安装配置ADRMS

ADRMS服务文件安全是网络领域中最重要的课题之一，安全的威胁通常来自Internet和局域网内部两个方面。日防夜防，家贼难防。来自企业内部的攻击往往是最致命的，微软公司的RMS（RightsManagementServices，权限管理服务）正是在这种环境下应运而生的。它通过数字证书和用户身份验证技术对各种Office文档的访问权限加以限制，可以有效防止内部用户通过各种途径擅自泄露机密文档内容，从而确保了数据文件访问的安全性。17.1ADRMS概述对于RMS，很多用户并不陌生，并且可能已经应用到实际环境中。ADRMS是在RMS基础上进行了一些改进，功能更加强大。通过与ActiveDirectory及其联合身份验证等服务的配合应用，不仅仍然具备原有的针对Offfice文档的各种权限保护，而且新增了通过MMC控制台管理ADRMS的功能，应用更加方便。17.1.1ADRMS的新特性ADRMS与RMS相比具有如下新特性。（1）管理界面更加友好：在RMS1.0中唯一的管理界面就是Web，而ADRMS则改用MMC嵌入式管理单元，操作更加方便。（2）自动启用服务器授权凭证：在ADRMS中，根群集的服务器授权凭证（ServerLicensorCertificate，SLC）可以自动启用，无须手动操作。（3）与ActiveDirectory联合身份验证服务（ADFS）配合使用：ADFS是WindowsServer2008的一项新功能，可以提供简单且安全的身份验证。ADRMS与ADFS配合使用，可以允许企业之间共同使用一方的ADRMS群集，并且通过ADFS（使用HTTPS协议）识别和验证自己域中的用户账户。ADRMS的相关组件ADRMS仍然基于服务器/客户端的结构，其主要组件包括支持ADRMS的应用程序、ADRMS客户端和ADRMS服务器端三，三者缺一不可。只有支持ADRMS的应用程序才能生成被保护的文档；ADRMS客户端是安装在客户端上，与支持ADRMS的应用程序交互；ADRMS服务器负责为信任实体颁发证书、授权服务器，并为使用ADRMS保护的文档授权。使用权限账户证书可以将用户账户和具体的一台设备关联起来，即每个不同的账户在同一台计算机上存在唯一的权限证书，或同一账户在不同的计算机上的权限证书也不相同。虽然在不同用户的权限账户证书不同，但是其中所包含的密钥却是相同的。该权限账户证书是由企业中的第1台ADRMS服务器所颁发的，即在任何计算机上的用户的密钥对相同，当用户向ADRMS许可服务器请求许可时需要使用权限账户证书。权限账户证书的生成过程如下。（1）当用户第1次使用由ADRMS加密的文档时，需要以域用户的身份向ADRMS证书服务器发送请求来获取权限账户证书。（2）服务器会在服务器数据库中所存的信息查询，如果该用户已经存在密钥对，则会应用已有的密钥；否则会为该用户生成一个密钥对。（3）服务器会将该用户的密钥对中的私钥用该证书服务器的私钥进行加密。（4）服务器将用户密钥对中的公钥和加密后的私钥放到权限账户证书中。（5）权限账户证书会被ADRMS服务器用私钥进行数字签署，这样就能确定该权限账户证书由ADRMS证书服务器所发放的，并且未被篡改。（6）ADRMS服务器将权限账户证书发送给用户。（7）服务器将用户的密钥对存储到ADRMS的数据库中，该权限账户证书就是以后该用户进行申请各种使用许可的证书。ADRMS的实现原理1．服务的发现服务的发现实际上是RMS客户端发现ADRMS服务器的一个过程，该过程可以通过两种方法来实现，一是通过活动目录中的服务连接点（SCP），找到企业中的证书服务器的位置；二是通过注册表。找到ADRMS服务可以激活RMS客户端，因为如果要使用该RMS客户端，则必须在第1次使用时到ADRMS服务器激活该RMS客户端，可以从ADRMS服务器上获取权限管理账户证书等信息。2．文档的在线发布过程由RMS客户端在线向授权服务器发送请求，发布过程如下。（1）由密码箱生成对称密钥作为内容密钥。（2）内容密钥会被授权服务器的公钥加密，目的是通过网络将其发送给授权服务器。然后授权服务器能够用自己的私钥将这个内容解出，而在传送的过程中不会被他人截获后获取内容密钥。（3）加密的内容密钥和权限被发送给请求发布许可的授权服务器。（4）授权服务器使用其私钥解开加密的内容密钥。（5）授权服务器使用其公钥加密内容密钥和使用权限。（6）加密后的密钥和使用权限被添加到发布许可中。（7）授权服务器使用私钥签署发布许可。（8）发布许可返回给申请的客户端。（9）支持ADRMS的应用程序将发布许可合并到受保护的文档中。3．文档的离线发布过程如果用户所使用的是笔记本电脑等移动办公等的计算机设备，有可能在自己的家中不能够连接到公司的ADRMS服务器。为访问使用由ADRMS创建的文档，需要一个客户端许可证书（CLC）。保护过程如下：（1）由密码箱生成对称密钥作为内容密钥。（2）客户端从客户端许可证书中取出授权服务器的公钥。（3）客户端使用服务器的公钥加密内容密钥，加密的内容密钥只能由服务器的私钥所解密。（4）客户端使用客户端许可证书的公钥对内容密钥再进行一次加密，从而再次获得一个加密后的对称密钥。需要注意的是，在离线和在线发布不同是离线发布过程中对内容进行了两次加密。（5）两个加密后的对称密钥同时被放到发布许可中。（6）客户端使用权限账户证书中的私钥解密客户端许可证书中的私钥。（7）客户端使用CLC的私钥签署发布许可。（8）支持ADRMS的应用程序将发布许可合到受保护的文档中。4．受保护文档的使用过程使用受保护文档的具体过程如下。（1）客户端将权限账户证书和文档的发布许可发送到颁发发布许可的授权服务器。（2）授权服务器使用其私钥解出发布许可中的内容密钥。（3）授权服务器使用权限账户证书中用户的公钥加密内容密钥。（4）把加密的内容密钥和用户的使用权限添加到使用许可中。（5）授权服务器使用其私钥签署使用许可。（6）作为响应，将该使用许可发送给客户端。（7）密码箱使用计算机的私钥解密保存在权限账户证书中和用户私钥。（8）密码箱使用用户的私钥解密内容密钥。（9）密码箱使用内容密钥解密被加密的受保护内容。使用服务器的公钥所加密的内容只能由服务器的私钥来解开。（7）服务器将用户的密钥对存储到ADRMS的数据库中，该权限账户证书就是以后该用户进行申请各种使用许可的证书。ADRMS服务器的软件需求ADRMS服务器的软件需求如下。（1）必须是域控制器、额外的域控制器或域成员服务器。（2）安装IIS服务和ASP.Net组件。（3）安装MSMQ（消息队列）服务。（4）如果要创建ADRMS服务器群集，需要安装SQLServer数据库服务器或MSDE数据库（建议选择SQLServer）；否则可以直接使用ADRMS自带的本地数据库。ADRMS服务器软件需要提前安装的Windows组件，在安装过程中可以自动安装，用户不必一一手动准备。17.2ADRMS服务器的安装和配置WindowsServer2008中的ADRMS与RMS最大的区别就在于，它不再是一个独立服务插件，已经成为Windows的一项内建功能，并且包含了某些升级功能。无须下载任何安装包，直接在管理服务器窗口中启动安装向导即可轻松安装。17.2.1准备工作为了确保安装过程可以顺利进行，开始之前应做好如下准备工作：（1）将计算机加入到域，或者提升为域的辅助域控制器，或者子域。（2）使用具有域用户账户登录，但不能使用Administrator账户登录。（3）选择数据库。如果要使用独立数据库，需安装SQLServer；否则可使用ADRMS的自带数据库。（4）安装之前，确认在InternetExplorer中被添加至受信任的站点或本地Internet。17.2.2安装ADRMS根服务器（1）ADRMS服务并不是WindowsServer2008系统默认安装的组件，需要用户手动添加。安装向导如果检测到有完成的准备工作，显示提示信息并给出解决方案，通常情况下可以自动完成必要组件的安装。使用具有域权限的用户账户登录。运行添加角色向导。在选择服务器角色对话框中，选中ActiveDirectoryRightsManagementServoces复选框，显示如图17-1所示对话框，提示是否添加所需的角色服务和功能。（点击查看大图）图17-1添加所需的角色服务和功能单击添加必需的角色服务按钮，显示如图17-2所示的选择服务器角色对话框，选中ActiveDirectoryRightsManagementServices复选框。（点击查看大图）图17-2选择服务器角色对话框不能使用Administrator用户账户登录；否则就会显示如图17-3所示的警告框，提示无法安装。（点击查看大图）图17-3警告框单击下一步按钮，显示如图17-4所示的ActiveDirectoryRightsManagementServices对话框，其中简要介绍了ActiveDirectory权限管理服务的作用及功能。单击下一步按钮，显示如图17-5所示的选择角色服务对话框。如果选中联合身份验证支持复选框，将同时安装ADFS或与当前域中已有的ADFS关联使用。它允许用户使用当前域和其他域之间经过联合身份验证的信任关系来建立用户标识，并提供对其他组织创建的受保护信息的访问权限。不需要联合身份验证的用户建议不要选择该复选框。（点击查看大图）图17-4ActiveDirectoryRightsManagementServices对话框（点击查看大图）图17-5选择角色服务对话框17.2.2安装ADRMS根服务器（2）单击下一步按钮，显示如图17-6所示的创建或加入ADRMS群集对话框，系统默认选择新建ADRMS群集单选按钮。由于当前域中没有其他ADRMS群集可供加入，所以加入现有ADRMS群集单选按钮为灰色。安装完成后创建的第1台ADRMS服务器即为根群集，后来加入的ADRMS服务器为叶服务器。（点击查看大图）图17-6创建或加入ADRMS群集对话框单击下一步按钮，显示如图17-7所示的选择配置数据库对话框。如果网络中安装有SQLServer服务器，可选择使用其他数据库服务器单选按钮；如果要使用ADRMS自带的数据库，选择在此服务器上使用Windows内部数据库单选按钮即可。（点击查看大图）图17-7选择配置数据库对话框选择支持ADRMS群集的专用数据库时应注意记录其数据库实例，其他ADRMS服务器加入群集时也必须指定相同的实例名称。单击下一步按钮，显示如图17-8所示的指定服务账户对话框。该服务账户即将来要在ADRMS群集中使用的账户，可使用普通域成员账户，但必须区别于当前服务器登录的域用户账户。（点击查看大图）图17-8指定服务账户对话框17.2.2安装ADRMS根服务器（3）单击指定按钮，显示如图17-9所示的Windows安全对话框。输入域用户账户，单击确定按钮即可。（点击查看大图）图17-9Windows安全对话框单击下一步按钮，显示如图17-10所示的配置ADRMS群集键存储对话框。系统默认选择使用ADRMS集中管理的密钥存储单选按钮，即由本地服务器自动生成并存储密钥。这里选择该单选按钮，这个密钥主要用于当前根服务器及将来叶服务器的灾难恢复，必须牢记。选择使用CSP密钥存储单选按钮，需要由专用加密服务器产生并保管该密钥，比较烦琐，但安全性也相对较高。（点击查看大图）图17-10配置ADRMS群集键存储对话框单击下一步按钮，显示如图17-11所示的指定ADRMS群集密钥密码对话框。其他ADRMS服务器加入群集时也要使用此密码，必须妥善保存。（点击查看大图）图17-11指定ADRMS群集密钥密码对话框17.2.2安装ADRMS根服务器（4）单击下一步按钮，显示如图17-12所示的选择ADRMS群集网站对话框。在其中选择管理ADRMS群集服务器时使用的站点，准备工作中必须安装I