认识AD RMS
由于網絡中安全事件的不斷發生,企業內部的文件數據安全性已經成為網絡安全領域比較受關注的課題之一。網絡中安全的威脅通常來自于Internet和局域網絡內部,而來自企業內部的網絡***往往是最致命的。遭受***的結果通常會導致企業內部敏感數據的大量泄漏,從而會對企業造成巨大的經濟損失。微軟公司的RMS(Rights?Management?Services,權限管理服務)正是在這種環境下產生的。它通過數字證書和用戶身份驗證技術對各種支持?AD?RMS?的應用程序文檔訪問權限加以限制,可以有效防止內部用戶通過各種途徑擅自泄露機密文檔內容,從而確保了數據文件訪問的安全性。AD?RMS?概述隨著windows?server?2008操作系統在企業中的不斷普及與應用,windows?server?2008系統中的AD?RMS服務也越來越被廣大IT管理人員所熟悉。Windows?Server?2008?操作系統的?Active?Directory?權限管理服務?(AD?RMS)?是一種信息保護技術,它與支持?AD?RMS?的應用程序協同工作,以防止在企業內部的數字信息在未經授權的情況下被非法使用。AD?RMS?適用于需要保護敏感信息和專有信息(例如財務報表、產品說明、客戶數據和機密電子郵件消息)的組織。AD?RMS?通過永久使用策略(也稱為使用權限和條件)提供對信息的保護,從而增強組織的安全策略,無論信息移到何處,永久使用策略都保持與信息在一起。AD?RMS?永久保護任何二進制格式的數據,因此使用權限保持與信息在一起,而不是權限僅駐留在組織網絡中。這樣也使得使用權限在信息被授權的接收方訪問后得以強制執行。???AD?RMS?系統包括基于?Windows?Server?2008的服務器(運行用于處理證書和授權的?Active?Directory?權限管理服務服務器角色)、數據庫服務器以及?AD?RMS?客戶端。最新版本的?AD?RMS?客戶端作為?Windows?7?和?Windows?Vista操作系統的一部分包括在內。AD?RMS?系統的部署為組織提供以下優勢:?保護敏感信息。?如字處理器、電子郵件客戶端和行業應用程序等應用程序可以啟用?AD?RMS,從而幫助保護敏感信息。用戶可以定義打開、修改、打印、轉發該信息或對該信息執行其他操作的人員。組織可以創建子自定義的使用策略模板(如?“機密?-?只讀”),這些模板可直接應用于上述信息。?永久性保護。AD?RMS?可以增強現有的基于外圍的安全解決方案(如防火墻和訪問控制列表?(ACL)),通過在文檔本身內部鎖定使用權限、控制如何使用信息(即使在目標收件人打開信息后)來更好地保護信息。?靈活且可自定義的技術。?獨立軟件供應商?(ISV)?和開發人員可以使用啟用了?AD?RMS?的任何應用程序或啟用其他服務器(如在?Windows?或其他操作系統上運行的內容管理系統或門戶服務器),與?AD?RMS?結合使用來幫助保護敏感信息。啟用?ISV?的目的是為了將信息保護集成到基于服務器的解決方案(如文檔和記錄管理、電子郵件網關和存檔系統、自動工作流以及內容檢查)中。AD?RMS環境部署需求
域控制器:AD?RMS?必須安裝在?Active?Directory?域中,其中域控制器正在運行帶有?Service?Pack?3?(SP3)?的?Windows?Server?2000、Windows?Server?2003、Windows?Server??2008?或?Windows?Server?2008?R2。使用?AD?RMS?獲取許可證和發布內容的所有用戶和組都必須在?Active?Directory?中配置電子郵件地址。AD?RMS服務器:AD?RMS客戶端需要證書與許可證才能進行文件版權保護的工作,以及訪問版權保護的文件,而AD?RMS服務器就是負責證書與許可證發放的主機。用戶可以根據企業自身的需求架設多臺AD?RMS服務器,以便提供故障轉移和負載平衡功能。其中的第一臺服務器被稱為AD?RMS根群集服務器。由于AD?RMS客戶端是通過HTTPS或HTTP與AD?RMS服務器通信,因此AD?RMS服務器必須架設IIS站點。數據庫服務器:AD?RMS?需要使用數據庫服務器和存儲的過程來執行操作。該數據庫服務器用來存儲AD?RMS的設置與策略等信息,企業可以使用Microsoft?SQL?Server來架設數據庫服務器。也可以使用AD?RMS服務器的內置數據庫,不過需要注意如果使用AD?RMS服務器的內置數據庫則只能架設一臺AD?RMS服務器。?AD?RMS客戶端?:Active?Directory?權限管理服務?(AD?RMS)?客戶端隨?Windows?Vista、Windows?7、Windows?Server?2008?和?Windows?Server?2008?R2?操作系統一起提供。如果您使用?Windows?XP、Windows?2000?或?Windows?Server?2003?作為客戶端操作系統,則可以從?Microsoft?下載中心下載?AD?RMS?客戶端的兼容版本。AD?RMS?客戶端可以與?Windows?Server?2008?或?Windows?Server?2008?R2?中包含的?AD?RMS?服務器角色或者與?Windows?Server?2003?上運行的以前版本的?RMS?一起使用。AD?RMS?客戶端會創建計算機證書,用于標識存儲當前用戶的密鑰對的密碼箱。您可以通過在計算機上查找?msdrm.dll?文件,來驗證該計算機上是否存在?AD?RMS?客戶端。該文件在?Windows?Vista、Windows?7、Windows?Server?2008?和?Windows?Server?2008?R2?中由?Windows?資源保護來保護,除非通過正式的?Microsoft?更新進行修改,否則無法修改。?應用程序可以使用?AD?RMS?客戶端將權限管理功能合并到它們的應用中。例如,Microsoft?Office?2003、Microsoft?Office?2007?和?Windows?Mobile?6?使用?AD?RMS?客戶端來支持信息權限管理功能,該功能為文檔、電子郵件、電子表格和幻燈片演示文檔提供權限管理。
AD?RMS的工作過程
步驟一:當文件所有者第一次執行文件的保護工作時,文件所有者會從AD?RMS服務器獲取一個稱為Client?Licensor?Certificate?(CLC)的證書。擁有該證書今后便可以執行文件的保護工作。文件所有者只在第一次執行文件保護工作時,才需要從AD?RMS服務器獲取CLC證書,今后即使該用戶處于離線狀態,仍然可以使用該證書進行文件保護工作。步驟二:文件所有者使用Office?2007等AD?RMS應用程序創建文件,并執行文件保護的操作,也就是根據需要設置此文件的使用策略,而這時會創建一個所謂的發布許可證(Publish?License),其內包含了此文件的使用策略。步驟三:Office?2007等AD?RMS應用程序使用對稱密鑰將此文件加密,這個密鑰會被加入到發布許可證(Publish?License)中,再將發布許可證(Publish?License)連接到此文件。系統會利用AD?RMS服務器的公開密鑰將對稱密鑰和版權信息加密,此時只有ADRMS服務器可以使用自己的私有密鑰將其解密。步驟四:文件所有者將受保護的文件存儲到可供訪問的的位置,或直接將它發送給文件接收者。步驟五:文件接收者使用相應的Office?2007等AD?RMS應用程序將文件打開。如果此時文件接收者所使用的計算機內沒有權限賬戶證書(Rights?Account?Certificate,RAC),則它會從AD?RMS服務器接收到一個RAC。步驟六:文件接收者所使用的Office?2007等AD?RMS應用程序會向AD?RMS服務器發起索取使用許可證(User?License)的請求。該請求中包含RAC與發布許可證。步驟七:AD?RMS服務器接收到客戶端發送來的“索取使用許可證的請求”后,會將此請求內的權限與對稱密鑰解密,然后將使用許可證傳遞給文件接收者,此使用許可證內包含文件接收者的權限與對稱密鑰;并且會使用文件接收者的公開密鑰將這些信息?加密。步驟八:文件接收者使用的Office?2007等AD?RMS應用程序接收到使用許可證后,利用文件接收者的私有密鑰將使用許可證內的對稱密鑰解密,之后就可以利用對稱密鑰將受保護的文件解密。
AD?RMS?證書Active?Directory?權限管理服務?(AD?RMS)?的各個組件具有通過一組證書實現的受信任連接。強制執行這些證書的有效性是?AD?RMS?技術的核心功能。每項受權限保護的內容發布時都帶有許可證,該許可證表達該內容的使用規則;該內容的每個使用者都會收到唯一的許可證,用以閱讀、解釋和強?制執行這些使用規則。在此環境中,許可證是特定類型的證書。AD?RMS?使用的證書和許可證在層次結構中連接,這樣?AD?RMS?客戶端可以始終遵循從特定證書或許可證到受信任證書、直到受信任密鑰對的鏈。服務器許可證書?(SLC):在群集中的第一個服務器上安裝和配置?AD?RMS?服務器角色時會創建?SLC。服務器會為自己生成唯一的?SLC,該?SLC?建立該服務器的標識,稱為自注冊,且有效期為?250?年。這樣可以將受權限保護的數據存檔較長時間。根群集既處理證書(通過發放?權限帳戶證書?(RAC)),又處理對受權限保護的內容的授權。添加到根群集的其他服務器共享一個?SLC。在復雜環境中,可以部署僅授權群集,這會生成它們自己的?SLC。SLC?內包含服務器的公鑰。客戶端許可證書?(CLC):CLC?由?AD?RMS?群集為響應客戶端應用程序的請求而創建。CLC?在客戶端連接到組織的網絡時會發送到客戶端,并授予用戶在客戶端未連接時發布受權限保護的內容的權限。CLC?與用戶的?RAC?相關聯,因此,如果?RAC?無效或不存在,用戶將無法訪問?AD?RMS?群集。CLC?包含客戶端許可方公鑰以及客戶端許可方私鑰,該私鑰由請求證書的用戶的公鑰加密。它還包含發放證書的群集的公鑰,該公鑰由發放證書的群集的私鑰簽名。客戶?端許可方私鑰用于對發布許可證進行簽名。計算機證書:首次使用支持?AD?RMS?的應用程序時,會在客戶端計算機上創建計算機證書。Windows?Vista?和?Windows?7?中的?AD?RMS?客戶端自動激活并注冊根群集,從而在客戶端計算機上創建此證書。此證書標識計算機或設備上與登錄用戶的配置文件相關的密碼箱。計算機證書包含已激活計算機的公鑰。該計算機的密碼箱包含對應的私鑰。權限帳戶證書?(RAC):RAC?在?AD?RMS?系統中建立了用戶的標識。它由?AD?RMS?根群集創建,并在首次嘗試打開受權限保護的內容時提供給用戶。?標準?RAC?在特定計算機或設備環境中使用帳戶憑據標識用戶,且具有以天數表示的有效時間。標準?RAC?的默認有效時間是?365?天。臨時?RAC?僅基于帳戶憑據標識用戶,且具有以分鐘數表示的有效時間。臨時?RAC?的默認有效時間是?15?分鐘。RAC?包含用戶的公鑰,以及用戶的使用已激活計算機的公鑰加密的私鑰。發布許可證:使用權限保護保存內容時,客戶端會創建發布許可證。它指定可以打開受權限保護的內容的用戶、用戶可以打開內容的條件,以及每個用戶對受權限保護的內容所具有的權限。發布許可證包含用于解密內容的對稱內容密鑰,該密鑰使用發放許可證的服務器的公鑰加密。使用許可證:使用許可證在特定的已驗證用戶的環境中指定應用于受權限保護的內容的權限。此許可證與?RAC?相關聯。如果?RAC?無效或不存在,則無法通過使用許可證打開內容。使用許可證包含用于解密內容的對稱內容密鑰,該密鑰使用用戶的公鑰加密。
域控制器:AD?RMS?必須安裝在?Active?Directory?域中,其中域控制器正在運行帶有?Service?Pack?3?(SP3)?的?Windows?Server?2000、Windows?Server?2003、Windows?Server??2008?或?Windows?Server?2008?R2。使用?AD?RMS?獲取許可證和發布內容的所有用戶和組都必須在?Active?Directory?中配置電子郵件地址。AD?RMS服務器:AD?RMS客戶端需要證書與許可證才能進行文件版權保護的工作,以及訪問版權保護的文件,而AD?RMS服務器就是負責證書與許可證發放的主機。用戶可以根據企業自身的需求架設多臺AD?RMS服務器,以便提供故障轉移和負載平衡功能。其中的第一臺服務器被稱為AD?RMS根群集服務器。由于AD?RMS客戶端是通過HTTPS或HTTP與AD?RMS服務器通信,因此AD?RMS服務器必須架設IIS站點。數據庫服務器:AD?RMS?需要使用數據庫服務器和存儲的過程來執行操作。該數據庫服務器用來存儲AD?RMS的設置與策略等信息,企業可以使用Microsoft?SQL?Server來架設數據庫服務器。也可以使用AD?RMS服務器的內置數據庫,不過需要注意如果使用AD?RMS服務器的內置數據庫則只能架設一臺AD?RMS服務器。?AD?RMS客戶端?:Active?Directory?權限管理服務?(AD?RMS)?客戶端隨?Windows?Vista、Windows?7、Windows?Server?2008?和?Windows?Server?2008?R2?操作系統一起提供。如果您使用?Windows?XP、Windows?2000?或?Windows?Server?2003?作為客戶端操作系統,則可以從?Microsoft?下載中心下載?AD?RMS?客戶端的兼容版本。AD?RMS?客戶端可以與?Windows?Server?2008?或?Windows?Server?2008?R2?中包含的?AD?RMS?服務器角色或者與?Windows?Server?2003?上運行的以前版本的?RMS?一起使用。AD?RMS?客戶端會創建計算機證書,用于標識存儲當前用戶的密鑰對的密碼箱。您可以通過在計算機上查找?msdrm.dll?文件,來驗證該計算機上是否存在?AD?RMS?客戶端。該文件在?Windows?Vista、Windows?7、Windows?Server?2008?和?Windows?Server?2008?R2?中由?Windows?資源保護來保護,除非通過正式的?Microsoft?更新進行修改,否則無法修改。?應用程序可以使用?AD?RMS?客戶端將權限管理功能合并到它們的應用中。例如,Microsoft?Office?2003、Microsoft?Office?2007?和?Windows?Mobile?6?使用?AD?RMS?客戶端來支持信息權限管理功能,該功能為文檔、電子郵件、電子表格和幻燈片演示文檔提供權限管理。
AD?RMS的工作過程
步驟一:當文件所有者第一次執行文件的保護工作時,文件所有者會從AD?RMS服務器獲取一個稱為Client?Licensor?Certificate?(CLC)的證書。擁有該證書今后便可以執行文件的保護工作。文件所有者只在第一次執行文件保護工作時,才需要從AD?RMS服務器獲取CLC證書,今后即使該用戶處于離線狀態,仍然可以使用該證書進行文件保護工作。步驟二:文件所有者使用Office?2007等AD?RMS應用程序創建文件,并執行文件保護的操作,也就是根據需要設置此文件的使用策略,而這時會創建一個所謂的發布許可證(Publish?License),其內包含了此文件的使用策略。步驟三:Office?2007等AD?RMS應用程序使用對稱密鑰將此文件加密,這個密鑰會被加入到發布許可證(Publish?License)中,再將發布許可證(Publish?License)連接到此文件。系統會利用AD?RMS服務器的公開密鑰將對稱密鑰和版權信息加密,此時只有ADRMS服務器可以使用自己的私有密鑰將其解密。步驟四:文件所有者將受保護的文件存儲到可供訪問的的位置,或直接將它發送給文件接收者。步驟五:文件接收者使用相應的Office?2007等AD?RMS應用程序將文件打開。如果此時文件接收者所使用的計算機內沒有權限賬戶證書(Rights?Account?Certificate,RAC),則它會從AD?RMS服務器接收到一個RAC。步驟六:文件接收者所使用的Office?2007等AD?RMS應用程序會向AD?RMS服務器發起索取使用許可證(User?License)的請求。該請求中包含RAC與發布許可證。步驟七:AD?RMS服務器接收到客戶端發送來的“索取使用許可證的請求”后,會將此請求內的權限與對稱密鑰解密,然后將使用許可證傳遞給文件接收者,此使用許可證內包含文件接收者的權限與對稱密鑰;并且會使用文件接收者的公開密鑰將這些信息?加密。步驟八:文件接收者使用的Office?2007等AD?RMS應用程序接收到使用許可證后,利用文件接收者的私有密鑰將使用許可證內的對稱密鑰解密,之后就可以利用對稱密鑰將受保護的文件解密。
AD?RMS?證書Active?Directory?權限管理服務?(AD?RMS)?的各個組件具有通過一組證書實現的受信任連接。強制執行這些證書的有效性是?AD?RMS?技術的核心功能。每項受權限保護的內容發布時都帶有許可證,該許可證表達該內容的使用規則;該內容的每個使用者都會收到唯一的許可證,用以閱讀、解釋和強?制執行這些使用規則。在此環境中,許可證是特定類型的證書。AD?RMS?使用的證書和許可證在層次結構中連接,這樣?AD?RMS?客戶端可以始終遵循從特定證書或許可證到受信任證書、直到受信任密鑰對的鏈。服務器許可證書?(SLC):在群集中的第一個服務器上安裝和配置?AD?RMS?服務器角色時會創建?SLC。服務器會為自己生成唯一的?SLC,該?SLC?建立該服務器的標識,稱為自注冊,且有效期為?250?年。這樣可以將受權限保護的數據存檔較長時間。根群集既處理證書(通過發放?權限帳戶證書?(RAC)),又處理對受權限保護的內容的授權。添加到根群集的其他服務器共享一個?SLC。在復雜環境中,可以部署僅授權群集,這會生成它們自己的?SLC。SLC?內包含服務器的公鑰。客戶端許可證書?(CLC):CLC?由?AD?RMS?群集為響應客戶端應用程序的請求而創建。CLC?在客戶端連接到組織的網絡時會發送到客戶端,并授予用戶在客戶端未連接時發布受權限保護的內容的權限。CLC?與用戶的?RAC?相關聯,因此,如果?RAC?無效或不存在,用戶將無法訪問?AD?RMS?群集。CLC?包含客戶端許可方公鑰以及客戶端許可方私鑰,該私鑰由請求證書的用戶的公鑰加密。它還包含發放證書的群集的公鑰,該公鑰由發放證書的群集的私鑰簽名。客戶?端許可方私鑰用于對發布許可證進行簽名。計算機證書:首次使用支持?AD?RMS?的應用程序時,會在客戶端計算機上創建計算機證書。Windows?Vista?和?Windows?7?中的?AD?RMS?客戶端自動激活并注冊根群集,從而在客戶端計算機上創建此證書。此證書標識計算機或設備上與登錄用戶的配置文件相關的密碼箱。計算機證書包含已激活計算機的公鑰。該計算機的密碼箱包含對應的私鑰。權限帳戶證書?(RAC):RAC?在?AD?RMS?系統中建立了用戶的標識。它由?AD?RMS?根群集創建,并在首次嘗試打開受權限保護的內容時提供給用戶。?標準?RAC?在特定計算機或設備環境中使用帳戶憑據標識用戶,且具有以天數表示的有效時間。標準?RAC?的默認有效時間是?365?天。臨時?RAC?僅基于帳戶憑據標識用戶,且具有以分鐘數表示的有效時間。臨時?RAC?的默認有效時間是?15?分鐘。RAC?包含用戶的公鑰,以及用戶的使用已激活計算機的公鑰加密的私鑰。發布許可證:使用權限保護保存內容時,客戶端會創建發布許可證。它指定可以打開受權限保護的內容的用戶、用戶可以打開內容的條件,以及每個用戶對受權限保護的內容所具有的權限。發布許可證包含用于解密內容的對稱內容密鑰,該密鑰使用發放許可證的服務器的公鑰加密。使用許可證:使用許可證在特定的已驗證用戶的環境中指定應用于受權限保護的內容的權限。此許可證與?RAC?相關聯。如果?RAC?無效或不存在,則無法通過使用許可證打開內容。使用許可證包含用于解密內容的對稱內容密鑰,該密鑰使用用戶的公鑰加密。
?
轉載于:https://blog.51cto.com/yamateh/1285548
總結
- 上一篇: 【黑客编程】手把手教你编写POC
- 下一篇: QD-Mini LED实际体验