer variação do sistema de arquivo FAT.

EFS

O EFS protege os dados confidenciais em todos os tipos de arquivos que são armazenados no disco por meio do sistema de arquivo NTFS. Ele usa a encriptação de chave simétrica em

conjunto com a tecnologia de chave pública para fornecer confidencialidade aos arquivos.No EFS, diferentemente da maioria dos outros serviços de encriptação externa, a encriptação de arquivo não requer que o proprietário do arquivo desencripte e encripte novamente o arquivo a cada uso. A desencriptação e a encriptação do arquivo ocorre transparentemente, como se ele fosse lido através e escrito para o disco. O EFS funcionacomo um serviço de sistema integrado, o qual facilita o gerenciamento, dificulta o ataque e é transparente para o proprietário do arquivo e para os aplicativos.

A encriptação EFS sobrevive a movimentos e renomes se todos os arquivos ficarem em volumes NTFS. Copiar ou mover a pasta ou o arquivo encriptado a um disco formatado com qualquer sistema de arquivo diferente do NTFS remove a encriptação e retorna o arquivo ao seu formato normal.

Adicionalmente, somente a pessoa que aplicou a encriptação EFS a um arquivo pode abrir o arquivo e trabalhar com ele. Os outros usuários — mesmo o proprietário do arquivo — não


podem abrir o arquivo encriptado por EFS sem a chave privada da pessoa que aplicou a encriptação EFS ao arquivo.

Comparando as Tecnologias

A tabela 1 compara o IRM do Office Professional Edition 2003 com a assinatura digitalS/MIME, a encriptação S/MIME, as ACLs e o EFS.

Tabela 1. Comparação das tecnologias usadas para proteger os dados confidenciais

Recurso IRM eRMS

Assinatu ra

S/MIME

Encriptaçã o S/MIME

ACLs EFS

Atesta a identidade do publicador Não Sim Não Não Não

Diferencia as permissões por consumidor

Sim Não Não Sim Não

Impede a visualização não autorizada Sim Não Sim Sim Sim

Encripta o conteúdo protegido Sim Não Sim Não Sim

Oferece expiração ao conteúdo Sim Não Não Não Não

Oferece expiração à licença de uso Sim Não Não Não Não

Controla o uso do conteúdo paraleitura, encaminhamento, preservação, modificação ou impressão pelo consumidor

Sim Não Não Sim * Não

Estende a proteção para além do local de publicação inicial

Sim Sim Sim Não Sim **

* As ACLs podem ser configuradas para modificar, escrever ou somente ler.** A encriptação EFS é mantida com um arquivo copiado ou movido somente se a pasta de destinação também estiver em um volume formatado em NTFS e, ao copiar, a pasta de destinação esteja marcada para encriptação.

Depois de analisar as várias tecnologias alternativas para proteção dos dados confidenciaise compará-las com o RMS, a Microsoft IT determinou que o RMS enfrentasse todas as suas exigências. As principais razões foram:

A implantação de uma única solução simplificou a tarefa de aplicar a solução necessária aos usuários finais. Somente uma ferramenta foi necessária para todas as situações.

Nenhuma tecnologia alternativa ofereceu a combinação de recursos encontrada no RMS, todos os quais são necessários para proteger os dados confidenciais, independentemente do meio de armazenamento no qual os dados estão localizados.

Ao contar com uma, ao invés de múltiplas soluções, para ajudar a proteger os dados, aMicrosoft IT simplificou as tarefas administrativas e de resolução de problemas da empresa.


TECNOLOGIA RMSQuando alguém tenta abrir uma mensagem de e-mail ou documento protegido por direitos, o RMS identifica o consumidor através do endereço de e-mail SMTP (Simple Mail Transfer Protocol) atribuído à conta de logon do Active Directory do consumidor. O RMS entãocompara esta identificação com a lista de direitos associada ao conteúdo protegido. Se o consumidor especificado tiver os direitos de usuário concedidos, individualmente ou atravésda inclusão por meio de um grupo de distribuição, o servidor RMS emite uma licença de uso ao consumidor.

Nota: Se o endereço SMTP especificado na lista de direitos é para um grupo de distribuição,o Active Directory tem que desenvolver uma busca para determinar se o objeto de conta do usuário final está associado ao grupo de distribuição.

LicençasPara um consumidor abrir os documentos protegidos por aplicativos habilitados pelo RMS, uma licença digital é necessária através do servidor RMS. Há dois tipos de licenças: de publicação e de uso.

Licença de Publicação

Uma licença de publicação é criada quando um documento (incluindo uma mensagem de e- mail) é originalmente protegido. Cada documento protegido obtém sua própria licença de publicação. O RMS proporciona a criação das licenças de publicação de duas maneiras:online e offline. A publicação online requer conectividade com o servidor RMS, enquanto quea publicação offline não requer. O IRM no Office Professional Edition 2003 sempre publica seu conteúdo offline. Dessa forma, o computador cliente RMS gera uma licença de publicação sem contactar o servidor RMS. Entretanto, para a licença de publicação ser gerada, o cliente offline deve já ter sido ativado e recebido seu certificado de publicação. Ocertificado de publicação é gerado pelo servidor RMS e feito o download para o computador cliente quando sua primeira parte do conteúdo protegido por direitos é publicada,requerendo o acesso online ao servidor RMS.

Licença de Uso

Uma licença de uso é requerida para consumir o conteúdo protegido. Um aplicativo habilitado pelo RMS usa a licença para desencriptar o conteúdo e, então, aplicar as restrições de uso específicas atribuídas ao consumidor. Cada parte protegida do conteúdo requer sua própria licença de uso.

O servidor RMS gera licenças de uso em resposta a uma solicitação de licença válida, que é tipicamente feita toda vez que um consumidor, que tem direitos a uma mensagem de e-mailou documento protegidos por direitos, abre um documento protegido, dependendo da diretiva de direitos. Nos casos de documentos do Office Professional Edition 2003, se o consumidor tiver acesso escrito ao arquivo, a licença de uso é anexada ao arquivo do documento protegido. O usuário pode, então, abrir novamente o conteúdo protegido em qualquer computador que tenha sido ativado por essa conta do usuário, sem requerer o acesso de rede ao servidor RMS até que a licença de uso expire.

Inversamente, nas mensagens de e-mail do Outlook 2003, a própria licença de uso é armazenada localmente no computador do usuário final. Como a Microsoft IT usa o Outlook2003 habilitado em modo cache, o Outlook 2003 foi configurado para obter automaticamente


as licenças de uso para as mensagens de e-mail protegidas por direitos durante seu processo de sincronização com um servidor Exchange. Se a Microsoft IT tivesse deixado a configuração padrão, a primeira vez que o usuário final tentasse abrir um documento ou e- mail protegido por direitos, uma caixa de diálogo iria aparecer perguntando se o usuário queria habilitar permanentemente este comportamento ou não. Se habilitada, esta opção teria estabelecido a mesma subchave de registro que a Microsoft IT pré-fixou durante a instalação.

Algumas diretivas podem ser estabelecidas para expirar as licenças de uso após cada acesso do usuário ao conteúdo protegido. Nesses casos, requer-se que o usuário tenha acesso online ao servidor RMS para receber outra licença de uso antes que o conteúdo possa ser reaberto.

Tipos de Direitos DisponíveisAo usar os aplicativos habilitados pelo RMS, como o Word 2003, Excel 2003 ePowerPoint 2003 do Office Professional Edition 2003, o proprietário do documento pode aplicar direitos a um arquivo do documento através de um dos três métodos:

Direitos padrões aplicáveis a todos os consumidores (como Ler ou Alterar)

Combinações personalizadas dos direitos atribuídos a cada indivíduo específico ou grupo de consumidores

Modelos criados pelo administrador de RMS para aplicar um conjunto pré-definido de direitos a um conjunto pré-definido de indivíduos ou grupos de consumidores.

Alternativamente, os remetentes de e-mail têm a opção de usar o Outlook 2003 para aplicar direitos à mensagem e a quaisquer anexos de documento desprotegido do Word, Excel ou PowerPoint que deva ser incluído. Por padrão, a única configuração de direitos que oOutlook 2003 oferece são os direitos somente de leitura para as mensagens de e-mail e quaisquer arquivos de documentos anexados através dos aplicativos que suportam o RMS. Entretanto, um modelo personalizado de diretivas de direitos para o Outlook 2003 pode ser usado para ampliar o número de direitos oferecidos.

Cada um dos direitos disponíveis no IRM do Office Professional Edition 2003 oferece oulimita certas atividades que um consumidor pode desenvolver com o conteúdo protegido. Os direitos que o IRM torna disponíveis podem conceder ou negar as permissões dos consumidores para ler, copiar, modificar, imprimir e encaminhar os objetos protegidos. Os direitos do usuário também podem ser estabelecidos para expirarem em uma data pré- estabelecida. A tabela 2 discute os detalhes de como cada um desses direitos protege o conteúdo.

Tabela 2. Direitos de IRM e Suas Definições

Direito Descrição

Controle completo Este direito fornece ao consumidor as mesmas capacidades dadas ao publicador. Este direito atua como se nenhuma restrição de direitos tivesse sido aplicada. Ele é tipicamente habilitado somentea um indivíduo que seja membro de um grande grupo deconsumidores, para o qual os direitos que são mais restritivos foram aplicados. Ele também pode ser usado para transferir a propriedade de um documento.


Direito Descrição

Alterar Este direito permite que o consumidor leia, edite ou salve as alterações em um documento protegido (mas não permite imprimir).

Ler Este direito permite que o consumidor leia um documento protegido, mas não permite imprimir, editar, salvar ou copiar (e no Outlook 2003 também não permite encaminhar).

Expiração do documento Este direito expira a capacidade do consumidor de abrir um documento protegido após uma data estabelecida pelo publicador *

Imprimir o conteúdo Este direito nega ao consumidor a capacidade de imprimir o conteúdo protegido.

Permitir que os usuários com acesso à leitura copiem o conteúdo

Este direito permite que o consumidor leia e copie o conteúdo de um documento protegido para o clipboard, mas não permite imprimir, editar ou salvar.

Acessar o conteúdo programaticamente

Este direito permite que o conteúdo protegido seja acessado por outro aplicativo programaticamente.

Os usuários podem solicitar permissões adicionais

Este direito permite que o consumidor contate o publicador em um endereço de e-mail específico para solicitar uma atualização dos direitos atribuídos.

Permitir que os usuários com versões anteriores do Office leiam com os navegadores que suportam o Gerenciamento deDireitos de Informação

Este direito permite que o conteúdo protegido seja lido no MicrosoftInternet Explorer através do RMA.

Requerer uma conexão para verificar uma permissão do usuário

Este direito estabelece que a licença de uso expire imediatamente após o conteúdo protegido ter sido acessado. Como resultado, o consumidor deve ter acesso online ao servidor RMS para obter outra licença de uso toda vez que o documento for aberto.

* A expiração do documento não destrói o documento. Somente o direito para abrir o documentoé expirado.

Nota: Os direitos de IRM no Office 2003 podem ser aplicados somente para o documentointeiro e não para partes do documento.

Por padrão, não são todos os tipos de documentos no Office Professional Edition 2003 queoferecem a capacidade de estabelecer todos os direitos disponíveis no IRM. A tabela 3relaciona as restrições de diretivas disponíveis nos aplicativos habilitados pelo RMS dentro do Office Professional Edition 2003.


Tabela 3. Restrições de Diretivas Aplicáveis

Outlook 2003 Word 2003, Excel 2003 e PowerPoint 2003

Leitura (não pode encaminhar, imprimir, salvar ou copiar)

Controle completo

Alteração do conteúdo, mas não impressão

Leitura (não pode imprimir, salvar ou copiar)

Leitura com permissão de cópia do conteúdo

Imprimir o conteúdo

Expiração do documento

Permitir a acesso do conteúdo programaticamente

Solicitar nova licença a cada acesso

Fornecer endereço de e-mail aos usuários para solicitar direitos atualizados

Fornecer acesso do conteúdo pelos meios do RMA

Os direitos são aplicados aos objetos hierarquicamente. Por exemplo, suponhamos que um arquivo de documento do Word 2003 (criado no Office Professional Edition 2003) seja anexado a uma mensagem de e-mail do Outlook 2003. Se os direitos não forem aplicadosao documento antes de ser anexado, mas são subsequentemente aplicados à mensagem dee-mail, o documento anexado herda os direitos aplicados à mensagem de e-mail. Se os direitos forem aplicados ao documento anexado antes do anexo, os direitos do documento não são afetados pelos direitos do e-mail.

No Outlook 2003, uma mensagem pode ser expirada em determinada data através da configuração Expiração, abaixo de Opções. Se a opção Não Encaminhar (a configuração somente de leitura) está selecionada e a expiração de mensagem está estabelecida, a configuração de expiração é aplicada pelo IRM.

Nota: O conteúdo expirado são se apaga por si próprio — ele somente bloqueia oconsumidor. O publicador e os membros do grupo de distribuição Super User ainda são capazes de abrir o conteúdo.

Modelos de RMS Personalizados Disponíveis Através daMicrosoft ITOs aplicativos habilitados pelo RMS no Office Professional Edition 2003 suportam o uso de modelos padrões e pré-configurados de diretivas de configuração de direitos para permitir que as empresas definam os conjuntos de direitos padronizados geralmente necessários para proteger os documentos.

Se o recurso requer que uma nova licença de uso a cada acesso seja usada com um modelo, as diretivas de direitos podem ser alteradas dinamicamente depois que o documento foi publicado ou enviado por e-mail. Deste modo, a empresa conserva a opção para nova restrição ou para relaxar o controle em um ou mais usuários a qualquer hora.

Por exemplo, no e-mail do Outlook 2003, a única configuração de IRM atribuível por padrãoé a somente de leitura. Através de um modelo de RMS, os direitos personalizáveis, além dos padrões, podem ser aplicados. Todos os aplicativos habilitados pelo RMS no OfficeProfessional Edition 2003 suportam os mesmos modelos de diretivas.


A Microsoft IT oferece aos usuários da Microsoft quatro modelos de RMS usados para proteger os documentos e as mensagens de e-mail do Office Professional Edition 2003.Todos esses modelos definem o público a que é destinado, baseado no uso dos específicos grupos de distribuição da empresa e nos direitos específicos fornecidos para esse público.Os modelos são identificados como os seguintes:

1. Condifencial Microsoft

2. Confidencial Microsoft – Somente Leitura

3. Confidencial Microsoft - Somente Funcionários (FTE)

4. Confidencial Microsoft – Somente Funcionário (FTE) - Somente Leitura

Nos dois primeiros modelos, o grupo de distribuição usado é o grupo de distribuição Todosos Funcionários da Microsoft. Este grupo inclui todos os empregados da Microsoft em tempo integral, contratantes e o pessoal de vendas. Qualquer pessoa que não esteja incluída nesse grupo, como as pessoas de fora da empresa, não serão capazes de abrir o conteúdoprotegido quando este modelo for usado para proteger o conteúdo. O segundo modelo modifica o primeiro modelo com a aplicação dos direitos somente de leitura restritivos.

O terceiro e quarto modelos usam o grupo de distribuição Microsoft full time employee (FTE), ou seja, Somente Funcionários. Qualquer pessoa que não esteja incluída nesse grupo de distribuição — como contratante ou pessoal de vendas, juntamente com qualquer pessoa de fora da empresa — não pode abrir qualquer conteúdo protegido com este modelo. O quarto modelo aplica os direitos somente de leitura restritivos para o grupo de distribuição FTE.

A versão principal de um modelo de direitos de diretiva reside em um banco de dados do RMS e é sempre usada quando uma licença de uso é criada, de modo que a diretiva mais recente estabelecida pelo administrador de RMS é aplicada. Cada modelo criado deve ser exportado para cada computador cliente RMS que precisa usar o modelo. Essas versões locais dos modelos não precisam ser atualizadas toda vez que o administrador de RMS atualizar o modelo porque o servidor RMS usa sua própria cópia ao avaliar os direitos especificados no modelo. Entretanto, os modelos ainda precisam estar disponíveislocalmente para um usuário os selecionar ao executar a publicação offline, como no caso doOffice 2003.

Encriptação Usada com o RMSQuando o conteúdo é publicado através do RMS, ele pode ser encriptado com a encriptação de 56 bits do Data Encryption Standard (DES) ou com a encriptação de 128 bits doAdvanced Encryption Standard (AES). O aplicativo de publicação determina a força daencriptação usada. O Office 2003 sempre usa a encriptação de 128 bits do AES para proteger seus conteúdos. A encriptação da chave simétrica — o tipo de encriptação usadopelos aplicativos habilitados pelo RMS — usa a mesma chave para encriptar e desencriptaro conteúdo.

Todos os servidores RMS, os computadores clientes e as contas de usuário também têm um par público e privado do RSA (Rivest-Shamir-Adleman) de 1.024 bits – baseado em chavesde encriptação. O RMS usa as chaves públicas e privadas para encriptar a chave simétrica juntamente com os dados de diretivas de direitos na licença de publicação e na licença deuso. O RMS também usa as chaves públicas e privadas para digitalmente assinar


certificados e licenças, assegurando que somente os computadores e usuários devidamente autorizados possam abrir e usar a informação protegida.

Processo Usado pelo IRM para Gerar e Recuperar LicençasPara publicar os dados com as tecnologias habilitadas pelo RMS, os publicadores de documento seguem o mesmo fluxo de trabalho lógico e fundamentalmente interligado queeles já usaram para suas informações, tal como enviar uma mensagem de e-mail ou fazer apostagem para um site da Web do SharePoint.

A Figura 1 resume como o RMS funciona quando os usuários publicam e consomem o conteúdo protegido por direitos, como nas diretivas de IRM e aplicações do Office Professional Edition 2003.

Figura 1. Processo de geração e recuperação de licenças para o conteúdo protegido por direitos

Nota: Este processo pressupõe que o publicador e o consumidor já tenham sido ativados.

Este processo inclui as seguintes etapas:

1. Um autor cria um documento que contém o conteúdo confidencial, usando um aplicativo do Office Professional Edition 2003, tal com o Word 2003, Excel 2003 ouPowerPoint 2003. Para personalizar os direitos de uso do documento, o autor clica no botão da barra de ferramentas Permissão, o qual exibe a caixa de diálogo Permissão. Na primeira página da caixa de diálogo Permissão, o autor pode atribuir direitosSomente Leitura ou Alterar para todos os consumidores ou para indivíduos específicos


e/ou grupos de distribuição. Se o autor precisar de grande controle, ele ou ela pode clicar no botão Mais Opções para atribuir Controle Completo aos indivíduos e/ou grupos de distribuição, ou ainda modificar os direitos Somente Leitura ou Alterar. Através dessa caixa de diálogo, o autor pode ainda personalizar as configurações, usando todos os direitos relacionados anteriormente na Tabela 2..

2. O Office Professional Edition 2003 sempre publica o conteúdo offline. Entretanto, para habilitar essa função, uma licença de publicação, também chamada de Certificado de Licenciador de Cliente (CLC), deve primeiro ser instalada no computador de publicaçãoO CLC, gerado pelo servidor RMS, é encriptado com uma chave simétrica aleatória ecom uma chave pública do servidor RMS e, por isso, é exclusivo para cada computador de publicação. Após o CLC ser instalado, o publicador não mais precisa de acessoonline ao servidor RMS para publicar o conteúdo. Um CLC é usado para publicar todos os conteúdos offline gerados através do computador de publicação.

Nota: Se o publicador nunca tinha anteriormente publicado o conteúdo protegido pordireitos, um CLC ainda não tinha sido instalado. O computador de publicação solicita umCLC através do servidor RMS na primeira instância de publicação do conteúdoprotegido por direitos. O servidor RMS gera um CLC exclusivo e o envia ao computador de publicação, permitindo assim que o Office Professional Edition 2003 publique oconteúdo protegido por direitos offline.

3. O aplicativo do Office Professional Edition 2003 usa o CLC instalado para gerar eassinar a licença de publicação do documento. Depois, o RMS encripta o arquivo do documento com a chave simétrica aleatória e une a licença de publicação ao arquivo do documento. A chave simétrica aleatória usada para encriptar o arquivo protegido éunida à diretiva de direitos atribuída ao objeto encriptado e encriptada com a chave pública do servidor RMS. Somente o servidor RMS que emitiu o CLC ao publicador pode emitir as licenças para desencriptar e abrir o conteúdo encriptado da chave simétrica. A licença de publicação contém a URL (Uniform Resource Locator) do servidor RMS.

Nota: Se o autor está usando um aplicativo habilitado pelo RMS que faz a publicaçãode arquivo online, um CLC nunca será criado; nem será usado como parte do processo de publicação. Em vez disso, o aplicativo gera uma chave simétrica e envia uma solicitação de uma licença de publicação diretamente ao servidor RMS. A solicitação inclui a chave simétrica e as diretivas de uso. O servidor RMS gera uma licença de publicação, encripta a chave simétrica aleatória com a chave pública do servidor eretorna a licença de publicação ao aplicativo. A publicação online requer este processopara cada documento publicado.

4. O autor distribui o documento protegido.

5. Um consumidor recebe o documento do Office Professional Edition 2003 protegido por direitos através de um canal de distribuição regular, tal como o e-mail, um site da Webdo SharePoint ou mídia de armazenamento de disco removível e abre o documentousando um aplicativo do Office 2003 habilitado pelo RMS ou o Internet Explorer comRMA.


6. O aplicativo do Office Professional Edition 2003 envia uma solicitação de licença de uso ao servidor RMS que emitiu o CLC usado para proteger o conteúdo. A solicitação incluio Rights Management User Account certificate (RAC) do consumidor contendo a chave pública do consumidor; a licença de publicação contendo a chave simétrica encriptada que encriptou o arquivo; e as informações de diretiva de direitos.

7. O servidor RMS valida que o consumidor está autorizado, verifica se o consumidor é um usuário nomeado e cria uma licença de uso. Durante este processo, o servidordesencripta a chave simétrica usando a chave privada do servidor, a encriptanovamente usando a chave pública do consumidor e a adiciona à licença de uso, a qual contém os direitos especificados nas informações da diretiva de direitos da solicitação

de licença de uso. Estas informações incluem quaisquer condições relevantes à licença de uso, tais como a expiração, um aplicativo ou uma exclusão de sistema operacional. Esta

etapa assegura que somente o consumidor pretendido possa desencriptar a chavesimétrica e, assim, desencriptar o arquivo protegido.

8. Quando a validação está completa, o servidor RMS retorna a licença de uso ao computador cliente do consumidor.

9. Após receber a licença de uso, o componente de software cliente do RMS examina a licença de uso e o RAC do consumidor para determinar se qualquer certificado, em ambas as cadeias de confiança, requer uma verificação cruzada contra uma lista de revogação de certificado (CRL). Neste caso, o software cliente do RMS recupera uma cópia atual da CRL através do local especificado na licença de uso. O cliente RMS, então, aplica quaisquer condições de revogação que sejam relevantes ao contextoatual. Se nenhuma condição de revogação bloquear o acesso ao arquivo do documento protegido, o aplicativo do Office 2003 renderiza os dados e o consumidor pode exerceros direitos que lhe foram concedidos.

Conexões Secure Sockets Layer Usadas para Todas as Comunicações doRMS

A Microsoft IT configurou o RMS de tal forma que todas as comunicações entre os clientes e os servidores RMS são conduzidas através dos túneis da Secure Sockets Layer (SSL), independentemente de a conexão passar pelo firewall corporativo ou não. Esta precaução extra assegura a proteção dos dados transmitidos.

Licenciamento do RMS Fora do Firewall

O processo de licenciamento do RMS funciona praticamente da mesma forma se oconsumidor do conteúdo estiver dentro dos limites da rede do publicador ou fora deles. Para os consumidores de conteúdo na Microsoft que tentam abrir internamente o conteúdo licenciado protegido por direitos fora dos limites da rede corporativa, a Microsoft colocou um servidor RMS em uma rede de perímetro (também conhecida como DZM, zonadesmilitarizada e subrede DZM) entre seus firewalls, permitindo que seus usuários com conexão à Internet recebam as licenças de uso necessárias para abrir o conteúdo protegido. Os requisitos técnicos mínimos eram um RAC válido para o consumidor e acesso online ao servidor RMS que emitiu a licença de publicação. A Microsoft IT também exigiu que seus usuários externos entrassem, com êxito, com suas credenciais de autenticação do Windows antes que uma licença de uso fosse fornecida.

A Microsoft IT decidiu permitir que os consumidores válidos do conteúdo protegido por direitos abram esse conteúdo quando localizado fora do firewall corporativo da Microsoft.


Embutido dentro da licença de publicação de um documento protegido está um par de URLs (um interno e outro externo) para o servidor que criou a licença de publicação do documento (ou, no caso do uso de um CLC, o servidor que emitiu o CLC). O aplicativo do Office 2003 primeiro tenta conectar esse servidor RMS com a URL da intranet para obter a licença deuso. Se a URL interna falhar ao solucionar, o aplicativo então tenta usar a URL externa.Logo que o computador cliente é conectado à Internet, o servidor RMS pode ser acessado. Entretanto, como o usuário não está autenticado na rede corporativa da Microsoft, ao consumidor primeiro será solicitado o nome do usuário válido e as credenciais de senha. Depois que as credenciais foram validadas, a licença de uso (e, se necessário, um RAC temporário) pode ser emitida, permitindo que o cliente abra o conteúdo protegido.

Nota: Para qualquer computador no qual o consumidor não esteja conectado (logonefetuado) com as credenciais de domínio, tal como um computador doméstico dofuncionário, o servidor RMS corporativo emite um RAC temporário para abrir os documentose os e-mails protegidos por direitos após a solicitação pelas credenciais de logon do consumidor. O RAC temporário somente é válido por 30 minutos. O computador doméstico do funcionário irá precisar fazer o download de um novo RAC temporário para abrir oconteúdo protegido por direitos se qualquer RAC temporário existente tiver expirado.

Advertências para os Computadores Semi-ConfiáveisA Microsoft IT classifica os computadores domésticos de propriedade dos funcionários, que possuem o Microsoft Windows XP que não são gerenciados pela Microsoft IT, mas que são usados para acessar o e-mail corporativo pelos meios da OWA , como computadores semi- confiáveis. Os dispositivos móveis de propriedade dos funcionários que são usados para lero e-mail corporativo também são classificados como computadores semi-confiáveis.

A capacidade do consumidor de conteúdo de abrir os documentos e mensagens de e-mail protegidas por direitos depende da capacidade do computador do consumidor em adquirir e usar as licenças digitais. Devido à grande variedade de plataformas computacionais de hardware e possíveis configurações de software e sistema operacional, e como a MicrosoftIT não gerencia esses computadores, configurar corretamente os computadores semi- confiáveis para abrirem os documentos e as mensagens protegidas por direitos pode ser um desafio para o usuário final.

Uso do RMA para Abrir o Conteúdo Protegido por Direitos

Os consumidores que ainda não usam o Office 2003 são capazes de visualizar os documentos do Office 2003 anexados e as mensagens de e-mail do Outlook 2003 protegidas por direitos depois que eles instalarem o RMA para Internet Explorer. Como o RMA é um visualizador que funciona dentro do Internet Explorer, o RMA exige o cumprimento do conjunto de direitos pelo publicador, mas não pode permitir que o consumidor edite o conteúdo protegido, mesmo quando esse direito foi concedido aoconsumidor. O RMA requer que o computador cliente tenha acesso online ao servidor RMSpara receber uma licença de uso.

Os consumidores sempre podem usar o RMA para visualizar as mensagens doOutlook 2003, mas os outros tipos de documentos protegidos por direitos criados em aplicativos do Office Professional Edition 2003 devem explicitamente especificar que o RMA pode ser usado quando o publicador aplica as diretivas de IRM. O publicador permite adiretiva de visualização do RMA nos documentos, selecionando a caixa de seleção Permitir


que os usuários com versões anteriores do Office leiam com navegadores que suportam o Gerenciamento de Direitos de Informação, na seção Mais Opções da caixa de diálogo Permissões no Word 2003, Excel 2003 e PowerPoint 2003.

Para instalar um RMA em um computador semi-confiável, a conta de usuário conectada (logon efetuado) deve der permissões suficientes (tais como permissões de administrador nos computadores que estão executando o Microsoft Windows XP Professional). Qualquer computador semi-confiável, no qual o consumidor tenha permissões para instalar software, pode ser habilitado para visualizar as mensagens de e-mail protegidas por direitos e os documentos anexados através do RMA.

Limites na Criação do Conteúdo Protegido por Direitos

Embora os consumidores tenham a capacidade de visualizar o conteúdo protegido por direitos através do RMA, a única maneira de publicar o conteúdo protegido por direitos éatravés dos aplicativos do Office Professional Edition 2003, tal como Word 2003, Excel 2003, PowerPoint 2003 e Outlook 2003. No futuro, os aplicativos de terceiros projetados parasuportar o RMS também irão permitir a publicação dos documentos protegidos por direitos.

Limites nos Dispositivos Móveis

No momento da elaboração deste documento, não existe o download de visualizadores de cliente do RMS, como o RMA, disponível para os usuários abrirem e usarem os documentose e-mails protegidos por direitos nos dispositivos móveis. Além disso, nem o Pocket Word enem o Pocket Excel suportam abrir os documentos protegidos por direitos.


BENEFÍCIOS CORPORATIVOS DA IMPLANTAÇÃO DO RMSA Microsoft realizou vários benefícios depois que a Microsoft IT implantou o RMS combinado com o recurso IRM no Office Professional Edition 2003. O RMS preenche uma brecha de tecnologia que nenhum outro produto faz, tanto na área de e-mail como em outrosdocumentos de produtividade corporativa, ajudando os usuários a gerenciar quem pode abrir seus conteúdos e como seus conteúdos podem ser usados ou compartilhados.

Os benefícios que as tecnologias do RMS fornecem podem ser classificados em três categorias: empresa, usuário final e TI.

Benefícios à EmpresaOs benefícios a seguir são mais aplicáveis às empresas.

Proteção da Propriedade Intelectual

A capacidade de proteger corretamente a propriedade intelectual dos documentos e mensagens de e-mail do Office Professional Edition 2003 protege os bens corporativos da Microsoft. Somente os consumidores autorizados podem desencriptar e abrir os documentose mensagens protegidas por direitos. Os consumidores não autorizados não podem abrir o conteúdo encriptado, enquanto que a capacidade de uso do documento pelos consumidores autorizados é limitada para as configurações de direitos concedidos pelo publicador.

Ao proteger os dados corporativos confidencias, a Microsoft e seus parceiros corporativos podem sentir mais segurança de que as informações confidenciais que eles criaram, bem como os relatórios escritos e as discussões por e-mail, irão permanecer confidenciais.

Grande Compartilhamento das Informações Confidenciais

A proteção de conteúdo do IRM reduz o risco de exposição não intencional dos materiais confidenciais. A confiança dos publicadores de dados, derivada dessa redução do risco, permite que eles tirem mais proveito do Outlook e dos sites da Web do SharePoint para disseminar as informações corporativas confidenciais. Como estas informações estão disponíveis, os destinatários podem tomar decisões melhores e mais rápidas, melhorando assim a agilidade da empresa.

Esta confiança permite que a Microsoft e seus parceiros corporativos usem meios corporativos eficientes de transmitir as informações confidenciais entre as pessoas, tais como o e-mail e os sites da Web da intranet seguros, para permanecerem altamente flexíveis e ágeis para responder às mudanças corporativas e às condições de mercado.

Rick Devenuti, CIO (Chief Information Officer) e Vice-Presidente corporativo de serviços da Microsoft, acredita que é evidente o valor corporativo oferecido através da proteção dos dados corporativos confidenciais com o RMS. “Antes da implantação do Gerenciamento deDireitos de Informação com o Office 2003, a equipe de liderança não tinha a capacidade de controlar o uso e a distribuição das informações confidenciais, tal como as previsões financeiras. Antes do IRM, as informações internas podiam ser claramente marcadas com‘Não Encaminhar’, mas nós não tínhamos um método de aplicação confiável. Com o IRM, as previsões financeiras podem ser protegidas pelo gerenciamento de direitos, reduzindo aprobabilidade delas serem distribuídas ou usadas de maneira inapropriada”.


Suporte de Aplicativo

O RMS é uma plataforma que pode ser incorporada em aplicativos comerciais e aplicativos LOB desenvolvidos internamente para ajudar a proteger as informações. Esta solução torna possível incorporar a proteção entre toda a gama de informações corporativas. A MicrosoftIT, a equipe profundamente envolvida no projeto e implementação de mais de 1.500 aplicativos LOB internos na Microsoft, está ocupada projetando os aplicativos LOB de nova geração que são habilitados pelo RMS para melhor proteger os dados confidenciais. Para obter mais informações sobre os SDKs (software development kits), acesseh tt p :// w w w . m ic r os o ft. c o m / w in d o w sse r v e r 200 3 / e v al u a t i o n / o ve r v ie w /t echno l ogi e s / r m en t e r p r is e . m sp x .

Linguagem Comum do RMS

A tecnologia RMS usa a XrML (eXtensible rights Markup Language) versão 1.2.1 como a linguagem comum para expressar os direitos, a qual permite que as empresas minimizem o investimento necessário para tirar proveito da tecnologia RMS. A XrML é um padrão flexível, extensível e interoperável equipado para satisfazer as necessidades da organização, independentemente do mercado, da plataforma, do formato, do tipo de mídia, do modelo corporativo ou da arquitetura.

Benefícios aos Usuários FinaisOs benefícios a seguir das propostas do RMS na empresa se aplicam aos usuários finais.

Ferramentas Simples para os Usuários

Os publicadores de documento podem atribuir diretivas de uso aos seus conteúdos usando qualquer aplicativo que seja habilitado pelo RMS, tal como o Office Professional Edition 2003 ou qualquer aplicativo LOB desenvolvido internamente escrito para suportar o RMS. As diretivas de uso especificam quem pode abrir as informações, os específicos direitos concedidos a cada um dos consumidores e quanto tempo aqueles consumidores podem visualizar ou usar o conteúdo protegido. Os usuários especificados podem abrir o conteúdo protegido por direitos com um simples clique de um mouse, como eles poderiam fazer com qualquer outro arquivo. A verificação das diretivas de uso é transparente para os usuários.

Poderosos Recursos de Proteção de Documento

A tecnologia RMS permite proteção persistente em nível de arquivo, ampliando e melhorando os esforços de segurança de rede existentes. Os proprietários de conteúdopodem especificar as diretivas de uso para seus dados, tais como imprimir, copiar e expirar, dando a eles mais recursos e opções para a proteção dessa informação na intranet da empresa e em alguns cenários da extranet.

Benefícios à TIO uso do RMS, como a solução para proteger os dados confidenciais, oferece os seguintes benefícios para o departamento de TI da empresa.

Facilidade de Implementação

A tecnologia RMS é projetada para minimizar o esforço exigido pelas empresas ao implementar uma solução RMS. Os administradores podem facilmente instalar e configurarseus sistemas RMS, conectá-los a outros servidores críticos corporativos, tais como aqueles

http://www.microsoft.com/windowsserver2003/evaluation/overview/technologies/rmenterprise


que executam o Active Directory, conectá-los aos serviços externos, construir e aplicar diretivas de uso e estabelecer entidades confiáveis fora da organização. As opções flexíveis tornam fácil a implantação de uma configuração de um servidor único ou de uma topologiade sistema RMS distribuída e global. Como um serviço da Web “stateless”, o RMS pode facilmente se adequar para satisfazer as necessidades de crescimento da empresa.

Facilidade de Administração

Os recursos administrativos do RMS, tais como as listas de revogação e as diretivas de exclusão, fornecem um novo nível de controle para o conteúdo proprietário e confidencial na Microsoft. Além disso, o logging completo permite que a Microsoft IT monitore a atividade de licenciamento, incluindo as solicitações concedidas e negadas.

O uso geral dos modelos de diretivas de direitos permite que uma empresa defina e amplieas diretivas de comunicação que são consistentes na organização e aplicadas digitalmente. Os administradores de RMS projetam e controlam o conteúdo dos modelos, e osarmazenam nos servidores RMS para a comunidade de publicação da empresa os usar. Os administradores podem facilmente modificar as definições de modelos dos consumidores aprovados e os direitos que a eles foram concedidos dentro de um documento protegido por direitos. Os modelos reduzem o trabalho de determinar a quem deveria ser concedido os direitos de uso e quais tipos de direitos o consumidor deveria receber do publicador, simplificando o processo que o publicador precisa seguir. Além disso, quando são feitas modificações em um modelo, todo conteúdo presente, passado e futuro baseado naquelemodelo herdará os novos direitos quando uma licença de uso for emitida.


IMPLANTAÇÃO

A Microsoft IT difere das organizações de TI das outras empresas de grande porte de um modo significante: A Microsoft IT desempenha um papel significante no processo de desenvolvimento como o “primeiro e melhor cliente” da Microsoft. Nesse papel, ela implantaos produtos da Microsoft em um ambiente de produção antes que eles estejam disponíveis para qualquer outro cliente ou parceiro corporativo da Microsoft. Além disso,a Microsoft IT se esforça para ser a empresa modelo para a implantação desses produtos. Entretanto, a Microsoft IT não implanta todos os produtos da Microsoft. Por melhor dizer, ela tem foco somente naqueles produtos que são destinados às organizações corporativas de grandeporte, para as quais há um caso corporativo obrigatório e evidente para a implantação de produtos dentro da Microsoft.

Abordagem e EstratégiaComo em qualquer implantação importante na Microsoft, a chave do sucesso para a implantação do RMS foi o planejamento cuidadoso. A Microsoft IT obteve diagramas de topologia, especificações de produtos, estimativas de escalabilidade e hardware e outras documentações de produtos publicadas pelo grupo de produtos do RMS, que poderiam ajudar a planejar a implantação e a identificar as necessidades de hardware. As metas de desempenho que a Microsoft IT tinha para o RMS incluíam um impacto de menos de 5 porcento nos controladores de domínio de rede e uma taxa de conclusão de, no mínimo, 95 por cento de todas as solicitações de licenciamento dentro de cinco segundos.

A Microsoft IT estudou o tráfego de rede projetado que o RMS adicionaria a sua infra- estrutura, baseado nas informações de implementação do grupo de produtos do RMS fornecidas no arquivo Deploy.chm (um componente de instalação do RMS). O grupo deprodutos estabeleceu uma medida de padrão de desempenho do Windows RMS, usando um servidor Intel Pentium 4 de 1 gigahertz (GHz) que tinha quatro processadores e 1 gigabyte(GB) de Random Access Memory (RAM). Nesta configuração, o servidor RMS entregouaproximadamente 100 licenças por segundo.

Os cálculos de planejamento de capacidade na Tabela 4 foram fornecidos pelo grupo de produtos do RMS para estimar os requisitos de uso para um sistema RMS.

Tabela 4. Requisitos de Uso Estimados para o RMS

Transação Ocorrência Uso da Banda (KB) Cliente- Servidor

Uso da Banda (KB) Servidor- Cliente

Solicitação de licença

Repetida para cada usuário e para cada parte do conteúdo

22 10

Ativação da máquina RMS

Apenas tráfego de inicialização do Windows RMS

1 200

Certificaçãode conta RMS


10 16

Registro de cliente


11 10


A Microsoft IT também reconheceu que o tráfego de consultas do Active Directory geradopelo RMS poderia potencialmente afetar o processamento de rede. Entretanto, a Microsoft ITdeterminou que este não seria um fator importante se os servidores RMS fossemimplantados bem próximos aos catálogos globais. A exceção seria se uma falha em todos os catálogos globais em um site causasse um failover para outro site sobre uma conexão quenão suportou a mesma capacidade de processamento.

A Tabela 5 fornece os dados de linha de base no uso de largura de banda das transações do RMS, que podem ser usados para avaliar o efeito do tráfego de consultas do Active Directory em uma rede.

Tabela 5. Dados de Linha de Base para o Uso de Largura de Banda de Tráfego doActive Directory

Transação Uso da banda (bytes) de catálogo global para Windows RMS

Uso da banda (bytes) de Windows RMS para catálogo global

Estabelecimento da conexão do Windows RMS (ldap_bind)

1.600 200

Avaliação de membro do grupo do Windows RMS (ldap_search)

200 100

Nota: Os números devem ser aplicados no contexto. Por exemplo, se o usuário pertencer a15 grupos, 200 bytes seriam necessários para o pedido de pesquisa através do RMS e1.500 bytes (100 bytes x 15) seriam necessários para a resposta do catálogo global.

A análise do uso projetado do RMS dentro da infra-estrutura de rede da Microsoft IT mostrouum impacto a ser desprezado. A Tabela 6 ilustra os efeitos específicos que o RMS teve na rede corporativa da Microsoft.

Tabela 6. Métricas de Carga de Rede RMS dentro da Microsoft IT

Nome do site monitorad o

Média de bytes enviados

Máximo de bytes enviados

Média de bytes recebidos

Máximo de bytes recebidos

Número de solicitaçõe s

Ativação deMáquina

511.687 39.698.882 1.974 139.646 226.508

Certificação de Usuário

17.823 1.228.016 13.185 880.856 338.925

Publicação 18.242 325.430 19.532 305.515 136.927

Licenciame nto

17.618 1.319.349 54.652 3.171.780 992.692

Usando as informações colhidas durante a fase de planejamento, a Microsoft IT decidiu na topologia de implantação, o número e a classe de servidores e os requisitos dedisponibilidade de serviço.


Em Janeiro de 2003, a Microsoft IT começou as preparações para suas implantações iniciais do RMS. Com base nas projeções do grupo de produtos do RMS e nos resultados do testede laboratório da Microsoft IT, a Microsoft IT previu que aproximadamente 2 por cento de todas as mensagens de e-mail e dos documentos de produtividade corporativa anexados enviados dentro da Microsoft usariam o IRM para aplicar a diretiva. Este cálculo foi baseado no conhecimento da Microsoft IT de sua base de usuários, na probabilidade da população geral adotar as novas tecnologias e no quanto a nova tecnologia seria usada dentro da empresa.

Nota: O cálculo da estimativa de uso será diferente para cada implantação e cada empresaque implanta o RMS terá que determinar a sua própria necessidade e uso da tecnologia RMS. Depois que uma empresa fizer esta estimativa, ela pode determinar a capacidade de planejar os requisitos.

Os dados do teste de escalabilidade fornecidos pelo grupo de desenvolvimento de produtodo RMS revelaram que, no caso da Microsoft IT, dois servidores de configuração padrão controlariam a carga para todos os usuários dentro da empresa. Esta configuração incluía computadores Intel Dual Pentium 4 de 2.4 GHz com um cache de memória Level-2 (L2) de512 kilobytes (KB) e 512 megabytes (MB) de RAM, configurados como um par de cluster de carga balanceada.

Para suportar o crescimento inesperado do uso, além de expansão futura do RMS para os aplicativos LOB e para outros aplicativos de parceiros e da Microsoft, a Microsoft IT atualizoua especificação do servidor RMS para um computador com quatro processadores de 2.4GHz com 1 GB de RAM.

O número de clusters do servidor RMS que a Microsoft IT precisou implantar foi completamente ditado pela infra-estrutura do Active Directory corporativo. O RMS, por padrão, verifica a floresta de logon de conta para emitir as RACs e as licenças. Para oferecer a todos os usuários de contas o acesso às tecnologias RMS, a Microsoft IT implantou um cluster de RMS de carga balanceada em todas as florestas da rede corporativa que contêm as contas de logon do usuário. Além da floresta corporativaprincipal, três outras florestas são usadas com contas de logon na Microsoft, principalmente para testar a funcionalidade entre as florestas do software corporativo e para isolar os outros esforços de teste.

Para simplificar a administração e a resolução de problemas com o RMS, a Microsoft decidiu direcionar todas as solicitações de licenciamento de publicação de documento ao cluster do RMS da floresta corporativa principal, onde mais de 90 por cento de todas as contas delogon da Microsoft estão localizadas. O direcionamento das solicitações de licença de publicação à floresta corporativa principal resultou em requisitos de escalabilidade e de disponibilidade mais altos que aqueles das outras três florestas de logon. Para enfrentar a maior carga de trabalho, a Microsoft adicionou um terceiro servidor RMS identicamente configurado ao cluster de carga balanceada de logon corporativo para o suporte de failover nos casos de falha de hardware.

Adicionalmente, para satisfazer seus requisitos internos de segurança para a proteção da chave privada do servidor RMS, a Microsoft IT incluiu os módulos de segurança de hardware(HSMs) nCipher nShield em sua especificação do servidor RMS.


A Microsoft IT usa o Microsoft SQL Server™ 2000 para o banco de dados de log detransação RMS requerido em cada floresta. Isto fornece a capacidade de usar o log shipping transacional como uma maneira de manter um servidor secundário em standby. A Microsoft

concluiu que necessitaria de um computador de 2.4 GHz de quatro processadores com 1 GB de RAM e configurado com 10 GB de espaço de armazenamento de dados disponível para o

RMS e os servidores de banco de dados do sistema. No total, A Microsoft IT comprou 13servidores para implantar o RMS para todas as florestas com contas de usuários de logon.

A etapa final em determinar a topologia de implantação foi identificar os métodos de conectividade para os quais a Microsoft IT queria suportar o licenciamento do RMS. Em particular, a Microsoft IT determinou que os usuários precisam ter a capacidade de obter as licenças quando não estivessem conectados na rede corporativa. A Microsoft decidiu colocaro RMS atrás dos servidores que executam o Microsoft Internet Security and Acceleration(ISA) Server 2000, permitindo assim que a Microsoft IT use externamente as URLs acessíveis para o RMS.


A Figura 2 mostra o cluster de RMS de carga balanceada da principal floresta corporativa.

Figura 2. Topologia do RMS para a principal floresta corporativa

A implantação do RMS propriamente dita, incluindo instalação e provisionamento, foi simples. A maior parte do tempo gasto durante a instalação consistiu nas etapaspreparatórias, não diretamente ligadas ao próprio produto RMS. O trabalho inclui o seguinte:

1. Planejamento de pré-implantação. As seguintes etapas de planejamento foram requeridas antes da implantação do software propriamente dita:

Desenvolva cenários de uso do usuário final

Determine as necessidade de uso da extranet


Prepare o plano de backup do banco de dados e de recuperação de desastre Projete as definições de modelos com o departamento jurídico Crie planos de implantação de cliente RMS Crie distribuições para as configurações de computadores do usuário final Crie contas de serviço RMS com as permissões apropriadas

Crie URLs de serviço Adquira certificados SSL Estabeleça as políticas de diretivas de confiança entre as florestas Crie a retenção de dados e a diretiva de recuperação Estabeleça a diretiva de membro do grupo Super User Execute um planejamento do tamanho do cluster

Adquira computadores

Preparando os servidores. A Microsoft IT instalou e configurou o servidor para o RMSe SQL Server, como necessário.

Instalando e configurando o HSMs. Além da configuração do hardware e das instalações do Windows Server 2003 e SQL Server 2000, instalar e configurar os módulos de segurança de hardware nCipher nShield consumiram a maior parte do tempo de instalação—aproximadamente uma hora por servidor RMS. A Microsoft IT provisionou o primeiro servidor no cluster raiz e, depois, ela copiou a chave privada do primeiro servidor para o HSM local para cada servidor adicional no cluster. A MicrosoftIT também copiou o certificado SSL do primeiro servidor para cada servidor adicional no cluster.

Configurando o RMS nos servidores raiz. A configuração ponto a ponto do RMS no servidor raiz em cada cluster de carga balanceada levou aproximadamente 20 minutos. Cada servidor RMS adicional levou mais de 5 minutos para ser instalado e unido ao cluster existente.

Configurando os bancos de dados. Ao completar a configuração do RMS, os administradores dos bancos de dados configuraram o modelo de recuperação para os bancos de dados. Os administradores dos bancos de dados também configuraram planos de manutenção dos bancos de dados para desenvolver backups de log e debanco de dados, verificação da consistência dos bancos de dados e log shipping, como apropriado. A Microsoft IT implementou um modelo de recuperação simples para os serviços de diretório e bancos de dados de logging, com um modelo de recuperação completo e log shipping transacional nos bancos de dados de configuração.

A Microsoft levou aproximadamente um mês para ordenar, configurar e implantar osservidores RMS. As despesas em hardware para implementar o RMS dentro da Microsoft ITtotalizaram aproximadamente $56.000 dólares.

Pilotos de Implantação de ClienteA implantação do Office 2003 aos clientes, ainda que relativamente simples, foi mais trabalhosa. É procedimento operacional padrão da Microsoft IT fazer algumas mudanças de configuração aos pacotes de instalação de cliente antes de torná-los disponíveis aosclientes. Especificamente para o IRM, a Microsoft IT escolheu por colocar em cadeia as


instalações do cliente RMS e do RMA com as instalações do Office ProfessionalEdition 2003 para fornecer uma melhor experiência para seus usuários.

Nota: Colocar em cadeia a instalação do cliente RMS e do RMA com a instalação do OfficeProfessional Edition 2003 era somente uma das possíveis opções de instalação disponíveis. As

outras organizações de TI podem optar por implantar o cliente RMS e o RMA por meio doMicrosoft Systems Management Server (SMS) ou usando os Objetos de Diretiva de Grupo(GPOs).

Depois que a infra-estrutura do servidor RMS estava em ordem, a Microsoft IT preparou-separa fazer suas iniciais implantações piloto do IRM durante a implantação, na empresa toda, de uma versão beta do Office Professional Edition 2003.

A Microsoft tipicamente desenvolve as implantações de clientes em implantações organizadas, para fornecer uma melhor chance de sucesso. A Microsoft IT controlou o acesso aos pilotos do RMS, desabilitando o IRM nas versões beta do Office Professional Edition 2003 por padrão. A Microsoft IT começou com uma pequena implantação para 50 clientes selecionados para um piloto de uma semana. Após uma semana, a Microsoft IT expandiu o piloto para os membros da equipe de mensageria da Microsoft IT, ao grupo de produto do Rights Management Services, ao grupo de produto do Exchange e ao grupo de produto do Office.

No total, aproximadamente 5.000 usuários beta do Office Professional Edition 2003 foram configurados para participar do segundo piloto, para um período de duas semanas. A Microsoft IT forneceu, a cada um desses participantes elegíveis para o piloto, um script de instalação do cliente RMS, que permitiu a funcionalidade IRM em suas instalações beta do Office Professional Edition 2003. Entretanto, o uso do serviço durante o segundo piloto foi bastante tranqüilo (provavelmente porque o publicador e o consumidor precisavam ter capacidade IRM e porque poucos usuários estavam totalmente informados de como usar o IRM), assim, apesar do grande número de participantes elegíveis, o piloto foi pequeno o suficiente para ser facilmente gerenciado.

Durante o piloto, muitos cenários de uso variados foram executados para testar a funcionalidade dos recursos e determinar a carga que eles colocaram na infra-estrutura. A partir da versão beta atualizada do Office Professional Edition 2003, vários meses depois, a Microsoft IT permitiu a funcionalidade IRM para todas as instalações de usuários naempresa inteira.

Ativação de Máquina e Certificação de UsuárioAntes que um cliente RMS possa ser usado em um computador ciente, uma série de processos de ativações e de certificações deve ser realizada. O processo de ativação de máquina e o de certificação de usuário é iniciado automaticamente quando o cliente RMS é implantado através de GPO ou SMS, ou quando o cliente RMS é primeiramente usado emum computador cliente, se não foi ativado durante a instalação. No total, dois novos certificados e uma dynamic-link library (DLL) personalizada são instalados em cada computador cliente que usa o cliente RMS.

O cliente RMS começa o processo de ativação, ativando a próprio computador cliente. Para ativar o computador cliente, o cliente RMS obtém e instala um arquivo DLL altamenteseguro, conhecido como lockbox. A lockbox, um repositório seguro ligado na memória docomputador cliente, é onde ocorre toda a encriptação e desencriptação do conteúdo


protegido por direitos. A Figura 3 ilustra como funciona o processo de ativação de máquina e de certificação de usuário.


Figura 3. Processo de ativação de máquina e de certificação de usuário.


O processo de ativação inclui as etapas a seguir:

1. O computador cliente submete o Active Directory para o local dos servidores RMS Certification naquela floresta, a qual é armazenada em um objeto ServiceConnectionPoint. Alternativamente, o computador cliente pode empregar as configurações de registro.

2. O computador cliente obtém a URL para o serviço de ativação nos servidores RMSatravés do Active Directory.

3. O computador cliente envia ao servidor RMS uma solicitação de ativação decomputador. A solicitação de ativação inclui o ID de hardware exclusivo do computador cliente.

4. O servidor RMS representa a solicitação e a encaminha através do firewall corporativo(que, no caso da Microsoft IT, usa o ISA Server), usando uma conexão SSL.

5. A solicitação de ativação é entregue ao RMS Machine Activation Service, um serviço de ativação de máquina hospedado pela Microsoft na Internet.

Nota: Todos os ambientes corporativos que implantaram o RMS precisarão ter acessodisponível à Internet para permitir a ativação de cliente através do RMS MachineActivation Service hospedado.

O RMS Machine Activation Service obtém o ID de hardware de computador clienteincluído com a solicitação de ativação e compila seguramente a DLL personalizada da lockbox, assegurando que a lockbox seja invalidada em qualquer outro computador.

6. Para concluir, o RMS Machine Activation Service envia a nova lockbox de volta através do firewall do ISA Server, por meio de uma conexão SSL.

7. A lockbox passa através do firewall para o servidor RMS original.

8. O arquivo de lockbox é instalado no computador cliente.

Nota: Para instalar o arquivo de lockbox, a conta de usuário conectada (logon efetuado)deve ter acesso de administrador no computador cliente. Para os ambientes que não permitem que os usuários tenham acesso de administrador para os seus próprios sistemas, o software cliente RMS pode ser implantado através de GPO ou SMS, que irá fazer com que os computadores sejam ativados no momento da instalação. Os usuários ainda podem fazer o download e instalar suas RACs e CLCs e criar e recuperar aslicenças sem o acesso de administrador aos seus computadores.

9. O processo de ativação no computador cliente apresenta credenciais ativas de logon doWindows para o servidor RMS Certification receber uma RAC.

10. A RAC, que inclui o par de chaves pública e privada do usuário e todos os endereços dee-mail SMTP válidos associados a essa conta de usuário, é construída a partir das informações contidas no Active Directory e instaladas no computador cliente. Essas duas atividades usam os servidores RMS Certification localizados na mesma florestacomo a conta do usuário.


Com todas as solicitações de publicação subseqüentes e todas as solicitações de licenciamento, a RAC é enviada junto com a solicitação. A RAC é usada para autenticaro usuário com o servidor RMS, permitindo assim que o servidor conceda a solicitação.

11. O terceiro e opcional componente de RMS que a Microsoft IT elegeu para instalar durante a ativação inicial é o CLC, que permite que um autor publique o conteúdo com proteção de direitos sem precisar de uma conexão ativa para o servidor RMS. O CLC, exclusivo para a RAC de cada usuário, contém a chave pública do servidor RMS. O mesmo CLC é usado para publicar todos os conteúdos originados através do usuário ativado no computador ativado. O CLC é, por padrão, obtido através do servidor RMS Certification. Se a organização implanta os servidores RMS Licensing sub-inscritos, o CLC pode ser obtido a partir deles, através da anulação do registro.

Nota: O Office Professional Edition 2003 usa o CLC porque somente a publicaçãooffline é suportada pelo produto. Os aplicativos que desenvolvem a publicação online não usam o CLC.

Como parte do processo de implantação do Office Professional Edition 2003 na Microsoft, aMicrosoft IT ativou automaticamente o RMS para o computador e para a conta de usuário.

Serviço e SuporteOs requisitos adicionais de suporte para a Microsoft IT implementar o RMS e o IRM na Microsoft foram mínimos. As razões para esses requisitos míninos de suporte foram as seguintes:

As equipes de suporte de usuários finais da Microsoft IT absorveram os deveres de suporte de usuários finais de RMS. Nenhum suporte pessoal adicional foi necessário.

A equipe do Exchange Server Support (ESS) na Microsoft IT absorveu os deveres de administração de servidor RMS. Nenhum administrador adicional foi necessário.

Foi feito o backup dos bancos de dados do SQL Server do RMS através da infra- estrutura de suporte ao SQL Server existente. Nenhuma infra-estrutura adicional foi necessária.

A infra-estrutura do servidor RMS usou o Microsoft Operations Manager (MOM) para o monitoramento dos servidores, usando a infra-estrutura de monitoramento do MOM existente na Microsoft IT. Não foi necessária nenhuma mudança, exceto a instalação do pacote de gerenciamento do MOM específico para o RMS (que é empacotado com o download do RMS). A equipe de desenvolvimento do RMS criou o novo pacote de gerenciamento especificamente para monitorar o status dos servidores RMS e aatividade nesses servidores.

Em termos de recursos de pessoas, a Microsoft IT queria confirmar suas suposições a respeito de como a implantação do RMS e do IRM afetaria o volume de chamadas para o seu Help Desk interno (Nível 1 no sistema de suporte na Microsoft), bem como as solicitações de serviço que subiram para as equipes de suporte de servidores e usuáriosfinais de Nível 2. O número de chamadas de suporte especificamente relacionado ao RMS e ao IRM no Help Desk da Microsoft IT se apresentou, como esperado, bastante pequeno.Nos últimos quatro meses de 2003, a Microsoft IT recebeu uma média de 50 chamadas por mês relacionadas ao RMS e ao IRM, das quais aproximadamente 80 por cento foram controladas e concluídas pelo Help Desk de Nível 1. O número de chamadas relacionadasao RMS e ao IRM é insignificante, considerando que o Help Desk recebe uma média de


aproximadamente 11.000 chamadas por semana. Aproximadamente dois terços das chamadas que a Microsoft IT recebeu foram resolvidas como problemas de treinamento de usuário ou problemas não específicos ao RMS.

Como a Microsoft IT estimou que a maioria do uso do IRM viria do Outlook 2003, a administração dos servidores RMS na Microsoft foi atribuída à equipe de ESS, uma organização de suporte sete dias por semana, 24 horas por dia, consistindo em três turnos realizados por 15 analistas de operação de linha de frente. O ESS monitora mundialmente a infra-estrutura do Exchange da Microsoft, além de todos os problemas relacionados com a Mensageria Unificada, serviços de fax e Serviços de Terminal. O ESS usa o MOM para o monitoramento e alerta dos servidores RMS. O MOM é uma ferramenta padrão para o monitoramento de todos os aplicativos e ferramentas que são de responsabilidade do ESS.Os alertas criados através do MOM imediatamente notificam este grupo sobre os problemas potenciais e automaticamente geram solicitações de serviço no sistema de rastreamento de evento. O impacto total do RMS na equipe de ESS foi dois alertas adicionais por dia para o suporte de servidor Nível 2 e somente 5 por cento desses alertas estavam relacionados aum problema de servidor que precisou ser solucionado. Isto leva a uma estimativa de duas horas por semana para um gerente de suporte fornecer administração contínua para a infra- estrutura do RMS.

Treinamento

Para ensinar o Help Desk e outros funcionários de suporte a fazer a implantação do RMS e do IRM, a Microsoft IT usou as orientações de implantação e a ajuda do produto disponíveis

através do Office 2003 e dos grupos de produto do RMS. Estes materiais consistiram principalmente nas orientações de implantação do RMS e do Office 2003 disponíveis ao público. Estes materiais foram apresentados aos funcionários do Help Desk da Microsoft IT nos Estados Unidos e em Dublin, em uma única longa sessão de uma hora para cada turno. Adicionalmente, os peritos da Microsoft IT escreveram vários artigos da base de conhecimento, para serem usados pelo Help Desk e pelas equipes de suporte de usuáriofinal Nível 2. A Microsoft IT não realizou qualquer outro treinamento à equipe de suporte específico ao RMS e ao IRM, em parte para validar a facilidade com que o RMS e o IRM podem ser implantados em uma empresa.

A Microsoft IT também produziu e publicou treinamento aos usuários — em forma de uma mensagem de e-mail informativa e conteúdo online — antes da implantação do RMS. Comos materiais de treinamento usados para as equipes de suporte, a Microsoft IT produziu esteconteúdo principalmente a partir dos materiais que os grupos de produto do RMS e do Office2003 tornaram disponíveis.

Empregando os Super Users para a Recuperação de Documento

A recuperação de documento é uma área fundamental de suporte no ambiente da MicrosoftIT. O RMS permite que a Microsoft IT tenha uma pessoa ou equipe de pessoas como membro atribuído em um grupo de distribuição Super User do RSM para a eficienterecuperação de documento. Se os direitos de RMS são aplicados a um documento principale o publicador subsequentemente se torna incapacitado ou deixa a empresa antes que as diretivas possam ser removidas, o grupo Super User pode permitir a edição ou a remoção completa das diretivas estabelecidas pelo publicador original. A Microsoft IT limitou os membros do grupo Super User a um número pequeno de indivíduos altamente confiáveis. Além disso, somente em casos corporativos especificamente definidos pode um membro dogrupo Super User intervir para anular as diretivas de um documento protegido por direitos.


Ter meios de remover as diretivas atribuídas pelo publicador faz parte da diretiva corporativa. Como a maioria da empresas e organizações, a Microsoft considera todo o material intelectual que os empregados criam no trabalho, usando sua rede corporativa e seus recursos de computação, como sendo propriedade da Microsoft. A Microsoft precisa conservar a capacidade de recuperar sua propriedade se, por exemplo, um usuáriomalicioso intencionalmente protege um documento com as diretivas de IRM. Adicionalmente,a capacidade de recuperar os documentos protegidos por direitos se faz necessária por razões legais, em casos discussões judiciais.

Para um membro de um grupo de distribuição Super User em um servidor RMS é automaticamente concedido amplos direitos de controle para qualquer conteúdo protegido por direitos publicado por aquele servidor. Para assegurar o não abuso dessa confiança, a Microsoft IT tem processos corporativos específicos estabelecidos para quando as permissões do Super User são usadas para abrir quaisquer documentos ou mensagens dee-mail protegidas por direitos.

Foram atribuídos direitos de administrador à equipe de ESS na Microsoft IT em todos os servidores RMS. A equipe de segurança corporativa dentro da Microsoft IT é responsável pelo grupo de distribuição Super User e gerencia os membros desse grupo. Ambos os grupos são notificados sempre que alguém, com direitos atribuídos por membro do grupo Super User, tenta abrir um conteúdo protegido por direitos.

O RMS primeiro gera um código de evento no log de evento do servidor RMS sempre que a licença esteja sendo concedida a um membro Super User. O pacote de gerenciamento MOM para RMS captura este evento e gera uma mensagem de alerta no console do MOM para os administradores da equipe de ESS que monitoram a atividade do servidor RMS. O MOM também envia automaticamente mensagens de e-mail para a equipe de segurançacorporativa e a outros membros principais da equipe de ESS. Este recurso de responsabilidade é construído no RMS.

Nota: O recurso de Super User pode ser deixado desabilitado até que ele seja necessário.Naquele momento, ele pode ser temporariamente habilitado, usado quando necessário e, depois, desabilitado novamente. Esta capacidade permite um maior controle, exigindo que uma solicitação específica ative o uso das permissões do Super User somente quando fornecessário.


LIÇÕES APRENDIDAS E PRÁTICAS RECOMENDADAS

Ao avaliar e implantar completamente uma infra-estrutura de servidor RMS e ao usar a tecnologia de cliente do IRM no Office Professional Edition 2003, a Microsoft IT aprendeu várias lições valiosas que podem ser aplicadas como práticas recomendadas na maioria dosoutros planos de implantação de RMS/IRM. Algumas dessas lições e práticas recomendadas foram aprendidas durante a implantação e outras foram aprendidas como resultado da implantação. Elas podem ser divididas em três categorias gerais: implantação, segurança e administração.

ImplantaçãoAs seguintes lições e práticas recomendadas são derivadas da experiência da Microsoft ITna implantação do RMS e do IRM.

Ensinar os Usuários

Para obter as vantagens completas da tecnologia, deve ser dito aos usuários que o serviço existe e ensiná-los a como usar esses serviços corretamente. Uma organização podeensinar os usuários criando conteúdo de treinamento de auto-ajuda e artigos da base de conhecimento; desenvolvendo uma intranet dedicada à postagem de materiais de treinamento e às perguntas mais freqüentes (FAQs); e anunciando e discutindoregularmente a adição do serviço com os empregados durante a implantação. O sucesso em informar a base de usuários sobre onde encontrar as informações necessárias para usar corretamente o serviço irá minimizar o efeito no help desk da organização.

Executando um Piloto

Introduza o RMS para a empresa em um projeto de implantação piloto com conjunto limitado de usuários em uma pequena área controlada. Durante o piloto, teste todos os cenários deuso da empresa desejados, incluindo quaisquer modelos que estejam planejados.

Quando o primeiro piloto for completado com sucesso, se o tamanho da eventual implantação espera incluir um número muito grande de usuários, faça um segundo piloto para um grande (mas ainda monitorado atentamente) grupo de usuários. Após identificar e considerar os problemas de escalonamento, comece a implantação para o resto daorganização, quando os recursos e tempo permitirem. Lembre-se de que os funcionários que possuem as versões anteriores ao Office Professional Edition 2003 podem usar o RMA,quando necessário, para ler os documentos e e-mail protegidos por direitos antes da própria atualização deles para o Office Professional Edition 2003.

Na Microsoft, foram enviados sucessivamente e-mails protegidos por direitos a grandes grupos de consumidores simultaneamente, para testar o stress da infra-estrutura de licenciamento do RMS. A Microsoft IT considerava a implantação do RMS e do IRM oficialmente completa quando uma mensagem de e-mail protegida por direitos era enviada com sucesso para o grupo de distribuição Todos os Funcionários da empresa e todos os consumidores válidos eram capazes de ler a mensagem.

Considerações sobre a Largura da Banda da Rede

Cuidadosamente, considere as limitações de largura da banda da rede antes de adicionar novos serviços aos serviços-núcleo de TI existentes. É provável que a rede fosse projetada com diferentes suposições, necessitando de gerenciamento cuidadoso quanto ao risco deinterrupção corporativa. A experiência da Microsoft IT em implantar a tecnologia RMS com


uma nova infra-estrutura de servidor e distribuição de licença demonstrou que a largura da banda corporativa da Microsoft não foi significantemente afetada.

Implante Todos os Servidores RMS com uma Opção de Failover

Todos os servidores que suportam o RMS em uma floresta deveriam ser implantados com, no mínimo, dois servidores para suportar o failover de servidor no caso uma falha de hardware catastrófica. Este conselho também inclui os servidores RMS de logging transacional, que são usados em cada transação de RMS.

Escolha o Melhor Modelo de Implantação de Cliente

As empresas precisam determinar se elas querem implantar os clientes RMS usando oSMS, usando o GPO ou encadeando o cliente RMS à outra implantação, como a MicrosoftIT fez com a implantação do Office Professional Edition 2003. A Microsoft IT sabia que somente cerca de 75 por cento dos computadores da empresa estavam conectados ao SMS(o resto consistia em computadores de teste, computadores portáteis secundários e laboratórios de computador usados dentro da empresa). A Microsoft IT não usa o GPO para implantar bits de software aos clientes; o uso do GPO é reservado para as diretivas de distribuição. Ao invés, a Microsoft IT usa o SMS para a distribuição de software automática.

Todos os funcionários da Microsoft usam o Office Professional Edition 2003 como seu pacote de aplicativos de produtividade corporativa. A maioria dos funcionários instalou o Office Professional Edition 2003 em um estágio posterior a implantação beta. Assim, aMicrosoft sabia que as atualizações para a versão final do código seriam requeridas, então aMicrosoft IT adicionou as condições para instalar e ativar o cliente RMS ao script de instalação do Office Professional Edition 2003 através dos servidores de distribuição de software da Microsoft IT.

Use o GPO de Configuração para Aplicar as Configurações Corporativas

Quando as versões beta do Office Professional Edition 2003 foram lançadas internamente, alguns usuários da Microsoft instalaram os aplicativos através dos servidores de distribuição não gerenciados pela Microsoft IT (tal como aqueles usados internamente pela equipe de desenvolvimento do Office 2003), evitando os scripts de instalação da Microsoft IT personalizados que direcionava todas as solicitações de licenciamento de documentos doIRM para a floresta corporativa principal. Como resultado, a Microsoft IT foi forçada a usar um GPO para implantar uma mudança de sub-chave no registro de cliente. Esta mudançarevisou uma configuração de sub-chave de registro nos computadores clientes que estavam fora do padrão da Microsoft IT para anular a configuração padrão de descoberta do serviço RMS, que apontou para o Active Directory na floresta de logon do usuário, que em troca (por padrão) enviou o usuário aos servidores RMS localizados naquela mesma floresta.

Conduza os Diretos de Usuário

O Windows XP Professional requer conta de usuário conectada (logon efetuado) para ter permissões de administrador para instalar o software. Se uma organização determina que seus funcionários não podem ter direitos de administrador, o SMS pode ser usado para instalar o aplicativo e certificar os arquivos em um contexto de usuário diferente do usuário conectado (logon efetuado). O SMS pode, então, efetivamente imitar um logon deadministrador e completar a instalação.


Recupere Automaticamente a Licença de Uso para o Outlook

A Microsoft usa o Outlook 2003 em modo cache, o que significa que o Outlook 2003 não precisa manter uma conexão constante com o servidor Microsoft Exchange Server 2003 para enviar e recuperar e-mail. A Microsoft IT modificou seu script de instalação do Office Professional Edition 2003 para atualizar a sub-chave de registro que controla se oscomputadores clientes automaticamente recuperam as licenças de uso para as mensagens de e-mail do Outlook. Esta configuração de sub-chave impede a aparição de uma caixa de diálogo — a qual pergunta ao usuário se ele ou ela quer que o Outlook automaticamente recupere a licença de uso para todas as mensagens de e-mail protegidas por direitos recebidas — a primeira vez que um anexo de documento ou uma mensagem de e-mailprotegidos por direitos são enviados para esse cliente e-mail. A Microsoft IT pré-estabeleceuo download automático de licença de uso, que é uma prática recomendada pelo grupo de produto do Office Professional Edition 2003.

Consolide o Licenciamento Entre Florestas

Com múltiplas florestas, use o cluster de carga balanceada de RMS Certification em uma floresta para servir as solicitações de publicação e licenciamento para a empresa inteira. Esta ação simplifica as tarefas administrativas e minimiza o trabalho de resolução de problemas quando todas as licenças de publicação partem da mesma fonte. Implante as sub-chaves de registro aos usuários a partir de outras florestas para apontá-las a este cluster. Use os clusters RMS das outras florestas somente para a expansão das listas de distribuição e ativação de conta.

SegurançaAs seguintes lições de segurança e práticas recomendadas são derivadas da experiência daMicrosoft IT em implementar e gerenciar o RMS e o IRM.

Use a Assinatura LDAP para Proteger as Comunicações de Rede

As comunicações entre o RMS e o catálogo global deveriam se assinadas digitalmente. A assinatura de tráfego Lightweight Directory Access Protocol (LDAP) garante que os dados sejam empacotados a partir de uma fonte conhecida e que eles não são falsificados. O Windows Server 2003 permite a encriptação e a assinatura LDAP por padrão. É recomendado que as organizações que usam o Windows Server 2003 para os seus servidores Active Directory implementem esta prática recomendada.

Não Use o Modo de Autenticação do SQL Server

Para obter o mais alto nível de segurança, não configure o SQL Server para suportar a autenticação do SQL Server. No modo de autenticação do SQL Server, as credenciais são passadas em texto plano na cadeia de conexão, assim, é recomendado que o SQL Server seja configurado para suportar somente a autenticação do Windows.

Aplique as Restrições de Acesso

Assegure que somente aquelas pessoas que precisam administrar o RMS tenham:

Membros nos grupos locais Administradores ou Grupo de Serviço do RMS no servidorRMS

A permissão de fazer Logon Localmente

Acesso de usuário aos Serviços de Terminal na configuração de conexão RemoteDesktop Protocol (RDP)


Além disso, assegure que as listas de controle de acesso discricionário (DACLs) que são configuradas para os servidores, restrinjam o acesso somente para as pessoas essenciais.

Para suportar a expansão de grupo entre florestas, o RMS automaticamente concede acesso de leitura aos serviços de diretório para todos os usuários autenticados que têmcredenciais de domínio. Para melhorar a segurança, remova este acesso através da DACL eo substitua com cada conta de serviço que está nas diferentes florestas.

Proteja os Bancos de Dados do SQL Server

Permitir as comunicações desprotegidas do banco de dados é um alto risco de segurança. Para ajudar a impedir que os usuários maliciosos capturem ou modifiquem os dados conectados, proteja os bancos de dados do SQL Server configurando a SSL ou o IPSec (Internet Protocol Security) para fornecer canais encriptados.

Não Implante Quaisquer Serviços Adicionais nos Servidores RMS

Após disponibilizar o RMS em um servidor, não use este servidor para executar quaisquer sites da Web ou serviços adicionais. Se outros serviços, diferentes dos serviços RMS, estão sendo executados nos servidores RMS, podem ocorrer conflitos que podem resultar em problemas de segurança. O isolamento do RMS em seus próprios servidores dedicados ajudou a equipe da Microsoft IT a prever e gerenciar a carga de trabalho. O isolamentotambém impediu a introdução das incompatibilidades de software que podem comprometer a integridade ou a funcionalidade do serviço RMS.

Crie uma Conta de Usuário Dedicada para Ser Usada Como Conta de ServiçoRMS

Por razões de segurança, é altamente recomendado que uma conta de usuário especial seja criada para ser usada como conta de serviço RMS. Esta conta não deveria ser usada para qualquer outra finalidade e não deveria ser dada a ela quaisquer permissões adicionais.

Use um HSM para Proteger as Chaves Privadas

Ao invés de usar a encriptação de software, use um HSM para proteger as chaves privadas do RMS. O uso do HSM melhora a segurança das chaves privadas, mantendo as chaves privadas em um hardware resistente às falsificações e nunca as expondo aos ataques baseados em software.

Use o Grupo do Serviço do Windows RMS para Gerenciar o Acesso ao RMS Administration

Adicione membros ao grupo Windows RMS Service, identificando aqueles usuários de domínio ou grupos de domínio Globais que são responsáveis por administrar o RMS emuma organização, ao invés de adicioná-los ao grupo de Administradores locais. Então, use o Gerenciador de IIS (Internet Information Services) para conceder as permissões administrativas de grupo ao diretório virtual do Windows RMS Administration (_wmcs).

Nota: Se o RMS está sendo executado em um controlador de domínio, crie um grupo desegurança Domain Local e use o mesmo nome do controlador de domínio.

Para obter maior segurança, remova os usuários de domínio do grupo de Usuários locais e,então, adicione os usuários e os grupos que são membros do grupo Windows RMS Service ao grupo de Convidados locais.


AdministraçãoAs seguintes lições aprendidas e práticas recomendadas são derivadas da experiência daMicrosoft IT em gerenciar e administrar o RMS e o IRM.

Centralize os Servidores em um Único Local

É uma prática recomendada centralizar a implantação do servidor RMS o máximo possível (dentro das conhecidas limitações de confiabilidade e de largura de banda da rede). A centralização dos servidores RMS simplificou os deveres de administração do servidor paraa equipe da Microsoft IT.

Prepare-se para os Problemas de Monitoramento do Servidor RMS

A maioria das falhas com o RMS são externas ao próprio RMS. Quando estes tipos defalhas ocorrem, o RMS tipicamente posta a mensagem de erro Event ID 9 ao log de evento de aplicação de servidor. Há uma ampla gama de variedade de condições que geram oEvent ID 9, o qual identifica condições gerais de erro no RMS. Muitos desses eventos sãobenignos, a menos que ocorressem em grandes volumes, entretanto eventos individuais podem ocorrer frequentemente.

Para filtrar as mensagens de erro externas que não são relacionadas a um problema com o próprio RMS, a Microsoft IT alterou o pré-lançamento da versão do pacote de gerenciamento MOM para o RMS, criando um evento de consolidação no MOM para consolidar exemplosde Event ID 9 dentro de uma janela de tempo de 60 segundos. Um alerta é gerado quando quatro ou mais mensagens do mesmo erro Event ID 9 são recebidas no mesmo servidor dentro de uma janela de 60 segundos.

Usando este pacote de gerenciamento MOM modificado para o RMS, a equipe de suporte do servidor RMS agora obtém uma média de dois alertas por dia para o RMS na empresa inteira. Desses alertas, aproximadamente 95 por cento foram provados serem falsos positivos a partir de condições benignas não relacionadas que, contudo, ocorreram em rápida sucessão. Quanto aos alertas válidos, a maioria foi causada pelas condições do ambiente. A modificação que a Microsoft IT fez no pacote de gerenciamento MOM para o RMS para criar um evento de consolidação foi tão bem sucedida que a equipe de desenvolvimento do MOM o incorporou na versão final do pacote de gerenciamento doRMS.

Monitore o Tamanho da Fila de Mensagem de Logging

Use o System Monitor para regularmente monitorar o tamanho da fila de mensagem de logging de saída. Se o tamanho da fila crescer substancialmente, verifique se o serviço de listener de logging está operando corretamente. Se um usuário malicioso causa a interrupção do serviço de listener de logging, a fila de mensagem de logging de saída irá crescer e eventualmente exceder o espaço de disco do servidor RMS. Se isto ocorrer, o servidor negará as solicitações.

Gerencie o Crescimento no Banco de Dados de Logging

Cada solicitação de licenciamento do RMS recebida pelos servidores RMS da Microsoft IT é conectada no banco de dados do SQL Server do RMS. O uso do RMS e do IRM dentro da Microsoft durante o piloto e fases iniciais de implantação completa gerou o crescimento no banco de dados de logging de cerca de 1 GB por semana, com uma projeção de 1 GB pordia depois que fossem realizadas as estimativas de uso real.


Para gerenciar esse rápido crescimento, a Microsoft IT desenvolveu uma série de scripts e criou um banco de dados separado e secundário para servir como um arquivo de banco de dados de logging. Estes scripts retiram os dados que são mais relevantes para o uso de relatório e os armazena em um eficiente formato de banco de dados para conservar oespaço do disco. A Microsoft IT também implementou um script que mantém somente os últimos sete dias dos dados brutos dentro do banco de dados de logging do RMS. Quaisquer dados anteriores aos oito dias são arquivados no banco de dados desenvolvido pelaMicrosoft IT. O processo de arquivamento de banco de dados de logging desenvolvido pelaMicrosoft IT está disponível como um download gratuito, como parte do kit de ferramentas do servidor RMS. Para obter os links para o kit de ferramentas do servidor RMS e outras tecnologias úteis do RMS, acesseh tt p :// w w w . m ic r os o ft. c o m / w in d o w sse r v e r 200 3 / e v al u a t i o n / o ve r v ie w /t echno l ogi e s / r m en t e r p r is e . m sp x .

Desenvolva Modelos de Diretivas

Os modelos de RMS, como aqueles criados pela Microsoft IT para uso com o Office Professional Edition 2003, permitem que as empresas definam quais os tipos de diretivas RMS globais e oficiais que elas querem que seus funcionários usem como publicadores do conteúdo confidencial. Os modelos podem ser feitos para facilmente proteger o conteúdo confidencial da empresa, o conteúdo privilegiado de advogado/cliente, o conteúdo de parceiro corporativo e mais. O grupo de TI de qualquer organização corporativa de grande porte deveria envolver as equipes de segurança e jurídica da empresa, em uma união de idéias que é necessária para aplicar as diretivas de comunicação da empresa.

Realize Backups Freqüentes dos Bancos de Dados de Configuração

Os bancos de dados de configuração armazenam as informações que são vitais ao funcionamento do RMS. Além disso, o banco de dados de configuração de cluster de RMS de carga balanceada armazena o par de chaves para a instalação inteira. Se forem realizados backups regulares, o RMS pode ser rapidamente restaurado se um servidor de banco de dados falhar.

A Microsoft IT também recomenda que qualquer empresa que está implantando o RMS deveria ter, no mínimo, um servidor secundário de log shipping (um backup standby) disponível no caso do armazenamento de unidade de disco compartilhada no cluster doRMS de carga balanceada ter uma falha catastrófica. Um servidor em standby permitirá quea equipe de TI recupere o serviço RMS sem demora. A Microsoft IT faz os backups de seus logs a cada três minutos, assim, no pior caso, os bancos de dados podem ser restaurados dentro de três minutos da falha, minimizando o efeito de uma falta de serviço.

http://www.microsoft.com/windowsserver2003/evaluation/overview/technologies/rmenterprise


CONCLUSÃO

A Microsoft obteve benefícios com a implantação da infra-estrutura de servidor do IRM e sua contrapartida dentro do Office Professional Edition 2003 de várias maneiras. Os direitos protetores do usuário de conteúdo disponíveis através do IRM oferecem um nível altamente granular de controle de como as informações são usadas e compartilhadas. Direitosexclusivos de usuário para os documentos do Office Professional Edition 2003 podem ser atribuídos a indivíduos separados ou a grupos de distribuição. O IRM protege os conteúdos confidenciais dos documentos e e-mails corporativos contra os consumidores mal intencionados através do uso da encriptação de 128 bits, podendo limitar o tempo que o conteúdo protegido pode ficar aberto e permitir que os autores definam como os seus conteúdos podem ser usados ou compartilhados. O RMS permite que uma organização crie modelos de diretivas de direitos, que fornecem à organização uma maneira uniforme de proteger as informações confidenciais.

Ao mesmo tempo, como evidenciado através do crescimento do uso do IRM na Microsoft IT,o RMS e o IRM preencheram uma importante lacuna na proteção dos dados para os funcionários da Microsoft. Muitos grupos dentro da Microsoft IT, além dos departamentos de recursos humanos e jurídico da Microsoft, começaram a adotar o RMS e o IRM para suas necessidades de mensageria confiável em substituição às outras alternativas mais antigas, como o S/MIME. Esta adoção é, em grande parte, devido à facilidade de configuração e uso dos recursos no Office Professional Edition 2003, bem como ao trabalho de configuraçãofeito pela Microsoft para tornar a instalação do IRM fácil aos usuários. Os dados de suporte capturados pela Microsoft IT refletem ainda mais a facilidade de uso desses produtos e o encargo administrativo relativamente pequeno que o RMS introduziu na infra-estrutura derede corporativa da Microsoft.


PARA OBTER MAIS INFORMAÇÕES

Para obter mais informações sobre os serviços ou produtos da Microsoft, ligue para oMicrosoft Sales Information Center no número de telefone (800) 426-9400. No Canadá, ligue para o Microsoft Canadá Information Centre no número de telefone (800) 563-9048. Forados 50 estados americanos e canadenses, por favor entre em contato com a sua subsidiáriaMicrosoft local. Para acessar as informações da World Wide Web, visite:

h tt p :// www. m ic ros oft. co m / rm s

h tt p :// w w w . m ic r os o ft. c o m

h tt p :// www. m ic ros oft. co m /t e chne t/ i tsho wc as e

As informações contidas neste documento representam a visão atual da Microsoft Corporation nos assuntos

discutidos na data da publicação. Como a Microsoft deve responder as mudanças nas condições de mercado,

este documento não deve ser interpretado como um compromisso por parte da Microsoft e a Microsoft não

pode garantir a precisão das informações apresentadas após a data da publicação.

Este White Paper tem somente propósito informativo. A MICROSOFT NÃO FAZ NENHUMA GARANTIA,

EXPRESSA, IMPLÍCITA OU LEGAL, QUANTO AS INFORMAÇÕES CONTIDAS NESTE DOCUMENTO.

O cumprimento a todas as leis de direitos autorais aplicáveis é de responsabilidade do usuário. A Microsoft

concede a você o direito de reproduzir este White paper, no todo ou em parte, especificamente e somente com

a finalidade de educação pessoal.

A Microsoft pode ter patentes, solicitações de patentes, marcas comerciais, direitos autorais ou outros direitos

de propriedade intelectual relativos ao assunto tratado neste documento. Exceto quando expressamente

declarado em qualquer contrato escrito de licença da Microsoft, o fornecimento deste documento não confere a

você qualquer licença a estas patentes, marcas comercias, direitos autorais ou outras propriedades

intelectuais.

A menos que expressamente declarado, os exemplos de empresas, organizações, produtos, nomes de

domínio, endereços de e-mail, logotipos, lugares e eventos aqui descritos são fictícios. Nenhuma relação com

qualquer empresa, organização, produto, nome de domínio, endereço de e-mail, logotipo, pessoa, lugar ou

evento é intencional ou deve ser deduzida.

© 2004 Microsoft Corporation. Todos os direitos reservados.

Microsoft, Active Directory, Outlook, PowerPoint, SharePoint, Windows e Windows Server são marcas registradas ou marcas comerciais da Microsoft Corporation nos Estados Unidos e/ou outros países.

http://www.microsoft.com/technet/itshowcase

http://www.microsoft.com/

http://www.microsoft.com/rms

Documents

Microsoft Word - DeployingRMSWP.docdownload.microsoft.com/.../PortalTech/Implantando_R… · Web viewGerenciamento de Direitos na. Microsoft. White Paper Técnico. Publicado em: Janeiro