Microsoft Windows Rights Management Services（权限管理服务，简称 RMS）是一种信息保护技术，它与启用 RMS 的应用程序配合以帮助保护数字信息避免未经授权的使用——不管是联机还是脱机、在防火墙内还是在防火墙外。结合 Windows Server 2003 功能、开发工具和久经考验的安全技术（包括加密、证书和身份验证），RMS 可帮助组织创建可靠的信息保护解决方案。通过持久的使用策略提供始终与信息相随（无论信息到达何处）的信息保护，RMS 扩充了组织的安全战略。

信息权限管理（简称：IRM）是 Microsoft Office 2003 Professional（Office Word 2003、Office Excel 2003、Office PowerPoint 2003 和 Office Outlook 2003）中的一个功能，它使用 RMS 帮助信息工作者保护敏感 Word 文档、电子表格、演示文稿和电子邮件。

企业权限管理或 ERM 是集中于保护业务应用程序（包括文档和电子邮件）的权限管理。它与数字权限管理或 DRM 截然不同。DRM 是特定种类的权限管理，集中于保护诸如歌曲和电影之类的商业媒体内容。权限管理作为更广的范畴还包含企业权限管理（它是 RMS 的重点）。今后，我们也将看到权限管理的其他应用 — 个人权限管理、隐私权限管理，等等。数字化的任何内容最终都可以受到保护 — 这就是权限管理。

Windows Rights Management Services (RMS) 技术包括以下组件：

使用该 SDK 和配套的 API，Microsoft 合作伙伴能够构建受信任的应用程序，这些应用程序能够将 PC 和用户注册到 RMS 信任模型中，并发布和使用受 RMS 保护的内容。

自从 RMS 发布以来，Microsoft 听取了评估和部署 RMS 的客户以及在 RMS 平台上开发企业权限管理 (ERM) 解决方案的应用程序供应商的反馈。

下面是我们听到的内容以及如何做出回应的一些示例：

如今，Microsoft Office 2003 Professional 中的 RMS 实现赋予用户向文档和电子邮件消息分配权限策略的能力。许多组织曾要求 Microsoft 允许他们以更集中的方式向信息应用权限保护策略，例如在服务器或网络级别。

各组织曾请求过的方案包括：

为了更容易地支持这些类型的方案，RMS 引入了一个称为“服务器密码箱”的组件。执行发布和使用受权限保护的信息所必需的所有加密、解密、签名和验证的 RMS 组件称为“密码箱”。在 RMS 的{dy}版中，密码箱是为诸如 Microsoft Office 这样的客户端应用程序设计的。因此，它缺乏服务器应用程序所需要的性能特征。除了增强的 SP1 客户端密码箱外，RMS Service Pack 1 (SP1) 还引入了一种新的密码箱类型。新的服务器密码箱将可能的 RMS 解决方案的范围扩展到包括服务器应用程序。

服务器密码箱使得服务器应用程序记录管理、消息网关和电子邮件存档解决方案能够更容易地处理受保护的文档和电子邮件。这个“服务器友好”的密码箱实现了性能和功能改进，使得服务器应用程序能够根据权限管理策略自动保护文档（举例而言），同时维持服务器应用程序所需要的性能水平。

早期版本的 Windows Rights Management Services (RMS) 要求客户的 RMS 服务器拥有实时的 Internet 连接。要求这点是因为 RMS 安装过程中的两个名为“服务器注册”和“客户端机器xx”的步骤需要从客户的 RMS 服务器到 Internet 上承载的服务的连接。使用 RMS Service Pack 1 (SP1)，RMS 现在能够在没有 Internet 连接的网络（有时称为隔离网络）中操作。这是借助两个更改来实现的。

xx信息处理标准 (FIPS) 140-1 和 140-2 适用于加密产品和模块。带 Service Pack 1 (SP1) 的 Windows Rights Management Services 已被更新以利用 Windows 中可用的经过 FIPS-140 验证的加密模块，该模块可通过标准的 Windows CryptoAPI (CAPI) 接口访问。这些模块中包含的加密算法包括用于内容的对称加密的 AES (FIPS 197) 和用于内容密钥和其他凭据的非对称加密的 RSA。Microsoft 数据保护 API (DPAPI) 用于保护机密密钥材料。

FIPS 认证级别详细列举如下：

* FIPS-140-2 于 2002 年 5 月成为正式标准。在那之前，Windows 2000 和 Windows XP 已经达到了正式的 FIPS-140-1 条件。FIPS 140-1 仍然是有效并受认可的级别，并预计将在整个 Longhorn 交货期限内保持有效。

使用{dy}版的 RMS，用户需要登录并验证身份到 Microsoft Active Directory (AD) 才能获得 RMS 用户凭据。一旦获得这些 RMS 凭据，然后就能够发布和使用内容而无需 AD 身份验证。

客户曾要求增强的身份验证级别，包括双因素身份验证方法。

使用 RMS SP1，要求最终用户通过智能卡提供 x.509 证书才能获得 RMS 用户凭据是可能的。这将通过以下方式实现：(1) 将用户的 Active Directory 帐户映射到 x.509 证书，然后 (2) 在授予用户凭据的 RMS 服务上设置访问控制列表。这样 Windows 将提示用户提供基于智能卡的 PIN 才能验证身份，从而授予他们 RMS 凭据。相对于简单的用户名和密码 AD 身份验证，这样提供了一个附加的安全层。

对非常高的安全级别感兴趣的组织可以另外在 RMS 的授权服务上设置访问控制列表。有了这种安全措施，最终用户必须在每次使用或“授权”新的受 RMS 保护的内容时提供网络凭据。就像在上面的认证方案中一样，使用 RMS SP1，管理员也能够对授权方案强制基于智能卡的身份验证。

需要更少最终用户特权的更容易的部署
对于 RMS SP1，将客户端程序包部署到台式机容易多了。例如，使用来自 Microsoft 的部署和安装技术，客户可以跨网络部署 RMS 客户端而无须“接触”桌面，也不需要最终用户拥有管理特权。

RMS SP1 使用支持程序“公布”的安装技术。通过公布的程序，组织可以允许非管理员调用的安装程序临时“提升特权”以完成安装。这可以使用组策略对象 (GPO) 完成，或使用 Microsoft Systems Management Server (SMS) 进一步自动化。

此外，RMS SP1 客户端软件将通过 Microsoft Windows Update 通道自动分发，使得客户能够使用软件更新服务 (SUS) 或 Windows Server Update Services (WSUS) 部署客户端。

更容易的基于角色的安全性
许多组织具有将信息限制到一个其成员不断变化的组的要求，并且他们不希望在每次有人员进入或离开该组时都得更新组定义。

在 RMS SP1 中，对基于查询的组的支持允许根据动态组应用权限管理策略，这些动态组由针对某些属性的 Active Directory 查询所定义。例如，当接收者尝试“使用”或打开受权限保护的内容时，RMS 将根据分配给内容的权限检查他们的组成员身份。如果接收者在尝试使用内容时不是正确的组的成员，他们将无法获得访问内容所需要的许可证。这同样适用于静态定义的组以及基于查询的组。

使用基于查询的组需要 Microsoft Exchange 2000 Service Pack 3 (SP3) 或更高版本以及基于 Windows 2000 SP3 或更高版本的 Active Directory。

改进的工具和指导
RMS 工具箱已随着 RMS SP1 的发布而被更新。RMS SP1 包括新的和经过升级的工具，例如与现有 RMS 日志分析器工具配合使用的 Web 用户界面，以便为客户提供查看整个组织中的 RMS 操作（例如每用户的认证、发布和授权）的更简单的方法。

对 RMS SP1 的技术要求的最重要更新在于，Internet 连接不再是安装、部署或操作 RMS 所必需的。RMS 现在可以在xx断开或“隔离”的网络中操作。除此之外，RMS SP1 的技术要求类似于 RMS {dy}版的技术要求：

服务器软件要求

服务器硬件要求

客户端软件要求

RMS 是一种平台技术，因此具有独立于诸如 Microsoft Office 等其他应用程序的发布计划。RMS SP1 平台将通过使用现在的 RMS 的现有 Microsoft Office 信息管理权限 (IRM) 功能得到支持。Microsoft Office 团队计划在他们的产品的未来版本中利用增强的 RMS 技术，Microsoft 的其他应用程序团队也是如此。