由于网络中安全事件的不断发生,企业内部的文件数据安全性已经成为网络安全领域比较受关注的课题之一。网络中安全的威胁通常来自于Internet和局域网络内部,而来自企业内部的网络***往往是最致命的。遭受***的结果通常会导致企业内部敏感数据的大量泄漏,从而会对企业造成巨大的经济损失。微软公司的RMS(Rights Management Services,权限管理服务)正是在这种环境下产生的。它通过数字证书和用户身份验证技术对各种支持 AD RMS 的应用程序文档访问权限加以限制,可以有效防止内部用户通过各种途径擅自泄露机密文档内容,从而确保了数据文件访问的安全性。 AD RMS 概述 随着windows server 2008操作系统在企业中的不断普及与应用,windows server 2008系统中的AD RMS服务也越来越被广大IT管理人员所熟悉。 Windows Server 2008 操作系统的 Active Directory 权限管理服务 (AD RMS) 是一种信息保护技术,它与支持 AD RMS 的应用程序协同工作,以防止在企业内部的数字信息在未经授权的情况下被非法使用。AD RMS 适用于需要保护敏感信息和专有信息(例如财务报表、产品说明、客户数据和机密电子邮件消息)的组织。AD RMS 通过永久使用策略(也称为使用权限和条件)提供对信息的保护,从而增强组织的安全策略,无论信息移到何处,永久使用策略都保持与信息在一起。AD RMS 永久保护任何二进制格式的数据,因此使用权限保持与信息在一起,而不是权限仅驻留在组织网络中。这样也使得使用权限在信息被授权的接收方访问后得以强制执行。 AD RMS 系统包括基于 Windows Server 2008的服务器(运行用于处理证书和授权的 Active Directory 权限管理服务服务器角色)、数据库服务器以及 AD RMS 客户端。最新版本的 AD RMS 客户端作为 Windows 7 和 Windows Vista操作系统的一部分包括在内。AD RMS 系统的部署为组织提供以下优势: •保护敏感信息。 如字处理器、电子邮件客户端和行业应用程序等应用程序可以启用 AD RMS,从而帮助保护敏感信息。用户可以定义打开、修改、打印、转发该信息或对该信息执行其他操作的人员。组织可以创建子自定义的使用策略模板(如 “机密 - 只读”),这些模板可直接应用于上述信息。 •永久性保护。AD RMS 可以增强现有的基于外围的安全解决方案(如防火墙和访问控制列表 (ACL)),通过在文档本身内部锁定使用权限、控制如何使用信息(即使在目标收件人打开信息后)来更好地保护信息。 •灵活且可自定义的技术。 独立软件供应商 (ISV) 和开发人员可以使用启用了 AD RMS 的任何应用程序或启用其他服务器(如在 Windows 或其他操作系统上运行的内容管理系统或门户服务器),与 AD RMS 结合使用来帮助保护敏感信息。启用 ISV 的目的是为了将信息保护集成到基于服务器的解决方案(如文档和记录管理、电子邮件网关和存档系统、自动工作流以及内容检查)中。 AD RMS环境部署需求admin管理员组文章数量:1568418
域控制器: AD RMS 必须安装在 Active Directory 域中,其中域控制器正在运行带有 Service Pack 3 (SP3) 的 Windows Server 2000、Windows Server 2003、Windows Server® 2008 或 Windows Server 2008 R2。使用 AD RMS 获取许可证和发布内容的所有用户和组都必须在 Active Directory 中配置电子邮件地址。AD RMS服务器: AD RMS客户端需要证书与许可证才能进行文件版权保护的工作,以及访问版权保护的文件,而AD RMS服务器就是负责证书与许可证发放的主机。用户可以根据企业自身的需求架设多台AD RMS服务器,以便提供故障转移和负载平衡功能。其中的第一台服务器被称为AD RMS根群集服务器。 由于AD RMS客户端是通过HTTPS或HTTP与AD RMS服务器通信,因此AD RMS服务器必须架设IIS站点。 数据库服务器: AD RMS 需要使用数据库服务器和存储的过程来执行操作。该数据库服务器用来存储AD RMS的设置与策略等信息,企业可以使用Microsoft SQL Server来架设数据库服务器。也可以使用AD RMS服务器的内置数据库,不过需要注意如果使用AD RMS服务器的内置数据库则只能架设一台AD RMS服务器。 AD RMS客户端 : Active Directory 权限管理服务 (AD RMS) 客户端随 Windows Vista、Windows 7、Windows Server 2008 和 Windows Server 2008 R2 操作系统一起提供。如果您使用 Windows XP、Windows 2000 或 Windows Server 2003 作为客户端操作系统,则可以从 Microsoft 下载中心下载 AD RMS 客户端的兼容版本。 AD RMS 客户端可以与 Windows Server 2008 或 Windows Server 2008 R2 中包含的 AD RMS 服务器角色或者与 Windows Server 2003 上运行的以前版本的 RMS 一起使用。 AD RMS 客户端会创建计算机证书,用于标识存储当前用户的密钥对的密码箱。您可以通过在计算机上查找 msdrm.dll 文件,来验证该计算机上是否存在 AD RMS 客户端。该文件在 Windows Vista、Windows 7、Windows Server 2008 和 Windows Server 2008 R2 中由 Windows 资源保护来保护,除非通过正式的 Microsoft 更新进行修改,否则无法修改。 应用程序可以使用 AD RMS 客户端将权限管理功能合并到它们的应用中。例如,Microsoft Office 2003、Microsoft Office 2007 和 Windows Mobile 6 使用 AD RMS 客户端来支持信息权限管理功能,该功能为文档、电子邮件、电子表格和幻灯片演示文档提供权限管理。
AD RMS的工作过程
步骤一:当文件所有者第一次执行文件的保护工作时,文件所有者会从AD RMS服务器获取一个称为Client Licensor Certificate (CLC)的证书。拥有该证书今后便可以执行文件的保护工作。文件所有者只在第一次执行文件保护工作时,才需要从AD RMS服务器获取CLC证书,今后即使该用户处于离线状态,仍然可以使用该证书进行文件保护工作。 步骤二:文件所有者使用Office 2007等AD RMS应用程序创建文件,并执行文件保护的操作,也就是根据需要设置此文件的使用策略,而这时会创建一个所谓的发布许可证(Publish License),其内包含了此文件的使用策略。 步骤三:Office 2007等AD RMS应用程序使用对称密钥将此文件加密,这个密钥会被加入到发布许可证(Publish License)中,再将发布许可证(Publish License)连接到此文件。系统会利用AD RMS服务器的公开密钥将对称密钥和版权信息加密,此时只有ADRMS服务器可以使用自己的私有密钥将其解密。 步骤四:文件所有者将受保护的文件存储到可供访问的的位置,或直接将它发送给文件接收者。 步骤五:文件接收者使用相应的Office 2007等AD RMS应用程序将文件打开。如果此时文件接收者所使用的计算机内没有权限账户证书(Rights Account Certificate,RAC),则它会从AD RMS服务器接收到一个RAC。 步骤六:文件接收者所使用的Office 2007等AD RMS应用程序会向AD RMS服务器发起索取使用许可证(User License)的请求。该请求中包含RAC与发布许可证。 步骤七:AD RMS服务器接收到客户端发送来的“索取使用许可证的请求”后,会将此请求内的权限与对称密钥解密,然后将使用许可证传递给文件接收者,此使用许可证内包含文件接收者的权限与对称密钥;并且会使用文件接收者的公开密钥将这些信息 加密。 步骤八:文件接收者使用的Office 2007等AD RMS应用程序接收到使用许可证后,利用文件接收者的私有密钥将使用许可证内的对称密钥解密,之后就可以利用对称密钥将受保护的文件解密。
AD RMS 证书 Active Directory 权限管理服务 (AD RMS) 的各个组件具有通过一组证书实现的受信任连接。强制执行这些证书的有效性是 AD RMS 技术的核心功能。每项受权限保护的内容发布时都带有许可证,该许可证表达该内容的使用规则;该内容的每个使用者都会收到唯一的许可证,用以阅读、解释和强 制执行这些使用规则。在此环境中,许可证是特定类型的证书。 AD RMS 使用的证书和许可证在层次结构中连接,这样 AD RMS 客户端可以始终遵循从特定证书或许可证到受信任证书、直到受信任密钥对的链。 服务器许可证书 (SLC): 在群集中的第一个服务器上安装和配置 AD RMS 服务器角色时会创建 SLC。服务器会为自己生成唯一的 SLC,该 SLC 建立该服务器的标识,称为自注册,且有效期为 250 年。这样可以将受权限保护的数据存档较长时间。根群集既处理证书(通过发放 权限帐户证书 (RAC)),又处理对受权限保护的内容的授权。添加到根群集的其他服务器共享一个 SLC。在复杂环境中,可以部署仅授权群集,这会生成它们自己的 SLC。SLC 内包含服务器的公钥。 客户端许可证书 (CLC): CLC 由 AD RMS 群集为响应客户端应用程序的请求而创建。CLC 在客户端连接到组织的网络时会发送到客户端,并授予用户在客户端未连接时发布受权限保护的内容的权限。CLC 与用户的 RAC 相关联,因此,如果 RAC 无效或不存在,用户将无法访问 AD RMS 群集。CLC 包含客户端许可方公钥以及客户端许可方私钥,该私钥由请求证书的用户的公钥加密。它还包含发放证书的群集的公钥,该公钥由发放证书的群集的私钥签名。客户 端许可方私钥用于对发布许可证进行签名。 计算机证书: 首次使用支持 AD RMS 的应用程序时,会在客户端计算机上创建计算机证书。Windows Vista 和 Windows 7 中的 AD RMS 客户端自动激活并注册根群集,从而在客户端计算机上创建此证书。此证书标识计算机或设备上与登录用户的配置文件相关的密码箱。计算机证书包含已激活计算机的公钥。该计算机的密码箱包含对应的私钥。 权限帐户证书 (RAC): RAC 在 AD RMS 系统中建立了用户的标识。它由 AD RMS 根群集创建,并在首次尝试打开受权限保护的内容时提供给用户。 标准 RAC 在特定计算机或设备环境中使用帐户凭据标识用户,且具有以天数表示的有效时间。标准 RAC 的默认有效时间是 365 天。 临时 RAC 仅基于帐户凭据标识用户,且具有以分钟数表示的有效时间。临时 RAC 的默认有效时间是 15 分钟。 RAC 包含用户的公钥,以及用户的使用已激活计算机的公钥加密的私钥。 发布许可证: 使用权限保护保存内容时,客户端会创建发布许可证。它指定可以打开受权限保护的内容的用户、用户可以打开内容的条件,以及每个用户对受权限保护的内容所具有的权限。发布许可证包含用于解密内容的对称内容密钥,该密钥使用发放许可证的服务器的公钥加密。 使用许可证: 使用许可证在特定的已验证用户的环境中指定应用于受权限保护的内容的权限。此许可证与 RAC 相关联。如果 RAC 无效或不存在,则无法通过使用许可证打开内容。使用许可证包含用于解密内容的对称内容密钥,该密钥使用用户的公钥加密。
转载于:https://blog.51cto/yamateh/1285548
版权声明:本文标题:认识AD RMS 内容由热心网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:https://m.elefans.com/dongtai/1727610752a1122818.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。
发表评论