由于網(wǎng)絡(luò)中安全事件的不斷發(fā)生,企業(yè)內(nèi)部的文件數(shù)據(jù)安全性已經(jīng)成為網(wǎng)絡(luò)安全領(lǐng)域比較受關(guān)注的課題之一。網(wǎng)絡(luò)中安全的威脅通常來自于Internet和局域網(wǎng)絡(luò)內(nèi)部，而來自企業(yè)內(nèi)部的網(wǎng)絡(luò)***往往是最致命的。遭受***的結(jié)果通常會(huì)導(dǎo)致企業(yè)內(nèi)部敏感數(shù)據(jù)的大量泄漏，從而會(huì)對(duì)企業(yè)造成巨大的經(jīng)濟(jì)損失。微軟公司的RMS（Rights?Management?Services，權(quán)限管理服務(wù)）正是在這種環(huán)境下產(chǎn)生的。它通過數(shù)字證書和用戶身份驗(yàn)證技術(shù)對(duì)各種支持?AD?RMS?的應(yīng)用程序文檔訪問權(quán)限加以限制，可以有效防止內(nèi)部用戶通過各種途徑擅自泄露機(jī)密文檔內(nèi)容，從而確保了數(shù)據(jù)文件訪問的安全性。AD?RMS?概述隨著windows?server?2008操作系統(tǒng)在企業(yè)中的不斷普及與應(yīng)用，windows?server?2008系統(tǒng)中的AD?RMS服務(wù)也越來越被廣大IT管理人員所熟悉。Windows?Server?2008?操作系統(tǒng)的?Active?Directory?權(quán)限管理服務(wù)?(AD?RMS)?是一種信息保護(hù)技術(shù)，它與支持?AD?RMS?的應(yīng)用程序協(xié)同工作，以防止在企業(yè)內(nèi)部的數(shù)字信息在未經(jīng)授權(quán)的情況下被非法使用。AD?RMS?適用于需要保護(hù)敏感信息和專有信息（例如財(cái)務(wù)報(bào)表、產(chǎn)品說明、客戶數(shù)據(jù)和機(jī)密電子郵件消息）的組織。AD?RMS?通過永久使用策略（也稱為使用權(quán)限和條件）提供對(duì)信息的保護(hù)，從而增強(qiáng)組織的安全策略，無論信息移到何處，永久使用策略都保持與信息在一起。AD?RMS?永久保護(hù)任何二進(jìn)制格式的數(shù)據(jù)，因此使用權(quán)限保持與信息在一起，而不是權(quán)限僅駐留在組織網(wǎng)絡(luò)中。這樣也使得使用權(quán)限在信息被授權(quán)的接收方訪問后得以強(qiáng)制執(zhí)行。???AD?RMS?系統(tǒng)包括基于?Windows?Server?2008的服務(wù)器（運(yùn)行用于處理證書和授權(quán)的?Active?Directory?權(quán)限管理服務(wù)服務(wù)器角色）、數(shù)據(jù)庫服務(wù)器以及?AD?RMS?客戶端。最新版本的?AD?RMS?客戶端作為?Windows?7?和?Windows?Vista操作系統(tǒng)的一部分包括在內(nèi)。AD?RMS?系統(tǒng)的部署為組織提供以下優(yōu)勢(shì)：?保護(hù)敏感信息。?如字處理器、電子郵件客戶端和行業(yè)應(yīng)用程序等應(yīng)用程序可以啟用?AD?RMS，從而幫助保護(hù)敏感信息。用戶可以定義打開、修改、打印、轉(zhuǎn)發(fā)該信息或?qū)υ撔畔?zhí)行其他操作的人員。組織可以創(chuàng)建子自定義的使用策略模板（如?“機(jī)密?-?只讀”），這些模板可直接應(yīng)用于上述信息。?永久性保護(hù)。AD?RMS?可以增強(qiáng)現(xiàn)有的基于外圍的安全解決方案（如防火墻和訪問控制列表?(ACL)），通過在文檔本身內(nèi)部鎖定使用權(quán)限、控制如何使用信息（即使在目標(biāo)收件人打開信息后）來更好地保護(hù)信息。?靈活且可自定義的技術(shù)。?獨(dú)立軟件供應(yīng)商?(ISV)?和開發(fā)人員可以使用啟用了?AD?RMS?的任何應(yīng)用程序或啟用其他服務(wù)器（如在?Windows?或其他操作系統(tǒng)上運(yùn)行的內(nèi)容管理系統(tǒng)或門戶服務(wù)器），與?AD?RMS?結(jié)合使用來幫助保護(hù)敏感信息。啟用?ISV?的目的是為了將信息保護(hù)集成到基于服務(wù)器的解決方案（如文檔和記錄管理、電子郵件網(wǎng)關(guān)和存檔系統(tǒng)、自動(dòng)工作流以及內(nèi)容檢查）中。AD?RMS環(huán)境部署需求

域控制器:AD?RMS?必須安裝在?Active?Directory?域中，其中域控制器正在運(yùn)行帶有?Service?Pack?3?(SP3)?的?Windows?Server?2000、Windows?Server?2003、Windows?Server??2008?或?Windows?Server?2008?R2。使用?AD?RMS?獲取許可證和發(fā)布內(nèi)容的所有用戶和組都必須在?Active?Directory?中配置電子郵件地址。AD?RMS服務(wù)器:AD?RMS客戶端需要證書與許可證才能進(jìn)行文件版權(quán)保護(hù)的工作，以及訪問版權(quán)保護(hù)的文件，而AD?RMS服務(wù)器就是負(fù)責(zé)證書與許可證發(fā)放的主機(jī)。用戶可以根據(jù)企業(yè)自身的需求架設(shè)多臺(tái)AD?RMS服務(wù)器，以便提供故障轉(zhuǎn)移和負(fù)載平衡功能。其中的第一臺(tái)服務(wù)器被稱為AD?RMS根群集服務(wù)器。由于AD?RMS客戶端是通過HTTPS或HTTP與AD?RMS服務(wù)器通信，因此AD?RMS服務(wù)器必須架設(shè)IIS站點(diǎn)。數(shù)據(jù)庫服務(wù)器：AD?RMS?需要使用數(shù)據(jù)庫服務(wù)器和存儲(chǔ)的過程來執(zhí)行操作。該數(shù)據(jù)庫服務(wù)器用來存儲(chǔ)AD?RMS的設(shè)置與策略等信息，企業(yè)可以使用Microsoft?SQL?Server來架設(shè)數(shù)據(jù)庫服務(wù)器。也可以使用AD?RMS服務(wù)器的內(nèi)置數(shù)據(jù)庫，不過需要注意如果使用AD?RMS服務(wù)器的內(nèi)置數(shù)據(jù)庫則只能架設(shè)一臺(tái)AD?RMS服務(wù)器。?AD?RMS客戶端?：Active?Directory?權(quán)限管理服務(wù)?(AD?RMS)?客戶端隨?Windows?Vista、Windows?7、Windows?Server?2008?和?Windows?Server?2008?R2?操作系統(tǒng)一起提供。如果您使用?Windows?XP、Windows?2000?或?Windows?Server?2003?作為客戶端操作系統(tǒng)，則可以從?Microsoft?下載中心下載?AD?RMS?客戶端的兼容版本。AD?RMS?客戶端可以與?Windows?Server?2008?或?Windows?Server?2008?R2?中包含的?AD?RMS?服務(wù)器角色或者與?Windows?Server?2003?上運(yùn)行的以前版本的?RMS?一起使用。AD?RMS?客戶端會(huì)創(chuàng)建計(jì)算機(jī)證書，用于標(biāo)識(shí)存儲(chǔ)當(dāng)前用戶的密鑰對(duì)的密碼箱。您可以通過在計(jì)算機(jī)上查找?msdrm.dll?文件，來驗(yàn)證該計(jì)算機(jī)上是否存在?AD?RMS?客戶端。該文件在?Windows?Vista、Windows?7、Windows?Server?2008?和?Windows?Server?2008?R2?中由?Windows?資源保護(hù)來保護(hù)，除非通過正式的?Microsoft?更新進(jìn)行修改,否則無法修改。?應(yīng)用程序可以使用?AD?RMS?客戶端將權(quán)限管理功能合并到它們的應(yīng)用中。例如，Microsoft?Office?2003、Microsoft?Office?2007?和?Windows?Mobile?6?使用?AD?RMS?客戶端來支持信息權(quán)限管理功能，該功能為文檔、電子郵件、電子表格和幻燈片演示文檔提供權(quán)限管理。

AD?RMS的工作過程

步驟一：當(dāng)文件所有者第一次執(zhí)行文件的保護(hù)工作時(shí)，文件所有者會(huì)從AD?RMS服務(wù)器獲取一個(gè)稱為Client?Licensor?Certificate?（CLC）的證書。擁有該證書今后便可以執(zhí)行文件的保護(hù)工作。文件所有者只在第一次執(zhí)行文件保護(hù)工作時(shí)，才需要從AD?RMS服務(wù)器獲取CLC證書，今后即使該用戶處于離線狀態(tài)，仍然可以使用該證書進(jìn)行文件保護(hù)工作。步驟二：文件所有者使用Office?2007等AD?RMS應(yīng)用程序創(chuàng)建文件，并執(zhí)行文件保護(hù)的操作，也就是根據(jù)需要設(shè)置此文件的使用策略，而這時(shí)會(huì)創(chuàng)建一個(gè)所謂的發(fā)布許可證(Publish?License)，其內(nèi)包含了此文件的使用策略。步驟三：Office?2007等AD?RMS應(yīng)用程序使用對(duì)稱密鑰將此文件加密，這個(gè)密鑰會(huì)被加入到發(fā)布許可證（Publish?License）中，再將發(fā)布許可證（Publish?License）連接到此文件。系統(tǒng)會(huì)利用AD?RMS服務(wù)器的公開密鑰將對(duì)稱密鑰和版權(quán)信息加密，此時(shí)只有ADRMS服務(wù)器可以使用自己的私有密鑰將其解密。步驟四：文件所有者將受保護(hù)的文件存儲(chǔ)到可供訪問的的位置，或直接將它發(fā)送給文件接收者。步驟五：文件接收者使用相應(yīng)的Office?2007等AD?RMS應(yīng)用程序?qū)⑽募蜷_。如果此時(shí)文件接收者所使用的計(jì)算機(jī)內(nèi)沒有權(quán)限賬戶證書（Rights?Account?Certificate，RAC），則它會(huì)從AD?RMS服務(wù)器接收到一個(gè)RAC。步驟六：文件接收者所使用的Office?2007等AD?RMS應(yīng)用程序會(huì)向AD?RMS服務(wù)器發(fā)起索取使用許可證（User?License）的請(qǐng)求。該請(qǐng)求中包含RAC與發(fā)布許可證。步驟七：AD?RMS服務(wù)器接收到客戶端發(fā)送來的“索取使用許可證的請(qǐng)求”后，會(huì)將此請(qǐng)求內(nèi)的權(quán)限與對(duì)稱密鑰解密，然后將使用許可證傳遞給文件接收者，此使用許可證內(nèi)包含文件接收者的權(quán)限與對(duì)稱密鑰；并且會(huì)使用文件接收者的公開密鑰將這些信息?加密。步驟八：文件接收者使用的Office?2007等AD?RMS應(yīng)用程序接收到使用許可證后，利用文件接收者的私有密鑰將使用許可證內(nèi)的對(duì)稱密鑰解密，之后就可以利用對(duì)稱密鑰將受保護(hù)的文件解密。
AD?RMS?證書Active?Directory?權(quán)限管理服務(wù)?(AD?RMS)?的各個(gè)組件具有通過一組證書實(shí)現(xiàn)的受信任連接。強(qiáng)制執(zhí)行這些證書的有效性是?AD?RMS?技術(shù)的核心功能。每項(xiàng)受權(quán)限保護(hù)的內(nèi)容發(fā)布時(shí)都帶有許可證，該許可證表達(dá)該內(nèi)容的使用規(guī)則；該內(nèi)容的每個(gè)使用者都會(huì)收到唯一的許可證，用以閱讀、解釋和強(qiáng)?制執(zhí)行這些使用規(guī)則。在此環(huán)境中，許可證是特定類型的證書。AD?RMS?使用的證書和許可證在層次結(jié)構(gòu)中連接，這樣?AD?RMS?客戶端可以始終遵循從特定證書或許可證到受信任證書、直到受信任密鑰對(duì)的鏈。服務(wù)器許可證書?(SLC):在群集中的第一個(gè)服務(wù)器上安裝和配置?AD?RMS?服務(wù)器角色時(shí)會(huì)創(chuàng)建?SLC。服務(wù)器會(huì)為自己生成唯一的?SLC，該?SLC?建立該服務(wù)器的標(biāo)識(shí)，稱為自注冊(cè)，且有效期為?250?年。這樣可以將受權(quán)限保護(hù)的數(shù)據(jù)存檔較長(zhǎng)時(shí)間。根群集既處理證書（通過發(fā)放?權(quán)限帳戶證書?(RAC)），又處理對(duì)受權(quán)限保護(hù)的內(nèi)容的授權(quán)。添加到根群集的其他服務(wù)器共享一個(gè)?SLC。在復(fù)雜環(huán)境中，可以部署僅授權(quán)群集，這會(huì)生成它們自己的?SLC。SLC?內(nèi)包含服務(wù)器的公鑰。客戶端許可證書?(CLC):CLC?由?AD?RMS?群集為響應(yīng)客戶端應(yīng)用程序的請(qǐng)求而創(chuàng)建。CLC?在客戶端連接到組織的網(wǎng)絡(luò)時(shí)會(huì)發(fā)送到客戶端，并授予用戶在客戶端未連接時(shí)發(fā)布受權(quán)限保護(hù)的內(nèi)容的權(quán)限。CLC?與用戶的?RAC?相關(guān)聯(lián)，因此，如果?RAC?無效或不存在，用戶將無法訪問?AD?RMS?群集。CLC?包含客戶端許可方公鑰以及客戶端許可方私鑰，該私鑰由請(qǐng)求證書的用戶的公鑰加密。它還包含發(fā)放證書的群集的公鑰，該公鑰由發(fā)放證書的群集的私鑰簽名?？蛻?端許可方私鑰用于對(duì)發(fā)布許可證進(jìn)行簽名。計(jì)算機(jī)證書:首次使用支持?AD?RMS?的應(yīng)用程序時(shí)，會(huì)在客戶端計(jì)算機(jī)上創(chuàng)建計(jì)算機(jī)證書。Windows?Vista?和?Windows?7?中的?AD?RMS?客戶端自動(dòng)激活并注冊(cè)根群集，從而在客戶端計(jì)算機(jī)上創(chuàng)建此證書。此證書標(biāo)識(shí)計(jì)算機(jī)或設(shè)備上與登錄用戶的配置文件相關(guān)的密碼箱。計(jì)算機(jī)證書包含已激活計(jì)算機(jī)的公鑰。該計(jì)算機(jī)的密碼箱包含對(duì)應(yīng)的私鑰。權(quán)限帳戶證書?(RAC):RAC?在?AD?RMS?系統(tǒng)中建立了用戶的標(biāo)識(shí)。它由?AD?RMS?根群集創(chuàng)建，并在首次嘗試打開受權(quán)限保護(hù)的內(nèi)容時(shí)提供給用戶。?標(biāo)準(zhǔn)?RAC?在特定計(jì)算機(jī)或設(shè)備環(huán)境中使用帳戶憑據(jù)標(biāo)識(shí)用戶，且具有以天數(shù)表示的有效時(shí)間。標(biāo)準(zhǔn)?RAC?的默認(rèn)有效時(shí)間是?365?天。臨時(shí)?RAC?僅基于帳戶憑據(jù)標(biāo)識(shí)用戶，且具有以分鐘數(shù)表示的有效時(shí)間。臨時(shí)?RAC?的默認(rèn)有效時(shí)間是?15?分鐘。RAC?包含用戶的公鑰，以及用戶的使用已激活計(jì)算機(jī)的公鑰加密的私鑰。發(fā)布許可證:使用權(quán)限保護(hù)保存內(nèi)容時(shí)，客戶端會(huì)創(chuàng)建發(fā)布許可證。它指定可以打開受權(quán)限保護(hù)的內(nèi)容的用戶、用戶可以打開內(nèi)容的條件，以及每個(gè)用戶對(duì)受權(quán)限保護(hù)的內(nèi)容所具有的權(quán)限。發(fā)布許可證包含用于解密內(nèi)容的對(duì)稱內(nèi)容密鑰，該密鑰使用發(fā)放許可證的服務(wù)器的公鑰加密。使用許可證:使用許可證在特定的已驗(yàn)證用戶的環(huán)境中指定應(yīng)用于受權(quán)限保護(hù)的內(nèi)容的權(quán)限。此許可證與?RAC?相關(guān)聯(lián)。如果?RAC?無效或不存在，則無法通過使用許可證打開內(nèi)容。使用許可證包含用于解密內(nèi)容的對(duì)稱內(nèi)容密鑰，該密鑰使用用戶的公鑰加密。

?

轉(zhuǎn)載于:https://blog.51cto.com/yamateh/1285548

總結(jié)

以上是生活随笔為你收集整理的认识AD RMS的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。