Windows Rights Management Services 常见问题_方法总比问题多,加油 ...

Windows RMS

答:

Microsoft Windows Rights Management Services(权限管理服务,简称 RMS)是一种信息保护技术,它与启用 RMS 的应用程序配合以帮助保护数字信息避免未经授权的使用——不管是联机还是脱机、在防火墙内还是在防火墙外。结合 Windows Server 2003 功能、开发工具和久经考验的安全技术(包括加密、证书和身份验证),RMS 可帮助组织创建可靠的信息保护解决方案。通过持久的使用策略提供始终与信息相随(无论信息到达何处)的信息保护,RMS 扩充了组织的安全战略。

答:

信息权限管理(简称:IRM)是 Microsoft Office 2003 Professional(Office Word 2003、Office Excel 2003、Office PowerPoint 2003 和 Office Outlook 2003)中的一个功能,它使用 RMS 帮助信息工作者保护敏感 Word 文档、电子表格、演示文稿和电子邮件。

答:

企业权限管理或 ERM 是集中于保护业务应用程序(包括文档和电子邮件)的权限管理。它与数字权限管理或 DRM 截然不同。DRM 是特定种类的权限管理,集中于保护诸如歌曲和电影之类的商业媒体内容。权限管理作为更广的范畴还包含企业权限管理(它是 RMS 的重点)。今后,我们也将看到权限管理的其他应用 — 个人权限管理、隐私权限管理,等等。数字化的任何内容最终都可以受到保护 — 这就是权限管理。

答:

Windows Rights Management Services (RMS) 技术包括以下组件:

服务器技术。Windows RMS 的核心是服务器组件,它处理受信任的实体的认证、受权限保护的信息的授权以及管理功能。它简化使受信任的实体能够使用受权限保护的信息的设置步骤。

客户端组件。RMS 系统中的每台客户端计算机都必须安装权限管理客户端软件。该客户端软件包含一组能够以企业分发软件更新的任何方式分发的 API。它使得启用 RMS 的应用程序能够保护和使用信息以及与 RMS 服务器通信。

启用 RMS 的应用程序。RMS 与任何启用 RMS 的应用程序中的信息相配合,赋予组织针对他们的特定机密和非公开策略自定义解决方案的灵活性。

带信息权限管理的 Office 2003 Professional。组织可以利用 Office 2003 Professional(Word、Excel、PowerPoint 和 Outlook)中对启用 RMS 的应用程序的现成支持,作为帮助保护敏感信息的易于实施的选择。

Internet Explorer 的权限管理加载项此加载项允许查看文档和 HTML 而无须使用创作应用程序。作者可以向文档或基于 Web 的信息授予使用权限,并通过电子邮件、共享文件夹或网页将其分发给接收者。接收者可以安装 Internet Explorer 权限管理加载项,并使用它基于作者授予的权限处理内容。这对于与还没有部署 RMS 但是需要使用内容的使用者共享受权限保护的信息是有帮助的。

Windows RMS 软件开发工具包.RMS 软件开发工具包 (SDK) 是一组工具、文档和示例代码,它们使独立软件供应商 (ISV) 能够创建启用 RMS 的应用程序,并使得公司开发人员能够在组织中扩展 Windows RMS。它包括简单对象访问协议 (SOAP) 接口和权限管理 API,允许开发人员创建组件以扩展和增强 Windows RMS,包括用于与现有存储和内容管理系统集成的功能、自定义策略的实施和存储在后端数据库系统中的信息的实时保护。

使用该 SDK 和配套的 API,Microsoft 合作伙伴能够构建受信任的应用程序,这些应用程序能够将 PC 和用户注册到 RMS 信任模型中,并发布和使用受 RMS 保护的内容。

带 Service Pack1 的 Windows RMS

答:

自从 RMS 发布以来,Microsoft 听取了评估和部署 RMS 的客户以及在 RMS 平台上开发企业权限管理 (ERM) 解决方案的应用程序供应商的反馈。

下面是我们听到的内容以及如何做出回应的一些示例:

答:

如今,Microsoft Office 2003 Professional 中的 RMS 实现赋予用户向文档和电子邮件消息分配权限策略的能力。许多组织曾要求 Microsoft 允许他们以更集中的方式向信息应用权限保护策略,例如在服务器或网络级别。

各组织曾请求过的方案包括:

为了更容易地支持这些类型的方案,RMS 引入了一个称为“服务器密码箱”的组件。执行发布和使用受权限保护的信息所必需的所有加密、解密、签名和验证的 RMS 组件称为“密码箱”。在 RMS 的{dy}版中,密码箱是为诸如 Microsoft Office 这样的客户端应用程序设计的。因此,它缺乏服务器应用程序所需要的性能特征。除了增强的 SP1 客户端密码箱外,RMS Service Pack 1 (SP1) 还引入了一种新的密码箱类型。新的服务器密码箱将可能的 RMS 解决方案的范围扩展到包括服务器应用程序。

服务器密码箱使得服务器应用程序记录管理、消息网关和电子邮件存档解决方案能够更容易地处理受保护的文档和电子邮件。这个“服务器友好”的密码箱实现了性能和功能改进,使得服务器应用程序能够根据权限管理策略自动保护文档(举例而言),同时维持服务器应用程序所需要的性能水平。

答:

早期版本的 Windows Rights Management Services (RMS) 要求客户的 RMS 服务器拥有实时的 Internet 连接。要求这点是因为 RMS 安装过程中的两个名为“服务器注册”和“客户端机器xx”的步骤需要从客户的 RMS 服务器到 Internet 上承载的服务的连接。使用 RMS Service Pack 1 (SP1),RMS 现在能够在没有 Internet 连接的网络(有时称为隔离网络)中操作。这是借助两个更改来实现的。

首先,服务器注册步骤(RMS 服务器在该步骤中获得操作所需的服务器许可证颁发者证书 (SLC))已被更新,使之能够脱机或联机执行。选择脱机选项的客户能够在两个单独的步骤中获得 SLC 并将其导入 RMS 服务器,并使用物理媒体在连接到 Internet 的机器和没有连接到 Internet 的网络之间传输 SLC。

其次,客户端机器xx步骤已被更新为自xx的模型。执行发布和使用受权限保护的信息所必需的所有加密、解密、签名和验证步骤的 RMS 组件称为“密码箱”。机器xx是安装并xx密码箱的过程。与从 Microsoft 托管的xx服务获得密码箱不同,RMS SP1 客户端在发货时已经包括密码箱,并且它将在xx时自己生成必要的凭据。RMS SP1 客户端将在由任何用户(包括非管理员){dy}次使用时自行xx。

答:

xx信息处理标准 (FIPS) 140-1 和 140-2 适用于加密产品和模块。带 Service Pack 1 (SP1) 的 Windows Rights Management Services 已被更新以利用 Windows 中可用的经过 FIPS-140 验证的加密模块,该模块可通过标准的 Windows CryptoAPI (CAPI) 接口访问。这些模块中包含的加密算法包括用于内容的对称加密的 AES (FIPS 197) 和用于内容密钥和其他凭据的非对称加密的 RSA。Microsoft 数据保护 API (DPAPI) 用于保护机密密钥材料。

FIPS 认证级别详细列举如下:

* FIPS-140-2 于 2002 年 5 月成为正式标准。在那之前,Windows 2000 和 Windows XP 已经达到了正式的 FIPS-140-1 条件。FIPS 140-1 仍然是有效并受认可的级别,并预计将在整个 Longhorn 交货期限内保持有效。

答:

使用{dy}版的 RMS,用户需要登录并验证身份到 Microsoft Active Directory (AD) 才能获得 RMS 用户凭据。一旦获得这些 RMS 凭据,然后就能够发布和使用内容而无需 AD 身份验证。

客户曾要求增强的身份验证级别,包括双因素身份验证方法。

使用 RMS SP1,要求最终用户通过智能卡提供 x.509 证书才能获得 RMS 用户凭据是可能的。这将通过以下方式实现:(1) 将用户的 Active Directory 帐户映射到 x.509 证书,然后 (2) 在授予用户凭据的 RMS 服务上设置访问控制列表。这样 Windows 将提示用户提供基于智能卡的 PIN 才能验证身份,从而授予他们 RMS 凭据。相对于简单的用户名和密码 AD 身份验证,这样提供了一个附加的安全层。

对非常高的安全级别感兴趣的组织可以另外在 RMS 的授权服务上设置访问控制列表。有了这种安全措施,最终用户必须在每次使用或“授权”新的受 RMS 保护的内容时提供网络凭据。就像在上面的认证方案中一样,使用 RMS SP1,管理员也能够对授权方案强制基于智能卡的身份验证。

答:

需要更少最终用户特权的更容易的部署
对于 RMS SP1,将客户端程序包部署到台式机容易多了。例如,使用来自 Microsoft 的部署和安装技术,客户可以跨网络部署 RMS 客户端而无须“接触”桌面,也不需要最终用户拥有管理特权。

RMS SP1 使用支持程序“公布”的安装技术。通过公布的程序,组织可以允许非管理员调用的安装程序临时“提升特权”以完成安装。这可以使用组策略对象 (GPO) 完成,或使用 Microsoft Systems Management Server (SMS) 进一步自动化。

此外,RMS SP1 客户端软件将通过 Microsoft Windows Update 通道自动分发,使得客户能够使用软件更新服务 (SUS) 或 Windows Server Update Services (WSUS) 部署客户端。

更容易的基于角色的安全性
许多组织具有将信息限制到一个其成员不断变化的组的要求,并且他们不希望在每次有人员进入或离开该组时都得更新组定义。

在 RMS SP1 中,对基于查询的组的支持允许根据动态组应用权限管理策略,这些动态组由针对某些属性的 Active Directory 查询所定义。例如,当接收者尝试“使用”或打开受权限保护的内容时,RMS 将根据分配给内容的权限检查他们的组成员身份。如果接收者在尝试使用内容时不是正确的组的成员,他们将无法获得访问内容所需要的许可证。这同样适用于静态定义的组以及基于查询的组。

使用基于查询的组需要 Microsoft Exchange 2000 Service Pack 3 (SP3) 或更高版本以及基于 Windows 2000 SP3 或更高版本的 Active Directory。

改进的工具和指导
RMS 工具箱已随着 RMS SP1 的发布而被更新。RMS SP1 包括新的和经过升级的工具,例如与现有 RMS 日志分析器工具配合使用的 Web 用户界面,以便为客户提供查看整个组织中的 RMS 操作(例如每用户的认证、发布和授权)的更简单的方法。

答:

对 RMS SP1 的技术要求的最重要更新在于,Internet 连接不再是安装、部署或操作 RMS 所必需的。RMS 现在可以在xx断开或“隔离”的网络中操作。除此之外,RMS SP1 的技术要求类似于 RMS {dy}版的技术要求:

服务器软件要求

必须至少有一台运行 Windows Server 2003(Standard、Enterprise、Web 或 Datacenter 版本)的服务器作为 RMS 服务器。

环境中必须包含 Windows Server Active Directory 服务(基于 Windows 2000 Server SP3 或更高版本),该服务提供每个用户的已知{wy} ID。

RMS 服务器需要用于日志记录和配置的数据库,例如 Microsoft SQL Server 2000 SP3 或更高版本(用于企业部署)或 MSDE(用于测试或概念验证环境)。

{zj0}实践和建议的实现是在专用服务器(或负载平衡/高可用性方案中的服务器群集)上安装 RMS。

服务器硬件要求

客户端软件要求

答:

RMS 是一种平台技术,因此具有独立于诸如 Microsoft Office 等其他应用程序的发布计划。RMS SP1 平台将通过使用现在的 RMS 的现有 Microsoft Office 信息管理权限 (IRM) 功能得到支持。Microsoft Office 团队计划在他们的产品的未来版本中利用增强的 RMS 技术,Microsoft 的其他应用程序团队也是如此。



郑重声明:资讯 【Windows Rights Management Services 常见问题_方法总比问题多,加油 ...】由 发布,版权归原作者及其所在单位,其原创性以及文中陈述文字和内容未经(企业库qiyeku.com)证实,请读者仅作参考,并请自行核实相关内容。若本文有侵犯到您的版权, 请你提供相关证明及申请并与我们联系(qiyeku # qq.com)或【在线投诉】,我们审核后将会尽快处理。
—— 相关资讯 ——