第4章 文件权限管理

计算机网络安全主讲人刘晓辉第4章文件权限管理313233权限管理服务信息权限管理文件权限安全规划4.1文件权限安全规划4.1.1案例情景目前，最主要的信息安全保护措施就是基于文件服务器的基本安全管理，以及对普通客户端计算机的使用限制，如禁止使用U盘、刻录机和软盘等。4.1.2项目需求文件在生命周期内的安全防护。共享文件的安全。过期文件安全处理。禁止非法访问。4.1.3解决方案ADRMSIRM4.2权限管理服务4.2.1安装ADRMS服务器4.2.2配置信任策略4.2.3配置权限策略模版4.2.4ADRMS客户端部署及应用4.2.5受限客户端应用被保护文档4.2.1安装ADRMS服务器安装ADRMS服务器注意选择支持ADRMS群集的专用数据库时应注意记录其数据库实例，其他ADRMS服务器加入群集时也必须指定相同的实例名称。安装ADRMS服务器安装ADRMS服务器提示如果选择“使用SSL加密的连接”单选按钮，则还需要选择希望用于SSL加密的数字证书，可以来自网络中的CA，也可以使用自签名证书安装ADRMS服务器4.2.2配置信任策略1.受信任的用户域默认情况下，只有受信任的用户域才可以使用当前ADRMS服务器提供的权限保护服务，不同ADRMS群集或不同林中的RMS服务器都是通过彼此的许可证书识别的。2.受信任的发布域受信任的发布域用于定义哪些ADRMS群集发布的许可证受到此群集的信任，与受信任的用户域恰恰相反，列表中默认存在的是本地服务器的记录。1.受信任的用户域2.受信任的发布域提示发布域文件本身是受密码保护的，导入时必须键入原ADRMS服务器上使用的存储密码。4.2.3配置权限策略模版1.创建权限策略模版权限策略模板是为定义用户的权限策略用的，管理员可以通过定制一些现成的策略模板让企业用户直接调用。2.分发权限策略模板客户端必须将服务器上创建的权限策略模版保存到本地计算机才可以使用，可以通过文件共享、网络传输、移动存储介质等方式获得。1.创建权限策略模版创建权限策略模版创建权限策略模版2.分发权限策略模板提示如果模板是从另一台RMS服务器迁移到此RMS服务器，在使用该模板之前，必须由此服务器签署，然后重新分发到客户端。4.2.4ADRMS客户端部署及应用ADRMS客户端部署及应用4.2.5受限客户端应用被保护文档受限客户端应用被保护文档提示虽然在ADRMS系统中用到E-mail地址的地方非常多，但是多数情况下是作为一种用户标识，并非真正的用来传递信息，所以网络中邮件服务器也就可有可无。如果确实需要传递信息，则必须搭建邮件服务器。知识链接:ADRMS1.ADRMS服务器将计算机加入到域安装IIS服务和ASP.Net组件安装MSMQ服务选择数据库配置受信任站点2.ADRMS客户端管理员还可以通过组策略、SMS、SCCM等方式来向客户端统一分发客户端安装程序。如果客户端数量较少，则可以通过手动安装的方式实现。4.3信息权限管理4.3.1创建被保护的安全文档4.3.2打开被保护文档4.3.3请求权限IRM是Windows权限管理服务（RMS）在Office应用程序和InternetExplorer中的扩展，可以有效地保护机密文件的内容，即使未被授权的用户得到文档，也无法打开文件。4.3.1创建被保护的安全文档创建被保护的安全文档创建被保护的安全文档4.3.3打开被保护文档4.3.4请求权限知识链接：IRMIRM是Microsoft开发的一种持久性的文件级保护技术，它允许信息工作者对有权访问和使用文档或电子邮件的人员加以指定，并且能够保护信息不受未经授权的打印、转发或复制。习题1.简述ADRMS服务在企业网络中的主要应用。2.在企业网络中部署ADRMS服务器之前应做好哪些准备工作。3.客户端如何应用ADRMS服务器上生成的权限策略模板。4.简述IRM和ADRMS有哪些异同。实验：使用IRM保护机密文档实验目的掌握如何通过IRM保护机密文档的安全。实验内容企业网络中没有部署ADRMS服务器，使用.NETPassport账户申请RM证书，保护机密文档的安全。实验步骤1.打开需要保护的机密文档。2.启动权限限制向导。3.使用已有的WindowsLive账户或.NETPassport账户申请RM证书。4.根据WindowsLive账户或.NETPassport账户赋予指定的用户账户查看权限，并设置文档的有效期为7天。5.将使用RM证书保护的文档发送给对方。6.对方用户使用被赋予权限的账户登录并获取RM证书，打开文档并验证是否可以编辑。