实验7-1安装及配置ADRMS服务.docVIP

实验7-1 安装及配置 AD RMS服务 AD RMS服务 文件安全是网络领域中最重要的课题之一，安全的威胁通常来自Internet和局域网内部两个方面。“日防夜防，家贼难防”。来自企业内部的攻击往往是最致命的，微软公司的RMS（Rights Management Services，权限管理服务）正是在这种环境下应运而生的。它通过数字证书和用户身份验证技术对各种Office 文档的访问权限加以限制，可以有效防止内部用户通过各种途径擅自泄露机密文档内容，从而确保了数据文件访问的安全性。 AD RMS概述 对于RMS，很多用户并不陌生，并且可能已经应用到实际环境中。AD RMS是在RMS基础上进行了一些改进，功能更加强大。通过与Active Directory及其联合身份验证等服务的配合应用，不仅仍然具备原有的针对Offfice文档的各种权限保护，而且新增了通过MMC控制台管理AD RMS的功能，应用更加方便。 ?? 17.1.1? AD RMS的新特性 AD RMS与RMS相比具有如下新特性。 （1）管理界面更加友好：在RMS 1.0中唯一的管理界面就是Web，而AD RMS则改用MMC嵌入式管理单元，操作更加方便。 （2）自动启用服务器授权凭证：在AD RMS中，根群集的服务器授权凭证（Server Licensor Certificate，SLC）可以自动启用，无须手动操作。 （3）与Active Directory联合身份验证服务（AD FS）配合使用：AD FS是Windows Server 2008的一项新功能，可以提供简单且安全的身份验证。AD RMS与AD FS配合使用，可以允许企业之间共同使用一方的AD RMS群集，并且通过AD FS（使用HTTPS协议）识别和验证自己域中的用户账户。 ?? 17.1.2? AD RMS的相关组件 AD RMS仍然基于服务器/客户端的结构，其主要组件包括支持AD RMS的应用程序、AD RMS客户端和AD RMS服务器端三，三者缺一不可。只有支持AD RMS的应用程序才能生成被保护的文档；AD RMS客户端是安装在客户端上，与支持AD RMS的应用程序交互；AD RMS服务器负责为信任实体颁发证书、授权服务器，并为使用AD RMS保护的文档授权。 使用权限账户证书可以将用户账户和具体的一台设备关联起来，即每个不同的账户在同一台计算机上存在唯一的权限证书，或同一账户在不同的计算机上的权限证书也不相同。虽然在不同用户的权限账户证书不同，但是其中所包含的密钥却是相同的。该权限账户证书是由企业中的第1台AD RMS服务器所颁发的，即在任何计算机上的用户的密钥对相同，当用户向AD RMS许可服务器请求许可时需要使用权限账户证书。 权限账户证书的生成过程如下。 （1）当用户第1次使用由AD RMS加密的文档时，需要以域用户的身份向AD RMS证书服务器发送请求来获取权限账户证书。 （2）服务器会在服务器数据库中所存的信息查询，如果该用户已经存在密钥对，则会应用已有的密钥；否则会为该用户生成一个密钥对。 （3）服务器会将该用户的密钥对中的私钥用该证书服务器的私钥进行加密。 （4）服务器将用户密钥对中的公钥和加密后的私钥放到权限账户证书中。 （5）权限账户证书会被AD RMS服务器用私钥进行数字签署，这样就能确定该权限账户证书由AD RMS证书服务器所发放的，并且未被篡改。 （6）AD RMS服务器将权限账户证书发送给用户。 （7）服务器将用户的密钥对存储到AD RMS的数据库中，该权限账户证书就是以后该用户进行申请各种使用许可的证书。 ?? 17.1.3? AD RMS的实现原理 1．服务的发现 服务的发现实际上是RMS客户端发现AD RMS服务器的一个过程，该过程可以通过两种方法来实现，一是通过活动目录中的服务连接点（SCP），找到企业中的证书服务器的位置；二是通过注册表。 找到AD RMS服务可以激活RMS客户端，因为如果要使用该RMS客户端，则必须在第1次使用时到AD RMS服务器激活该RMS客户端，可以从AD RMS服务器上获取权限管理账户证书等信息。 2．文档的在线发布过程 由RMS客户端在线向授权服务器发送请求，发布过程如下。 （1）由密码箱生成对称密钥作为内容密钥。 （2）内容密钥会被授权服务器的公钥加密，目的是通过网络将其发送给授权服务器。然后授权服务器能够用自己的私钥将这个内容解出，而在传送的过程中不会被他人截获后获取内容密钥。 （3）加密的内容密钥和权限被发送给请求发布许可的授权服务器。 （4）授权服务器使用其私钥解开加密的内容密钥。 （5）授权服务器使用其公钥加密内容密钥和使用权限。 （6）加密后的密钥和使用权限被添加到发布许可中。 （7）授权服务器使用私钥签署发布许可。