域环境下重要资料文件的安全-EFS加密.doc

域环境下如何保护重要资料文件的安全(一)-EFS加密(上)原创作品，允许转载，转载时请务必以超链接形式标明文章 原始出处 、作者信息和本声明。否则将追究法律责任。/151750/191592hi,大家好.我想和大家从简入难地交流一下这个话题,是由来于论坛上一个网友的提问( 链接:/thread-604202-1.html).可能还有很多朋友也关心这个问题,那么我们就来一起看看怎么解决它吧.话说资料文件的安全一直是比较受到公司重视的部分.以本人所在的公司来说,由于企业性质,员工进出单位都是禁止携带移动存储设备的(有保卫部门 安检,违反规定的员工必然开除),并且公司内客户端(超过1500台)电脑全部做了USB端口管制,Netscreen硬件防火墙+ISA代理服务器限制 上网,等等等等,部署了多重安全措施.足见公司对资讯安全的重视!那么,这样就无懈可击了吗?如果在域环境下,有人趁我不在的时候用他/她自己的域账号登 录了我的电脑,偷看了我的重要文件(绝不该他/她看的文件)呢?如果文件被打开然后被打印或被抄写,纸张带在身上可不会触发金属探测器的哦.那么,我们要用什么方法来尽量避免此类情况出现呢?并且前提是:一.尽量花钱少,现在提倡开源节流,申请买什么都难啊,别说是动辄几千上万的软件硬件了.二.用户体验良好,不能有太复杂的操作让用户(员工)来做,这点很重要.操作过于复杂,可能造成用户操作失误而没有达到效果,另外长期以往,用户会产生抵触心理而不怎么使用它.三.加密技术成熟,不要像PDF,winrar这类加密文件随便google一下也有百八十种破解工具.好吧,目标很明确了,开始挑战之旅吧.先看看现有的环境.公司客户端操作系统基本上都安装的是Windows XP Professional,还有极少部分的Windows 2000 Professional,并且磁盘上的分区格式基本上都为NTFS(老旧的2000还有用FAT32格式,XP系统都是我们IT部门统一安装的,可以保 证是NTFS磁盘文件格式).我们在请出今天的主角之前,要先把残留的FAT32消灭,都换成NTFS.那得先把装Win2000的客户端从局域网中都找出来.手段多种多样,最省事的,发个全厂mail通知用户查看自己的计算机情况,然后不是 ntfs的打电话或发邮件反馈,那样动静太大了,而且也体现不出我们系统工程师的水平.所以,一般可以使用脚本收集客户端信息再来导入到数据库中查找 (-最专业最繁琐的做法), 好在我的环境中有SMS2003,省事了,直接到计算机集合里面看看就知道啦找到了以后提出远程控制请求.取得了客户机的控制权以后我们要做的就是转化磁盘格式.命令相信大家已经烂熟于心了:CONVERT volume /FS:NTFS /V /CvtArea:filename /NoSecurity /X如果提示你当前域用户权限不足,而你又不想登出切换管理员账号,不妨用用runas命令.然后重启计算机,完成磁盘格式转化.接下来我们可以请出本文主角了-EFS (Encrypting File System，加密档案系统)简单介绍一下EFS吧.从Windows 2000/XP/Server 2003开始,系统都配备了EFS（Encrypting File System，加密档案系统），它可以针对存储在NTFS磁盘卷上的文件和文件夹执行对用户透明的加密操作.说到对用户透明,是因为你(用户)使用它加密 的文件在访问时不会产生任何让你输入密码之类的操作,感觉和没有和访问未加密文件没有区别.我们后面演示部分会看到.其实,EFS加密技术也是采用了公钥/私钥密码学原理的,这个原理要铺上来怕是几千字都不够写,大家只要记住一点就好:公钥加密,私钥解密.所以任何被某用户公钥加密后的NTFS文件也只能被此用户的私钥解密,没有手握这个用户私钥的其他用户想解密/查看是办不到的.要使用EFS来加密文件或文件夹,那真的是非常简单:这里有个域用户cto想要加密他的一份重要文件,他要做的操作就是在要加密的文件上鼠标右键点击属性-点击高级-勾选加密内容以便保护数据OK,完成.如果是要加密整个文件夹,就在文件夹属性里执行上面的操作,有一小点不同的是你需要选择是只对此文件夹加密还是要对文件夹中所有的资料(文件,子文件夹)加密.点击确定后完成加密,可以看到文件名字变成了绿色,用户cto双击文件,可以正常查看修改.然后我们注销系统,使用另外一个域用户cfo登陆,定位到刚才的文件,双击打开,拒绝访问了.效果达到,用户cfo不能查看用户cto使用EFS加密过的文件.有的朋友问了,如果这个文件是放在共享文件夹内的呢? 会提示你无法查看也无法复制的.记得有个网友问过如果复制过来的分区是FAT32格式的呢,结果是一样的.仍然是拒绝访问.这是为什么呢?道理很简单谁有那把秘密钥匙谁才能开那个箱子.问题来了,那把密钥到底放在那个房子(存放加密文件的计算机)的什么地方呢?若是把那把密钥给我我就能开那个箱子了吗?回看cto加密的计算机上,确保使用cto此域账号登陆,使用mmc命令调出控制台(或者使用certmgr.msc),添加证书管理单元,选择我的用户账户点开个人-证书,可以看到有一个对应当前cto用户名的证书,我们选择导出它.这里一定要选择是,导出私钥 , 私钥正是我们苦苦寻找的那把解锁的钥匙保持默认密钥外头还要套个密码箱才能交给别人,怎么样?保护的够周到吧.切记,你要把这把钥匙给别人用,你的这个装它的密码箱密码也是要交给别人的给钥匙起个名字完成,导出传说中的血色十字军钥匙现在我们可以换cfo登录系统,找到刚才导出的cto的密钥双击,导入,导入时要输入刚才导出时设置的密码导入成功后可以在cfo的证书管理控制单元中看到cto的证书注意看上图中,只有新导入的cto的用户证书,而没有cfo自己的,这是因为cfo还没有使用EFS加密过文件,等他第一次执行过EFS加密,就会看到相应的证书了.cfo现在可以看cto亲手加密的文件了.这样做其实有一定的后果,你想,cfo拿到了cto的私钥,以后这台机器上只要是cto的加密文件cfo就都能看了,cto可不干了,有没有办法让cto指定cfo能看哪些加密的,不能看哪些加密的呢?其实,这个问题,在Windows XP Professional版本中就得到了解决,要达到这个效果,需要让cfo也使用EFS加密一次以便生成自己的用户证书.注明:我已经将刚才导入的cto证书删除,模拟cto证书没有导入的情况此时cfo已经无法访问cto加密过的文件下图为例,cfo想要访问cto加密的一个文件,文件名为可以看到,访问拒绝 回到用cto账号登录,在此文件上右键属性-点击加密旁边的详细信息按钮,在可透明访问这个文件的用户下点击添加可以看到cfo的用户证书也赫然在列,我们把它加进来注销,再以cfo登录cfo可以看cto特意为他共享出来的EFS加密文件了,然而他贪心不足地还想看看旁边的那个想投机把自己证书加进去.就是这样.经过了EFS加密设置,cto只要保护好自己的账号密码,就不用担心有人能偷偷登录到他本机去看他的重要资料了.但是有一点,非常关键,想必吃过这个亏的网友都牢记住了,用来解密文件的用户私钥是一定需要随证书导出来备份的,否则当重新安装了操作系统而无相应的用户证书导入之时,就算你用相同的用户再登入也是无法解密的.那用户当时就是忘记了备份含密钥的证书了,而现在出问题了,怎么办?我只能告诉你,网上可能会有一些破解EFS加密的软件你可以尝试,但完全恢 复几率很低.要么你可以尝试重构计算机SID,加密时使用的账号/域账号的SID,这个难度很大很大.所以,我觉得防患于未然才是王道,既然我们一直在说的是处于域环境的,所以EFS下篇我会为大家介绍网域中的EFS Recovery Agent.它做什么用的,怎么使用?.同时,也会补充分析一下网域中使用EFS的缺陷及不足.呵呵,敬请期待域环境下如何保护重要资料文件的安全(一)-EFS加密(下)2009-08-14 23:15:09原创作品，允许转载，转载时请务必以超链接形式标明文章 原始出处 、作者信息和本声明。否则将追究法律责任。/151750/192026 在域环境下如何保护重要资料文件的安全(一)-EFS加密(上)这篇文章中我们回顾了如何通过使用EFS加密从而达到保护重要资料文件安全的目的.相信通过演示,大家也是对EFS的效果比较满意的,有兄弟就蠢蠢欲动了,想推广和部署在生产环境中了.哦,先别急别急,多听我说几句. EFS在生产环境中使用,你需要考虑这么几个很现实的问题: 1.含密钥的用户证书的导出和备份 因为EFS操作简单易用,可能会有很多人使用它.但是使用EFS的人越多,对于用户证书及密钥的管理就越麻烦,不备份证书及密钥当然不可行,遇到系统故障 需要重做系统或者用户账号被删除,都是极其麻烦的事情;导出来了存放在什么安全的位置又需要考虑,总不能还放在用户磁盘中让有心人很容易就能找到吧. 2.需要防止用户无意或者恶意地对一些共享性质文件加密操作.举个极端点的例子,某某员工在离职前夕用EFS加密了很多办公电脑上的重要资料,他倒是拍拍屁股走了后脚开会要用到这些资料了,而他的域账号刚 巧也被IT管理人员kill掉了,这个时候他的工作接班人可就难受了.其实域账号还好了,网管员还能从AD备份中执行授权还原回来(请参考: /151750/191430) ,要是那个员工用的是自己建立的本地账号,而后还删除掉了,那就没那么简单了.所以,在你的环境中如果给予用户账号权限过大,这个是需要你结合起来慎重考虑的. 3.EFS是微软推出的蛮久的一种系统应用,正因为其历史悠久,它的算法及加密流程等已被计算机高手所攻破,所以网上也散布着不少破解工具(有兴趣的朋友 可以看下/?p=39).如果你的环境中没有能有效防止有心人在别人电脑上使用这些软件的手段(包括技术 上和行政上的),那么别有用心之徒还有有机会将加密文件解开的. 所以在上篇的讨论部分中胡兄的友情提示大家还是要用心体会一下的. 其实,在域环境下,我们还是有一些技术手段设置能缓解上面的问题的. Now,为大家介绍EFS Recovery Agent,中文官名:EFS恢复代理,文中以下简称EFSRA. EFSRA,说简单点,就相当于一个或多个被用户信任的人,他/他们手里握有一种万能钥匙,拿着这把钥匙,可以解密任何信任他/他们的用户使用EFS加密过的文件. 在比较早的时候,处于工作组环境下的Windows 2000 pro/server 系统中默认的EFSRA就是管理员账户administrator(这里我就不截图了,手头一时找不到没有加域的Windows 2000的机器).这意味着就算发生上面提到过的状况,使用administrator都可以打开任何用户的加密文件.这样会产生一些问题,对于网管朋友 们可能就根本不用去思考要不要备份用户私钥,对于用户加密过的文件安全性不高.所以到了xp pro/Windows server 2003时代,微软修正了工作组环境下的管理员账户已经不再是默认的EFSRA了. 这里我打开一台还未加域的XP SP3计算机,使用本地管理员帐号加密了一个文件,然后在属性中看它的EFS恢复代理,可以看到,确实为空白,没有任何恢复代理账号的存在. 我现在把这台机器加入域.仍使用上篇中使用过的普通域账号cto登陆. 查看刚才本地管理员加密过的文件属性里的EFSRA信息,没变化,还是空白. 新建一个文件然后加密,看看属性.看到了有一个EFSRA了吧,又是administrator,他是被自动添加进来的哦.不过,这个administrator可不是次计算机本地管理员帐号的证书,而是domain administrator的.他能被自动加进来也是因为默认域组策略生效的使然.口说无凭,我们到DC上看一下.打开默认域策略Default Domain Policy,找到计算机配置-Windows设置-安全设置-公钥策略-加密文件系统我们可以看到这里有一个证书的存在,名称是administrator,预期目的是文件故障恢复. 双击此证书浏览到详细信息选项卡仔细看一下证书微缩图号码.(若是在Windows server 2003 上则被称为证书指纹)AD中:客户端上: 证明这俩是同一个物件. 那么,我们怎么使用EFSRA来解密用户的加密文件呢?模拟情景:cto此域账号已经被删除并无法还原,在Windows XP pro上经cto使用EFS加密的文件全部无法打开(包括使用local administrator 和domain administrator账号登录),EFSRA为domain administrator. 我们开始救援行动,先到DC上导出EFS恢复代理的证书和密钥. 注意一定要选择一并导出私钥余下过程图略,与上篇演示相似. 然后到客户机上使用域管理账号登陆.导入刚才导出的证书. 导入成功后再试试看点开刚才不能访问的文件可以看到cto先生加密过的文件啦操作流程真的很简单,不是吗?而且,域内有这么一个真神坐镇后方,作为系统管理员的你是不是安心了很多呢?深一步想,我们是可以用内置网域管理员账号Administrator还有他的包含私钥的证书来解密任何一个域账号加密过的文件了,但是,在实 际管理中这样操作可能不是很方便, 因为正规企业一般都是会要求为员工建立相应的网域账号的,连网管员也不例外,所以我们平时工作中使用的账号基本上不会是这个内置的域管理员账号 Administrator,例如我平时用的账号是jrfly331.那么,能不能把我们自建的账号以及对应的用户证书设置为恢复代理呢?答案是肯定的. 我们来看一下怎么做吧. 到DC上,还是打开默认域策略Default Domain Policy,找到计算机配置-Windows设置-安全设置-公钥策略-加密文件系统,在其上鼠标右击, 选择添加数据恢复代理程序,略过向导画面,可以看到注意高亮部分,说的很明白,如果你要添加的用户证书已经在AD中发布,就可以直接选择浏览目录,如果没发布在AD中,需要手动指定用户证书文件(.cer格式). 我们先来看一下手动指定的方式.先使用我的域账号jrfly331登陆到任意一台客户机上,这个时候肯定是看不了cto加密过的文件的.我们调出cmd命令提示符,在里面输入cipher /?可以看到,cipher 其实就是使用EFS加密操作的命令行方式.参数很多,大家可以仔细看一下,不难发现,其实上篇中所有操作基本上都可以用cipher来完成的.这里我们特别关注一下/R参数呵呵,原来.cer文件是可以这样生成的. 继续两个证书都生成了. 我们把其中的.cer(安全证书)证书拷贝到DC上去,并且打开添加数据恢复代理程序,找到它导入完成后可以看到jrfly331也成为了EFSRA了 余下的步骤和前面一样,在客户机上导入jrfly331的私钥证书使用gpupdate/force刷新组策略再次点击刚才不能访问的cto的加密文件可以查看了 看文件属性加密代理中可以看到jrfly331的身影了(大家在测试到这块的时候如果仍不能查看加密文件就需要确认你的组策略是否已经在客户端更新了,因为我的是实验环境,所以比较快) 由于篇幅有限,至于如何把用户证书发布到活动目录中然后能够在添加数据恢复代理程序时候选择浏览目录,我就比较简单地说一下过程吧: 首先在CA服务器上从证书模板中选择复制EFS 故障恢复代理模板 在新模板属性中勾选发布到AD中,然后在安全中添加账号并允许其注册 新建要颁发的证书模板 启用刚才配置好的新模板 在客户端进入certmgr.msc证书控制单元,申请新证书 选择证书类别 导入,我们可以看到两个证书的颁发者是不同的 同时,我们在DC上也可以通过目录找到拥有证书的用户了剩下的工作就不用我再说了,前面演示过了.总结:看完了这两篇关于EFS的文章,相信各位对域环境下使用EFS会有自己的思考.EFS的效果是显著的,同时不足之处也是明显的,我们如果要用他来加强文件资料的资安,一定要做好前期的规划和准备工作,包括用户证书的备份与 存放,包括故障恢复的设计与实现等等.并且最终的方案一定是会把EFS结合NTFS权限来做的.允许谁解密,解开了他又能做什么操作.正如老胡所说,貌似微软自己现在都不怎么提EFS了,呵呵,这也是因为不断有新产品新技术的出现必然的结果.那么,我们当然也要与时俱进,欢迎大家收看这个系列后面的内容-域环境下如何保护重要资料文件的安全(二)之IRM&RMS,敬请期待域环境下如何保护重要资料文件的安全(二)-IRM&RMS(上)2009-08-17 01:43:59原创作品，允许转载，转载时请务必以超链接形式标明文章 原始出处 、作者信息和本声明。否则将追究法律责任。/151750/192629 Hi,大家好.看过了前两篇谈域环境下EFS的使用部署维护心得之后,对于有打算加固公司重要资料文件安全的你,有没有一些启发和帮助呢?正如我在文中最 后说到的那样,EFS作为一个历史悠久的系统应用已经慢慢地淡出了大家的视野和考量范围,并且它也不能满足一些IT Pro朋友们的功能需求了.翻出论坛上那位朋友的帖子(/thread-604202-1.html),里面他提到要达到的效果:加密了的文件，只能在本域可以打到，离开本公司就不能打开,除非你有证书之类的东西！. 想要做到这点,EFS可是办不到了.那么,当下微软又有什么主流的技术方案和手段提供给大家呢? 在介绍本文的主角之前,我想先问一下大家平时工作中处理文档使用最多的办公软件是什么? 毫无疑问,是Microsoft Office System!从Office XP, Office 2003到现在的Office 2007甚至已经推出beta测试版的Office 2010,我们早已经习惯了使用Word来写工作文案,使用Excel来统计数据和做报表,使用Powerpoint来制作幻灯片,使用Outlook来 收发邮件.等等等等. 那么平时大家都用的什么手段来保护这些Office文档的安全呢? 有人说,加密啊,可以设置密码的,地球人都知道. 呵呵,没错,那我们就先来一起复习一下如何对Office文档加密吧. 以Microsoft Office Word 2007举例我们在点击Office按钮以后,在弹出的菜单中选择准备,然后选择加密文档. 接着会弹出一个对话框,叫你输入密码这里可以输入最多255个字符的密码在后台,你看不到的是它其实是使用了AES 128位的高级加密标准.这里请使用大小写字母,数字和符号,长度大于等于8的复杂密码组合. 输入一次后它会要求再输入一遍确认 加密完成后,当任何用户需要查看此文件时都需要输入密码了. OK,很简单很实用,但此种措施仍有以下的问题:1.跟域环境没什么关系,而且每要保护一个文档都要单独设置一个密码,万一用户忘记了那麻烦可大了,上面截图里微软也有郑重提示.2.因为Office产品的树大招风,网上传有不少破解加密的工具,我曾测试过其中一些,部分确实有效.3.仍然没有达到前面网友想要的预期效果.有心人还是可以把这个文件转移(copy,mail等方式)到其他机器上甚至自己家里慢慢尝试各种破解工具. 好吧,Information Rights Management (简称IRM),闪亮登场!我们来看看IRM都能做些什么?IRM能够让你对每个文档、每个用户或每个群组设置许可(结合活动目录环境).它与EFS加密,Office文档加密相比,其真正的价值则是，你可以通过设置允许他人查看，却不让他们做出以下操作：拷贝文件或文件中的任意部分将文件另存到他们的硬盘或其它介质中编辑文件打印文件转发邮件将内容进行传真在文件中进行剪切或粘贴操作使用Print Screen键对内容进行抓图式的拷贝此外,IRM还支持文件过期,就是在使用户在指定的一段时间后不能再查看文件内容. 借用3G的广告语,WO. 很好很强大,快一起来体验一下吧. 想要在Office 2007中使用IRM,我们需要先在计算机上安装Windows Rights Management Services (RMS) Service Pack 1 (SP1)客户端.在vista操作系统中此客户端软件是默认已经安装好的,在XP上我们就需要动一下手了.这里下载此客户端的地址我就不要贴出来了. (为什么呢?. LR你就不能把链接发出来我们就不用搜了啊.众网友喊道)呵呵,不是我懒,咱们点开一个Word 2007(XP操作系统上)看一下吧 要使用IRM,位置就是在加密文档的下方,点击管理凭据 呵呵,看到了吧,你点一下是就会自动开始下载啦 .前提当然是电脑连入Internet了 .只有2.31M,不是很大. 注意如果使用的是普通域用户账号要确定其是否有软件安装的权限安装过程略了,就点几次Next而已,安装完成. 我们再回来,选择限制访问出现了一个短暂的连接授权服务器的画面,一闪而过,我没来及截上图.然后.可以看到详细的文字说明额,原来是微软的免费试用服务,而且要使用Windows Live ID才能使用此服务 选择是,下一项还没有注册Live ID的兄弟去注册个吧.(随着MSN的崛起,没有这个的很少了吧.)这个,俺真有的,接着下一步服务是有时间期限的,六个月. 我接受. 继续 连接到帐户证书服务,此过程也是很快的.还好截到图了. 最多可以在25台私人电脑上使用此服务. 可以开始授权了,可以输入想要授权给的用户的电子邮件地址或者从活动目录中选择.点开其他选项看一下(额,忘记遮盖ID了,呵呵,没事,这个也是我的MSN号码,有Windows server方面问题的朋友可以+,一起交流哈) 回到上上个截图的界面,选择将权要授给谁.这里我选择从活动目录中查找用户 我选择授权给这个系列频繁出镜的用户cto 点击确定以后会发现原来读取的是用户对应的电子邮件地址说明一下:我的实验环境还没有搭起exchange,所以这里写外部邮件地址后面文章里就需要自己搭建exchange了 如果你没有为用户设置邮件地址,会是下面这样前面提到的IRM功能基本都是在这里设置的.可以选择对用户的授权的到期时间只是对他授予的权限到期,不是文档到期不可用或者被删除,大家不要害怕还可以授权是否允许打印可以设置是否允许有读取权限的用户在文档里复制内容.设置好授权项以后,会看到限制访问等字眼 我们在另外一台电脑上(Windows server 2003系统)访问这个已经设置过权限的Word档. 双击打开 直接会提示安装RMS客户端.安装完成客户端后会要求你取得IRM服务的凭据 使用cto的live ID 提示这个文档做过权限设置,要连接到微软的许可服务器上下载权限 通过了live ID的验证后可以查看文档内容了 无法修改,被限制了. 无法剪切复制内容,也被限制了(灰色按键不可用) 无法打印,还是被限制了(灰色按键不可用) 不过,可以通过电子邮件联系那头的权限设置人请求放宽权限.或者权限设置者直接在文档上修改用户权限.一点击请求附加权限自动就启用Outlook发邮件了. 总结:通过本文中的演示,我们可以看到使用IRM实现了令人叹服的对Office文档的权限管理,其综合安全性比较EFS,Office文档加密等方 法有了质的提高.但是麻烦的是我们要让客户端使用live ID连入Internet网络去跟微软的Lisences server去联系,并且免费服务还是有时间期限的.必须要这样我们才能使用上这么好的东西吗?呵呵,当然不是啦,其实我们可以在内网架设RMS服务器来代替微软放在公网上的认证服务器的.下篇文章就让我们一起学习如何建置使用RMS实现Office文档的信息权限管理吧,敬请期待域环境下如何保护重要资料文件的安全(二)-IRM&RMS(下)2009-08-23 22:13:12原创作品，允许转载，转载时请务必以超链接形式标明文章 原始出处 、作者信息和本声明。否则将追究法律责任。/151750/195005 在前文域环境下如何保护重要资料文件的安全(二)-IRM&RMS(上)中, 我们看到了使用IRM可以很方便地为不同用户授予不同的权限从而保护了文档的安全.这种有别于其他常规加密手段的服务与支持它的应用程序(如 Microsoft Office System)一起工作,真正地做到了不管计算机处于联网还是脱机,在局域网内部还是外部,想要对机密文档查看或操作必须得取得有效的授权.但我们也注意 到IRM在实际使用上可能会有的一些不便,例如需要连接到Internet并且使用用户的Live ID来进行身份验证,这在许多限制比较严格的公司是难以做到的.那么,在这样的公司里我们会就此被迫舍弃这么好的技术手段吗?当然不会,因为我们还有 RMS(Rights Management Services),一种堪称里程碑式的信息保护技术.相信很多对信息安全比较关注的网友在Windows server 2003上就对RMS比较关注或者已经在使用中了.如下图所示,常规的RMS体系中一般会包括这么几部分: 1.Active Directory活动目录活动目录数据库提供用户的身份验证及必需的相关信息(如电子邮件地址),并且会通过服务连接点(Service Connection Point)为用户告知RMS根群集的位置.2.根认证服务器/Root Cluster根群集域/林中一个或者多个RMS服务器组成RMS根群集,当有多个服务器时可以分担负载. 根认证服务器/根群集上拥有服务器许可方证书(Server Lisensor Certificate)并且控制着RMS服务运作规则,它为客户端电脑及用户账号分别颁发Security Processor Certificate及Rights Management Account Certificate证书,同时授权给用户能够发布受限文件(Client License Certificate)以及接收者/使用者对受限文件的使用权限(Use License).3.SQL DB SQL数据库数据库中存放的是根群集的配置数据,日志记录和目录服务等信息.4.Client客户端默认情况下Windows7,Windows Server 2008和Windows vista系统中已经包含RMS客户端,其他老版本的操作系统必须安装RMS客户端.并且启用了RMS Client的客户端操作系统上需要安装有支持RMS的浏览器或应用程序(如Microsoft Office 2007).在Windows Server 2003上部署过RMS的朋友都知道,首先RMS在Windows Server 2003上是作为一个插件而存在的,我们要安装它需要先到微软官网下载,安装完成后需要连接到Microsoft注册服务(即是创建和签名SLC的过 程),而且配置的时候是在网站形式界面下进行的,步骤较多且易出错.而到了Windows Server 2008中,RMS被作为了一项服务器角色包含于系统中,正式更名为AD RMS.并且AD RMS的管理是在MMC控制台中完成的,用户体验好感增强.不仅如此,AD RMS群集无需再连接到Microsoft注册服务,通过使用服务器自注册证书,整个注册过程可以完全在本地服务器上进行.第三点优势在于AD RMS与AD FS(Federation Services)集成在一起可以很方便的为没有部署AD RMS的外部伙伴企业提供协作,双方的用户无需使用Windows Live ID而是使用自己的网域账号进行身份认证. 所以,考虑到企业越来越多的采用Windows Server 2008并且08下的AD RMS是如此的美妙诱人,我也会使用AD RMS in Windows Server 2008为大家进行本文中的所有讲解与演示. 大家先看一下我的测试环境的拓扑图: 环境说明：1. 我的RMS根群集中只有一台RMS认证服务器，有条件的朋友可以建置多台。2. DC服务器上的操作系统是windows Server 2003 R2 SP2，SQL数据库上为Windows Server 2003 R2 SP2 + SQL2008，RMS认证服务器采用的则是Windows Server 2008 R2（RTM版本），客户端为Win 7（RTM版本）并且安装了Office 2007 Enterprise软件。3.其实严格地说，我们还需要一台exchange邮件服务器，因为对于想要使用RMS发布内容或者获得授权的用户及用户组，必须在AD中拥有电子邮件地址。我的实验环境中由于硬件资源有限而没有部署，所以需要手工设定。 鉴于此次对AD RMS的重视，这里比较详细地介绍建制AD RMS之前需要的软硬件环境及准备工作。 先看一下基于windows server 2008操作系统之上的AD RMS认证服务器的最低及推荐硬件配置： 要求 建议 一个 Pentium 4 3 GHz 处理器或更高级处理器两个 Pentium 4 3 GHz 处理器或更高级处理器512 MB 的 RAM1024 MB 的 RAM40 GB 的可用硬盘空间80 GB 的可用硬盘空间可以看到硬件需求并不苛刻注：对于DC及SQL数据库的硬件要求这里不多做叙述 再来看软件要求： 软件 要求 操作系统Windows Server 2008 /Windows Server 2008 R2文件系统建议使用 NTFS 文件系统消息MSMQ消息队列Web 服务Internet 信息服务 (IIS)。必须启用 ASP.NET。Active Directory 或 Active Directory 域服务AD RMS 必须安装在 Active Directory 域中，其中域控制器正在运行带有 Service Pack 3 (SP3) 的 Windows Server 2000、Windows Server 2003、Windows Server? 2008 或 Windows Server 2008 R2。使用 AD RMS 获取许可证和发布内容的所有用户和组都必须在 Active Directory 中配置电子邮件地址。数据库服务器AD RMS 需要使用数据库服务器（如 Microsoft SQL Server 2005 或 Microsoft SQL Server 2008）和存储的过程来执行操作。Windows Server 2008 R2 上的 AD RMS 服务角色不支持 Microsoft SQL Server 2000。注：DC及SQL服务器上的软件环境这里不多做叙述，前面我有说明如果你的客户端是较早的操作系统，记得要去微软官网下载RMS Client（目前最新的是with SP2版本）安装 清楚并满足了AD RMS服务器的软硬件需求，便可以进入AD RMS的预安装阶段。在预安装阶段，我们首先应在DC上建立一个AD RMS安装帐号（这里我设定为adrmsadmin）。此安装帐号要加入进AD RMS服务器的本地管理员组，并且具有SQL Server的本地管理员权限以及系统管理员数据库角色。如果需要在安装过程中注册服务连接点（SCP），此帐号还需具有网域Enterprise Admins组成员身份。建立好AD RMS安装帐号，我们还要创建一个用作AD RMS服务帐号的域帐号（这里我设定为adrmssrvc），此帐号并不要求额外的权限，domain users成员就好。 同时,因为域控操作系统是Windows Server 2003,这里要确认域功能级别以提升至2003当然,如果你的域控建立在Windows Server 2008之上的话就不用检查或者提升了 为了使读者能清晰地看到最终实验效果，我在contoso域中会使用三个域用户/组来进行授权和获取授权等操作的演示。做好了上面的铺垫工作，就可以开始在Windows Server 2008 上开始安装AD RMS服务器角色了。注:关于SQL Server 2008的安装及配置,客户机上的Office 2007软件的安装等过程这里就不再多做叙述了,这些并非本文重点. 用前面建立好并且已经授予相应权限的ADRMSADMIN账号登陆Windows Server 2008服务器打开服务器管理器,选择添加角色 可以看到排在榜首的Active Directory Rights Management Services,我们安装的就是它,勾选可以看到,我们前面提到的AD RMS依赖的组件都自动地列了出来以供安装,非常方便! 开始安装这里还可以选择是否安装联合身份验证支持,联合身份验证可以实现与建立了信任关系但是没有部署AD RMS的其他组织实现AD RMS功能.全新创建AD RMS群集,下一步 选择后台数据库,可以在AD RMS服务器上直接创建Windows internal database,这种数据库的局限性较大,应为其不能远程连接控制,所以如果选择了使用这种数据库,AD RMS群集中就只能容纳一台AD RMS认证服务器.我这里选择连接到专门的一台安装好SQL Server 2008 服务器,并选择默认实例.要注意的是如果远程数据库服务器上启用防火墙的时候,需要开放1433,445这些数据库连接访问常规端口.点击验证后下一步按钮才可点选. 输入AD RMS服务帐户及其密码 配置AD RMS群集键存储方式,当AD RMS服务器的灾难恢复及其他AD RMS加入群集时候会需要这个密钥. 为保护群集键设定AD RMS群集密码. 选择AD RMS群集网站,选择默认网站从而创建虚拟目录 设定群集的URL地址,如果你的环境中有证书服务器的话可以申请证书以使用SSL加密连接.建议在生产环境中实施AD RMS的时候选择此方式在试验环境中这里我选择了使用未加密的连接.这里我没有使用AD RMS服务名作为内部地址,而是起了一个新的FQDN.只要在DNS中添加相应的A记录即可 命名服务器许可方证书,保持默认即可,下一步 选择自动注册SCP 安装Web服务器角色 保持默认即可 确认开始安装 耐心等待,安装进行中. 安装完成,提示需要注销AD RMS安装账号重新登录 重新登录后可以以控制台方式直接管理AD RMS.在AD RMS控制台中可以配置信任策略，配置排除策略以及创建权限策略模板.AD RMS服务器端基本配置完成.= 我们回到客户端上,使用普通域用户cto登录 需要先进行的操作是把AD RMS群集的URL地址添加到本地intranet信任站点中 然后新建一个Office word 2007,cto用户想要达到的效果是cfo可以查看这个他授权的文件,但是不能修改,复制,打印这个文件,其他用户则是看都不能看 和上文中的IRM步骤一样,点击准备-限制权限-限制访问 客户端会查询SCP以查找AD RMS群集并下载权限帐户证书(RAC) 接下来和IRM一样,选择要授权的用户及授予什么样的权限.稍微不同的是这里我们不用再去使用Windows Live ID了,而是域用户的电子邮件地址 权限已经设好,可以看到文档中限制访问的提示 接下来,换成cfo账号登陆客户端打开刚才被加了访问限制的文档,出现要求输入用户身份凭证的对话框输入cfo的账号及密码 出现提示此文档的权限当前已被限制,所以需要连接到AD RMS服务器上验证身份并下载RAC 文档被cfo打开了,可以看到cfo对此文档的权限. 再切换到使用cso登录客户端当cso登陆到客户端并访问文件时,首先也会要求输入用户身份凭证 cso用户得到的反馈是没有被允许打开文档的凭据点击是可以通过邮件向权限设置者请求额外权限,点击否则根本不能打开文档,点击更改用户可以选择更换其他用户身份来对文档操作,当然,你必须有那个用户的账号密码,而那个用户是否有查看的权限仍是未知,AD RMS真的是很安全. 关于使用联合身份验证,以及在AD RMS控制台中的操作我这里就不再多演示了,本文只是抛砖引玉,目的是让大家知道有这么一个很强大的信息安全解决方案.如果有兴趣深入了解AD RMS的网友不妨仔细看一下AD RMS的帮助文件或者至微软Technet网站上浏览.网址: /zh-cn/library/cc771234(WS.10).aspx总结:经过了EFS,IRM和AD RMS的实战,相信大家对如何在域环境下如何保护重要资料文件的安全有了一些自己的规划和考虑,那么我的目的也就达到了.不过,此系列并未就此结束,还有一位Microsoft的产物:BitLocker,我们下篇继续学习.域环境下如何保护重要资料文件的安全(三)-BitLocker(上)2009-09-04 15:59:11标签：BitLocker 安全 文件 资料原创作品，允许转载，转载时请务必以超链接形式标明文章 原始出处 、作者信息和本声明。否则将追究法律责任。/151750/198855之所以把BitLocker放在最后为大家介绍，一是因为这项技术相对EFS、RMS出现的较晚，从Vista企业版和终极版中才有的，遗憾的 是由于Vista在我国的市场占有率并不高，加上BitLocker在Vista中的用户体验及使用都不是很好，所以实际应用过它的朋友也比较少。另一方 面，设计它的主要目的是对整个磁盘进行加密，这包括了操作系统分区，存放资料的数据分区等，使得即使计算机或者计算机磁盘丢失后上面的数据也不会被恶意分 子破解出来，这个初衷点和EFS、RMS等方案有些差别。 BitLocker是如此的不同，所以微软为了让更多人了解它使用它，也在后续的操作系统（Win7，Windows server 2008 R2）中对它进行了改进，我这里要为大家介绍的也是基于Windows 7系统之上改良过的BitLocker及崭新的BitLocker To Go. 我们还是先看一下BitLocker的一些概念知识。 在Vista之前的操作系统中，我们对数据加密的常规方法就是使用EFS，我前面的文章中也详细介绍过了它的优势和不足，其中比较明显的几个弱 势之处有：EFS无法加密系统文件；对用户加密私钥依赖性极强，如果发生未导出保存或没有恢复代理的情况，很有可能发生无法打开加密文件的事件，同时，如 果发生计算机、计算机磁盘被盗窃/丢失的情况，恶意之徒可以将磁盘挂载到其他计算机上并使用工具搜索用户密钥从而破解。而说到AD RMS，其局限性是显而易见的，目前支持其API开发出的软件还是比较少的，很多格式的数据文件皆不能应用它。 那么，来看看BitLocker是怎样为我们服务的。BitLocker会将Windows的安装分区或者其他用于保存文件的分区进行加密，并将密钥保存在磁盘之外的地方。这样，要想启动 Windows或者读取保存在计算机中的文件，就必须先提供密钥，随后引导程序才会使用提供的密钥解密系统文件，并加载和运行Windows，供我们读取 文件。这样的过程，就完全避免了恶意之徒利用WinPE或者将磁盘挂载到别的计算机上读取资料的可能。 上面说到BitLocker会将密钥保存在磁盘之外的地方，那么具体是什么地方呢？ 一是存放在TPM上。说到TPM，它的全名是Trusted Platform Module，是一种硬件芯片，在