Беспрецедентная защита конфиденциальной информации

Больше всего компании боятся утечки конфиденциальных данных, составляющих коммерческую тайну, будь то стратегические планы или реальные объемы продаж. Последнее время широкое распространение получили механизмы управления доступом к документам на базе разрешений, такие как детализированный доступ (discretionary access control, DAC, позволяет сетевым администраторам избирательно предоставлять пользователям возможность управления доступом к ресурсам) и фиксированный доступ (mandatory access control, MAC, не допускает передачи разрешений на доступ между пользователями). Эти традиционные методы позволяют ограничить получение защищенной информации неавторизованными пользователями, но при этом обладают существенным недостатком — как только легитимный пользователь получил доступ к документу, он может делать с ним все, что угодно: распечатать, скопировать на дискету или другие носители либо переслать по электронной почте.

Решение этой проблемы предлагает служба управления правами доступа к информации Microsoft Windows Rights Management Services (RMS) для серверов Windows 2003. Основой технологии RMS является расширяемый язык разметки прав доступа XrML (Extensible Rights Markup Language) версии 1.2.1. (В настоящее время доступна версия 2.0. — Прим. ред.) Разметка XrML позволяет серверному и клиентскому компонентам, которые работают совместно с приложениями RMS, обеспечивать проверку правомочности доступа и защиту документов, электронной почты и даже контента Internet-сайтов. RMS позволяет создавать политики использования документов, определяющие, кто имеет право доступа к защищенному (конфиденциальному) контенту, какие действия авторизованный пользователь вправе выполнять с документом (сохранять, распечатывать, пересылать, редактировать, отвечать). Кроме того, RMC устанавливает срок действия разрешений пользователя — сколько дней пользователь имеет право выполнять указанные действия над документом. В лицензии публикации (publishing license) хранится описание политик доступа. Здесь же хранится 128-разрядный ключ AES, которым защищены контент документа и адрес URL сервера лицензирования RMS (licensing server), который может выдать лицензию на использование (use license) контента. Часть лицензии публикации также зашифрована для защиты части наиболее важной информации. При попытке открытия защищенного контента в RMS-приложении приложение обращается к серверу RMS, указанному в лицензии публикации, для получения разрешения на использование защищенного контента. Далее приложение использует полученную лицензию для предоставления конкретному лицу возможности работать с контентом в соответствии с правами, описанными в лицензии на использование. Для получения лицензии на использование необходимо сначала получить действующий сертификат учетной записи управления доступом XrML RAC (Rights Management Account Certificate). Этот сертификат выдает особый сервер сертификации RMS (RMS certification server) — впрочем, функции лицензирования и сертификации могут быть объединены на одном физическом сервере. Все действия по получению сертификата доступа RAC, если пользователь еще не имеет собственного сертификата, направляются RMS-приложением. Если на компьютере пользователя отсутствуют приложения, поддерживающие технологию RMS, можно установить модуль расширения RMA (Rights Management Add-on) для Internet Explorer. Этот бесплатный модуль расширения позволяет просматривать защищенный документ без возможности редактирования. Из приведенной схемы работы RMS очевидно, что, если организация планирует взять на вооружение RMS, до начала внедрения системы необходимо тщательно спланировать и проработать все аспекты использования технологии.

Планирование установки

Microsoft спроектировала RMS как технологию, единую для всего леса AD, так что большинство организаций используют только одну иерархию RMS на весь лес AD. При этом можно построить кластер серверов RMS для распределения нагрузки и обеспечения отказоустойчивости, а также настраивать иерархии для географически распределенных сетей. Дополнительная информация о кластеризации и иерархиях приведена во врезке «Кластеры и иерархии RMS».

При планировании инфраструктуры RMS в первую очередь необходимо определить вид использования RMS — будет ли технология применяться исключительно в рамках данной организации или же ею предстоит пользоваться и внешним клиентам и партнерам. RMS позволяет указывать для каждого сервера RMS по два локатора ресурсов (URL): один для использования в корпоративной сети предприятия, другой — для предоставления услуг внешним пользователям через Internet. Адрес URL для корпоративной сети указывается в момент установки, и изменить его потом достаточно сложно. По умолчанию при установке предлагается создать адрес, совпадающий с именем сервера, на котором система устанавливается. Я не рекомендую так делать, поскольку это создает трудности при дальнейшем формировании кластеров и замене вышедших из строя систем. Лучше всего создать запись DNS A или CNAME для сервера RMS, после чего записи присваивается полностью определенное доменное имя (FQDN, Fully Qualified Domain Name) в качестве локатора URL корпоративной сети. Значение локатора URL для внешней сети, которое определяется после завершения установки, можно изменить в любое время.

Необходимо решить вопрос о размещении первого сервера RMS, поскольку этот сервер станет и сервером сертификации RMS. Серверный компонент RMS представляет собой Web-службу, использующую для работы Windows .NET Framework, она может взаимодействовать с любой версией Windows Server 2003; для работы требуется установить Microsoft IIS 6.0, ASP .NET и службу очередей сообщений Microsoft Message Queue Services (MSMQ). Клиентский компонент RMS может выполняться на любой версии Windows, начиная с Windows 98 Second Edition; для коммуникаций с серверным компонентом RMS использует стандартные протоколы — HTTP и HTTPS (HTTP Secure), при этом коммуникации являются защищенными вне зависимости от того, используется HTTPS или HTTP. Для работы сервера RMS требуется ADO-совместимая база данных, например Microsoft SQL Server 2000 (желательно с пакетом обновлений SP3 или более новым). База данных служит для хранения конфигурации и журналов, а также для кэширования расширенных списков рассылки DL (distribution list). RMS и сервер баз данных должны принадлежать одному и тому же домену. Клиенты обращаются к серверу сертификации при активации и в момент получения RAC. При аутентификации пользователей сервер сертификации RMS обращается к серверу глобального каталога GC, к службе Microsoft Enrollment Service при развертывании и обновлении собственного сертификата лицензедателя и к службе активации для активации клиентов RMS. При этом сервер RMS обращается к обеим службам через Internet. Сервер сертификации RMS также играет роль сервера лицензирования для выпуска лицензий публикаций и использования, так что он должен быть достаточно надежен для обеспечения защиты информации о лицензировании RMS. Таким образом, сервер RMS должен быть помещен в центральное, физически защищенное от доступа посторонних место, поближе к серверу глобального каталога GC и серверу баз данных, имеющее хорошие соединения с клиентами по локальной сети и Internet. Специалисты Microsoft рекомендуют размещать сервер RMS на отдельном сервере. Пример топологии RMS приведен на рисунке.

Для работы с RMS необходимо соответствующим образом настроить учетные записи пользователей в AD. RMS не требует для работы обязательного применения почтового сервера Microsoft Exchange Server, но, поскольку пользователи идентифицируются по адресам электронной почты, каждый пользователь RMS должен иметь в AD собственную уникальную учетную запись с соответствующим адресом. Если в компании установлен сервер электронной почты Exchange Server 2000 или более поздняя его версия, то адреса электронной почты пользователей в AD можно добавить автоматически с помощью инструментов Exchange?s Recipient Policies (политики получателей Exchange) и Recipient?s Update Service (RUS, службы обновления получателей). Некоторые другие системы электронной почты (например, служба POP3 в Windows 2003) также могут добавлять в пользовательские учетные записи в AD адреса электронной почты. Если же имеющаяся система электронной почты не поддерживает автоматическое добавление адресов в AD, потребуется ввести адреса вручную или разработать соответствующий сценарий.

Чтобы можно было начать использовать RMS, в AD должен быть опубликован объект serviceConnectionPoint, указывающий адрес сервера сертификации RMS, — это может сделать администратор домена, обладающий соответствующими полномочиями в AD. Объект предназначен для того, чтобы клиенты и приложения могли обнаружить сервер сертификации RMS для активации клиента и запросить RAC для пользователя. Если организации требуется установить множественные иерархии RMS в лесу AD или же по каким-то причинам публикация объекта serviceConnectionPoint в AD нежелательна, соответствующие настройки можно выполнить в реестре на компьютерах пользователей. Настройки в пользовательском реестре зависят от установленного приложения RMS; инструкции по настройке приложений Office 2003 можно найти в документации Microsoft Office 2003 Editions Resource Kit (на странице http://www.microsoft.com/office/ork).

Чтобы воспользоваться преимуществами RMS, необходимы соответствующие приложения, поддерживающие технологию RMS, такие как Office System 2003 или RMA с Internet Explorer 5.5 (или более поздние версии). Для независимых разработчиков и компаний, заинтересованных в создании собственных приложений RMS, существует инструментарий разработки SDK, загружаемый с сайта компании. RMA можно загрузить со страницы http://www.microsoft. com/windows/ie/downloads/addon/default.asp.

Сервер сертификации RMS

Установка сервера сертификации RMS достаточно проста, но требует наличия прав администратора домена. Установочный файл сервера сертификации RMS представляет собой самораспаковывающийся файл, содержащий установочный пакет в формате Windows Installer (.msi). Программа установки просит ознакомиться с лицензионным соглашением и указать каталог для установки файлов компонентов сервера. В процессе установки создается программная группа в меню Start, содержащая ярлыки для вызова Web-консоли управления RMS, справочной системы и файла README.

После установки сервера сертификации RMS необходимо выполнить настройку и регистрацию сервера RMS. Настройка состоит из двух фаз — во-первых, необходимо ввести конфигурационную информацию, во-вторых, требуется регистрация (enroll) сервера в Microsoft для получения заверенного электронной подписью сертификата лицензедателя RMS. Следует выбрать имя сайта, который будет использоваться для предоставления услуг RMS (Microsoft рекомендует выделить для этой цели отдельный сайт) и нажать Provision RMS on this Web site («Использовать данный сайт для предоставления услуг RMS») для запуска процедуры настройки.

Настройка конфигурации. Сервер RMS может использовать для работы локальную базу данных или подключиться к базе данных на отдельном (удаленном) сервере. Если используется локальная база данных, в разделе Configuration database нужно выбрать Local database, в противном случае следует указать Remote database.

В разделе RMS service account необходимо ввести имя и пароль учетной записи, которую будет использовать служба RMS. Если ранее было выбрано применение локальной базы данных, можно запустить RMS от имени учетной записи Local System, но из соображений безопасности так делать не рекомендуется. При использовании базы данных на отдельном сервере необходимо ввести данные учетной записи пользователя домена. Эта учетная запись будет применяться для доступа к базам данных, которые RMS создает на удаленном сервере.

В разделе Cluster URL нужно ввести полное доменное имя компьютера (FQDN, Fully Qualified Domain Name) и адрес, который будет использоваться для доступа к корпоративному серверу. Для повышения безопасности можно выбрать защищенный протокол HTTPS:// в раскрывающемся списке. Таким образом, приложения RMS будут подключаться к серверу RMS через защищенный протокол SSL (Secure Socket Layer). Для использования SSL требуется дополнительная настройка IIS, а также получение и установка сертификата SSL.

В разделе Private key protection and enrollment необходимо ввести пароль, который будет использоваться RMS для защиты сгенерированных ключей и обеспечения безопасности лицензий. Рекомендуется записать пароль и сохранить его в надежном месте. Этот пароль понадобится при необходимости повторной установки или при обновлении сервера, а также при добавлении новых серверов для формирования кластера RMS. При использовании аппаратных средств защиты Hardware Security Module (HSM) сервер RMS может задействовать HSM для надежного сохранения ключей — надо только убрать флажок Use the default storage-based private key connection («Использовать стандартное соединение для хранения секретных ключей») и ввести информацию об устройстве HSM. В поле Server licensor certificate name следует на всякий случай ввести описание и адрес электронной почты администратора. Если в организации используется proxy-сервер, может возникнуть необходимость настроить сервер RMS для доступа через proxy, установив параметр This computer uses a proxy server to connect to the Internet («Компьютер использует proxy для подключения к Internet»), ввести имя и порт proxy-сервера в соответствующих полях. Proxy-сервер может затребовать аутентификацию, для предоставления необходимых сведений нужно установить флажок This proxy server requires authentication («Этот proxy-сервер требует аутентификации»), выбрать тип аутентификации (Basic, Digest или Integrated Windows) и заполнить поля User Name, Password, Confirm Password и Domain (Имя пользователя, Пароль, Подтверждение пароля и Домен).

И наконец, в раздел Revocation можно включить возможность отзыва у сервера RMS прав лицензедателя. Большинство организаций не используют этот параметр. Отзыв прав — это вопрос, требующий ясного понимания связанных с ним механизмов и последствий; более подробную информацию об этом можно получить в руководстве RMS Server Deployment Guide. После завершения ввода всей необходимой информации о конфигурации нужно нажать кнопку Submit для перехода к следующему этапу процедуры развертывания.

Регистрация и настройка (Enrollment). На данном этапе сервер RMS создает и заполняет базу данных, настраивает Web-службы, которые будут предоставляться, формирует запрос на получение сертификата сервера лицензирования RMS и обращается к службе Microsoft Enrollment Service для получения подписанного сертификата. Если в процессе регистрации и настройки произойдет ошибка, причину ее возникновения можно определить по выданному системой сообщению. Затем следует нажать кнопку Back для возврата к странице настройки и устранения причины возникновения ошибки. Запустите из командной строки IISRESET для удаления предыдущей информации, сохраненной на Web-сайте RMS (при этом следует иметь в виду, что будут остановлены и перезапущены все Web-сайты на данном сервере). Нажмите Submit для повторной попытки выполнить регистрацию и настройку служб RMS. Обычно данный этап не требует вмешательства, если только не возникнет какая-нибудь ошибка.

После успешного завершения установки и настройки сервера сертификации RMS система предлагает выполнить одно из следующих действий — Administer RMS on this Web site («Управление RMS на данном Web-сервере»), Change RMS service account («Изменить учетную запись службы RMS») или Remove RMS from this Web site («Удалить RMS с данного сервера»). Первый из предлагаемых вариантов вызывает главную страницу RMS Administration, позволяющую осуществлять администрирование сервера RMS. После регистрации сервера RMS администратор, входящий в группу Enterprise Admins, может зайти на страницу управления RMS Administration, щелкнуть RMS service connection point «Точка подключения службы RMS») и выбрать Register URL для публикации в AD объекта доступа serviceConnectionPoint.

Клиенты RMS

Перед тем как пользователи смогут создавать или обрабатывать защищенные RMS документы, необходимо установить и активировать на их компьютерах клиент RMS. Этот клиент состоит из библиотеки DLL и утилиты, предназначенной для активации и тестирования RMS. Клиентская часть RMS предоставляется в виде файла .msi, который может быть установлен на компьютеры пользователей с применением объектов групповых политик (GPO), служб Microsoft Systems Management Server (SMS) или других средств распространения программного обеспечения.

После установки клиентской части RMS на компьютеры пользователей необходимо выполнить активацию клиентов. Процедура активации выполняется после завершения процесса установки системы или при первой попытке воспользоваться функциями службы RMS. Во время активации происходит обращение к серверу (или кластеру) RMS для загрузки на компьютер пользователя так называемого абонентского ящика RMS (RMS lockbox). Абонентский ящик RMS представляет собой файл secrep.dll размером 400 Кбайт, который является уникальным для каждого клиента. Сервер сертификации RMS, выступая в роли proxy, перенаправляет запрос на создание абонентского ящика RMS на сервер активации Microsoft, который генерирует абонентский ящик RMS для компьютера клиента. Дополнительные сведения об активации содержатся во врезке «Службы регистрации и активации». Сервер сертификации RMS передает сформированный абонентский ящик RMS на компьютер клиента, файл secrep.dll копируется в папку \%systemroot%system32.

Использование динамической библиотеки абонентского ящика RMS для обеспечения сертификации RMS было выбрано из соображений минимизации сетевого трафика. Дело в том, что многие корпоративные пользователи не имеют доступа в Internet. Если в организации разрешается доступ в Internet с пользовательских компьютеров, но требуется снизить сетевой трафик или повысить производительность системы, можно настроить доступ клиентов к службе активации, указав для нее соответствующие адреса. Полную информацию по данному вопросу можно найти в руководстве по внедрению RMS Server Deployment Guide.

Использование защищенных RMS документов определяется в первую очередь приложениями, в которых создается и просматривается документ. Наиболее распространенными приложениями RMS являются программы набора приложений Microsoft Office 2003 — Excel, Outlook, PowerPoint и Word. Эти программы превращают защиту и отправку защищенных сообщений и документов в процедуру, не требующую специальных навыков. В панели инструментов каждого из этих приложений содержится кнопка RMS, как показано на экранах 1 и 2. При нажатии на эту кнопку в Outlook автор письма может запретить получателям копировать, распечатывать и пересылать свое сообщение. При нажатии на такую же кнопку в Word, Excel и PowerPoint можно задать ограничения на использование документа.

Экран 1. Кнопка RMS в Word 2003
Экран 2. Кнопка RMS в Outlook 2003

Все офисные приложения позволяют автору документа накладывать определенные шаблоны управления правами доступа и использования документа. Дополнительные шаблоны управления правами использования документа могут быть настроены на сервере в соответствии с требованиями. Эти шаблоны могут храниться централизованно на сервере или доставляться на настольные компьютеры пользователей с помощью систем распространения программного обеспечения или сценариев. В наборе Office 2003 Resource Kit содержатся сведения о настройке хранилища шаблонов через параметры реестра. Эта настройка выполняется с помощью утилит RMS Tool Kit, которые можно загрузить с сайта http://www.microsoft.com/rms. Создатель документа может выбрать шаблон доступа через меню File, Permissions (Файл, Разрешения). Автор документа может передавать защищенный контент другим пользователям, работающим с более старыми версиями MS Office — XP, 2000 и 97, так что эти пользователи смогут просматривать контент.

Дополнительные сведения

После того как служба RMS будет настроена и запущена в работу, станут очевидны многие новые факты, выходящие за рамки данной статьи. Это агенты восстановления, отзыв (аннулирование) доступа пользователей, приложения, публикация и использование лицензий, расширенные возможности протоколирования RMS. Система RMS является удивительно гибкой, инструментарий разработчика RMS SDK можно использовать для создания собственных приложений RMS и Web-служб и порталов RMS. Более подробная информация представлена на сайте Microsoft в разделе, посвященном службе управления правами Microsoft Windows Rights Management Services (http://www.microsoft.com/rm). Дополнительные сведения о XrML можно найти на http://www.xrml.org

Джон Хоуи - Менеджер центра Microsoft Security Center of Excellence. Имеет сертификаты CISSP, CISM и CISA. jhowie@microsoft.com


Создание кластеров и иерархических структур RMS

В крупных корпорациях, где множество пользователей одновременно могут обращаться к службе RMS, можно построить надежные кластерные системы для масштабирования и обеспечения бесперебойной работы. Кластеры RMS применяются для равномерного распределения нагрузки и повышения качества предоставления услуг. Чтобы компании-партнеры могли использовать конфиденциальную информацию через корпоративную сеть, можно создать иерархию присоединенных серверов RMS — таким образом, с одной стороны, услуги могут распространяться за границы защищенной сети, с другой — обеспечивается защита главных серверов сертификации RMS.

Кластеризация. Кластер серверов RMS состоит из нескольких серверов RMS, которые используют общий сервер базы данных и подключаются к базам данных, организованным процедурой установки RMS при создании первого узла. При этом кластеры также используют общий IP-адрес. Для равномерного распределения нагрузки между узлами кластера RMS можно воспользоваться компонентом Network Load Balancing (NLB) или подключить аппаратное устройство управления трафиком (например, BIG-IP компании F5 Networks). Необходимо также убедиться, что указанное полностью определенное имя домена FQDN (Fully Qualified Domain Name) для кластера корпоративной сети или адрес URL в Internet разрешается в общий адрес IP.

Создание или наращивание кластера после создания первого узла не представляет сложности. Во время установки подчиненных серверов SMS следует выбрать режим Add this server to a cluster («Добавить данный сервер в существующий кластер») вместо Provision RMS on this Web site («Предоставить услуги RMS для данного сайта»). Необходимо указать учетные данные служебной учетной записи RMS, имя сервера базы данных и конфигурационной базы данных и пароль для защиты секретного ключа, соответствующего сертификату лицензедателя RMS, — этот процесс описан в основной статье. При указании имени базы данных используется формат записи DRMS_Config_ IntranetURL_PortNumber, где IntranetURL указывает имя FQDN, введенное для кластера RMS во время установки первого узла, а PortNumber принимает значение 80 для протокола HTTP или 443 в случае использования защищенного протокола HTTPS.

Иерархии. Построение иерархии серверов RMS (или кластеров) требует выполнения подчиненной регистрации новых серверов на корневом сервере сертификации RMS. Подчиненная регистрация позволяет установить выделенные серверы лицензирования RMS, которые служат только для выдачи лицензий авторам контента и использования лицензий потребителями контента. Подчиненные серверы лицензирования должны использовать сервер базы данных, который они смогут задействовать для настройки и хранения журналов.

Для регистрации починенного сервера лицензирования при установке RMS следует выбрать режим Provision RMS on this Web site. Обратите внимание, что в AD необходимо иметь опубликованный объект serviceConnectionPoint. Это позволяет программе установки находить сервер сертификации и направлять запросы на страницу регистрации подчиненного сервера. Здесь надо будет указать местоположение базы данных, регистрационные данные используемой служебной учетной записи, адрес URL кластера и пароль для защиты секретного ключа сертификата лицензедателя подчиненного сервера RMS. Если объект serviceConnectionPoint для сервера сертификации RMS до сих пор не был опубликован в AD, он может быть создан с помощью редактора реестра, подробнее об этом рассказано в руководстве RMS Server Deployment Guide. Из соображений безопасности следует использовать уникальные учетные записи службы RMS, базы данных и пароли для каждого подчиненного сервера RMS. Необходимо также обеспечить для каждого сервера уникальные адреса URL. Точно так же, как создаются кластеры серверов сертификации, можно создавать кластеры серверов лицензирования. При этом необходимо иметь в виду, что, для того чтобы приложения RMS могли воспользоваться преимуществами кластеризации или подчиненными серверами, на компьютерах клиентов следует внести соответствующие изменения, дабы лицензии публикации указывали на нужный сервер.

RMS позволяет создавать однонаправленные доверительные отношения между узлами в иерархии, таким образом пользователи в иерархически связанных сетях могут обмениваться правами доступа к защищенному контенту. Установление доверительных отношений не требует настройки доверительных отношений между лесами AD и затрагивает исключительно службу RMS. При этом RMS поддерживает два типа доверительных отношений — пользовательские доверительные отношения (user trusts) и доверительные отношения публикации (publishing trusts).

При организации пользовательских доверительных отношений пользователи в связанных иерархических системах могут обмениваться защищенным контентом с получателями в других системах. Для установки пользовательских доверительных отношений необходимо вызвать страницу управления RMS Administration и перейти на страницу Trust policies («Политики доверительных отношений»). Нажмите Export для сохранения копии сертификата лицензедателя RMS. Этот сертификат можно затем передать администратору системы RMS, с которой предстоит установить доверительные отношения для пользователей своей сети. Таким образом, при обмене защищенным контентом будут передаваться лицензии, содержащие внешний адрес URL сервера сертификации RMS или зарегистрированного подчиненного сервера лицензирования, который будет выдавать лицензии для просмотра контента. Если планируется предоставить доступ к своему защищенному контенту пользователям другой иерархии RMS, требуется импортировать сертификат лицензедателя той иерархии RMS и настроить внешний адрес URL для каждого сервера или кластера, которые будут выдавать лицензии пользователям других иерархий. Для выполнения этих настроек нужно перейти со страницы Administration (Управление) по ссылке Extranet cluster URL settings («Настройка адреса URL внешнего кластера»). Затем следует ввести полностью определенное имя домена FQDN сервера RMS, которое может быть разрешено для внешних пользователей, и нажать Submit.

Доверительные отношения публикации организованы более сложным образом. Этот вид доверительных отношений позволяет серверу RMS выпускать лицензии на использование контента от имени другого сервера RMS. При этом сертификат лицензедателя сервера, от имени которого будет выдана лицензия, а также его секретный ключ, должен быть импортирован на выдающий сервер. Доверительные отношения публикации проектировались для тех случаев, когда необходимо объединить две иерархии RMS, — например, при слиянии компаний. Сведения о доверительных отношениях публикации, их внедрении и использовании можно найти в руководстве RMS Server Deployment Guide.


Службы регистрации и активации

Служба Microsoft Windows Rights Management Services (RMS) для серверов Windows Server 2003 при регистрации серверов сертификации RMS обращается к Web-службам для регистрации серверов сертификации RMS, при обновлении сертификатов лицензедателя RMS и при обработке запросов на активацию клиентов. Если включить мониторинг сетевых обращений от сервера сертификации RMS, можно обнаружить периодические обращения к сайтам uddi.microsoft.com, uddi.ibm.com и uddi.sap.com, которые являются крупнейшими репозитариями UDDI в Internet. Сервер сертификации RMS использует UDDI для обнаружения служб, которые могут обработать запросы на регистрацию (enrollment) и активацию. На момент написания данной статьи ответы на запросы регистрации направляются на сервер certification.drm.microsoft.com, а запросы на активацию пользователей — на activation.drm.microsoft.com. В будущем Microsoft может добавить дополнительные кластеры серверов для регистрации и активации.