微软RMS常见问题解答整理.docx

微软RMS常见问题解答之部署篇1、如果用于 RMS 的安全主体是全局地址列表 (GAL) 成员，则 Exchange 的版本是否存在任何依赖关系？RMS 依赖于 Active Directory，而不是 Exchange。但是，Exchange 5.5 保留其自己的目录，而不使用 Active Directory。确保 Active Directory 中的所有用户和组对象都有一个有效的电子邮件属性，该属性包含完全限定的域名。如果使用的是 Exchange 2000 或更高版本，则此操作是自动完成的。2、SQL Server 在 RMS 中扮演什么角色？RMS 使用数据库来存储所有服务配置数据、有关系统中主体的信息和所有日志记录数据，并在 Active Directory 和通讯组列表扩展期间缓存查找。已使用 SQL Server 2000 和 SQL Server 2005 完全测试 RMS。3、用户计算机是否必须加入 RMS 服务器所在的域才能使用 RMS？用户计算机不必是 RMS 群集所在域的成员，但该计算机需要能够找到 RMS 群集。客户端计算机找到 RMS 群集的最简单方法是通过服务连接点 (SCP) 使用 Active Directory 查找。但是，也可以将客户端上的注册表设置设置为找到 RMS 群集，而不必使用 Active Directory 查找。确切的注册表设置取决于启用了 RMS 的应用程序。4、如果客户希望将 RMS 服务器放在外围网络中，则要与 RMS 通信，必须对面向 Internet 的防火墙和面向 Intranet 的防火墙打开哪些端口？内部用户需要访问颁发权限帐户证书 (RAC) 和用户许可证的 RMS 服务器。默认情况下，RMS 服务器侦听 HTTP（TCP 端口 80）或 HTTPS（TCP 端口 443），这取决于服务器是否被配置为使用 SSL，因此需要对面向 Internet 的防火墙打开这些端口。需要对面向 Intranet 的防火墙打开域中成员服务器使用的其他端口。5、仅授权群集中的从属服务器是如何注册的，是否需要对客户端执行什么操作，此群集才知道这些从属服务器？当在企业的根群集中创建第一台 RMS 服务器时，该服务器将接收到来自 Microsoft 注册服务的服务器许可方证书。当安装并设置另一台 RMS 服务器时，您可以将它加入到根群集中，或者将它注册为从属仅授权群集中的服务器。如果选择将它注册为从属仅授权群集中的服务器，则它将会向 RMS 根群集发送注册请求。启用了 RMS 的应用程序指定客户端应用程序在哪里查找仅授权群集。Office 2003 是启用了 RMS 的应用程序之一，默认情况下，它查找根群集。可以使用注册表设置代替此行为，以便应用程序查找新的从属仅授权群集。6、使用从属仅授权群集有什么好处？一个好处是可以隔离组织中的不同部门。如果尚未在 RMS 群集之间建立受信任的发布域，则仅有权访问给定授权服务器的用户才能使用内容。这样，法律部门可以阻止其他人阅读其 RMS 加密的电子邮件。此外，还可以在仅授权群集中设置一些选项，如权限模板、日志记录、超级用户组中的成员身份和排除策略。7、要完全回滚 RMS 安装需要执行什么操作？要彻底回滚 RMS 安装，请执行下列过程。回滚 RMS 安装通过使用 RMS 管理网站删除 RMS 群集的服务连接点 (SCP)。从全局管理页面中，单击从此网站中删除 RMS以在服务器上取消设置 RMS。应该首先取消设置仅授权群集中任何通过注册子过程注册的服务器，然后取消设置根群集服务器。在控制面板中，单击添加或删除程序，然后删除Rights Management Services。在数据库服务器上，删除任何其余 RMS 数据库。从数据库服务器上的授权登录列表中删除 RMS 服务帐户，然后从 Active Directory 本身中删除该帐户。如果 RMS 客户端运行的是 Windows XP 和 Windows 2000，请从客户端计算机中删除 RMS 客户端。要点完成此过程之后，您无法再打开受权限保护的内容。如果 RMS 用于保护任何有价值的数据，则首先取消 RMS 配置，然后再回滚 RMS 安装。8、使用添加或删除程序卸载 RMS 客户端之后，是否要删除任何其他文件？尽管此操作不是必需的，但您也可以从 %systemroot%system32 中删除密码箱。9、RMS 使用 FAT 文件系统吗？是，尽管建议使用 NTFS 文件系统，但 RMS 在使用 FAT 的计算机上工作。10、对 RMS 使用的数据库服务器建议什么样的典型硬件配置？日志记录数据库将快速变大，尤其是在大量使用 RMS 的环境中。如果考虑对数据库服务器使用 SQL Server，则应该考虑在 Windows 2000 Advanced Server 或 Windows Server 2003 Enterprise Edition 上使用 SQL Server 2000 Enterprise Edition 或 SQL Server 2005 Enterprise Edition ，它们是在群集中进行主/从配置期间配置的。在这种情况下，建议的配置为 RAID-1 日志磁盘和 RAID-5 数据磁盘，且 RAM 至少为 512 MB。此配置建议使用的最小 CPU 为 Pentium III，运行速度为 1.4 GHz。在专用数据库服务器上，不需要多个 CPU。11、RMS 将全局编录用于组扩展会如何影响全局编录服务器的性能？RMS 服务器将缓存任何组扩展列表，以便全局编录服务器上的负载不会很大。尽管可以通过注册表配置获得新组列表的超时时间，但是频繁更新组成员身份会增加对全局编录服务器的依赖。频繁扩展较大的组将会降低性能。有关详细信息，请参阅此文档集的RMS：操作中的更改 Active Directory 缓存设置。12、RMS 是否要求更改 Active Directory 中的任何架构？为使 RMS 能够成功地跨林边界扩展发布许可证中指定的组成员身份，本地 Active Directory 林中必须存在一个联系对象，代表远程林中的组。RMS 可以查询联系对象的属性，并发现此对象代表其他林中的组。为使 RMS 能够执行此操作，Active Directory 需要 Exchange Server 2003 或更高版本的架构属性 msExchOriginatingForest。如果林中有一台服务器正在运行 Exchange Server 2003，则默认情况下，此属性安装在 Active Directory 架构中。您必须在将参与 RMS 的每个 Active Directory 架构的林中都安装此属性。如果您当前未使用 Exchange Server 2003，则可以使用 RMS 管理工具包将该架构单独安装在您的 Active Directory 结构中。13、是否将在安装了 RMS 服务器的域中的不同域控制器之间自动复制服务连接点 (SCP)？在设置林中的第一台 RMS 服务器之后，必须使用具有足够权限的域帐户在 Active Directory 中注册该服务器，以在 Active Directory 的配置容器中的服务容器之下创建容器对象。Enterprise Admins 内置安全组是具有所需权限的帐户之一。这将创建 SCP。由于其在服务容器中，因此 Active Directory 将信息复制到林中的所有域控制器中。14、如果用户对其计算机没有管理权限，则可以如何安装和配置 RMS 客户端？RMS 客户端是一个 Windows Installer 文件，可以使用软件分发体系结构（如 Systems Management Server 2003）进行分发。也可以使用组策略对象 (GPO) 分发 RMS 客户端，但该组策略对象需要使用具有管理权限的服务帐户。如果 RMS 客户端运行的是 Windows Vista，则不再需要独立的 RMS 客户端安装，因为它已集成到操作系统中。15、什么是 RMS 的可伸缩性？RMS 是一种无状态的 Web 服务，可以像任何其他网站或 Web 服务那样实现群集化和进行负载平衡。RMS 的性能主要取决于处理器的可用性，因此添加处理器可以提高性能。16、RMS 是否支持硬件安全模块 (HSM)，以保护硬件中的 RMS 密钥？是，RMS 使用符合 CAPI 的 HSM，如 nCipher HSM。微软RMS常见问题解答之管理篇1、吊销离开组织的用户对文档的权限的最佳方法是什么？通常，最好授权 Active Directory 中定义的用户组而不是个人用户帐户使用文档。建议这么做是为了在某用户离开组织后，您可以从 Active Directory 组中删除该用户，该用户不能读取发送到该组的文档。但是，该用户仍然可以读取具有现有用户许可证的文档，除非这些文档的权限设置为每次打开文档时都需要用户获取用户许可证。如果未定义该权限，则唯一可以防止用户打开具有现有用户许可证的文档的方法是清除用户计算机上的用户许可证存储。2、在两个组织之间建立信任以便交换 RMS 内容时，是否需要对传递到可信公司的任何 XrML 许可证证书进行特殊处理？建立受信任的用户域或受信任的发布域时，您将选择信任伙伴组织来参与您的权限管理系统。因此，您要冒经过精确计算的风险，相信信任另一组织不会泄露您的信息。最佳方案是，请求伙伴组织通过使用经过身份验证的通道（如 S/MIME 电子邮件）来发送其 RMS 服务器许可方证书，从而帮助缓解在将服务器许可方证书导入到 RMS 服务器之前该证书被篡改的风险。3、RMS 如何处理漫游用户配置文件？用于识别用户的权限帐户证书 (RAC) 是特定于计算机的。使用漫游配置文件时，在给定计算机上第一次使用 RMS 时将为该计算机上的用户创建一个新的 RAC。4、组织为什么要取消 RMS 配置？取消 RMS 配置将从基础结构中删除 RMS 服务器，并为用户提供了一种方法来在不采取保护措施的情况下保存受权限保护的内容。组织选择这样做的主要原因有三个：简化体系结构设计，如将服务器合并到群集中。将概念证明试验环境迁移到生产环境。合并 RMS 服务器，如在收购后。5、取消配置的全过程是什么？通过启用取消配置服务来从 RMS 根群集中启动取消配置过程。启用取消配置服务时，所有其他服务（例如，授权和认证）都将被禁用。之后，在使用 RMS 功能时，每个用户的启用了 RMS 的应用程序需要被定向以连接到取消配置服务。Microsoft Office 2003 就是启用了 RMS 的应用程序的一个示例。在 Office 2003 中，通过使用注册表项将 RMS 客户端定向到 RMS 服务。一个特定注册表项标识取消配置服务。一旦此注册表项配置为将客户端定向到取消配置服务，RMS 群集就会向用户授予该内容的用户许可证，该许可证提供完整权限，包括读取、写入、复制、打印、编辑等等，而不考虑最初是否向用户授予了这些权限。然后，系统应指示用户从完全取消 RMS 群集的配置之后仍想要保留的任何文档中删除所有权限保护。完成此操作之后，就可以完全停止使用 RMS 群集。最佳方案是备份 RMS 群集的配置数据库，以防在停止使用该群集之后，需要恢复受权限保护的文档。如果没有 RMS 根群集的私钥，则仅文档的作者能够在删除服务器之后打开受权限保护的内容。6、是否可以取消 RMS 服务器的配置，以便只有某些用户能够恢复文档？您可以对取消配置 Web 服务 (decommission.asmx) 应用访问控制列表 (ACL) ，以控制对取消配置服务的访问，这样仅某些用户可以获取受权限保护的内容的解密密钥。7、服务器不能访问应用程序目录意味着什么？安装 RMS 之后，第一次尝试打开 RMS 管理网站时有时会出现此错误。收到此错误后，不能配置或管理 RMS。此错误通常在 Internet Information Services (IIS) 以 IIS 5.0 隔离模式运行时发生。使用下列过程禁用服务器上的此设置，然后重新启动 IIS 来解决此问题。禁用 IIS 5.0 隔离模式以本地管理员组成员的身份登录到 RMS 服务器。单击开始，指向管理工具，然后单击Internet 信息服务 (IIS) 管理器。在IIS 管理器中，展开本地计算机，右键单击网站，然后单击属性。单击服务选项卡，清除以 IIS 5.0 隔离模式运行 WWW 服务复选框，然后单击确定。此更改要求重新启动 IIS 服务。当系统提示您是否重新启动 IIS 服务时，请单击是。8、是否可以对 RMS 服务器使用跟踪功能？由于 Rights Management Services 是使用 Microsoft? .NET Framework 创建的，因此您可以启用跟踪功能，以帮助跟踪系统事件并解决问题。如果修改 Web.config 或 Machine.config 文件，则可以实施跟踪。当在 Machine.config 文件中实施跟踪时，将对计算机上的所有软件组件执行跟踪操作；但是，如果在 Web.config 文件中实施跟踪，则只跟踪 Web 服务中出现的事件。启用跟踪功能打开 Machine.config 文件或 Web.config 文件，然后将下列各行添加到该文件中的 部分之下：从命令提示符运行 IISRESET 以重新启动 IIS。收集完所需的数据后，请从 .config 文件中删除在第一步中添加的行。从命令提示符运行 IISRESET 以重新启动 IIS。要点当您对 RMS 服务器使用跟踪功能时，可能出现性能问题，如获取用户许可证以及颁发权限帐户证书的延迟时间较长。只在某些特定情况下使用跟踪，以便诊断和解决现有的问题。9、什么是时钟偏移？应该如何管理时钟偏移？时钟偏移是指某一计算机上的时钟时间与其他计算机上的时钟时间有差异。这是常见的情况，就像处于同一房间里的两个人的手表所指示的时间略有不同一样。当您在许可证中指定有效期时，时钟偏移可能导致出现问题。许可证中的有效期是根据发布服务器的时钟设置的。在发布和使用周期中，这些时间的时钟偏移可能导致出现问题，如下面两种情况所述：应用程序尝试使用发布许可证来获取用户许可证，而根据 RMS 服务器的时钟，该发布许可证的有效期在过去结束或在将来开始。在这种情况下，请求将会失败。对于申请用户许可证的最终用户或者尝试预授权文档（以代表用户获取用户许可证）的应用程序而言，可能会出现这种情况。如果许可证的有效期已过（或尚未开始），尝试使用许可证将会失败。否则，仅已过期（或尚未有效）的权限不可用。例如，如果发布计算机的时钟比使用计算机的时钟慢 15 分钟，则发布服务器将创建一个发布许可证，指定内容将在 15 分钟后过期，而用户将从服务器接收到一个无法使用的用户许可证，因为该用户许可证所授予的、查看内容的权限已经过期。对于时钟偏移问题，尚没有完美的解决方案。较好的解决方案是，按照较迟的时钟来设置有效期的开始时间，尽可能使其早于用户的当前时间，以便延长时间较快的用户的许可证有效期。建议您时刻记住时钟偏移问题带来的影响，尤其是在创建具有较短有效期的许可证时。微软RMS常见问题解答之安全篇1、什么是超级用户帐户？RMS 支持一个特殊的超级用户组，该组对所有受权限保护的内容拥有完全控制权。在由配置了超级用户组的 RMS 群集颁发给超级用户组成员的所有用户许可证中，超级用户组的成员被授予全部所有者权限。这意味着，该组的成员可以对任何受保护的文件进行解密，并可解除对它们的保护。例如，该组的成员可以解除对已离职员工发布的文件的保护，以便新的所有者可以发布和管理这些文件。2、RMS 是安全解决方案吗？不，RMS 不是安全解决方案。与启用了 RMS 的应用程序（如 Office 2007）一起使用时，可以将 RMS 视为策略强制实施解决方案。如果用户未被授予查看数据的权限，则该用户可以使用蛮力攻击尝试破解加密。尽管加密非常可靠，但像所有软件加密方案一样，它是可以破解的。但是，如果用户有权查看数据，则该用户可以手动复制它或对其拍摄数字图片，并向未经授权的用户提供信息。3、在收件人的用户许可证过期后，可以使用什么机制防止收件人向后拨动其客户端计算机上的时钟，延长对受权限保护的文档的访问？RMS 将检测是否向后或向前拨动了客户端系统上的时钟，并阻止用户使用内容。此外，RMS 还将检测 RMS 服务器与客户端之间是否存在可测量的时差。4、Domain Admins 组成员是否能够读取用于该域中其他人的文档？如果 Domain Admins 的组成员是 RMS 超级用户组的成员，或者 Domain Admins 组的成员模拟某个用户帐户，则他们可以读取对该用户帐户保护的内容。因为 Domain Admins 组的成员可以对域中的用户帐户进行控制，所以无法缓解 Domain Admins 组中有不可信成员这一情形。最佳方案是，当 Domain Admins 组的成员需要访问受权限保护的内容，仅将他们添加到超级用户组中。如果向超级用户组的成员授予许可证，则 RMS 服务器的应用程序事件日志中将记录事件 ID 49。事件 ID 49 描述已为超级用户组中的一个用户授予了许可证。该用户有以下电子邮件地址：，其中用户别名将替换为该用户的电子邮件帐户。对于用于限制对资源的访问的其他组，您应该定义警报并执行安全检查，以帮助防止某人未经授权加入超级用户组。5、我知道每个密码箱都可以验证系统中生成的每个证书或许可证，就像这些证书或许可证来自向 Microsoft 注册的服务一样。这种保护面临什么威胁？如果不能验证证书的完整性，则用户可能骗取颁发给其他用户的权限帐户证书 (RAC)，并获取内容的用户许可证，或者创建一个可解除文档保护的应用程序。6、如果有人使用蛮力攻击打开了一个文档，他们是否可以使用该密钥打开其他文档？每一部分受权限保护的内容都是使用随机生成的不同对称密钥加密的。因此，每个文档的密钥都是唯一的，不能用于解密其他文档。7、由于对加密技术的出口限制，是否会在部署密钥的企业外部暴露部分密钥？登录到 Microsoft 根的应用程序受 Microsoft 密钥签署根的限制，但在此之前，Microsoft 或客户部署不会披露其他密钥。8、如何防止恶意攻击者远程启用取消配置功能？攻击者需要对 RMS 群集具有管理权限的用户帐户的凭据。默认情况下，RMS 管理界面仅在 RMS 服务器上本地可用。确保这种情况保持不变、远程桌面协议 (RDP) 被禁用以及服务器在物理上安全无虞，这样可帮助缓解风险。9、用户是否可以对受权限保护的内容执行屏幕捕获？如果 RMS 权限被设置为不允许使用复制功能，则 RMS 将会禁用 Windows Alt+PrtSc。但是，在具有不受管理的台式机的环境中，用户可以使用非 Microsoft 产品捕获内容。10、备份与 RMS 相关的文件的管理员是否有权访问受权限保护的内容？否，他们可以执行备份，但无权访问。11、Windows 使用的交换文件是否一直包含未加密的内容，并且很可能使内容保持打开状态？一旦 RMS 客户端将加密的内容发送回应用程序，该内容就会出现在交换文件中。Rights Management Services (RMS) 软件开发工具包 (SDK) 中的部分 RMS 应用程序开发建议包括防止出现这种情况的步骤，但由启用了 RMS 的应用程序来执行这些步骤。12、是否可以限制能够访问 RMS 的不同管理功能的管理员？是，您可以在 Active Directory 中创建不同的 RMS 管理员组、添加用户，然后为管理页面创建合适的访问控制列表 (ACL)。例如，RMS 管理网页 ACL 的默认配置指定仅设置了服务器的用户可以访问安全设置页面。13、在用户硬盘或共享文件夹中创建了单独的文档之后，RMS 能马上保护这些文档吗？尽管 RMS 可用来保护存储在用户的本地计算机上的文档，但最好选择加密文件系统 (EFS)。EFS 透明地保护文档，而 RMS 需要手动干预（单击鼠标数次）才能保护文档。14、打开一个文件时，是否加密自动保存文件和临时文件？是，所有临时文件都将被加密。15、我接收到一个受权限保护的电子邮件，该邮件中似乎带有附件。我能保存该附件，即使可能无法保存电子邮件 - RMS 被破解了吗？否。这是预期行为。在 RMS 客户端解密附件之前，您看到的附件是加密的消息。它仍受权限保护，一旦解密后就不能保存了。微软RMS常见问题解答之证书密钥和加密篇1、RMS 中使用什么加密算法？RMS 对 RMS 服务器使用 2048 位 RSA 密钥，对用户和计算机密钥对使用 1024 位 RSA 密钥。2、RMS 是否使用经过 FIPS 认证的加密？在 RMS Service Pack 1 或更高版本中，如果 RMS 客户端安装在运行 Windows XP 或 Windows Server 2003 的计算机上，则由该客户端应用程序生成的密码箱使用经过 FIPS 认证的 AES 加密。但是，如果 RMS 客户端安装在运行 Windows 2000 的计算机上，则不会安装经过 FIPS 认证的 AES 库，因此这些密码箱不符合 FIPS。3、对于将权限授予通讯组列表而不是个人用户的发布许可证或模板，是否采用不同的方式处理用户许可证以便动态评估成员？用户许可证总是颁发给个人用户。如果发布许可证或模板指定一个组，则 RMS 会在颁发用户许可证时评估组成员身份。如果请求用户许可证的用户是指定组中的一个成员，则会将用户许可证颁发给该用户的标识。4、在网亭中使用 RMS 时，将颁发临时权限帐户证书 (RAC)。临时 RAC 与标准 RAC 有何区别？RMS 如何检测网亭中是否正在使用它？启用了 RMS 的应用程序必须确定 RMS 客户端应该为用户请求临时 RAC 还是标准 RAC。在这种情况下，没有检测方法。Microsoft Office 2003 是启用了 RMS 的应用程序之一，它允许用户选择合适的 RAC。临时 RAC 和标准 RAC 之间的主要区别在于指定的有效期不同以及是否存在用户安全标识符。临时 RAC 不包括用户 SID，其指定的有效期为几分钟。临时 RAC 的默认有效期为 15 分钟。但是，标准 RAC 包括用户 SID，其指定的有效期为几天。标准 RAC 的默认有效期为 365 天。5、何时使用临时 RAC？临时 RAC 设计为允许用户在满足下列任何条件的计算机上使用受 RMS 保护的内容：计算机不是从中获取 RAC 的 RMS 安装所在林的成员。计算机不是用户帐户所在林的成员。不能保证用户以后使用同一台计算机。满足这些条件的计算机的示例可在机场候机楼、公共图书馆和网吧中找到。6、RMS 是否颁发 X.509v3 证书？否。RMS 颁发旨在代表用户和超出 X.509v3 证书范围的策略表达式的 XrML 证书。7、XrML 证书存储在何处？RMS 系统使用存储在客户端计算机上的 XrML 中的下列证书和许可证。计算机证书文件名：CERT-Machine.drm 文件位置：%USERPROFILE%Local SettingsApplication DataMicrosoftDRM权限帐户证书文件名前缀：GIC位置：%USERPROFILE%Local SettingsApplication DataMicrosoftDRM客户端许可方证书文件名前缀：CLC位置：%USERPROFILE%Local SettingsApplication DataMicrosoftDRM用户许可证文件名前缀：EUL位置：%USERPROFILE%Local SettingsApplication DataMicrosoftDRM注意对于访问的每部分内容，用户帐户都有一个计算机证书、GIC 文件和 CLC 文件，但有多个 EUL 文件。注意对于与 Windows Vista? 集成的 RMS 客户端，该位置为 %USERPROFILE%AppDataLocalMicrosoftDRM。8、计算机私钥/公钥对存储在何处？计算机私钥被安全存储，由与用户的登录凭据和计算机配置相关的加密密钥保护。9、客户端私钥/公钥对存储在何处？用户帐户的密钥对存储在权限帐户证书中。10、AES 是对称算法。如何在服务器和用户之间安全传递密钥？系统中同时使用对称密钥和公钥/私钥。内容使用对称密钥进行加密，但系统中的其他密钥（用户、计算机和服务器）是 RSA 公钥/私钥。对称内容密钥总是在各种许可证中加密的，要么在发布许可证中加