ADRMS权限文档概述教案.docxVIP

微软AD RMS文档加密系统功能概述作者：陈鹏日期：2016年5月26日Active Directory 权限管理服务应用由于网络中安全事件的不断发生,企业内部的文件数据安全性已经成为网络安全领域比较受关注的课题之一。网络中安全的威胁通常来自于Internet和局域 网络内部，而来自企业内部的网络攻击往往是最致命的。遭受攻击的结果通常会导致企业内部敏感数据的大量泄漏，从而会对企业造成巨大的经济损失。微软公司的 RMS（Rights Management Services，权限管理服务）正是在这种环境下产生的。它通过数字证书和用户身份验证技术对各种支持 AD RMS 的应用程序文档访问权限加以限制，可以有效防止内部用户通过各种途径擅自泄露机密文档内容，从而确保了数据文件访问的安全性。AD RMS 概述随着Windows Server 2008操作系统在企业中的不断普及与应用，Windows Server 2008系统中的AD RMS服务也越来越被广大IT管理人员所熟悉。Windows Server 2008 操作系统的 Active Directory 权限管理服务 (AD RMS) 是一种信息保护技术，它与支持 AD RMS 的应用程序协同工作，以防止在企业内部的数字信息在未经授权的情况下被非法使用。AD RMS 适用于需要保护敏感信息和专有信息（例如财务报表、产品说明、客户数据和机密电子邮件消息）的组织。AD RMS 通过永久使用策略（也称为使用权限和条件）提供对信息的保护，从而增强组织的安全策略，无论信息移到何处，永久使用策略都保持与信息在一起。AD RMS 永久保护任何二进制格式的数据，因此使用权限保持与信息在一起，而不是权限仅驻留在组织网络中。这样也使得使用权限在信息被授权的接收方访问后得以强制执 行。?? AD RMS 系统包括基于 Windows Server 2008的服务器（运行用于处理证书和授权的 Active Directory 权限管理服务服务器角色）、数据库服务器以及 AD RMS 客户端。最新版本的 AD RMS 客户端作为 Windows 7 和 Windows Vista操作系统的一部分包括在内。AD RMS 系统的部署为组织提供以下优势：保护敏感信息。 如字处理器、电子邮件客户端和行业应用程序等应用程序可以启用 AD RMS，从而帮助保护敏感信息。用户可以定义打开、修改、打印、转发该信息或对该信息执行其他操作的人员。组织可以创建子自定义的使用策略模板（如 “机密 - 只读”），这些模板可直接应用于上述信息。永久性保护。AD RMS 可以增强现有的基于外围的安全解决方案（如防火墙和访问控制列表 (ACL)），通过在文档本身内部锁定使用权限、控制如何使用信息（即使在目标收件人打开信息后）来更好地保护信息。灵活且可自定义的技术。 独立软件供应商 (ISV) 和开发人员可以使用启用了 AD RMS 的任何应用程序或启用其他服务器（如在 Windows 或其他操作系统上运行的内容管理系统或门户服务器），与 AD RMS 结合使用来帮助保护敏感信息。启用 ISV 的目的是为了将信息保护集成到基于服务器的解决方案（如文档和记录管理、电子邮件网关和存档系统、自动工作流以及内容检查）中。AD RMS环境部署需求????????????图示域控制器:AD RMS 必须安装在 Active Directory 域中，其中域控制器正在运行带有 Service Pack 3 (SP3) 的 Windows Server 2000、Windows Server 2003、Windows Server? 2008 或 Windows Server 2008 R2。使用 AD RMS 获取许可证和发布内容的所有用户和组都必须在 Active Directory 中配置电子邮件地址。AD RMS服务器:AD RMS客户端需要证书与许可证才能进行文件版权保护的工作，以及访问版权保护的文件，而AD RMS服务器就是负责证书与许可证发放的主机。用户可以根据企业自身的需求架设多台AD RMS服务器，以便提供故障转移和负载平衡功能。其中的第一台服务器被称为AD RMS根群集服务器。??? 由于AD RMS客户端是通过HTTPS或HTTP与AD RMS服务器通信，因此AD RMS服务器必须架设IIS站点。数据库服务器：AD RMS 需要使用数据库服务器和存储的过程来执行操作。该数据库服务器用来存储AD RMS的设置与策略等信息，企业可以使用Microsoft SQL Server来架设数据库服务器。也可以使用AD RMS服务器的内置数据库，不过需要注意如果使用AD RMS服务器的内置数据库则只能架设一台AD RMS服务器。 AD RMS客户