Microsoft Windows Rights Management Services

Microsoft Windows Rights Management Services(許可權管理服務,簡稱 RMS)是一種信息保護技術,它與啟用 RMS 的應用程式配合以幫助保護數字信息避免未經授權的使用——不管是在線上還是脫機、在防火牆內還是在防火牆外。

RMS

結合 Windows Server 2003 功能、開發工具和久經考驗的安全技術(包括加密、證書和身份驗證),RMS 可幫助組織創建可靠的信息保護解決方案。通過持久的使用策略提供始終與信息相隨(無論信息到達何處)的信息保護,RMS 擴充了組織的安全戰略。

技術組建

Windows Rights Management Services (RMS) 技術包括以下組件:

· 伺服器技術。Windows RMS 的核心是伺服器組件,它處理受信任的實體的認證、受許可權保護的信息的授權以及管理功能。它簡化使受信任的實體能夠使用受許可權保護的信息的設定步驟。
· 客戶端組件。RMS 系統中的每台客戶端計算機都必須安裝許可權管理客戶端軟體。該客戶端軟體包含一組能夠以企業分發軟體更新的任何方式分發的 API。它使得啟用 RMS 的應用程式能夠保護和使用信息以及與 RMS 伺服器通信。
· 啟用 RMS 的應用程式。RMS 與任何啟用 RMS 的應用程式中的信息相配合,賦予組織針對他們的特定機密和非公開策略自定義解決方案的靈活性。 · 帶信息許可權管理的 Office 2003 Professional。組織可以利用 Office 2003 Professional(Word、Excel、PowerPoint 和 Outlook)中對啟用 RMS 的應用程式的現成支持,作為幫助保護敏感信息的易於實施的選擇。 · Internet Explorer 的許可權管理載入項此載入項允許查看文檔和 HTML 而無須使用創作應用程式。作者可以向文檔或基於 Web 的信息授予使用許可權,並通過電子郵件、已分享檔案夾或網頁將其分發給接收者。接收者可以安裝 Internet Explorer 許可權管理載入項,並使用它基於作者授予的許可權處理內容。這對於與還沒有部署 RMS 但是需要使用內容的使用者共享受許可權保護的信息是有幫助的。
· Windows RMS 軟體開發工具包.RMS 軟體開發工具包 (SDK) 是一組工具、文檔和示例代碼,它們使獨立軟體供應商 (ISV) 能夠創建啟用 RMS 的應用程式,並使得公司開發人員能夠在組織中擴展 Windows RMS。它包括簡單對象訪問協定 (SOAP) 接口和許可權管理 API,允許開發人員創建組件以擴展和增強 Windows RMS,包括用於與現有存儲和內容管理系統集成的功能、自定義策略的實施和存儲在後端資料庫系統中的信息的實時保護。

使用該 SDK 和配套的 API,Microsoft 合作夥伴能夠構建受信任的應用程式,這些應用程式能夠將 PC 和用戶註冊到 RMS 信任模型中,並發布和使用受 RMS 保護的內容。

IRM 是什麼?

答: 信息許可權管理(簡稱:IRM)是 Microsoft Office 2003 Professional(Office Word 2003、Office Excel 2003、Office PowerPoint 2003 和 Office Outlook 2003)中的一個功能,它使用 RMS 幫助信息工作者保護敏感 Word 文檔、電子表格、演示文稿和電子郵件。

RMS SP1 的 RMS 密鑰流有何更改?

RMS SP1 的密鑰流很大程度上與在第一個 RMS 版本中相同。例如,脫機和在線上發布以及內容的使用都以完全相同的方式工作。兩個主要的區別是 RMS 安裝過程中的兩個步驟:脫機伺服器註冊和客戶端機器自激活。

帶 Service Pack1 的 Windows RMS

問: 帶 Service Pack 1 的 RMS 中的新增功能

答: 自從 RMS 發布以來,Microsoft 聽取了評估和部署 RMS 的客戶以及在 RMS 平台上開發企業許可權管理 (ERM) 解決方案的套用 程式供應商的反饋。

下面是我們聽到的內容以及如何做出回應的一些示例:

· 客戶要求將 ERM 集成到它們的環境中,並與諸如記錄管理、電子郵件存檔系統、電子郵件網關、內容檢查網關和自動化的工作流

等套用集成起來。

· 這就是我們擴展 RMS 以支持與基於第三方伺服器的應用程式更好地集成,從而實現一致和全面的信息保護的原因。

· 客戶要求 ERM 在敏感、高度安全或隔離的環境中操作,例如隔離網路(沒有連線到 Internet 的網路)。

· 這就是我們使得 RMS SP1 能夠在隔離網路中部署並提供符合 FIPS(聯邦信息處理標準)的解決方案(這樣的解決方案是我們的許

多美國政府和銀行客戶所必需的)的原因。此外,對於需要除用戶名和密碼以外的附加保護層的客戶,我們還支持需要第二因素身份

驗證才能使用受保護的內容的能力。

· 客戶需要易於部署和使用的解決方案。

· 這就是我們使用諸如軟體部署和桌面映射工具之類的標準工具使得 RMS 更容易部署的原因。此外,RMS 可以在不要求桌面用戶擁

有管理特權的情況下部署。問: 能否進一步說明 RMS 如何得到擴展以更好地與基於伺服器的應用程式集成 嗎?

答: 如今,Microsoft Office 2003 Professional 中的 RMS 實現賦予用戶向文檔和電子郵件訊息分配許可權策略的能力。許多組織

曾要求 Microsoft 允許他們以更集中的方式向信息套用許可權保護策略,例如在伺服器或網路級別。

各組織曾請求過的方案包括:

· 受保護的文檔存儲存儲庫,最終用戶可從中“簽出”文檔並確保已在幕後套用正確的許可權管理策略

· 在訊息進入和離開組織的網路時對訊息的動態許可權保護,以便發件人和收件人不必記住套用許可權,並根據組織的需要一致地強制正

確的策略。

為了更容易地支持這些類型的方案,RMS 引入了一個稱為“伺服器密碼箱”的組件。執行發布和使用受許可權保護的信息所必需的所有

加密、解密、簽名和驗證的 RMS 組件稱為“密碼箱”。在 RMS 的第一版中,密碼箱是為諸如 Microsoft Office 這樣的客戶端套用

程式設計的。因此,它缺乏伺服器應用程式所需要的性能特徵。除了增強的 SP1 客戶端密碼箱外,RMS Service Pack 1 (SP1) 還引

入了一種新的密碼箱類型。新的伺服器密碼箱將可能的 RMS 解決方案的範圍擴展到包括伺服器應用程式。

伺服器密碼箱使得伺服器應用程式記錄管理、訊息網關和電子郵件存檔解決方案能夠更容易地處理受保護的文檔和電子郵件。這個“

伺服器友好”的密碼箱實現了性能和功能改進,使得伺服器應用程式能夠根據許可權管理策略自動保護文檔(舉例而言),同時維持服

務器應用程式所需要的性能水平。問: 能否進一步說明如何消除對 Internet 連線的需要嗎? 答: 早期版本的 Windows Rights Management Services (RMS) 要求客戶的 RMS 伺服器擁有實時的 Internet 連線。要求這點是因 為 RMS 安裝過程中的兩個名為“伺服器註冊”和“客戶端機器激活”的步驟需要從客戶的 RMS 伺服器到 Internet 上承載的服務的

連線。使用 RMS Service Pack 1 (SP1),RMS 現在能夠在沒有 Internet 連線的網路(有時稱為隔離網路)中操作。這是藉助兩個

更改來實現的。

· 首先,伺服器註冊步驟(RMS 伺服器在該步驟中獲得操作所需的伺服器許可證頒發者證書 (SLC))已被更新,使之能夠脫機或在線上

執行。選擇脫機選項的客戶能夠在兩個單獨的步驟中獲得 SLC 並將其導入 RMS 伺服器,並使用物理媒體在連線到 Internet 的機器

和沒有連線到 Internet 的網路之間傳輸 SLC。

· 其次,客戶端機器激活步驟已被更新為自激活的模型。執行發布和使用受許可權保護的信息所必需的所有加密、解密、簽名和驗證步

驟的 RMS 組件稱為“密碼箱”。機器激活是安裝並激活密碼箱的過程。與從 Microsoft 託管的激活服務獲得密碼箱不同,RMS SP1

客戶端在發貨時已經包括密碼箱,並且它將在激活時自己生成必要的憑據。RMS SP1 客戶端將在由任何用戶(包括非管理員)第一次使用時自行激活。

問: 請告訴我有關 FIPS 遵從性的信息。確切地說,究竟認證了什麼內容並達到哪個

FIPS 認證級別?

答: 聯邦信息處理標準 (FIPS) 140-1 和 140-2 適用於加密產品和模組。帶 Service Pack 1 (SP1) 的 Windows Rights

Management Services 已被更新以利用 Windows 中可用的經過 FIPS-140 驗證的加密模組,該模組可通過標準的 Windows

CryptoAPI (CAPI) 接口訪問。這些模組中包含的加密算法包括用於內容的對稱加密的 AES (FIPS 197) 和用於內容密鑰和其他憑據

的非對稱加密的 RSA。Microsoft 數據保護 API (DPAPI) 用於保護機密密鑰材料。

FIPS 認證級別詳細列舉如下:

平台 FIPS 驗證級別

Windows XP、Windows XP SP1

FIPS 140-1,*經過 Level 1 驗證

Windows XP SP2

FIPS 140-1,*經過 Level 1 驗證

Windows Server 2003

FIPS 140-2,Level 1

* FIPS-140-2 於 2002 年 5 月成為正式標準。在那之前,Windows 2000 和 Windows XP 已經達到了正式的 FIPS-140-1 條件。

FIPS 140-1 仍然是有效並受認可的級別,並預計將在整個 Longhorn 交貨期限內保持有效。

問: 請告訴我有關 RMS SP1 支持的雙因素身份驗證的詳細信息。

答: 使用第一版的 RMS,用戶需要登錄並驗證身份到 Microsoft Active Directory (AD) 才能獲得 RMS 用戶憑據。一旦獲得這些

RMS 憑據,然後就能夠發布和使用內容而無需 AD 身份驗證。

客戶曾要求增強的身份驗證級別,包括雙因素身份驗證方法。

使用 RMS SP1,要求最終用戶通過智慧卡提供 x.509 證書才能獲得 RMS 用戶憑據是可能的。這將通過以下方式實現:(1) 將用戶的

Active Directory 帳戶映射到 x.509 證書,然後 (2) 在授予用戶憑據的 RMS 服務上設定訪問控制列表。這樣 Windows 將提示用

戶提供基於智慧卡的 PIN 才能驗證身份,從而授予他們 RMS 憑據。相對於簡單的用戶名和密碼 AD 身份驗證,這樣提供了一個附加

的安全層。

對非常高的安全級別感興趣的組織可以另外在 RMS 的授權服務上設定訪問控制列表。有了這種安全措施,最終用戶必須在每次使用

或“授權”新的受 RMS 保護的內容時提供網路憑據。就像在上面的認證方案中一樣,使用 RMS SP1,管理員也能夠對授權方案強制

基於智慧卡的身份驗證。

問:

RMS SP1 中的其他一些改進是什麼?

答: 需要更少最終用戶特權的更容易的部署

對於 RMS SP1,將客戶端程式包部署到台式機容易多了。例如,使用來自 Microsoft 的部署和安裝技術,客戶可以跨網路部署 RMS 客戶端而無須“接觸”桌面,也不需要最終用戶擁有管理特權。

RMS SP1 使用支持程式“公布”的安裝技術。通過公布的程式,組織可以允許非管理員調用的安裝程式臨時“提升特權”以完成安裝

。這可以使用組策略對象 (GPO) 完成,或使用 Microsoft Systems Management Server (SMS) 進一步自動化。

此外,RMS SP1 客戶端軟體將通過 Microsoft Windows Update 通道自動分發,使得客戶能夠使用軟體更新服務 (SUS) 或 Windows

Server Update Services (WSUS) 部署客戶端。

更容易的基於角色的安全性

許多組織具有將信息限制到一個其成員不斷變化的組的要求,並且他們不希望在每次有人員進入或離開該組時都得更新組定義。

在 RMS SP1 中,對基於查詢的組的支持允許根據動態組套用許可權管理策略,這些動態組由針對某些屬性的 Active Directory 查詢

所定義。例如,當接收者嘗試“使用”或打開受許可權保護的內容時,RMS 將根據分配給內容的許可權檢查他們的組成員身份。如果接收

者在嘗試使用內容時不是正確的組的成員,他們將無法獲得訪問內容所需要的許可證。這同樣適用於靜態定義的組以及基於查詢的組

。使用基於查詢的組需要 Microsoft Exchange 2000 Service Pack 3 (SP3) 或更高版本以及基於 Windows 2000 SP3 或更高版本的

Active Directory。

改進的工具和指導

RMS 工具箱已隨著 RMS SP1 的發布而被更新。RMS SP1 包括新的和經過升級的工具,例如與現有 RMS 日誌分析器工具配合使用的

Web 用戶界面,以便為客戶提供查看整個組織中的 RMS 操作(例如每用戶的認證、發布和授權)的更簡單的方法。

問:

RMS SP1 的技術要求是什麼?

答: 對 RMS SP1 的技術要求的最重要更新在於,Internet 連線不再是安裝、部署或操作 RMS 所必需的。RMS 現在可以在完全斷開 或“隔離”的網路中操作。除此之外,RMS SP1 的技術要求類似於 RMS 第一版的技術要求:

伺服器軟體要求

· 必須至少有一台運行 Windows Server 2003(Standard、Enterprise、Web 或 Datacenter 版本)的伺服器作為 RMS 伺服器。

· 環境中必須包含 Windows Server Active Directory 服務(基於 Windows 2000 Server SP3 或更高版本),該服務提供每個用戶

的已知唯一 ID。

· 不需要 Microsoft Exchange Server,RMS 就能正常工作。

· RMS 伺服器需要用於日誌記錄和配置的資料庫,例如 Microsoft SQL Server 2000 SP3 或更高版本(用於企業部署)或 MSDE(用

於測試或概念驗證環境)。

· MSDE 可用於小規模的測試或概念驗證。

· SQL Server 資料庫存儲所有服務配置數據、關於系統中的主體的信息、所有日誌數據,並用於快取 AD/DL 擴展中的查找。

· 最佳實踐和建議的實現是在專用伺服器(或負載平衡/高可用性方案中的伺服器群集)上安裝 RMS。

· SQL Server 組件可遠程安裝,並且可與其他資料庫共享。

伺服器硬體要求

· 最低:PIII 800 MHz / 256MB RAM / 20GB 硬碟*

· 推薦:雙 P4 2.4 GHz / 1GB RAM / 40GB 硬碟*

* 注意:規模估計和部署計畫是特定於客戶的。

客戶端軟體要求

· 客戶端機器

· Microsoft Windows 2000 Server 或更高版本的作業系統

· 啟用 RMS 的應用程式,例如

· Office Professional Edition 2003

· 對於沒有 Office Professional Edition 2003 的客戶端,帶許可權管理擴展的 Internet Explorer 允許使用但不允許創建受許可權

保護的內容。

問:

RMS SP1 是否附帶了 IRM 的 SP1 版本?

答: RMS 是一種平台技術,因此具有獨立於諸如 Microsoft Office 等其他應用程式的發布計畫。RMS SP1 平台將通過使用現在的 RMS 的現有 Microsoft Office 信息管理許可權 (IRM) 功能得到支持。Microsoft Office 團隊計畫在他們的產品的未來版本中利用增

強的 RMS 技術,Microsoft 的其他應用程式團隊也是如此。

熱門詞條

聯絡我們