Windows权限管理服务

Windows®权限管理服务议程背景WindowsRightsManagementServices（Windows权限管理服务）概述原理使用场景演示RMS总结行业报告但是大多数公司由于员工造成了知识财产的损失，不管有意或者疏忽GartnerG2NewsAnalysis,February25,2003PricewaterhouseCoopers(U.K.),2002FBICrimeSurvey,2003TheYankeeGroup,2003组织需要对敏感数字信息——商业秘密和客户隐私更好的保护在最糟糕的安全问题中，32%是由内部人士导致的专有信息失窃将导致所有安全失败中最大的经济损失现在的策略表达…缺少强制实行的工具Perimeter信息如何流失其他泄漏点…WindowsRMS使用场景控制对敏感计划的访问设置访问级别：察看、更改、打印等设置访问时间期限保护敏感文件防止经营管理邮件流入Internet减少保密信息的内部转发使用模板集中管理策略禁止转发邮件保护金融、法律、人力资源内容设置访问级别：察看、更改、打印等察看Office2003权限保护信息保护内网内容防止内部信息流失WindowsRightsManagementServices(RMS)Windows平台信息保护技术RMS(RightsManagementServices)与应用程序协作保护数字内容的安全技术,专为那些需要保护的敏感文档、电子邮件和Web内容而设计。可以严格控制哪些用户可以打开,读取、修改和重新分发特定内容.持续保护保护您的敏感信息，不管它们在何处使用128位AES加密利用技术实施组织策略作者定义其他人如何使用信息典型的权限包括察看、读取、复制、打印、保存、转发、编辑以及时间限制灵活的和可定制的技术与熟悉的产品集成，易于使用利用电子邮件名称和A.D.分发组赋予“完全控制”权限给受信任的组使用SDK开发自定义解决方案RMS技术与过程原理RMS工作过程RMS组件RMS基本结构拓扑文档保护与使用过程原理WindowsRMS工作过程信息作者接收者RMS服务器SQLServer活动目录23U5RMS工作过程作者创建受保护内容授权并分发内容使用者请求许可证解密保护的内容遵循许可证策略使用内容RMS过程中的主要组件RMSServerRMSClientRMSApplicationP发布许可(PublishingLicense)使用PublishingLicense创建受保护文档由RMS授权服务器颁发PublishingLicense包含内容密钥(contentkey)是AES128位对称密钥被授权服务器的公钥加密使用权限(UsageRights)以Email标识的用户和相应的权限用户权限被授权服务器的公钥加密发布服务(PublishingService)使用者通过这个URL向服务器申请UseLicense发布服务器的数字签署证明PublishLicense的有效性使用许可(UseLicense)使用受保护文档的内容必须具有相应的UseLicenseUseLicense由发放PublishingLicense的同一台服务器颁发每个文档对于每个用户都对应一个UseLicenseUseLicense包含用户对内容的权限被用户公钥加密的contentkeyUserLicense缓存如果拥有写的权限,会被缓存到该office文档中对于电子邮件会被outlook缓存.RMS组件RMS基于Server/Client的结构RMS的组件支持RMS的应用程序只有支持RMS的应用程序才能生成RMS保护的文档Office2003IE+RMAdd-onRMSClient安装在客户机上,与支持RMS的应用程序进行交互RMSServer证书服务器(CertificationServer),为信任实体颁发证书授权服务器(LicensingServer),为RMS保护的文档进行使用授权RMS服务器两个RMS服务器角色RMS证书服务器(CertificationServer)是企业中的第一台RMS服务器为用户办法用户证书RAC授权RMSLicensingServerRMS许可服务器(LicensingServer)发放PublishingLicense发放UseLicense发放ClientL9censorCertificate根证书服务器RootCertificationServer同时具备两种RMS服务器角色必须是由Microsoft签署的,提供完整的RMS证书信任链RMSServer注册林中设置的第一台RMS服务器向MicrosoftRMS注册服务器注册并获取服务器许可证书(SLC)两种注册过程联机注册脱机注册RMS客户端一组API,和支持RMS的应用程序交互并与RMSServer通信实现信息保护和使用的功能RMS支持两种应用环境企业内部的RMSServer应用基于.NetPassport的Internet应用支持RMS的应用Office2003IRM支持创建RMS保护的文档Office2003Viewer安装了RMAdd-on的IE浏览器RMSSDK开发的第三方应用程序用户证书权限管理帐户证书(RAC)标识可信任主体RAC将用户帐户和具体的一台设备关联起来RAC中包括一对密钥用户的私钥使用计算机的公钥进行加密存储RACRAC与特定计算机关联每个用户对于每个设备有唯一的RAC在任何计算机上用户的密钥对是相同的RAC由证书服务器向用户颁发的用户向RMSLicensingServer请求许可时需要使用RACRAC的生成过程RAC生成过程用户以windows集成身份验证向RMSCertificationServer发送请求服务器使用已有密钥对或者为用户生成密钥对服务器将用户的私钥用计算机的公钥加密服务器将用户的公钥和加密后的私钥放到RAC中RAC被RMS服务器用私钥进行数字签名将RAC发送给客户服务器将用户的密钥对存储到RMS的数据库中RMSServer/RMS群集只能运行于WindowsServer2003IIS6和ASP.NETRMS管理和运行基于ASP。NETRMS使用WebService消息队列将RMS事务数据库保存在数据库中群集多台RMS物理服务器组成一台高性能和高可用性的虚拟RMS服务器唯一的IP地址和URLSQLServer/MSDE配置数据库RMS配置数据库模版服务器密钥用户密钥目录服务数据库缓存活动目录组成员资格日志数据库RMS日志信息MSDE不支持RMS群集活动目录身份验证驻留服务连接点(SCP)客户端通过SCP发现RMS证书服务器展开组成员资格GC负责展开组用户列表每个AD域林只能有一个RMS基础结构RMS中的过程机制服务的发现文档的在线发布过程受保护文档的使用过程RMS服务的发现RMS服务发现找到RMS服务器的URLRMSClient通过服务发现激活RMS客户机从服务器获取RAC和CLC发现机制通过目录服务中的服务连接点(SCP)通过注册表文档的在线发布过程由RMS客户端在线向授权服务器发送请求过程由密码箱生成对称密钥作为内容密钥内容密钥被授权服务器的公钥加密加密的内容密钥和权限被发送给请求发布许可的授权服务器授权服务器使用它的私钥解开加密的内容密钥授权服务器使用它的公钥加密内容密钥和使用权限加密后的密钥和使用权限被添加到发布许可授权服务器使用它的私钥签署发布许可发布许可返回给申请的客户端支持RMS的应用程序将发布许可合并到受保护的文档中受保护文档的使用过程客户端向颁发发布许可的授权服务器请求使用许可过程客户端将RAC和文档的发布许可发送到颁发发布许可的授权服务器授权服务器使用它的私钥解出发布许可中的内容密钥授权服务器使用RAC中用户的公钥加密内容密钥加密的内容密钥和用户的使用权限被添加到使用许可授权服务器使用它的私钥签署使用许可使用许可被发送给客户端密码箱使用计算机的私钥解密保存在RAC中的用户私钥密码箱使用用户的私钥解密内容密钥密码箱使用内容密钥解密被加密的受保护内容部署RMS安装/配置服务器部署客户端安装RMS服务器-预备条件环境系统要求活动目录软件要求WindowsServer2003IIS6withASP.NET消息队列NTFS帐户权限本地管理员安装EnterpriseAdmins注册SCPSQLServer管理员权限创建RMS数据库安装RMS服务器-步骤安装SQLServer安装RMSServer软件注册RMSServer注册SCP配置RMSServer部署RMS客户端下载安装使用GPO或者SMS部署确保RMS服务器的URL在客户机的Intranet区域微软的RMS部署（2003年数据）61,000用户；单AD森林155,000计算机每月颁发200,000用户许可（UseLicenses）快速增长用户许可响应时间：1秒3RMS服务器+1SQL服务器案例分析:UT斯达康问题：随着使用计算机来创建和处理敏感信息的情况越来越多，使得保护企业信息和数据成为企业商务活动中的一项艰巨且长久的任务。希望能够在企业内部实施一种最佳的信息版权保护综合解决方案，有效地保护机密的电子邮件、战略计划文档、技术文件、产品研发报告、销售数据分析、财务绩效信息等文档，避免机密信息的未授权使用，并且保证数据万无一失。优势保护企业重要电子文档内容不受非法复制和转发实现信息内容访问、编辑和转发等的分级授权支持统一策略的安全设定和分发，便于规模化定制、维护和管理可以适用于企业内及跨企业的文档交流方案RMSOffice2003策略模板“UTStarcom作为一个快速发展的高科技企业，一直非常重视知识产权的保护，以及内部信息的安全管理，微软OfficeSystem中的IRM技术可以有效地保障信息的安全，通过赋予信息本身的一种自我管理智能，使得信息在被创建、复制、传播过程中可以得到有效的控制和保护。”汪拥君信息技术部总监UT斯达康通讯有限公司总结RMS使您能够防止内部信息流失关键收益：保护敏感的内部信息增强现有周边安全技术利用技术实施组织策略持续的文档保护易于使用更多信息