近来不断的在论坛上看到有朋友询问如何建立企业的机密文件保护措施.有不少朋友提出了种种设想,甚至是奇怪的想法.事实上,MS公司已经考虑到了大家的这一问题,不久前推出的RMS(权限管理服务)组件正是为实现此目的而开发的.目前该组件还是免费产品.RMS的基础原理是PKI结构,它运用证书技术将文件做限制,使之不能分发或复制,甚至还可以对文件的一段或一部分做这样的限制。RMS对计算机的要求为P4CPU,512M内存和40G硬盘,还有一个网卡(这点很重要),软件方面,它需要AD、MSMQ(消息系统)、IIS和NTFS文件系统支持。其核心组件包括根认证服务器和授权服务器组成的授权群集
本文RMS的部署做了一些实际的操作,并力求简单明确.望大家指正..
一、预备
RMS系统建立在WIN2003上,其由服务端和客户端两部分组成,服务端只能安装在WIN2003上,不能安装在WIN2000或以下版本上。安装RMS需要的东西比较多,首先需要有活动目录支持,其次需要有电子邮件,还需要MSMQ(消息队列)和数据库支持。
实验环境:
* 一台WIN2003服务器,文件系统为NTFS。
* 活动目录已经安装好,域名:ets.com.cn
* MSMQ和IIS(ASP.NET)均已安装
* MSDE 2000(我有这代替SQL SERVER,你也可以用SQL SERVER SP3代替)
* INTERNET连接(这一点很重要!!!)
满足以上要求,就可以开始安装RMS了。
二、安装和设置RMS服务端
1、安装MSDE ,将MSDE下载并解包后,在其安装目录执行:Setup.exe /i setup\sqlrun10.msi INSTANCENAME=RMS DISABLEAGENTSTARTUP=1 SAPWD=password,此命令的含义是建立一个名为RMS的实例的SQL 服务。见图:
安装完成后,你可以在服务里看到MSSQL$RMS的服务对象。
将它启动起来。
2、安装RMS服务端程序
安装RMS服务端程序很简单,按要求提示做就可以了,标准的MSI安装程序。
安装好后,会在程序组里产生一个连接。
3、设置根认证服务器
打开程序组里的RMS管理项,就会看到系统?启了一个IE,并打开了一个本机的网站。奇怪吗?不奇怪,RMS本身就是通过IE来设置的。
这就是RMS的全局管理页面,第一次进入该页面,系统会提示你需要建立一个RMS服务器,以后可以在这里进行RMS的管理和增加群集。
好,我们开始了,选择“在此网站设置RMS”连接,进入设置页。
在这里你应该可以看到系统用红色的字提示你需要建立一个根认证服务器。如果你之前安装过RMS,这里就不会显示了。
注意:如果你需要删除RMS根认证服务器,一定要先删除AD里的SCP才可以删除,否则你将不能再次建立根认证服务器。
好,接下来我们来看看需要配置的东西:
* 数据库:可以是本地或远程,按要求写入“服务器名\实例名”
* 服务帐号:可以是本地系统(不安全,不推荐)或合法的域用户(注意:这里的服务帐户不能是当前安装的用户!!)
* RMS证书保护:可以选择用软件保护,如图(需要设置复杂的密码)
如果你希望更加安全,也可以使用硬件保护(选择新建密钥对)。
* 服务器许可方证书:这里要写服务器管理员的信息。
* 代理服务器设置:因为注册服务器许可方证书需要连接INTERNET,所以这里必须设置(如没有代理,则不需设置)
OK,完成了,提交。
设置过程中,检索服务器方许可证书
设置完成,按提示返回全局管理页
返回后的全局管理页
你看到变化了吗?选择“在此网站上管理RMS”,就进入了管理页了。
提示:在这里还可以改变RMS的服务帐号或从群集中删除该网站。
在这个页面上,我们现在应可以看到一些服务器方许可证书的信息和过期时间等。先不管这些,看到系统用红色的提示了吗?对,首先需要注册一个服务连接点。OK,GO。。
点“RMS服务连接点”,进入设置页。按提示进行注册。注册后,也可以今后在这里撤消服务连接点(见删除注意事项)
返回全局页,现在服务器的设置基本完成了。
4、以下是管理页的说明:
1、信任策略,可以配置信任.NET PASSPORT。如果你希望DRM能和以前的IRM一起工作,必须设置。在这里还可以导出证书,或更改信任域信息。
2、权限策略模板,简单了,是定义企业的权限策略用的,管理员可以通过定义一些现成的策略模板让企业用户直接调用。
3、日志记录,显示当前日志数据库的位置
4、外部群集URL,可选项
5、RM认证用户报告,这里将显示所有使用RMS服务的用户数量(应该是用来做许可授权时用的)
6、安全设置,在这里是关于安全的设置了,有超级用户组(就是具有管理权限的组),还有证书密钥重设,代理设置以及取消RMS配置(删除前必须先取消配置)。
7、接下来是认证设置,这里是证书的有效时间
8、排除策略,排除测量的作用是防止非法用户使用RMS服务,这里可以定义排除的密码箱版本,WINDOWS版本、RM用户证书以及应用程序项。
OK,讲解到这里,服务器的配置基本结束了,下面让我们休息一会,来看看客户端的配置。
---------------
三、安装和设置RMS客户端
1、前言
RMS的客户端和以前在OFFICE2003里提供的IRM的客户端是不一样的,请大家注意区别。
2、安装
安装过程同样是简单的。直接安装即可,MSI安装程序。
3、激活计算机
进入系统盘下的DRM目录,找到ACTMACHINE命令,执行:actmachine.exe /n /p c:\wrmstemp.cab,下载密码箱。
下载后的密码厢
将密码箱解压到SYSTEM32下,然后执行命令:%WINDIR%\System32\rundll32.exe advpack.dll,LaunchINFSection secrep.inf,Install,,N
安装密码箱,如图
注意:该操作需要连接INTERNET,如果不是在RMS服务器上操作,此操作将使用RMS服务器作为注册代理注册密码箱。
4、启动RMS应用程序,获得用户证书
启动支持RMS的应用程序(如OFFICE2003),创建保护内容并获得用户证书。
在这里你可以选择使用PASSPORT或WINDOWS域用户。
登录
OK,你可以使用RMS了。。累死我了。。
验证登录信息
限制管理设置
保存后的受RMS保护的文本
四、排错和疑难
还没完,RMS设置过程比较复杂,因此容易出错,MS提供了一个检查工具来检查--IRMCHECK。你可以安装RMSTOOLSKIT获得它。
通过它可以看到一些有意义的错误提示,本图就是因为没有把授权群集的URL列入信任站点,导致用户证书下载失败的样本。
正确的IRMCHECK信息样本:
--------------
受限制文本打开的时候.
查看的当前权限
被部分保护的文本格式