Windows Server 2012 RMS介绍
2016-03-22 14:51
344 查看
【摘要】此文章为大家介绍的是一款简单,好用,免费,效果还不错的安全软件,属于Windows Server系统中的一个角色,那就是ADRMS,微软文档安全管理服务(RMS):Right Management Service,主要针对于office文档的加密和权限控制,比如:打开这些文档时多了一部身份验证的过程,意味着对这些文档的安全性有一个很好的掌控,唯一遗憾是,RMS与Windows Live ID集成功能因为一个不可解决的问题,官方已经关闭了此服务。【正文】RMS最开始从Windows Server 2003引入,在2003系统使用RMS需要独立安装。从Windows Server2008开始,RMS的环境整合到AD中,从而RMS也称ADRMS,ADRMS可以支持office的应用程序,也可以支持PDF等应用程序。
1部署简述
ADRMS的部署存在基本运行环境,同时运行ADRMS做一个管理时是以群集为单元,所以在RMS部署中会部署RMS群集,群集中包含两台不同的服务器,从而实现负载平衡以及冗余的功能,一般可通过DNS轮询来实现。
在构建好RMS群集环境后,便可查看最终用户是如何使用RMS运行环境,从而去实现对文档权限的控制,即使文档被拷贝出去,对文档的权限设置依然是处于有效状态。
2原理及架构介绍
RMS基础架构如下:
![](http://s4.51cto.com/wyfs02/M00/7D/D7/wKiom1bw6krhyzkJAABqh0bn3t8067.png)
首先我们打开的office文档要能支持RMS的应用程序,企业中必须存在RMS服务器,在打开文档需要输入用户名和密码的情况,实际上就是连接到RMS服务器。其中,RMS的权限配置信息也会保存在数据库中。
假设场景进行说明,更为容易理解其工作过程:
a.用户名A设置
![](http://s5.51cto.com/wyfs02/M01/7D/D7/wKiom1bw6k7gFNYvAACJ8B7d5Qc498.png)
在此基础架构中,用户A使用RMS保存加密文档,需要使用自己的用户登陆到RMS,首次登录时,RMS会为用户A颁发两张证书:客户端证书(CLC)和权限用户证书(RAC),这两张证书的信息会保存到RMS数据库和客户端本机上。
此时,用户A就可以选择指定用户对指定的文件做特定的访问。
b.用户A设置完成并保存后,文档处理过程
![](http://s3.51cto.com/wyfs02/M00/7D/D4/wKioL1bw6umw6b5nAAEA4RMvq-Q663.png)
阶段一:
文档会使用随机的密钥key(128位,AES加密方式)将文档变成密文---此随机的密钥key会由RMS服务器证书SLC(该证书在创建和配置RMS时自己生成的自签名证书)进行加密。
阶段二:
在完成文件加密过程后,对于文件来说,需要做一个权限访问列表,例如:哪些用户可以访问、哪些用户可以打印、哪些用户可以复制。对于该权限列表,在保存文档时(该列表在本地也是存在的)也会使用RMS服务器证书SLC对该列表也会进行加密,除了SLC,还有客户端证书CLC的公钥对如上所说的整体做加密。
加密完成后,访问的信息也在文件当中。最终用户保存的文件便是如此:密文以及加密的key也做了加密,访问的权限也做了加密。
c.文件传播后
用户B得到该文件,能够正常看到该文件(因为该文档程序支持RMS,因此可以读懂这些信息,可以看到该文档为加密)----然后可以读取RMS服务器地址(也就是找到许可访问的入口)----RMS服务器查看文件的访问的信息,因为这些信息也会保存在数据库中,所以可以通过数据库查看这些信息。
用户B首次打开文档也要输入用户名和密码进行登陆,登陆时也会有自己的客户端证书(CLC)和用户证书(RAC),获取这些证书后,请求打开用户A传递过来的文档,所以会把自己的RAC提交(也就是个人用户信息)到服务器。
RMS服务器先去解密访问列表:该列表会和需要去打开该文档的用户B进行对比,发现列表当中是有用户B,接下来对文件进行解密。然后把解密的这部分信息通过网络传
递(传递前先做解密,解密后再用RAC公钥做一次加密)到RMS服务器上,最终传递到用户B的计算机上。
传递完成后,RAC的私钥会对文件进行解密,解密后即可获得用户B自己的访问权限。
1部署简述
ADRMS的部署存在基本运行环境,同时运行ADRMS做一个管理时是以群集为单元,所以在RMS部署中会部署RMS群集,群集中包含两台不同的服务器,从而实现负载平衡以及冗余的功能,一般可通过DNS轮询来实现。
在构建好RMS群集环境后,便可查看最终用户是如何使用RMS运行环境,从而去实现对文档权限的控制,即使文档被拷贝出去,对文档的权限设置依然是处于有效状态。
2原理及架构介绍
RMS基础架构如下:
![](http://s4.51cto.com/wyfs02/M00/7D/D7/wKiom1bw6krhyzkJAABqh0bn3t8067.png)
首先我们打开的office文档要能支持RMS的应用程序,企业中必须存在RMS服务器,在打开文档需要输入用户名和密码的情况,实际上就是连接到RMS服务器。其中,RMS的权限配置信息也会保存在数据库中。
假设场景进行说明,更为容易理解其工作过程:
a.用户名A设置
![](http://s5.51cto.com/wyfs02/M01/7D/D7/wKiom1bw6k7gFNYvAACJ8B7d5Qc498.png)
在此基础架构中,用户A使用RMS保存加密文档,需要使用自己的用户登陆到RMS,首次登录时,RMS会为用户A颁发两张证书:客户端证书(CLC)和权限用户证书(RAC),这两张证书的信息会保存到RMS数据库和客户端本机上。
此时,用户A就可以选择指定用户对指定的文件做特定的访问。
b.用户A设置完成并保存后,文档处理过程
![](http://s3.51cto.com/wyfs02/M00/7D/D4/wKioL1bw6umw6b5nAAEA4RMvq-Q663.png)
阶段一:
文档会使用随机的密钥key(128位,AES加密方式)将文档变成密文---此随机的密钥key会由RMS服务器证书SLC(该证书在创建和配置RMS时自己生成的自签名证书)进行加密。
阶段二:
在完成文件加密过程后,对于文件来说,需要做一个权限访问列表,例如:哪些用户可以访问、哪些用户可以打印、哪些用户可以复制。对于该权限列表,在保存文档时(该列表在本地也是存在的)也会使用RMS服务器证书SLC对该列表也会进行加密,除了SLC,还有客户端证书CLC的公钥对如上所说的整体做加密。
加密完成后,访问的信息也在文件当中。最终用户保存的文件便是如此:密文以及加密的key也做了加密,访问的权限也做了加密。
c.文件传播后
用户B得到该文件,能够正常看到该文件(因为该文档程序支持RMS,因此可以读懂这些信息,可以看到该文档为加密)----然后可以读取RMS服务器地址(也就是找到许可访问的入口)----RMS服务器查看文件的访问的信息,因为这些信息也会保存在数据库中,所以可以通过数据库查看这些信息。
用户B首次打开文档也要输入用户名和密码进行登陆,登陆时也会有自己的客户端证书(CLC)和用户证书(RAC),获取这些证书后,请求打开用户A传递过来的文档,所以会把自己的RAC提交(也就是个人用户信息)到服务器。
RMS服务器先去解密访问列表:该列表会和需要去打开该文档的用户B进行对比,发现列表当中是有用户B,接下来对文件进行解密。然后把解密的这部分信息通过网络传
递(传递前先做解密,解密后再用RAC公钥做一次加密)到RMS服务器上,最终传递到用户B的计算机上。
传递完成后,RAC的私钥会对文件进行解密,解密后即可获得用户B自己的访问权限。
相关文章推荐
- 如何重装TCP/IP协议
- Windows 8 官方高清壁纸欣赏与下载
- Richard Stallman 被迫辞去 FSF 主席的职务
- Seafile Server本地权限提升漏洞(CVE-2014-5443)
- 从USB安装Ubuntu Server 10.04.3 图文详解
- 谁是桌面王者?Win PK Linux三大镇山之宝
- 对《大家都在点赞 Windows Terminal,我决定给你泼一盆冷水》一文的商榷
- Windows Clang开发环境备忘
- 从Windows系统下访问Linux分区相关软件
- 对《大家都在点赞 Windows Terminal,我决定给你泼一盆冷水》一文的商榷
- Windows下搭建本地SVN服务器
- 使用Windows原生命令一键清空剪贴板
- 利用开源软件打造自己的全功能远程工具
- 使用zabbix监控Nginx活动状态--Part1
- 高效访问Internet-启用ISA Server的缓存
- Visual Studio 2012 示例代码浏览器 - 数以千计的开发示例近在手边,唾手可得
- Visual Studio 2012 示例代码浏览器 - 数以千计的开发示例近在手边,唾手可得
- 微软镜像下载