Azure Information Protection – новое средство защиты от Microsoft


Содержание материала:

Защита и управление идентификациями средствами Azure Mobile Services

Продукты и технологии:

Microsoft Azure, Azure Mobile Services, Windows Phone, Android, iOS, Objective-C

В статье рассматриваются:

  • разработка приложений с поддержкой множества мобильных устройств;
  • управление идентификациями пользователей и устройств;
  • применение эшелонированной защиты.

Сатья Наделла (Satya Nadella) четко сформулировал новые планы Microsoft. Он заявил, что мы живем в мире, который является «Mobile-First/Cloud-First». Это неудивительно. Microsoft занимается мобильными и облачными технологиями уже несколько лет. Индустрия меняется, и давление на лидеров в области IT, заставляющее их принять революционную концепцию использования собственных устройств сотрудников (bring-your-own-device, BYOD), становится как никогда сильным.

Поддержка совершенно нового мира BYOD на предприятии является высшим приоритетом. В этой статье мы разъясним, как облако может помочь разработчикам специализированных бизнес-приложений (line-of-business, LOB) создавать и поддерживать приложения Apple iOS, Google Android и Windows Phone. Мы будем рассматривать и решать задачи управления устройствами, с которыми сталкиваются компании любых масштабов. Мы также покажем некоторый низкоуровневый код на Objective-C, который понадобится вам для корректного управления маркерами OAuth 2.0 из Azure Mobile Services. Главная возможность — безопасное сохранение маркера на мобильном устройстве, чтобы пользователям не приходилось входить в систему всякий раз, когда им потребуется работать с каким-либо приложением.

Ключевые характеристики LOB-приложений

При создании LOB-приложений нужно учитывать много проблем. Одна из наиболее важных — управление идентификациями (рис. 1). Мы говорим об идентификации не только пользователя, но и устройства. Эти два фактора в сочетании часто называют составной идентификацией (compound identity). Это имеет смысл, так как LOB-приложения обычно имеют доступ к конфиденциальным корпоративным ресурсам.

Рис. 1. Обзор LOB-приложений для iOS

Personal Devices Running Native iOS LOB Applications in the Enterprise Персональные устройства, выполняющие «родные» для iOS LOB-приложения на предприятии
Key Characteristics of LOB Applications Ключевые характеристики LOB-приложений
Identity Идентификация
Data and Occasionally Connected, Data Sync Данные и нерегулярное соединение, синхронизация данных
Notifications Уведомления
Security and Provisioning Защита и подготовка
Managing Identity Управление идентификациями
Use and Device Identity Идентификация пользователя и устройства
Provisioning with Workplace Join Подготовка с помощью Workplace Join
Azure Mobile Services and Identity Azure Mobile Services и идентификация
Access to On-Premises Resources Доступ к локальным ресурсам на предприятии

Управление устройствами

При централизации IT очевидно одно: необходимо вводить какой-то тип контроля над персональными устройствами. В идеальном мире IT можно заставить пользователей выполнять полную процедуру присоединения их устройств к домену. Менее экстремальная версия контроля называется присоединением к рабочей области (Workplace Join), которое можно рассматривать как облегченную версию полного присоединения устройства к домену.

Цель любого IT-администратора должна заключаться в обеспечении защищенного, зашифрованного взаимодействия между корпоративными ресурсами и самим устройством. Установка сертификата устройства как этап процесса подготовки (provisioning process) — один из способов для корпорации надежно и безопасно управлять устройством.

Подготовка рабочей области

TПервая задача этого процесса — аутентификация пользователя в доверяемой службе каталогов. Успешная подготовка устройства (или регистрация) завершается получением маркера на основе JSON, сохраняемым на устройстве. Этот маркер помогает обеспечить защищенную коммуникацию между пользователями и корпоративной сетью (рис. 2).

Рис. 2. Подготовка рабочей области помогает аутентифицировать пользователей

User Device Пользовательское устройство
User Пользователь
Device Certificate Сертификат устройства
Mobile Device Мобильное устройство
Registering a Device Регистрация устройства
Authenticate User Аутентификация пользователя
Register Device Регистрация устройства
Install Certificate Установка сертификата
On-Premises AD FS AD FS на предприятии
Device Registration Service Сервис регистрации устройств

Многоуровневая идентификация

Забота о наборе уровней защиты вполне целесообразна (рис. 3). Хотя бы потому, что какая-то часть корпоративной информации является более конфиденциальной. Для защиты таких данных часто требуются дополнительные меры.

Рис. 3. Уровни защиты

Identity–a Spectrum of Possibilities Идентификация — спектр возможностей
Username and Password Имя пользователя и пароль
Device Identity or Compound Identity Идентификация устройства или составная идентификация
Multi-Factor Authentication Многофакторная аутентификация
Smart Card PIN Authentication (Not for Mobile) Аутентификация по PIN-коду смарт-карты (не для мобильных устройств)
Weak Security Слабая защита
Reasonably Secure Средняя защита
Very Secure Высокая защита
Most Secure Высшая защита
Network Location Awareness Служба сведений о подключенных сетях

Большинство уже знакомо с аутентификацией пользователей. На этом самом базовом уровне защиты пользователь входит в систему по своему имени и паролю. Второй уровень — аутентификация устройства с возможным применением многофакторной аутентификации (multi-factor authentication). Комбинируя идентификации пользователя и устройства (например, с применением SMS), можно сформировать составную идентификацию.

Служба сведений о подключенных сетях

Другая важная задача при выполнении приложений на персональных устройствах — применение службы сведений о подключенных сетях (Network Location Awareness, NLA). Когда принятый запрос обращается к защищенному сетевому ресурсу, вы можете определить, исходит ли этот запрос извне корпоративной сети. NLA предоставляет дополнительный уровень защиты, так как помогает вводить дополнительные правила, такие как многофакторная аутентификация для запросов, генерируемых извне корпоративной сети.

Реализация транспарентности местонахождения сети, как правило, означает, что вы создаете какую-то разновидность веб-сервиса прокси в демилитаризованной зоне (DMZ). DMZ — это сеть, которая предоставляет сервисы организации, обращенные вовне для более крупной и недоверяемой сети, например для Интернета. Вы можете использовать эти прокси для введения в действие дополнительных правил и изоляции закрытых ресурсов в какой-либо сети от внешнего доступа. Microsoft располагает специфическими технологиями, которые поддерживают такие сценарии. Узнать больше о них можно по ссылке bit.ly/1v50JPq.

Поддержка идентификации с помощью «родного» для iOS кода

Мы проиллюстрируем некоторые низкоуровневые способы использования «родных» для iOS возможностей. Однако, прежде чем углубляться в этот предмет, мы дадим некоторую необходимую информацию об Azure Mobile Services. Azure Mobile Services предоставляет клиентским программам несколько часто используемых возможностей. Клиентские программы могут быть рассчитаны на iOS, Android, Windows Phone, HTML/JavaScript, выполняемый в браузере, или Windows.

Любая клиентская платформа, способная вызывать REST API, может использовать Azure Mobile Services. Этот сервис предоставляет варьируемые уровни библиотечной поддержки между этими клиентами. К другим возможностям относятся федеративная идентификация, доступ к хранилищу, автономная синхронизация данных и уведомления, поступающие с серверной стороны. Некоторые возможности реализованы в серверной части, а другие — в клиентской. А в качестве серверной части используется либо Microsoft .NET Framework, либо Node.js.

Одна из наиболее трудных в реализации возможностей — сохранение маркера защиты на устройстве с iOS. Маркер изначально принимается от Azure Mobile Services. ОС должна защищать этот маркер, и его нужно зашифровать. К счастью, механизм связки ключей (keychain mechanism), встроенный в iOS SDK, предоставляет такую возможность. Он позволяет надежно хранить маркер на устройстве сотрудника. Это «родной» для iOS подход, подразумевающий, что код нельзя будет использовать повторно.

Хранение маркера защиты локально на устройстве дает преимущества. Самое важное из них в том, что тогда пользователи могут обращаться к приложению, не выполняя каждый раз вход в систему. Приложения Azure Mobile Services способны использовать какой-то один или все провайдеры маркеров защиты, а также любые провайдеры идентификации, такие как Active Directory, Azure Active Directory, Facebook, Twitter и т. д. Каждый из них обеспечивает базовую аутентификацию, но уникален в других отношениях.

Одно из отличий — поддержка истечения срока действия маркеров. Active Directory и Azure Active Directory поддерживают это, а Twitter — нет. Эта поддержка важна для аутентификации, после которой выдаются права на доступ к корпоративным ресурсам, поэтому для такого уровня доступа в конечном счете лучше выбирать Active Directory и Azure Active Directory, чем Twitter.

В духе принципа «начинай с простого» мы опишем в этой статье процесс аутентификации через Twitter, а в будущей статье расскажем о таковом процессе на основе Azure Active Directory. Xcode — это IDE, используемая для разработки iOS-приложений. В чем-то она аналогична Visual Studio, но менее навороченная и менее функциональная. Традиционным языком кодирования iOS-приложений является Objective-C.

Чтобы понять эти методики, начните с учебного пособия по ссылке bit.ly/1vcxHMQ. Добавьте федеративную аутентификацию, используя сервиса провайдера идентификаций Twitter. Учебное пособие включает модули для серверной и клиентской частей. Вы можете выбрать любую серверную часть (.NET или JavaScript). Для клиентской части выберите вариант с Objective-C. Мы позаимствуем некоторый код из другого проекта-примера (iOS-LensRocket) на сайте GitHub для поддержки функционала KeyChain.

Особых изменений в проект Xcode клиентской части, предоставляемой Azure Mobile Services, вносить не требуется. Достаточно добавить код KeyChain и средства защиты из библиотеки security.framework. Когда пользователь запускает приложение, применяется базовая логика управления маркером. Приложение начинает с проверки маркера, вызывая KeyChain API. Если маркер имеется, он извлекается и используется. После этого пользователю больше не предлагается входить в Twitter.

Вот какие изменения мы внесем в код в Xcode IDE:

  • выполним связывание с дополнительной библиотекой (подробнее о ней см. bit.ly/1x7Ajzz)
  • добавим несколько файлов из iOS-LensRocket для поддержки функционала KeyChain;
  • модифицируем код контроллера.

Рис. 4 демонстрирует, как мы будем использовать Azure Mobile Services и «родной» для iOS код, чтобы управлять доступом к базе данных SQL, используя маркер, кешированный на устройстве.

Рис. 4. Высокоуровневые этапы сохранения маркеров аутентификации на iOS-устройстве

Register your app for authentication and configure Azure Mobil Sevices Регистрация вашего приложения для аутентификации и конфигурирование Azure Mobile Sevices
Microsoft Account Учетная запись в Microsoft
Facebook Login Логин в Facebook
Twitter Login Логин в Twitter
Google Login Логин в Google
Azure Active Directory Azure Active Directory
Restrict table permissions to authenticated users Разграничение разрешений на доступ к таблице для аутентифицированных пользователей
Add authentication to the app Добавление аутентификации к приложению
MSClient Object Объект MSClient
loginWithProvider loginWithProvider
Storing authentication tokens in your app Сохранение маркеров аутентификации в вашем приложении
Token Маркер

Учебное пособие доведет вас до того момента, когда вы сможете запустить «родное» для iOS приложение, которое может читать и записывать в базу данных SQL, размещенную в облаке. Вы получите работающий проект Xcode, написанный на Objective-C. Однако в нем недостает аутентификации — о ней мы поговорим позже. Существующая реализация использует ключ приложения, предоставляемый Azure Mobile Services:

Information Security Squad

Защита конфиденциальных данных всегда должна быть важным аспектом каждой операционной системы, и это хорошо знает Microsoft.

Компания проделала замечательную работу с Windows 10 для решения большинства проблем, связанных с безопасностью, и Windows Information Protection является ее важной частью.

Следует отметить, что этот пакет защиты включает в себя такие элементы, как защита информации Windows, защита информации Azure и защита Microsoft Cloud App.

Дело в том, что защита информации Windows, также известная как WIP, хорошо защищает автоматически классифицируемые файлы с помощью функции типов конфиденциальной информации.

Он использует все преимущества Windows Defender ATP, но имейте в виду, что последние улучшения доступны только в Windows 10 1903 и более поздних версиях.

Настройка WIP

Прежде чем мы продолжим, мы поговорим о том, как настроить защиту информации Windows.

Это довольно просто и прямо к делу, так что давайте начнем работать для вашего удовольствия.

Итак, первое, что нужно сделать пользователю, это посетить manage.microsoft.com через веб-браузер и войти в систему с учетной записью администратора Windows Intune.

После этого пользователь должен увидеть панель навигации слева и выбрать опцию «Policies».

  1. Войдите на microsoft.com и убедитесь, что вы сделали это с помощью учетной записи администратора Windows Intune.
  2. На левой панели выберите параметр «Policies».
  3. В этом окне пользователи должны увидеть «Add Policy». Пожалуйста, нажмите туда, чтобы пойти дальше.
  4. Люди теперь должны увидеть диалог, известный как «Create a New Policy», затем перейти к расширению Windows, а затем обязательно выбрать «Windows Information Protection».
  5. Наконец, нажмите «Create and Deploy a Custom Policy».
  6. Следующий шаг — нажать на кнопку «Create Policy».
  7. Обязательно введите название политики
  8. Введите описание и укажите правила приложения, если это ваше дело.

Вот и все, что нужно для настройки WIP.

Как вы можете сказать, задача довольно проста, особенно для тех, кто разбирается в компьютере.

Защитите систему с помощью Endpoint Data Loss Prevention

Когда дело доходит до управления метками чувствительности, это можно сделать в центре соответствия Microsoft 365 с относительной легкостью.

Для тех, кто не знал, Защитник Windows может извлечь файл, чтобы проверить, не был ли он заражен вирусом или вредоносным ПО.

Он также может проверить, содержит ли файл конфиденциальную информацию, такую как номера кредитных карт или другие типы важных данных.

Типы конфиденциальной информации по умолчанию включают номера кредитных карт, номера телефонов, номера водительских прав и многое другое.

Однако здесь интересно то, что пользователи могут устанавливать пользовательские типы конфиденциальной информации, если они того пожелают.

Windows Information Protection

Всякий раз, когда пользователь создает или редактирует файл в конечной точке Windows 10, содержимое быстро извлекается и оценивается Защитником Windows ATP.

Затем он проверит файлы на наличие определенных типов конфиденциальной информации.

Теперь, если файлы имеют совпадение, Защитник Windows ATP затем перейдет к применению предотвращения потери данных конечной точки.

Следует отметить, что Защитник Windows ATP интегрирован с Microsoft Azure Information Protection, функцией, которая была разработана главным образом для обнаружения данных.

Он также может сообщать конфиденциальные типы данных, которые были недавно обнаружены.

Для тех, кто хочет увидеть типы конфиденциальной информации, мы рекомендуем проверить в соответствии с классификациями через соответствие Microsoft Office 365.

Помните, что все типы конфиденциальной информации по умолчанию имеют Microsoft в качестве издателя.

Когда дело доходит до пользовательских типов, они будут привязаны к имени арендатора.

Azure RMS. Часть 1. Предварительные действия

RMSслужба управления правами Microsoft. За последнее время RMS сменил несколько названий: Active Directory Rights Management Service (для локальной среды Active Directory), Azure Active Directory Rights Management, Azure Information Protection.

Поскольку поддержка RMS для локальной среды Active Directory прекратится 31 января 2020 года, то останется только облачная служба управления правами и далее она будет называться Azure Information Protection, но для краткости в инструкциях будем использовать — RMS.

Получение бесплатной 30-дневной пробной версии Enterprise Mobility + Security

Для начала заходим на сайт https://www.microsoft.com/ru-ru/cloud-platform/enterprise-mobility-security-trial и скачиваем бесплатную 30-дневную пробную версию Enterprise Mobility + Security E5, в которую входят лицензии RMS.

Сама процедура регистрации очень проста и не вызовет затруднений, если Вы регистрировали хоть раз любую учетную запись в сети Интернет. Кстати, если у Вас уже есть учетная запись или существующая подписка, то после заполнения формы нажимаем не кнопку Далее, а сразу кнопку Войти:


Azure Active Directory Connector

Azure Active Directory Connector — приложение, которое позволяет установить синхронизацию между локальной средой службы каталогов Active Directory и Azure Active Directory.

Для выполнения приложения Azure Active Directory Connector потребуется стандартный сервер на Windows Server 2012 R2 с объемом ОЗУ 2 GB.

Также желательно прочесть сначала документ Перед установкой Azure AD Connect

Примечание.
Если ранее в тестовых целях выполнялась установка и настройка Azure Active Directory Connector , то необходимо проверить версию приложения и сравнить ее с версией на сайте загрузок Microsoft.

Например, локальная версия:

Т.к. версия на сайте выше, то необходимо сначала удалить (рекомендуется не переустанавливать поверху) существующую версию, а затем скачать и установить новую

Проверяем установлены ли требуемые компоненты

Ok.
Теперь перед установкой Azure Active Directory Connect скачиваем с сайта Microsoft сервисную программу IdFix DirSync Error Remediation Tool.
IdFix используется для выполнения обнаружения и восстановления объектов идентичности и их атрибутов в локальной среде Active Directory в рамках подготовки к переходу на Office 365 и является идеальным инструментом для обнаружения задвоения данных, которого нужно избежать в дальнейшем при выполнении синхронизации локальной среды (on-premises) Active Directory и Azure Active Directory:

Supported Operating System
Windows 7, Windows Server 2008 R2
◦ Hardware Requirements
• A physical or virtual machine is required in order to run the IdFix tool. The computer should meet the following specifications:
• 4 GB ram (minimum)
• 10 GB of hard disk space (minimum)

◦ Software Requirements
• Operating System: The application has been tested on Windows Server 2008 R2 and Windows 7 for x64 bit versions.
• Active Directory: Queries are via native LDAP and have been tested with Windows Server 2008R2, but all versions should be expected to work.
• Exchange Server: The messaging attributes retrieved are version independent and should work with Exchange 2003 or later.
• .Net 4.0: Must be installed on the workstation running the application.
• Permissions: The application runs in the context of the authenticated user which means that it will query the authenticated forest and must have rights to read the directory. If you wish to apply changes to the directory the authenticated user needs write permission to the desired objects.

Распаковываем загруженный zip-архив и запускаем IdFix.exe от имени Администратора:

Нажимаем Ok. В окне программы нажимаем кнопку Query и ждем результатов обработки программы:

Ищем учетные записи пользователей, которых будем синхронизировать с Azure Active Directory, и проверяем есть ли какие-нибудь ошибки. Чаще всего это наличие у одного и того же пользователя двух и более технических учетных записей. Например, согласно лучшим практикам (Best Practice) администраторы должны выполнять все действия под стандартной учетной записью и только, когда нужно выполнить действия, требующие повышенных привилегий, запускать процессы от имени административной учетной записи. Как правило, обе учетные записи (стандартного пользователя и администратора) имеют какие-то одинаковые поля в свойствах учетных записей, например, e-mail

Подключаемся оснасткой Пользователи и компьютеры Active Directory (Пуск -> Средства администрирования Windows -> Пользователи и компьютеры Active Directory):

к локальной среде Active Directory. Находим нужного пользователя. Действие -> Найти.

Выбираем вкладку Дополнительно и добавляем в Поле -> User условие E-Mail Address. Нажимаем кнопку Найти

На вкладке Свойства учетной записи пользователя удаляем задвоившийся атрибут Эл. почта:

После исправления ошибок, запускаем заново IdFix.

Если ошибок нет, то приступаем к настройке Подразделений (OU) для синхронизации.

В Active Directory добавляем новое Подразделение и переносим в него учетные записи пользователей, которых будем синхронизировать с Azure Active Directory. Например, создадим Подразделение RMS_Pilot для теста возможностей службы управления правами Rights Management Service

При переносе учетной записи из одного контейнера в другой подтверждаем запрос:

Для удобства такие контейнеры Подразделение RMS_Pilot можно создать для различных несвязанных Подразделений (OU).

При переносе учетной записи из одного контейнера в другой подтверждаем запрос:

С чего начнется четвертая промышленная революция в вашей компании?

Операционные технологии управляют оборудованием в критически важных инфраструктурах. И они отделены от традиционных ИТ-сетей. Их интеграция — одна из основ Индустрии 4.0. Но 90% компаний отдаляются от цели, потому что не могут обеспечить безопасность ОТ-сетей.

  • Как минимизировать риски и научиться извлекать максимальную прибыль?
  • Как научиться идентифицировать все устройства в своих сетях?
  • Как правильно управлять идентификацией и доступом?

Зарегистрируйтесь, чтобы бесплатно скачать электронную книгу об безопасной интеграции ОТ- и ИТ-сетей прямо сейчас.

Как защитить критическую инфраструктуру от киберпреступников?

ОТ-системы, управляющие оборудованием в КИИ — под серьезной угрозой. В 85% случаев они беззащитны даже перед повторными атаками одних и тех же зловредов. Всему виной — цифровизация, которая вынуждает ОТ- и ИТ-сети интегрироваться. Данные становятся ближе к оборудованию КИИ, а хакеры — к данным.

  • С какими угрозами борются компании с ОТ-сетями?
  • Какие ОТ-протоколы чаще всего страдают от атак?
  • У каких поставщиков ICS/SCADA есть иммунитет от преступников?

Зарегистрируйтесь, чтобы скачать бесплатно исследование о тенденциях в сфере безопасности операционных технологий прямо сейчас.

Аппаратный модуль безопасности Gemalto сохранит контроль над ключами шифрования в Microsoft Azure Information Protection

Gemalto объявила о том, что теперь пользователи приложения Microsoft Azure Information Protection могут воспользоваться новыми функциями «Hold Your Own Key» (HYOK), работая с аппаратными модулями безопасности (HSM) SafeNet Luna от компании Gemalto. Такая интеграция позволяет организациям с жесткими нормативными требованиями к защите информации управлять, владеть и хранить свои ключи шифрования в локальных модулях HSM и безопасно обмениваться данными, полностью контролируя свои ключи. Благодаря этому решению компании могут легко согласовывать политику защиты информации и бизнес-процессы без ущерба для целостности и безопасности своих данных.

Модуль SafeNet Luna HSM позволяет воспользоваться функциональностью HYOK с помощью встроенной поддержки Служб управления правами Active Directory (AD RMS) корпорации Microsoft. Компании могут использовать политику защиты AD RMS для данных высокой секретности, а политику защиты Azure RMS ─ для конфиденциальной информации. Чтобы обеспечить надежный уровень безопасности при внутренних и внешних взаимодействиях, организации могут использовать технологию Azure Information Protection. Интеграция модуля SafeNet Luna HSM с функциями HYOK Azure Information Protection не требует никаких изменений в интерфейсе пользователя или процессе развертывания. Пользователи управляют доступом к конфиденциальным данным, устанавливая политику защиты и права на использование. Все прочие функции защиты информации, такие, как отслеживание документа и отзыв, сохраняются.

«Теперь организации, использующие службы Microsoft Azure Information Protection, имеют доступ к удобным и привычным для них средствам защиты без необходимости передачи контроля над своими криптографическими ключами поставщику облачных услуг, ─ отметил Тодд Мур (Todd Moore), первый вице-президент по продуктам для шифрования в Gemalto. ─ Сочетая аппаратный модуль безопасности SafeNet Luna HSM с функциональностью HYOK Azure Information Protection, пользователи по-прежнему могут развертывать специализированные средства защиты данных без ущерба для безопасности и операционной прозрачности пользовательских приложений».

Дэн Пластина (Dan Plastina), директор-партнер по Информационной безопасности и защите от угроз в корпорации Microsoft, сказал: «Приложение Microsoft Azure Information Protection позволяет выборочно использовать локальные службы AD RMS в конфигурации Hold-Your-Own-Key (HYOK) для пользователей с жесткими требованиями к защите данных. Аппаратные модули безопасности SafeNet Luna HSM от компании Gemalto эффективно интегрируются с этой гибридной конфигурацией Azure Information Protection, предоставляя пользователям полный спектр специализированных средств защиты, в которых они испытывают потребность».

Аппаратные модули безопасности SafeNet Luna от компании Gemalto относятся к числу наиболее производительных, безопасных и легкоинтегрируемых HSM-решений, представленных на сегодняшнем рынке. Они облегчают соблюдение нормативных требований к безопасности и обеспечивают высочайший уровень защиты данных для крупных компаний, финансовых и государственных организаций. В отличие от других методов хранения ключей, которые помещают ключи вне модуля HSM на «доверенном уровне», модули SafeNet Luna хранят ключи с помощью аппаратных средств, защищая их на протяжении всего срока действия ключа.

Easy Configuration of the Azure Information Protection Scanner

NOTE: This content has been moved to https://aka.ms/AIPBlog and will be maintained/updated at that location moving forward. It is recommended that you use that location for AIP Scanner installs.

The Scenario:

The EU General Data Protection Regulation (GDPR) took effect on May 25, 2020 and marks a significant change to the regulatory landscape of data privacy. ​The aim of the GDPR is to protect all EU citizens from privacy and data breaches in an increasingly data-driven world. Organizations in breach of GDPR can be fined up to 4% of annual global turnover or €20 Million (whichever is greater). Needless to say, this has motivated organizations worldwide to better classify and protect sensitive personal data to protect against breach. One of the ways to accomplish this is to protect everything sensitive using Azure Information Protection.

Топ-пост этого месяца:  Facebook Messenger позволит удалять отправленные сообщения в течение 10 минут

Azure Information Protection allows data workers to classify and optionally protect documents as they are created. There are also options for automatically classifying/protecting emails as they are sent through your Exchange server or Exchange Online, and SharePoint Online can be protected using Microsoft Cloud App Security AIP integration. These options go a long way to protect newly created data and data migrated to the cloud, but what about the terabytes of data sitting on File Shares and On-Premises SharePoint 2013/2020 servers? That is where the AIP Scanner comes in.

The Solution:

The Azure Information Protection Scanner is the solution for classifying and protecting documents stored on File Shares and On-Premises SharePoint servers. The overview below is from the official documentation at https://docs.microsoft.com/en-us/information-protection/deploy-use/deploy-aip-scanner. This blog post is meant to assist customers with deploying the AIP Scanner, but if there is ever a conflict, the official documentation is authoritative.

The AIP Scanner runs as a service on Windows Server and lets you discover, classify, and protect files on the following data stores:

  • Local folders on the Windows Server computer that runs the scanner.
  • UNC paths for network shares that use the Common Internet File System (CIFS) protocol.
  • Sites and libraries for SharePoint Server 2020 and SharePoint Server 2013.

The scanner can inspect any files that Windows can index, by using iFilters that are installed on the computer. Then, to determine if the files need labeling, the scanner uses the Office 365 built-in data loss prevention (DLP) sensitivity information types and pattern detection, or Office 365 regex patterns. Because the scanner uses the Azure Information Protection client, it can classify and protect the same file types.

You can run the scanner in discovery mode only, where you use the reports to check what would happen if the files were labeled. Or, you can run the scanner to automatically apply the labels.

Note that the scanner does not discover and label in real time. It systematically crawls through files on data stores that you specify, and you can configure this cycle to run once, or repeatedly.

Prerequisites:

To install the AIP Scanner in a production environment, the following items are needed:

  • A Windows Server 2012 R2 or 2020 Server to run the service
    • Minimum 4 CPU and 4GB RAM physical or virtual
    • Internet connectivity necessary for Azure Information Protection
  • A SQL Server 2012+ local or remote instance (Any version from Express or better is supported)
    • Sysadmin role needed to install scanner service (user running Install-AIPScanner, not the service account)
    • If using SQL Server Express, the SQL Instance name is ServerName\SQLExpress
  • Service account created in On Premises AD and synchronized with Azure AD (I will call this account AIPScanner in this document)
    • Service requires Log on locally right and Log on as a service right (the second will be given during scanner service install)
    • Service account requires Read permissions to each repository for discovery and Read/Write permissions for >AzInfoProtection.exe available on the Microsoft Download Center (The scanner bits are included with the AIP Client)
    • Labels configured for Automatic >Installation:

      Here is where the Easy part from the title gets started. Installation of the AIP Scanner service is incredibly simple and straight-forward.

      1. Log onto the server where you will install the AIP Scanner service using an account that is a local administrator of the server and has permission to write to the SQL Server master database.
      2. Run AzInfoProtection.exe on the server and step through the client install (this also drops the AIP Scanner bits)
      3. Next, Right-click on the Windows button in the lower left-hand corner and click on Command Prompt (Admin)
      4. Type PowerShell and hit Enter
      5. At the PowerShell prompt, type the following command and press Enter:
        Install-AIPScanner
      6. When prompted, provide the credentials for the scanner service account (YourDomain \AIPScanner ) and password
      7. When prompted for SqlServerInstance, enter the name of your SQL Server and press Enter
        You should see a success message like the one below
      8. Right-click on the Windows button in the lower left-hand corner and click on Run
      9. In the Run dialog, type services.msc and click OK
      10. In the Services console, double-click on the Azure Information Protection Scanner service
      11. On the Log On tab of the Azure Information Protection Scanner Service Properties, verify that Log on as: is set to the YourDomain\AIPScanner service account

      See, told you it was easy to install. Luckily, configuring the service is only slightly more challenging. ��

      Scanner Configuration:

      OK, this next part is not super simple but it isn’t terrible either as long as you don’t miss anything. Luckily, you can follow my steps to make it as easy as possible.

      Authentication Token:

      1. On the server where you installed the scanner, create a new text document on the desktop and name it Set-AIPAuthentication.txt
        • In this document, paste the line of PowerShell code below and save
          Set-AIPAuthentication -webAppId -webAppKey -nativeAppId
      2. Open Internet Explorer and browse to https://portal.azure.com
      3. At the Sign in to Microsoft Azure page, enter the your tenant admin credentials
      4. In the Microsoft Azure portal, click on Azure Active Directory in the left-hand pane
      5. Under Manage, click on App registrations
      6. In the App registrations blade, click the + New application registration button
      7. In the Create blade, use the values in the table below to create the registration
        Name AIPOnBehalfOf
        Application type Web app / API
        Sign-on URL http://localhost
    • Click the Create button to complete the app registration
    • In the AIPOnBehalfOf blade, hover the mouse over the Application ID and click on the Click to copy icon when it appears
    • Minimize (DO NOT CLOSE) Internet Explorer and other windows to show the desktop
    • On the desktop, return to Set-AIPAuthentication.txt and r eplace with the copied Application ID value
      and Save

      WARNING: Ensure there is only a single space after the Application ID before -webAppKey
    • Return to the browser and click on the Settings button
    • In the Settings blade, under API ACCESS, click on Keys
    • In the Keys blade, add a new key by typing AIPClient in the Key description field and your choice of duration (1 year, 2 years, or never expires)
    • Select Save and copy the Value that is displayed
      WARNING: Do not dismiss this screen until you have saved the value as you cannot retrieve it later
    • Go back to the txt document and replace with the copied key value
      and Save

      WARNING: Ensure there is only a single space after the Application Key before -nativeAppId


    • In the Microsoft Azure portal, click on Azure Active Directory in the left-hand pane
    • Under Manage, click on App registrations
    • In the App registrations blade, click the + New application registration button
    • In the Create blade, use the values in the table below to create the registration
      Name AIPClient
      Application type Native Application
      Sign-on URL http://localhost
    • Click the Create button to complete the app registration
    • In the AIPClient blade, hover the mouse over the Application ID and click on the Click to copy icon when it appears
    • Replace in the Set-AIPAuthentication.txt document with the copied Application ID value
      andSave
    • Return to the browser and in the AIPClient blade, click on Settings
    • In the Settings blade, under API ACCESS, select Required permissions
    • On the Required permissions blade, click Add, and then click Select an API

      NOTE: It may take a few moments for each of these blades to load

    • In the search box, type AIPO and click on AIPOnBehalfOf, and then click the Select button
    • On the Enable Access blade, check the box next to AIPOnBehalfOf, click the Select button

    • Click Done
    • Return to the PowerShell window and paste the completed command from Set-AIPAuthentication.txt and press Enter
    • When prompted, enter the user AIPScanner@yourdomain.onmicrosoft.com and the password
      NOTE: Replace tenantname with the your tenant
    • You should see a prompt like the one below. Click Accept
    • You will see the message below in the PowerShell window once complete
    • About Policies:

      Now that the scanner is happy and fully authenticated, we should discuss what you want to do with the AIP Scanner. We know that you want to use it to scan file shares and SharePoint sites, but some discussion needs to be had about how the scanner locates data and what the scanner will do once it finds it. This may be a no brainer to some so feel free to skip this and move on to the next section if you like.

      AIP Policies are made up of Labels and Sub-labels that allow you to classify and optionally protect data. You can assign conditions to labels using the standard Office 365 DLP templates and have those conditions be recommended or automatic. For the AIP Scanner to classify documents, you must set these conditions to be Automatic. This allows the AIP Scanner to protect content without the need for user input. This is a content based approach and labels are assigned to content based on the conditions defined in each label. If you want all of the documents in your repositories to be classified, then you can use the default label setting in the portal and the AIP Scanner will assign that label to any content that does not meet any other automatic criteria. This is done in the Global policy blade, under the Configure settings to display and apply on Information Protection end users section.

      For more in-depth information about configuring policies, you can see the official documentation at https://docs.microsoft.com/en-us/information-protection/deploy-use/configure-policy-classification

      Configuring Repositories:

      Finally, it is time to put the AIP Scanner to work scanning repositories. These can be on-premises SharePoint 2013 or 2020 document libraries or lists and any accessible CIFS based share. Keep in mind that in order to do discovery, classification, and protection, the scanner service pulls the documents to the server, so having the scanner server located in the same LAN as your repositories is recommended. You can deploy as many servers as you like in your domain, so putting one at each major site is probably a good idea.

      1. To add a file share repository, open a PowerShell window and run the command below
        Add-AIPScannerRepository -Path \\fileserver\documents
      2. To add a SharePoint 2013/2020 document library run the command below
        Add-AIPScannerRepository -Path http://sharepoint/documents
      3. To verify that the repositories that are configured, run the command below
        Get-AIPScannerRepository
      4. Run the command below to run an initial discovery cycle
        Set-AIPScannerConfiguration -Schedule OneTime

        NOTE: Although the scanner will discover documents to protect, it will not protect them as the default configuration for the scanner is Discover only mode
      5. Start the AIP Scanner service using the command below
        Start-Service AIPScanner
      6. Right-click on the Windows button in the lower left-hand corner and click on Event Viewer
      7. Expand Application and Services Logs and click on Azure Information Protection
      8. You will see an event like the one below when the scanner completes the cycle

      NOTE: You may also browse to %localappdata%\Microsoft\MSIP\Scanner\Reports and review the summary txt and detailed csv files available there

    • At the PowerShell prompt type the command below to enforce protection and have the scanner run once
      Set-AIPScannerConfiguration -Enforce On -Schedule OneTime -Type Full

      NOTE: After testing, you would use the same command with the -Schedule Continuous command to have the AIP Scanner run continuously
      NOTE: The -Type Full switch forces the scanner to review every document.
    • Start the AIP Scanner service using the PowerShell command below
      Start-Service AIPScanner
    • In the Event Log, you will now see an event that looks like the one below
    • And that’s all there is to setting up the AIP Scanner! There are many more options to consider about how to classify files and what repositories you want to configure, but I would say that it is fairly simple to set up a basic scanner server that can be used to protect a large amount of data easily. I highly recommend reading the official documentation on deploying the scanner as there are some less common caveats that I have left out and they cover performance tips and other nice additional information.

      Новый уровень противодействия киберугрозам

      Сегодня мы наблюдаем революционные изменения в области технологий, применяемых киберпреступниками. К сожалению, до последнего времени злоумышленники обладали значительным технологическим преимуществом перед корпоративными и частными пользователями. Компьютерные злоумышленники сегодняшнего дня отлично подготовлены, а их деятельность хорошо финансируется, что неудивительно, ведь она приносит огромную прибыль организаторам кибератак, направленных против выбранных компаний. Как правило, киберпреступники используют методы, о которых не было известно, когда разрабатывались современные платформы и инфраструктура безопасности, поэтому любые компании и организации, даже те из них, кто вкладывает значительные средства в ИБ, находятся в зоне риска и не могут быть уверены в 100% защищенности своих данных.

      Тем временем финансовый ущерб от атак и материальные стимулы киберпреступников стали вполне конкретными и измеримыми – СМИ то и дело сообщают нам ориентировочные цифры. Тех, кто стремится к краже интеллектуальной собственности, вымогательству и саботажу, с каждым днем становится все больше, а их тактика становится все изощреннее. Атаки все чаще достигают своей цели, и ни одна организация не застрахована от покушений.

      Для эффективного противодействия современным угрозам нужен совершенно новый подход – такой, при котором сама архитектура платформы строится с учетом необходимости защищать данные комплексно и всесторонне – на каждом уровне. Такой системой является Windows 10, разработчики которой изначально учитывали необходимость противодействия современным угрозам.

      Архитектура платформы

      Аппаратные средства изоляции на основе гостевой виртуализации (Virtualization Based Security) занимают ключевое место в нашей стратегии защиты платформы. Эта технология использует процессорные расширения виртуализации для создания защитного барьера между закрытыми компонентами и конфиденциальными данными Windows и остальной частью операционной системы. В Windows 10 на основе виртуализации работают такие важнейшие средства защиты, как криптопроцессор Trusted Platform Module (TPM), а также Device Guard и Credential Guard.

      Credential Guard оказался чрезвычайно полезным решением: наши клиенты говорят, что это их главное средство безопасности и что только ради него одного стоит развертывать Windows 10 в компании. Неудивительно, ведь этот компонент противодействует Pass-the-Hash – одному из самых популярных на сегодняшний день методов атаки на корпоративную ИТ-инфраструктуру.

      Изоляция и защита данных на уровне аппаратного обеспечения – еще одно усовершенствование Windows 10, причем технологии виртуализации (например, Intel VT), реализуемые на уровне процессорной архитектуры и возможности TPM – важные компоненты этой системы. Не так давно TPM 2.0 был принят в качестве международного стандарта, а значит все большее число устройств будет поддерживать TPM 2.0, открывая возможности использования комплексного шифрования, многофакторной проверки подлинности и других средств защиты.

      С выходом Windows 10 Anniversary Update биометрические средства проверки подлинности Windows Hello и биометрические данные пользователя будут перенесены в безопасную среду для еще более надежной защиты от самых изощренных угроз.

      Проактивная защита

      Одна из наших главных целей – создать платформу, защищенную от любых вредоносных программ и угроз. Для этого мы разработали проактивную защиту, способную избегать любого контакта с потенциальными источниками опасности. Хорошим примером такого подхода является технология SmartScreen, в основе которой лежит облачная система проверки репутации приложений и сайтов. Если пользователь попытается зайти на небезопасный сайт в Microsoft Edge или Internet Explorer, фильтр SmartScreen предупредит его об этом и остановит загрузку страницы. Начиная с Anniversary Update эта технология будет использовать статистику Microsoft Intelligent Security Graph, что позволит учитывать еще большее число угроз и быстрее их классифицировать.

      Уровень защиты Microsoft Edge стал еще выше

      «Песочница» AppContainer позволяет изолировать браузер от остальной части операционной системы, других приложений и пользовательских данных.

      Новая модель работы с плагинами блокирует запуск небезопасных элементов.

      Технологии ASLR и Control Flow Guard препятствуют внедрению в браузер и оперативную память таких распространенных эксплойтов, как heap spraying и ROP.

      Подозрительные и вредоносные шрифты, содержащиеся на некоторых сайтах и внедренные в документы, теперь блокируются, а код для анализа этих шрифтов выполняется в «песочнице».

      Все эти меры уже доказали свою действенность. На сегодняшний день все обнаруженные уязвимости Microsoft Edge закрыты, а сообщения об успешных атаках отсутствуют – в некоторой степени за счет описанных нововведений.

      Это должно порадовать наших пользователей, однако мы не собираемся останавливаться на достигнутом. В Anniversary Update будут добавлены новые функции, которые еще больше осложнят жизнь киберпреступникам. Во-первых, Flash будет работать отдельно от браузера, что позволит блокировать атаки, нацеленные на уязвимости этой мультимедийной платформы, и снизить вероятность их воздействия на браузер и систему. Во-вторых, мы существенно ограничили область воздействия атак на Microsoft Edge и Internet Explorer, снизив уровень доступа к подсистемам Windows.

      Когда речь заходит о противодействии угрозам, на ум чаще всего приходит антивирусное ПО, обнаруживающее вирусы и программы-шпионы. Для борьбы с угрозами этого типа в Windows 10 есть Защитник Windows (Windows Defender) – полнофункциональное решение корпоративного уровня. В Windows 10 Anniversary Update оно будет существенно улучшено, что позволит противодействовать новейшим угрозам. И следует сказать, что наши многолетние усилия по совершенствованию этого сервиса приносят плоды: за последний год показатели Защитника Windows в сравнительных тестах антивирусных программ значительно улучшились: до 99,8% обнаруженных вирусов в тестировании за апрель 2020 года, что на 11% превышает прошлогодние результаты.

      Защита идентификационных данных

      Windows Hello – отличный инструмент многофакторной аутентификации, и в Anniversary Update мы дополним его двумя важными усовершенствованиями, которые упростят использование этой технологии и расширят область ее применения. Мы сделали Windows Hello полностью интегрированным решением. Теперь он будет поддерживать все способы биометрической аутентификации, а также управлять учетными данными, необходимыми для разблокировки устройства.

      Сейчас Windows Hello требует привязки данных пользователя ко всем устройствам, с которыми он взаимодействует. Однако правила ИТ-безопасности, принятые в некоторых организациях, препятствуют этому. В обновленной версии сервиса в качестве одного из факторов аутентификации смогут выступать устройства-компаньоны Windows Hello, которые позволят использовать биометрическую аутентификацию и учетные данные в любых сочетаниях на разных устройствах. Например, пользователь может настроить Windows Hello на ПК без биометрического датчика: его разблокировка будет происходить с участием биометрического оборудования другого устройства, например, телефона или значка сотрудника (employee badge).

      Таким образом, платформа Windows позволяет создавать устройства-компаньоны для любых сценариев использования Windows Hello, с учетом самых разных требований безопасности и стоимости решений.

      Защита при вторжении

      В Anniversary Update будет доступна новая служба Защитника Windows – Advanced Threat Protection. Она поможет организациям в обнаружении и анализе кибератак, которым подверглась ее ИТ-инфраструктура. Эта служба, основанная на уже существующих в Windows 10 средствах ИБ, обеспечивает дополнительный уровень защиты, когда киберпреступникам все же удастся вторгнуться в сеть. Сочетая клиентские технологии в Windows 10 с облачными, она позволит обнаруживать угрозы, сумевшие обойти другие инструменты защиты. Кроме того, благодаря Advanced Threat Protection компания получит информацию для расследования уязвимости и рекомендации по устранению последствий атаки.

      Защита информации

      Защита корпоративной информации – первоочередная задача ИБ для бизнеса, и в Windows 10 мы уделили ей особое внимание. Наше решение для шифрования данных BitLocker защищает конфиденциальную информацию даже в случае потери, кражи или неправильной утилизации устройств-носителей. С выпуском Windows 10 в BitLocker появились инструменты, о которых просили наши клиенты, в частности, возможности корпоративного управления enterprise management и единого входа (single sign-on). Планируя переход на Windows 10, еще раз обратите внимание на новые функции BitLocker для компаний.

      Предотвращение утечек данных – это еще один аспект, над которым мы постоянно работаем. Мы рады сообщить, что Anniversary Update принесет новый инструмент защиты информации: Windows Information Protection (WIP), прежде известный как средство защиты корпоративных данных, Enterprise data protection (EDP). WIP – это простое в развертывании и использовании решение, которое, разделяя личные и корпоративные данные, предотвращает случайные утечки и несанкционированный доступ, а также позволяет организациям при необходимости удаленно стирать корпоративные данные на устройствах. В отличие от других решений WIP полностью интегрировано с платформой и практически не влияет на работу пользователя. Другие продукты Microsoft, например, Office профессиональный плюс или наша новая служба Azure Information Protection, используют возможности WIP, обеспечивая вас еще более комплексной защитой.

      Стандарты и сертификация

      На протяжении многих лет Microsoft подтверждает безопасность своих продуктов с помощью сертификации у независимых экспертов и государственных организаций. На территории США для нас очень важны независимые сертификации Common Criteria (CC) и Federal Information Processing Standards (FIPS). После их этого мы получаем сертификаты безопасности в других странах. Мы сертифицировали все предыдущие выпуски Windows 10. Что касается масштабного обновления Anniversary Update, то оно получит отдельные сертификаты безопасности, а работа по его сертификации начнется сразу после официального выпуска.

      На сегодня, пожалуй, все.

      В Windows 10 Anniversary Update вас ждет немало новых функций, которые дополнят и усовершенствуют существующие средства защиты. Многими из этих нововведений мы обязаны вам и другим участникам программы предварительной оценки Windows. И, конечно, при внутреннем планировании развития системы мы делаем все возможное, чтобы повышать ее защищенность. В этом деле необходим продуманный, фундаментальный подход, который начинается с архитектуры и учитывает все возможные сценарии работы системы безопасности и использования данных, а также все зафиксированные модели и инструменты направленных атак. Только так мы можем повысить безопасность наших клиентов и помочь им быстрее внедрять инновации для защиты от новейших угроз, которые появятся в будущем.

      Спешите перейти на Windows 10, чтобы воспользоваться самыми передовыми возможностями в области безопасности.

      Защита корпоративных документов: внутри и снаружи

      В современных условиях ведения бизнеса необходимо обеспечивать доступность определенной информации за контуром периметра корпоративной сети банка, внутри которого ресурсы могут быть защищены от внешних атак IPS\IDS-системами, периметровыми межсетевыми экранами и другими средствами защиты. При этом информация может передаваться в файлах и выходить в Интернет. Как в этих условиях сохранить безопасность данных и обеспечить защиту конфиденциальной информации?

      Известны нашумевшие случаи утечки данных через файлы, утерянные или похищенные злоумышленниками. Например, в октябре 2020 года неизвестный нашел на земле флеш-накопитель, на котором обнаружились подробные сведения о системах безопасности крупнейшего в Великобритании аэропорта Хитроу. По утверждению журналистов Daily Mail, которым была передана флешка, на ней располагались 76 файлов общим объемом 2,5 гигабайта, содержавших сведения о мерах безопасности, принятых для защиты королевы Елизаветы II и высших политиков страны при использовании ими аэропорта, а также об антитеррористических мерах. Или информация, датируемая июлем 2020 года, об утечке конфиденциальных документов более чем 100 компаний, включая General Motors, Fiat, Chrysler, Ford, Tesla, Toyota, ThyssenKrupp и Volkswagen. Данные находились в открытом доступе на сервере, принадлежащем компании Level One Robotics. В результате в общем доступе оказалось 157 гигабайт данных, содержащих как коммерческую тайну этих компаний, так и персональные данные сотрудников.

      Всего этого могло бы не случиться, если бы защита была применена непосредственно к файлам, в которых содержалась конфиденциальная информация.

      Сбербанк, как крупнейший банк страны, также сталкивается с такими рисками. Наш опыт показывает, что решить эту проблему помогают системы класса IRM (Information Rights Management). Они не только позволяют ограничить доступ к документам, но и выполняют аудит действий пользователя. В качестве примера рассмотрим, как работает IRM-решение от компании Microsoft — RMS (Rights Management Services).

      Для сотрудников Сбербанка существует стандарт работы с документами, содержащими конфиденциальную информацию, который обязывает шифровать файлы, которые потенциально могут попасть в Интернет. Кроме этого, используется шифрование файлов с помощью RMS в ряде автоматизированных систем, имеющих интерфейсы доступа вне защищенного периметра банка.

      В ближайшее время в Сбербанке планируется внедрить RMS в процессы мобильных клиентских менеджеров, что позволит безопасно работать с материалами, содержащими коммерческую и банковскую тайну, значительно повысив быстроту и качество принимаемых ими решений, требующих анализа конфиденциальной информации.

      С помощью RMS можно ограничить права на использования файла (например, разрешить только для чтения); обозначить круг лиц, которым этот файл будет доступен; вести аудит действий над файлом, а также ограничить время использования файла (посредством облачного решения Azure Information Protection отозвать файл либо ограничить по времени доступ к нему). При этом важно не забывать, что RMS не может полностью защитить информацию. Получатель может, например, открыть файл и сфотографировать экран с помощью мобильного телефона.

      RMS — это не замена уже давно известных средств контроля доступа, шифрования и других технологий защиты данных, он предоставляет собой агрегированное решение, которое позволяет не только шифровать, но и контролировать документ на протяжении всего жизненного цикла, ограничивать доступ к нему только для определенных пользователей в определенный диапазон времени и открытие файла только в определннных приложениях. Ведь можно зашифровать файл, но как только вы отправите его другому человеку и этот файл будет расшифрован, его можно будет копировать, изменять и распространять дальше.

      AD (Active Directory) RMS — on-premise-решение. Серверная служба RMS входит в Windows Server (начиная с Windows Server 2008), в качестве базы данных выступает SQL Server. Модель on-premise часто выбирают, чтобы обеспечить комплексную безопасность внутри организации. Кроме того, AD RMS — логичный выбор при использовании инфраструктуры на базе Active Directory.


      Решение построено на использовании сертификатов и реализует две степени защиты. Первая — это аутентификация пользователя: защищенный RMS-файл сможет открыть только тот, кому автор документа разрешил доступ к нему. Вторая — права, которые назначил сам автор: например, чтение без права копирования. Параметры защиты встраиваются непосредственно в документ и заверяются сертификатами пользователя и сервера RMS. Последние версии RMS позволяют защищать файлы любого формата, правда, при этом сохраняется лишь первый уровень защиты — аутентификация пользователей при открытии документов. Единожды открыв, например, TXT-файл, имеющий право доступа пользователь уже не ограничен в действиях и потенциально может сделать с таким файлом все что угодно.

      Решение включает в себя три основных компонента: RMS-сервер, RMS-клиент (приложения со встроенной поддержкой RMS) и RMS-приложения с SDK.

      RMS-сервер отвечает за сертификацию доверенных лиц, обеспечивает лицензирование защищенного правами контента и регистрирует пользователей и серверы. Он также служит точкой управления RMS.

      Сервер AD отвечает за аутентификацию пользователя.

      Рис.1. Компоненты AD RMS

      Чтобы исключить доступ пользователей к данным в обход клиента RMS, данные зашифровываются и подписываются, а затем привязываются к лицензии на публикацию. RMS использует в качестве основы для контроля доступа к документам для его дешифрования инфраструктуру открытого ключа (PKI). PKI применяет асимметричное шифрование, в котором для процесса шифрования/дешифрования используются два ключа: открытый и закрытый. В среде RMS документ зашифровывает пользователь. Любые запросы на доступ к документу поступают на сервер, который проверяет запрос и его назначение, включая печать, пересылку и даже сохранение документа. Чтобы получатель смог открыть файл, ему нужна лицензия пользователя этим контентом. Клиентское программное обеспечение RMS запрашивает и получает эту лицензию с сервера AD RMS.

      Чтобы не устанавливать ограничения каждый раз отдельно по каждому файлу, поддерживаются шаблоны политик, имеющие определенный набор ограничений: например, не сохранять, не копировать или не печатать. Шаблоны настраиваются в зависимости от задач и хранятся в базе данных на сервере AD RMS. Защита конфиденциальных документов с применением механизма шаблонов в Сбербанке реализована в системе внутреннего электронного документооборота.

      AD RMS работает по следующей схеме: отправитель с помощью клиентского программного обеспечения, например Word, формирует документ и хочет применить определенные ограничения. Клиентское приложение связывается с сервером RMS и формирует заявку на лицензию, которая необходима для публикации документа. Сервер выдает лицензию публикации, которая применяется к документу. Документ шифруется клиентским приложением, и к нему применяются соответствующие ограничения. После этого документ уходит к получателю. Чтобы получить доступ к данным, получателю необходимо пройти аутентификацию и связаться с сервером RMS для получения лицензии на использование документа. Запрос на использование лицензии выполняется через приложение с поддержкой RMS и после его завершения позволяет получателю обращаться к документу — в соответствии с ограничениями, которые применил автор документа.

      Рис. 2. Разрешения для почтового сообщения (на примере почтового клиента Outlook, интегрированного с RMS)

      В качестве клиента RMS выступает программное обеспечение с RMS-поддержкой, например Microsoft Office, для различных операционных систем (Windows, MacOS, IOS, Android).

      Поддержку RMS можно встроить в любое приложение, используя SDK. На данный момент Microsoft выпускает SDK для платформ Windows, MacOS, IOS, Android. В Сбербанке используется локальная инфраструктура AD RMS.

      В Сбербанке, как и в большинстве организаций, есть мобильные пользователи, работающие удаленно, компании-подрядчики, которым необходимо предоставлять доступ к корпоративным документам. Не всегда есть возможность обеспечивать безопасность только лишь с помощью имеющейся в локальной инфраструктуре AD RMS, или же этот вариант экономически нецелесообразен. Решить проблему поможет облачное SaaS-решение Azure RMS. Поэтому после реализации ряда успешных проектов по использованию локальной инфраструктуры AD RMS, которая в данный момент используется в Сбербанке, активно разрабатываются решения по интеграции с облачным сервисом Azure RMS.

      Azure RMS использует функции AD RMS, однако во многом представляет собой более продвинутое решение. Так же, как AD RMS использует Windows Active Directory, Azure RMS использует для аутентификации пользователей Azure AD. Azure RMS не хранит защищенные клиентские данные и не имеет к ним доступа. В облаке хранятся только клиентские ключи шифрования, поэтому риск компрометации информации сводится к минимуму.

      В зависимости от потребностей организации и наличия в инфраструктуре AD RMS Azure RMS может использоваться в двух сценариях: облачном и гибридном.

      Облачный сценарий предполагает отсутствие собственной инфраструктуры RMS. Он особенно актуален для организаций, предоставляющих частичный доступ к корпоративной информации сторонним пользователям: например, временным сотрудникам или представителям контрагентов. Использование собственного AD RMS и AD домена компании для этих целей менее целесообразно и более рискованно в сравнении с управлением учетными записями посредством Azure AD и организации защиты c помощью Azure RMS. Использование Azure AD позволяет не предоставлять доступа сторонним пользователям внутрь периметра компании к AD RMS и AD компании. Предоставлять доступ к данным проще, если у организации-партнера уже есть каталог Office 365 или Azure (каталог Azure AD для поддержки аутентификации пользователей и облачной подписки Azure, поддерживающей RMS). При этом совместная работа не означает автоматического доступа внешних пользователей к защищенному контенту: они должны быть явно упомянуты в политике разрешения.

      Механизм работы похож на AD RMS: служба RMS аутентифицирует пользователя, который хочет получить доступ к файлу, используя Azure AD; служба RMS авторизует пользователя на основе политики, прикрепленной к защищенному файлу; служба RMS регистрирует активность пользователя для целей аудита.

      К основным преимуществам Azure RMS можно отнести поддержку Azure Information Protection (AIP). Эта технология включает автоматическую классификацию документа в соответствии с критериями, которые определил администратор безопасности. И назначение грифа, и последующая защита происходят в приложении (Word, Excel, Outlook и т.д.) в момент правки или создания документа. В AIP есть дополнительные возможности по отзыву прав на ранее защищённый документ и ограничение времени выданных на документ прав: вне зависимости от того, на чьём компьютере находится документ, он перестанет открываться по истечении указанного срока. Через специальный портал можно отслеживать, кто, когда и откуда обращался к защищенному документу.

      Azure RMS позволяет легче управлять обменом защищенными документами по сравнению с локальным решением и обладает рядом преимуществ:

      — не требуется развертывать и поддерживать собственную инфраструктуру;

      — решение полностью интегрировано с Azure AD,

      — поддерживает технологию AIP для автоматической классификации данных,

      — поддерживает локальные серверные продукты Microsoft,

      — может быть интегрировано с AD DS в гибридном сценарии.

      Что касается гибридного решения, то оно позволяет полностью контролировать ключи шифрования и процесс авторизации при работе с внутренними конфиденциальными документами. Для этих целей используется локальная инфраструктура AD RMS. В то же время для защиты основной части конфиденциальных данных применяются механизмы защиты Azure, что позволяет обмениваться защищенной корпоративной информацией с контрагентами, отслеживать документы, использовать шаблоны защиты, организовывать работу с защищенными данными на мобильных устройствах.

      Гибридное решение заключается в развертывании нескольких сервисов RMS:

      — Для управления классификацией и шаблонами безопасности на серверах Azure RMS и AD RMS развертываются службы Azure Information Protection. Это облачное решение позволяет интегрироваться с локальной установкой RMS (через RMS-коннектор) в гибридном исполнении для автоматической защиты. Потребуется соединение между облачным сервисом и локальной инфраструктурой.

      — Azure RMS позволяет определять политики для конфиденциальных данных в большинстве сценариев работы с документами и вести аудит доступа.

      — AD RMS используется для определения политик конфиденциальных данных, которые не должны выходить за пределы периметра организации.

      Опыт использования решения RMS от Microsoft в Сбербанке позволяет сделать вывод: решения класса IRM в сочетании с классическими системами защиты информации позволяют надежно защищать информацию не только внутри корпоративной сети, но и за ее пределами. Использование облачных решений даcт возможность существенно снизить совокупную стоимость владения и реализовать безопасный обмен документами с контрагентами, а интеграция c собственным Security Operation Center (SOC) Сбербанка позволит организовать непрерывный мониторинг защищенного документооборота.

      главный инженер управления экспертизы кибербезопасности Сбербанка

      Easy Configuration of the Azure Information Protection Scanner

      NOTE: This content has been moved to https://aka.ms/AIPBlog and will be maintained/updated at that location moving forward. It is recommended that you use that location for AIP Scanner installs.

      The Scenario:

      The EU General Data Protection Regulation (GDPR) took effect on May 25, 2020 and marks a significant change to the regulatory landscape of data privacy. ​The aim of the GDPR is to protect all EU citizens from privacy and data breaches in an increasingly data-driven world. Organizations in breach of GDPR can be fined up to 4% of annual global turnover or €20 Million (whichever is greater). Needless to say, this has motivated organizations worldwide to better classify and protect sensitive personal data to protect against breach. One of the ways to accomplish this is to protect everything sensitive using Azure Information Protection.

      Azure Information Protection allows data workers to classify and optionally protect documents as they are created. There are also options for automatically classifying/protecting emails as they are sent through your Exchange server or Exchange Online, and SharePoint Online can be protected using Microsoft Cloud App Security AIP integration. These options go a long way to protect newly created data and data migrated to the cloud, but what about the terabytes of data sitting on File Shares and On-Premises SharePoint 2013/2020 servers? That is where the AIP Scanner comes in.

      The Solution:

      The Azure Information Protection Scanner is the solution for classifying and protecting documents stored on File Shares and On-Premises SharePoint servers. The overview below is from the official documentation at https://docs.microsoft.com/en-us/information-protection/deploy-use/deploy-aip-scanner. This blog post is meant to assist customers with deploying the AIP Scanner, but if there is ever a conflict, the official documentation is authoritative.

      The AIP Scanner runs as a service on Windows Server and lets you discover, classify, and protect files on the following data stores:

      • Local folders on the Windows Server computer that runs the scanner.
      • UNC paths for network shares that use the Common Internet File System (CIFS) protocol.
      • Sites and libraries for SharePoint Server 2020 and SharePoint Server 2013.

      The scanner can inspect any files that Windows can index, by using iFilters that are installed on the computer. Then, to determine if the files need labeling, the scanner uses the Office 365 built-in data loss prevention (DLP) sensitivity information types and pattern detection, or Office 365 regex patterns. Because the scanner uses the Azure Information Protection client, it can classify and protect the same file types.

      You can run the scanner in discovery mode only, where you use the reports to check what would happen if the files were labeled. Or, you can run the scanner to automatically apply the labels.

      Note that the scanner does not discover and label in real time. It systematically crawls through files on data stores that you specify, and you can configure this cycle to run once, or repeatedly.

      Prerequisites:

      To install the AIP Scanner in a production environment, the following items are needed:

      • A Windows Server 2012 R2 or 2020 Server to run the service
        • Minimum 4 CPU and 4GB RAM physical or virtual
        • Internet connectivity necessary for Azure Information Protection
      • A SQL Server 2012+ local or remote instance (Any version from Express or better is supported)
        • Sysadmin role needed to install scanner service (user running Install-AIPScanner, not the service account)
        • If using SQL Server Express, the SQL Instance name is ServerName\SQLExpress
      • Service account created in On Premises AD and synchronized with Azure AD (I will call this account AIPScanner in this document)
        • Service requires Log on locally right and Log on as a service right (the second will be given during scanner service install)
        • Service account requires Read permissions to each repository for discovery and Read/Write permissions for >AzInfoProtection.exe available on the Microsoft Download Center (The scanner bits are included with the AIP Client)
        • Labels configured for Automatic >Installation:

          Here is where the Easy part from the title gets started. Installation of the AIP Scanner service is incredibly simple and straight-forward.

          1. Log onto the server where you will install the AIP Scanner service using an account that is a local administrator of the server and has permission to write to the SQL Server master database.
          2. Run AzInfoProtection.exe on the server and step through the client install (this also drops the AIP Scanner bits)
          3. Next, Right-click on the Windows button in the lower left-hand corner and click on Command Prompt (Admin)
          4. Type PowerShell and hit Enter
          5. At the PowerShell prompt, type the following command and press Enter:
            Install-AIPScanner
          6. When prompted, provide the credentials for the scanner service account (YourDomain \AIPScanner ) and password
          7. When prompted for SqlServerInstance, enter the name of your SQL Server and press Enter
            You should see a success message like the one below
          8. Right-click on the Windows button in the lower left-hand corner and click on Run
          9. In the Run dialog, type services.msc and click OK
          10. In the Services console, double-click on the Azure Information Protection Scanner service
          11. On the Log On tab of the Azure Information Protection Scanner Service Properties, verify that Log on as: is set to the YourDomain\AIPScanner service account

          See, told you it was easy to install. Luckily, configuring the service is only slightly more challenging. ��

          Scanner Configuration:

          OK, this next part is not super simple but it isn’t terrible either as long as you don’t miss anything. Luckily, you can follow my steps to make it as easy as possible.

          Authentication Token:

          1. On the server where you installed the scanner, create a new text document on the desktop and name it Set-AIPAuthentication.txt
            • In this document, paste the line of PowerShell code below and save
              Set-AIPAuthentication -webAppId -webAppKey -nativeAppId
          2. Open Internet Explorer and browse to https://portal.azure.com
          3. At the Sign in to Microsoft Azure page, enter the your tenant admin credentials
          4. In the Microsoft Azure portal, click on Azure Active Directory in the left-hand pane
          5. Under Manage, click on App registrations
          6. In the App registrations blade, click the + New application registration button
          7. In the Create blade, use the values in the table below to create the registration
            Name AIPOnBehalfOf
            Application type Web app / API
            Sign-on URL http://localhost
        • Click the Create button to complete the app registration
        • In the AIPOnBehalfOf blade, hover the mouse over the Application ID and click on the Click to copy icon when it appears
        • Minimize (DO NOT CLOSE) Internet Explorer and other windows to show the desktop
        • On the desktop, return to Set-AIPAuthentication.txt and r eplace with the copied Application ID value
          and Save

          WARNING: Ensure there is only a single space after the Application ID before -webAppKey
        • Return to the browser and click on the Settings button
        • In the Settings blade, under API ACCESS, click on Keys
        • In the Keys blade, add a new key by typing AIPClient in the Key description field and your choice of duration (1 year, 2 years, or never expires)
        • Select Save and copy the Value that is displayed
          WARNING: Do not dismiss this screen until you have saved the value as you cannot retrieve it later
        • Go back to the txt document and replace with the copied key value
          and Save

          WARNING: Ensure there is only a single space after the Application Key before -nativeAppId

        • In the Microsoft Azure portal, click on Azure Active Directory in the left-hand pane
        • Under Manage, click on App registrations
        • In the App registrations blade, click the + New application registration button
        • In the Create blade, use the values in the table below to create the registration
          Name AIPClient
          Application type Native Application
          Sign-on URL http://localhost
        • Click the Create button to complete the app registration
        • In the AIPClient blade, hover the mouse over the Application ID and click on the Click to copy icon when it appears
        • Replace in the Set-AIPAuthentication.txt document with the copied Application ID value
          andSave
        • Return to the browser and in the AIPClient blade, click on Settings

        • In the Settings blade, under API ACCESS, select Required permissions
        • On the Required permissions blade, click Add, and then click Select an API

          NOTE: It may take a few moments for each of these blades to load

        • In the search box, type AIPO and click on AIPOnBehalfOf, and then click the Select button
        • On the Enable Access blade, check the box next to AIPOnBehalfOf, click the Select button

        • Click Done
        • Return to the PowerShell window and paste the completed command from Set-AIPAuthentication.txt and press Enter
        • When prompted, enter the user AIPScanner@yourdomain.onmicrosoft.com and the password
          NOTE: Replace tenantname with the your tenant
        • You should see a prompt like the one below. Click Accept
        • You will see the message below in the PowerShell window once complete
        • About Policies:

          Now that the scanner is happy and fully authenticated, we should discuss what you want to do with the AIP Scanner. We know that you want to use it to scan file shares and SharePoint sites, but some discussion needs to be had about how the scanner locates data and what the scanner will do once it finds it. This may be a no brainer to some so feel free to skip this and move on to the next section if you like.

          AIP Policies are made up of Labels and Sub-labels that allow you to classify and optionally protect data. You can assign conditions to labels using the standard Office 365 DLP templates and have those conditions be recommended or automatic. For the AIP Scanner to classify documents, you must set these conditions to be Automatic. This allows the AIP Scanner to protect content without the need for user input. This is a content based approach and labels are assigned to content based on the conditions defined in each label. If you want all of the documents in your repositories to be classified, then you can use the default label setting in the portal and the AIP Scanner will assign that label to any content that does not meet any other automatic criteria. This is done in the Global policy blade, under the Configure settings to display and apply on Information Protection end users section.

          For more in-depth information about configuring policies, you can see the official documentation at https://docs.microsoft.com/en-us/information-protection/deploy-use/configure-policy-classification

          Configuring Repositories:

          Finally, it is time to put the AIP Scanner to work scanning repositories. These can be on-premises SharePoint 2013 or 2020 document libraries or lists and any accessible CIFS based share. Keep in mind that in order to do discovery, classification, and protection, the scanner service pulls the documents to the server, so having the scanner server located in the same LAN as your repositories is recommended. You can deploy as many servers as you like in your domain, so putting one at each major site is probably a good idea.

          1. To add a file share repository, open a PowerShell window and run the command below
            Add-AIPScannerRepository -Path \\fileserver\documents
          2. To add a SharePoint 2013/2020 document library run the command below
            Add-AIPScannerRepository -Path http://sharepoint/documents
          3. To verify that the repositories that are configured, run the command below
            Get-AIPScannerRepository
          4. Run the command below to run an initial discovery cycle
            Set-AIPScannerConfiguration -Schedule OneTime

            NOTE: Although the scanner will discover documents to protect, it will not protect them as the default configuration for the scanner is Discover only mode
          5. Start the AIP Scanner service using the command below
            Start-Service AIPScanner
          6. Right-click on the Windows button in the lower left-hand corner and click on Event Viewer
          7. Expand Application and Services Logs and click on Azure Information Protection
          8. You will see an event like the one below when the scanner completes the cycle

          NOTE: You may also browse to %localappdata%\Microsoft\MSIP\Scanner\Reports and review the summary txt and detailed csv files available there

        • At the PowerShell prompt type the command below to enforce protection and have the scanner run once
          Set-AIPScannerConfiguration -Enforce On -Schedule OneTime -Type Full

          NOTE: After testing, you would use the same command with the -Schedule Continuous command to have the AIP Scanner run continuously
          NOTE: The -Type Full switch forces the scanner to review every document.
        • Start the AIP Scanner service using the PowerShell command below
          Start-Service AIPScanner
        • In the Event Log, you will now see an event that looks like the one below
        • And that’s all there is to setting up the AIP Scanner! There are many more options to consider about how to classify files and what repositories you want to configure, but I would say that it is fairly simple to set up a basic scanner server that can be used to protect a large amount of data easily. I highly recommend reading the official documentation on deploying the scanner as there are some less common caveats that I have left out and they cover performance tips and other nice additional information.

          Enterprise Mobility + Security

          Enterprise Mobility + Security (EMS) – это предложение, который объединяет отдельные важные облачные сервисы в одно низкозатратное решение, основанное на лицензировании отдельного пользователя. EMS интегрирует решения Identity and Access Management, Mobile Application (MAM) и Mobile Device Management (MDM) с решениями по обеспечению безопасности информации и защите от угроз. В современной рабочей среде, где возрастает значимость мобильности и возможности использования нескольких устройств одним пользователем, решение Enterprise Mobility + Security помогает IT-администраторам устранять противоречия, возникающие между удобством пользования, производительностью и высоким уровнем безопасности данных.

          Компоненты Enterprise Mobility + Security

          Решение для идентификации и управления доступом

          Решение для мобильных приложений и управления мобильными устройствами

          Решение для защиты данных и информации

          Решение для кибербезопасности и управления рисками

          Azure Active Directory Premium

          Все больше сотрудников хотели бы приносить свои устройства для работы и легко осваивать доступные приложения SaaS (программное обеспечение как услуга). Такая ситуация стала значительной проблемой для IT-отделов, которые должны управлять приложениями пользователей в пределах корпоративных центров обработки данных и облачных платформ общего доступа. Для решения этих проблем Azure Active Directory Premium предлагает:

          • Сброс пароля самообслуживания для уменьшения количества обращений в службу поддержки;
          • Опции многофакторной идентификации для повышения безопасности;
          • Групповые политики обеспечения и опции одиночного входа в систему для тысяч приложений SaaS;
          • Машинно-обучаемые системы формирования отчетов о состоянии безопасности для системы управления видимостью и угрозами;
          • Надежные возможности синхронизации в директориях уровня организации и облачных ресурсов.

          Azure Active Directory Premium P1

          • Безопасный единый вход в облачные и локальные приложения
          • MFA, условный доступ и расширенная отчетность о состоянии безопасности

          Azure Active Directory Premium P2*

          • Идентификация и управление доступом с расширенной защитой пользователей и привилегированными правами
          • (включает все возможности P1)

          Microsoft Intune

          В современной рабочей среде мобильные устройства становятся все более популярными, поскольку сотрудники хотели бы выполнять свою работу без привязки к рабочему месту. Для поддержки производительности сотрудникам с мобильными устройствами необходим постоянный доступ к корпоративным ресурсам и данным из любого места с любого устройства. Концепция BYOD (каждый пользователь подключается со своего устройства) создала значительные проблемы для IT-администраторов, которым необходимо обеспечивать мобильность и одновременно защиту корпоративных ресурсов от несанкционированного доступа. Для решения этих проблем Microsoft Intune предлагает:

          • Управление мобильными приложениями на всех устройствах;
          • Широкую поддержку устройств для платформ iOS, Andro >

          Azure Information Protection

          Для обеспечения высокой производительности пользователям необходим постоянный доступ к корпоративным ресурсам с их устройств. Также возрастает потребность в более безопасном сотрудничестве с коллегами внутри и вне организации. Для решения этих проблем Azure Rights Management предлагает:

          • классификацию и маркировку: классифицируйте данные на основе степени конфиденциальности и добавляйте маркировку – в ручном или автоматическом режиме;
          • шифрование и управление правами: шифруйте свои конфиденциальные данные и при необходимости определяйте права пользования;
          • интуитивно понятную обработку, выполняемую нажатием одной кнопки: легко применяйте защиту, не прерывая обычный ход работы ваших сотрудников;
          • подробное отслеживание и отчетность: следите за тем, что происходит с вашими данными совместного доступа для получения большего контроля над ними;
          • гибкость разворачивания и управления: помогайте защищать ваши данные при их хранении в облачной или локальной инфраструктуре. У вас есть возможность выбрать способ управления ключами шифрования, включая опции BYOK (использование своего ключа).

          Azure Information Protection Premium P1

          Azure Information Protection Premium P2*

          • Интеллектуальная классификация и шифрование файлов и электронной почты, доступ к которым открыт как внутри организации, так и за ее пределами
          • (включает все возможности P1)

          Advanced Threat Analytics

          Тема кибербезопасности является ключевой не только для отдела IT и центра обработки данных, но и для более высоких уровней руководства. Атаки и угрозы стали существенно более сложными с точки зрения частоты и серьезности воздействия. Под угрозой могут быть все аспекты: от пользовательской конфиденциальности до индивидуальности бренда, репутации должностных лиц и прочее. Без развернутой системы защиты могут быть взломаны идентификационные данные и банковские счета физических лиц, бизнес станет терять клиентов, а компании могут утратить контроль над информацией, интеллектуальной собственностью и конкурентоспособностью. Для решения этих проблем Advanced Threat Analytics предлагает:

          • поведенческую аналитику для расширенного обнаружения угроз;
          • обнаружение известных злонамеренных действий и проблем безопасности;
          • простое, действенное реагирование на подозрительную активность, а также рекомендации;
          • интеграцию с вашими существующими системами управления информацией и событиями безопасности (SIEM).

          Microsoft Cloud App Security*

          Обеспечьте безопасность ваших облачных приложений для более глубокой видимости, всеобъемлющего контроля и усиленной защиты.

          Обнаружение

          Все начинается с обнаружения. Cloud App Security идентифицирует все облачные приложения вашей сети – со всех устройств – и обеспечивает определение уровня риска, а также анализ и оценку текущего риска. Программы-посредники не требуются: информация собирается с ваших брандмауэров и прокси-серверов, что обеспечивает полную видимость и контекст для использования облачных ресурсов и теневого резервирования IT-ресурсов.

          Контроль данных

          Разрешения на использование приложения недостаточно. При особом акценте на санкционированных приложениях можно установить ступенчатый контроль и политики для совместного использования данных и DLP. Облачную среду можно формировать с помощью коробочных и настраиваемых политик.

          Защита от угроз

          Cloud App Security обеспечивает защиту от угроз для облачных приложений, которая усиливается с помощью обширного инструментария Microsoft для анализа и исследований угроз. Идентифицируйте случаи работы с высоким риском, инциденты безопасности и обнаруживайте аномальное поведение пользователей для предотвращения угроз.

          Microsoft CSP

          Аренда программного обеспечения по программе Microsoft CSP (Cloud Sulution Provider) — это возможность обезопасить и усовершенствовать свой рабочий процесс, не переплачивая лишнего, получив доступ к личному виртуальному офису. Вы сразу, после заказа подписки через МАРС Телеком, получаете активные лицензии Microsoft.

          Аренда ПО по программе лицензирования Microsoft SPLA

          CSP T2 – программа для поставщиков облачных решений Microsoft. Программа CSP T2 позволяет организациям продавать своим клиентам облачные продукты Microsoft (Office 365, Exchange Online, Azure и др.) с помесячной оплатой, а также добавлять к ним собственные IT-решения.

          Подключайтесь к облачным продуктам Microsoft (Azure, Office 365, Exchange Online, SharePoint Online и др.) и входящие в состав Office 365 настольные приложения своим клиентам с помесячной оплатой.

          Программа SPLA – это программа Microsoft, которая позволяет партнеру реализовать модель Pay-as-you-go, то есть оплачивать только то ПО, которое действительно использовалось в тот или иной момент времени.

          Лицензирование программного обеспечения по программе Microsoft CSP

          Компонент Описание Детали
          Azure Active Directory Premium
          MSSERV84A-41538 Доступ к услуге цифрового сервиса Azure Active Directory Basic (corporate) 75 руб./мес.
          Предоставляет доступ к облачным приложениям и позволяет специалистам, которые выполняют задачи с использованием облачных ресурсов, самостоятельно управлять удостоверениями. Выпуск «Базовый» для Azure Active Directory предлагает такие функции, как управление доступом на основе групп, самостоятельный сброс пароля для облачных приложений, прокси-сервер приложений Azure Active Directory (для публикации локальных веб-приложений с помощью Azure Active Directory). Все эти функции помогают повысить производительность и сократить расходы. Приобретая выпуск «Базовый», вы также получаете преимущества корпоративного соглашения об уровне обслуживания, которое гарантирует 99,9 % времени бесперебойной работы.
          MSSERV16C-27F27 Доступ к услуге цифрового сервиса Azure Active Directory Basic (corporate) 450 руб./мес.
          Выпуск Azure Active Directory Premium предлагает все необходимые функции корпоративного уровня для управления удостоверениями и доступом. С помощью этого выпуска пользователи гибридных решений смогут без труда получать доступ к локальным и облачным ресурсам. Этот выпуск содержит все, что может понадобиться специалистам по обработке информации и администраторам удостоверений в гибридных средах для контроля доступа к приложениями, самостоятельного управления удостоверениями и доступом, а также для обеспечения безопасности в облаке.
          MSSERVE59-0F643 Доступ к услуге цифрового сервиса Azure Active Directory Basic (corporate) 675 руб./мес.
          Выпуск Azure Active Directory Premium P2 включает все функции, входящие в другие выпуски Azure Active Directory, а также содержит расширенные возможности для защиты идентификации и управления привилегированными пользователями.
          MSSERVA19-F82D0 Доступ к услуге цифрового сервиса Azure Advanced Threat Protection for Users (corporate) 413 руб./мес.
          Azure Advanced Threat Protection (ATP) или Расширенная защита от угроз Azure — это облачное решение безопасности, которое использует сигналы локальной службы Active Directory для обнаружения и анализа сложных угроз, скомпрометированных удостоверений и вредоносных действий внутренних пользователей, направленных на вашу организацию. Azure ATP позволяет аналитикам и специалистам службы безопасности, занимающимся выявлением современных угроз в гибридных средах, решать следующие задачи:

          • отслеживать пользователей, поведение сущностей и действия с помощью аналитики на основе обучения;
          • защищать удостоверения и учетные данные пользователей, хранящиеся в Active Directory;
          • выявлять и изучать подозрительные действия пользователей и современные атаки на основе модели цепочки атаки;
          • получать сведения об инцидентах в четко установленные сроки для быстрого рассмотрения.
          MSSERV648-7DC72 Доступ к услуге цифрового сервиса Azure Information Protection Plan 1 (corporate) 150 руб./мес.
          Azure Information Protection (AIP) — это облачное решение, которое позволяет организациям классифицировать и при необходимости защищать документы и электронные письма с помощью меток. Метки могут применяться автоматически (администраторами, которые определяют правила и условия), вручную (пользователями) или с помощью этих двух методов (когда пользователям даются рекомендации) сразу.
          MSSERV096-3F57C Доступ к услуге цифрового сервиса Azure Information Protection Premium P2 (corporate) 375 руб./мес.
          Azure Information Protection (AIP) — это облачное решение, которое позволяет организациям классифицировать и при необходимости защищать документы и электронные письма с помощью меток. Метки могут применяться автоматически (администраторами, которые определяют правила и условия), вручную (пользователями) или с помощью этих двух методов (когда пользователям даются рекомендации) сразу.
          MSSERV4D8-EF1D9 Доступ к услуге цифрового сервиса Common Area Phone (corporate) 600 руб./мес.
          Common Area Phone позволяет использовать телефон общего пользования (CAP) в системе Phone System Office 365. Например, телефон в зоне приема, домофон или телефон в конференц-зале, CAP устанавливаются как устройства, а не как пользователи, и автоматически входят в сеть.
          MSSERVD31-60594 Доступ к услуге цифрового сервиса Common Data Service for Apps Database Capacity (corporate) 3 000 руб./мес.
          Common Data Service позволяет безопасно хранить используемые бизнес-приложениями данные и управлять ими. Данные в Common Data Service хранятся в наборе сущностей. Сущность — это набор записей, используемый для хранения данных, аналогично тому, как в таблице хранятся данные внутри базы данных. Common Data Service включает базовый набор стандартных сущностей, которые охватывают типичные ситуации, но можно также создавать пользовательские сущности, относящиеся к организации, и заполнять их с данными с помощью Power Query. Создатели приложения затем могут использовать PowerApps для построения богатых приложений, используя эти данные.
          MSSERV8C5-C2C1E Доступ к услуге цифрового сервиса Common Data Service for Apps File Capacity (corporate) 150 руб./мес.
          Common Data Service позволяет безопасно хранить используемые бизнес-приложениями данные и управлять ими. Данные в Common Data Service хранятся в наборе сущностей. Сущность — это набор записей, используемый для хранения данных, аналогично тому, как в таблице хранятся данные внутри базы данных. Common Data Service включает базовый набор стандартных сущностей, которые охватывают типичные ситуации, но можно также создавать пользовательские сущности, относящиеся к организации, и заполнять их с данными с помощью Power Query. Создатели приложения затем могут использовать PowerApps для построения богатых приложений, используя эти данные.
          MSSERVB91-001C9 Доступ к услуге цифрового сервиса Common Data Service for Apps Log Capacity (corporate) 750 руб./мес.
          Common Data Service позволяет безопасно хранить используемые бизнес-приложениями данные и управлять ими. Данные в Common Data Service хранятся в наборе сущностей. Сущность — это набор записей, используемый для хранения данных, аналогично тому, как в таблице хранятся данные внутри базы данных. Common Data Service включает базовый набор стандартных сущностей, которые охватывают типичные ситуации, но можно также создавать пользовательские сущности, относящиеся к организации, и заполнять их с данными с помощью Power Query. Создатели приложения затем могут использовать PowerApps для построения богатых приложений, используя эти данные.
          MSSERV79C-EC84E Доступ к услуге цифрового сервиса Enterprise Mobility + Security E3 (corporate) 657 руб./мес.
          Инновации в сфере удостоверений помогают обеспечивать безопасность и производительность ваших приложений и устройств.
          MSSERV374-ECB44 Доступ к услуге цифрового сервиса Enterprise Mobility + Security E5 (corporate) 1108 руб./мес.
          Инновации в сфере удостоверений помогают обеспечивать безопасность и производительность ваших приложений и устройств.
          MSSERV195-A19C4 Доступ к услуге цифрового сервиса Exchange Online (Plan 1) (corporate) 300 руб./мес.
          Безопасная и надежная электронная почта бизнес-класса с почтовым ящиком объемом 50 ГБ для каждого пользователя.
          MSSERV2F7-0D3EB Доступ к услуге цифрового сервиса Exchange Online (Plan 2) (corporate) 600 руб./мес.
          Включает все возможности Exchange Online (план 1), а также неограниченное хранилище, размещенную голосовую почту и защиту от потери данных.
          MSSERVC08-20452 Доступ к услуге цифрового сервиса Exchange Online Archiving (EOA) for Exchange Server (corporate) 225 руб./мес.
          Воспользуйтесь корпоративным облачным решением для архивации. Благодаря ему вы сможете решать задачи, связанные с архивацией, а также соответствием нормативным требованиям и обнаружением электронных данных.
          MSSERV35A-50866 Доступ к услуге цифрового сервиса Exchange Online Kiosk (corporate) 150 руб./мес.
          Microsoft Exchange Online Kiosk — подписка предназначенная для улучшения коммуникации и сотрудничества работников использующих общий компьютер.
          MSSERVD90-17813 Доступ к услуге цифрового сервиса Exchange Online Protection (corporate) 75 руб./мес.
          Защитите свои почтовые ящики от нежелательной почты и вредоносных программ на корпоративном уровне, не теряя доступ к почте во время и после аварийных ситуаций. Exchange Online Protection предоставляет ряд защитных компонентов, развернутых в сети центров данных по всему миру. С помощью этой службы проще администрировать среды обмена сообщениями.
          MSSERV38E-8D6AE Доступ к услуге цифрового сервиса Flow Additional Runs per 50,000 (corporate) 3 000 руб./мес.
          Создавайте автоматизированные рабочие процессы между любимыми приложениями и службами, чтобы получать уведомления, синхронизировать файлы, собирать данные и делать многое другое.
          MSSERV2C8-0794C Доступ к услуге цифрового сервиса Meeting Room (corporate) 1 125 руб./мес.
          Самый быстрый способ добавить отображение конференц-зала в Office 365 или G Suite.
          MSSERV112-506C6 Доступ к услуге цифрового сервиса Meeting Room without Audio Conferencing (corporate) 1 125 руб./мес.
          Самый быстрый способ добавить отображение конференц-зала в Office 365 или G Suite.
          MSSERV617-746E0 Доступ к услуге цифрового сервиса Microsoft 365 Business (corporate) 1 500 руб./мес.
          Интегрированное решение для малого и среднего бизнеса, благодаря которому вы получите лучшие в своем классе приложения Office 365 для повышения продуктивности и расширенные средства безопасности, которые защитят ваши данные от внешних угроз и помогут предотвратить утечку данных. С Microsoft 365 бизнес ваши сотрудники смогут эффективно работать из любой точки мира и на любом устройстве.
          MSSERV2B3-C3091 Доступ к услуге цифрового сервиса Microsoft 365 E3 (corporate) 2 400 руб./мес.
          Придайте своему бизнесу импульс с последними версиями полнофункциональных устанавливаемых приложений Office в сочетании с интегрированными службами для совместной работы, расширенными средствами контроля соответствия и полным набором ИТ-возможностей.
          MSSERV8BD-E0B72 Доступ к услуге цифрового сервиса Microsoft 365 E5 (corporate) 4 313 руб./мес.
          Получите наиболее полное предложение Office 365 с расширенными возможностями безопасности, аналитики и голосовой связи.
          MSSERVDB5-59FD3 Доступ к услуге цифрового сервиса Microsoft 365 E5 without Audio Conferencing (corporate) 4 275 руб./мес.
          Получите наиболее полное предложение Office 365 с расширенными возможностями безопасности, аналитики и голосовой связи.
          MSSERV345-C4AAA Доступ к услуге цифрового сервиса Microsoft 365 F1 (corporate) 750 руб./мес.
          Помогите своим сотрудникам без компьютера работать с максимальной эффективностью.
          MSSERVDBD-4E7B2 Доступ к услуге цифрового сервиса Microsoft Cloud App Security (corporate) 263 руб./мес.
          Microsoft Cloud App Security — это решение Cloud Access Security Broker (CASB). Оно предоставляет подробную информацию об облачных приложениях и сервисах, расширенные возможности анализа для выявления и устранения киберугроз, а также позволяет контролировать потоки данных.
          MSSERV3DD-1DE47 Доступ к услуге цифрового сервиса Microsoft Flow Plan 1 (corporate) 375 руб./мес.
          Создавайте автоматизированные рабочие процессы между любимыми приложениями и службами, чтобы получать уведомления, синхронизировать файлы, собирать данные и делать многое другое. 4500 запусков в месяц. Неограниченное создание потоков. 3-минутные проверки.
          MSSERV39A-C8F76 Доступ к услуге цифрового сервиса Microsoft Flow Plan 2 (corporate) 1 125 руб./мес.
          Создавайте автоматизированные рабочие процессы между любимыми приложениями и службами, чтобы получать уведомления, синхронизировать файлы, собирать данные и делать многое другое. 15 000 запусков в месяц. Неограниченное создание потоков. 1-минутная проверка. Настройки политик организации. Потоки бизнес-процессов.
          MSSERV51E-7C0E1 Доступ к услуге цифрового сервиса Microsoft Intune (corporate) 450 руб./мес.
          Определите стратегию управления мобильными устройствами, которая соответствует потребностям вашей организации. Применяйте гибкие инструменты управления мобильными устройствами и приложениями, которые позволяют сотрудникам работать с теми устройствами и приложениями, которые удобны именно им, не ставя под угрозу конфиденциальные данные вашей компании.
          MSSERVA07-62BCC Доступ к услуге цифрового сервиса Microsoft Intune Device (corporate) 135 руб./мес.
          Определите стратегию управления мобильными устройствами, которая соответствует потребностям вашей организации. Применяйте гибкие инструменты управления мобильными устройствами и приложениями, которые позволяют сотрудникам работать с теми устройствами и приложениями, которые удобны именно им, не ставя под угрозу конфиденциальные данные вашей компании.
          MSSERV238-06AAD Доступ к услуге цифрового сервиса Microsoft PowerApps Plan 1 (corporate) 472 руб./мес.
          Без труда создавайте нужные бизнес-приложения и расширяйте или настраивайте те, которые у вас уже есть. Для приложений, которые подключаются ко всем источникам корпоративных данных, включая Common Data Service.
          MSSERV525-DE020 Доступ к услуге цифрового сервиса Microsoft PowerApps Plan 2 (corporate) 3 000 руб./мес.
          Без труда создавайте нужные бизнес-приложения и расширяйте или настраивайте те, которые у вас уже есть. Для приложений, которые моделируют многоэтапные бизнес-процессы и включают сложную бизнес-логику, а также все возможности Common Data Service.
          MSSERV5C9-44609 Доступ к услуге цифрового сервиса Office 365 Business (corporate) 619 руб./мес.
          Работайте на пике возможностей с помощью полнофункциональных приложений Office на всех своих устройствах, а также сетевого хранилища и инструментов для общего доступа.
          MSSERVBD9-2501C Доступ к услуге цифрового сервиса Office 365 Business Essentials (corporate) 375 руб./мес.
          Работайте с максимальной эффективностью из любой точки мира с постоянно обновляемыми средствами Office и службами для продуктивного взаимодействия.
          MSSERV031-2CC05 Доступ к услуге цифрового сервиса Office 365 Business Premium (corporate) 938 руб./мес.
          Расширьте сферу своего влияния с облачным Office: современному бизнесу не обойтись без таких инструментов.
          MSSERV91F-9A239 Доступ к услуге цифрового сервиса Office 365 Enterprise E1 (corporate) 600 руб./мес.
          Предоставьте своим сотрудникам новейшие службы для совместной работы и получите полный контроль над ИТ-инфраструктурой. Мы предлагаем гибкие возможности, которые помогут вам добиться успеха в бизнесе.
          MSSERV796-49C02 Доступ к услуге цифрового сервиса Office 365 Enterprise E3 (corporate) 1 500 руб./мес.
          Придайте своему бизнесу импульс с последними версиями полнофункциональных устанавливаемых приложений Office в сочетании с интегрированными службами для совместной работы, расширенными средствами контроля соответствия и полным набором ИТ-возможностей.
          MSSERVA04-6FAC2 Доступ к услуге цифрового сервиса Office 365 Enterprise E5 (corporate) 2 625 руб./мес.
          Получите наиболее полное предложение Office 365 с расширенными возможностями безопасности, аналитики и голосовой связи.
          MSSERV6FB-0B371 Доступ к услуге цифрового сервиса Office 365 F1 (corporate) 300 руб./мес.
          Помогите своим сотрудникам без компьютера работать с максимальной эффективностью.
          MMSSERVBE5-3A665 Доступ к услуге цифрового сервиса Office 365 ProPlus (corporate) 900 руб./мес.
          Теперь Office всегда будет с вами, куда бы вы ни отправились. Регулярно получайте новейшие версии инструментов для производительной совместной работы, обеспечения соответствия требованиям и бизнес-аналитики.
          MSSERV90D-96B4B Доступ к услуге цифрового сервиса OneDrive for Business (Plan 1) (corporate) 375 руб./мес.
          Идеальный вариант для компаний, которым нужны средства общего доступа к файлам и место в хранилище OneDrive.
          MSSERVBF1-95C15 Доступ к услуге цифрового сервиса OneDrive for Business (Plan 2) (corporate) 750 руб./мес.
          Идеальный вариант для компаний, которым нужны средства общего доступа к файлам и место в хранилище OneDrive с расширенными функциями для обеспечения безопасности и соответствия требованиям. Вам будут доступны все преимущества OneDrive для бизнеса (план 1) и многое другое.
          MSSERV474-2D888 Доступ к услуге цифрового сервиса Power BI Premium P1 (corporate) 374 625 руб./мес.
          Подписка на Power BI Premium открывает широкие возможности самостоятельной подготовки данных для любых пользователей – от бизнес-аналитиков до специалистов по обработке данных, ускоряя получение аналитических сведений и упрощая совместную работу.
          MSSERV4DA-C9E4F Доступ к услуге цифрового сервиса Power BI Premium P2 (corporate) 749 625 руб./мес.
          Подписка на Power BI Premium открывает широкие возможности самостоятельной подготовки данных для любых пользователей – от бизнес-аналитиков до специалистов по обработке данных, ускоряя получение аналитических сведений и упрощая совместную работу.
          MSSERV30A-09D1F Доступ к услуге цифрового сервиса Power BI Premium P3 (corporate) 1 499 625 руб./мес.
          Подписка на Power BI Premium открывает широкие возможности самостоятельной подготовки данных для любых пользователей – от бизнес-аналитиков до специалистов по обработке данных, ускоряя получение аналитических сведений и упрощая совместную работу.
          MSSERV771-F2435 Доступ к услуге цифрового сервиса Power BI Premium P4 (corporate) 2 999 625 руб./мес.
          Подписка на Power BI Premium открывает широкие возможности самостоятельной подготовки данных для любых пользователей – от бизнес-аналитиков до специалистов по обработке данных, ускоряя получение аналитических сведений и упрощая совместную работу.
          MSSERVEA1-660EF Доступ к услуге цифрового сервиса Power BI Premium P5 (corporate) 5 999 625 руб./мес.
          Подписка на Power BI Premium открывает широкие возможности самостоятельной подготовки данных для любых пользователей – от бизнес-аналитиков до специалистов по обработке данных, ускоряя получение аналитических сведений и упрощая совместную работу.
          MSSERV800-10488 Доступ к услуге цифрового сервиса Power BI Pro (corporate) 750 руб./мес.
          Подключайтесь к сотням источников данных и визуализируйте свои данные с помощью динамических панелей мониторинга и отчетов. Делитесь ценными сведениями с членами своей организации, чтобы стимулировать принятие рациональных решений.
          MSSERVA41-B874F Доступ к услуге цифрового сервиса Project Online Essentials (corporate) 525 руб./мес.
          Project Online базовый позволяет участникам рабочих групп легко управлять задачами, отправлять расписания и взаимодействовать с коллегами. Project Online базовый — дополнительный компонент для участников рабочих групп, предназначенный для клиентов, у которых есть Project Online профессиональный или Project Online расширенный.
          MSSERVD85-4E61A Доступ к услуге цифрового сервиса Project Online Premium (corporate) 4 125 руб./мес.
          Эффективное управление портфелями проектов, программами и ресурсами.
          MSSERVA56-08BAD Доступ к услуге цифрового сервиса Project Online Professional (corporate) 2 250 руб./мес.
          Систематизируйте и упорядочивайте проекты, ресурсы и рабочие группы. Легко и эффективно составляйте планы проектов, отслеживайте их состояние и используйте инструменты удаленной совместной работы.
          MSSERVFF7-9311D Доступ к услуге цифрового сервиса SharePoint Online (Plan 1) (corporate) 375 руб./мес.
          Функции и возможности, необходимые малым и средним предприятиям для успешного развития.
          MSSERV69C-6864F Доступ к услуге цифрового сервиса SharePoint Online (Plan 2) (corporate) 750 руб./мес.
          Полный набор функциональных возможностей SharePoint Online для предприятий. Включает все преимущества SharePoint Online (план 1) и многое другое.
          MSSERV14C-D3173 Доступ к услуге цифрового сервиса Skype for Business Online (Plan 2) (corporate) 413 руб./мес.
          Облачная служба, представляющая собой единый клиент для уведомления о присутствии, обмена мгновенными сообщениями, голосовой и видеосвязи, а также проведения собраний. Благодаря Skype for Business Online можно обмениваться мгновенными сообщениями и совершать голосовые звонки миллионам пользователей Skype по всему миру.
          MSSERV3F2-55A66 Доступ к услуге цифрового сервиса Visio Online Plan 1 (corporate) 375 руб./мес.
          Простой инструмент для создания и совместного использования схем и блок-схем в вашем любимом браузере.
          MSSERVB4D-0FB11 Доступ к услуге цифрового сервиса Visio Online Plan 2 (corporate) 1 125 руб./мес.
          Воспользуйтесь всеми преимуществами Visio, самого популярного решения для работы со схемами и визуализации данных, с которым можно работать на любых устройствах и даже в автономном режиме.
          MSSERV395-BF784 Доступ к услуге цифрового сервиса Windows 10 Enterprise E3 (corporate) 525 руб./мес.
          Корпоративная E3 — это новое предложение, которое позволяет по подписке пользоваться эксклюзивными возможностями, зарезервированными для операционной системы Windows 10 Корпоративная. Это предложение доступно через поставщик облачных решений (CSP) в Центре партнеров в качестве веб-службы.
          MSSERV4B6-A8CE1 Доступ к услуге цифрового сервиса Windows 10 Enterprise E3 VDA (corporate) 1 350 руб./мес.
          Enterprise E3 Windows 10 в CSP представляет собой гибкую, подписку на пользователя малым и средним организациям (от одной до нескольких сотен пользователей).
          MSSERVF2C-AC2F0 Доступ к услуге цифрового сервиса Windows 10 Enterprise E5 (corporate) 830 руб./мес.
          Enterprise E5 Windows 10 в CSP представляет собой гибкую, подписку на пользователя малым и средним организациям (от одной до нескольких сотен пользователей).

          Уже уходите? Хотите, перезвоним Вам за 30 секунд?

          Сейчас на линии несколько свободных специалистов и мы сможем перезвонить Вам в течение нескольких секунд.

Добавить комментарий