Windows Rights Management Services 常见问题
出处:微软中国 作者:微软中国 时间:2007-1-11 0:49:00
邮件中继服务 七天免费试用
| 问: |
Windows Rights Management Services (RMS) 是什么、有何用处? |
| 答: |
Microsoft Windows Rights Management Services(权限管理服务,简称 RMS)是一种信息保护技术,它与启用 RMS 的应用程序配合以帮助保护数字信息避免未经授权的使用——不管是联机还是脱机、在防火墙内还是在防火墙外。结合 Windows Server 2003 功能、开发工具和久经考验的安全技术(包括加密、证书和身份验证),RMS 可帮助组织创建可靠的信息保护解决方案。通过持久的使用策略提供始终与信息相随(无论信息到达何处)的信息保护,RMS 扩充了组织的安全战略。 |
| 问: |
IRM 是什么? |
| 答: |
信息权限管理(简称:IRM)是 Microsoft Office 2003 Professional(Office Word 2003、Office Excel 2003、Office PowerPoint 2003 和 Office Outlook 2003)中的一个功能,它使用 RMS 帮助信息工作者保护敏感 Word 文档、电子表格、演示文稿和电子邮件。 |
| 问: |
“企业权限管理”是什么? |
| 答: |
企业权限管理或 ERM 是集中于保护业务应用程序(包括文档和电子邮件)的权限管理。它与数字权限管理或 DRM 截然不同。DRM 是特定种类的权限管理,集中于保护诸如歌曲和电影之类的商业媒体内容。权限管理作为更广的范畴还包含企业权限管理(它是 RMS 的重点)。今后,我们也将看到权限管理的其他应用 — 个人权限管理、隐私权限管理,等等。数字化的任何内容最终都可以受到保护 — 这就是权限管理。 |
| 问: |
Windows Rights Management Services 的组件有哪些? |
| 答: |
Windows Rights Management Services (RMS) 技术包括以下组件:
| • |
服务器技术。Windows RMS 的核心是服务器组件,它处理受信任的实体的认证、受权限保护的信息的授权以及管理功能。它简化使受信任的实体能够使用受权限保护的信息的设置步骤。 |
| • |
客户端组件。RMS 系统中的每台客户端计算机都必须安装权限管理客户端软件。该客户端软件包含一组能够以企业分发软件更新的任何方式分发的 API。它使得启用 RMS 的应用程序能够保护和使用信息以及与 RMS 服务器通信。 |
| • |
启用 RMS 的应用程序。RMS 与任何启用 RMS 的应用程序中的信息相配合,赋予组织针对他们的特定机密和非公开策略自定义解决方案的灵活性。
| • |
带信息权限管理的 Office 2003 Professional。组织可以利用 Office 2003 Professional(Word、Excel、PowerPoint 和 Outlook)中对启用 RMS 的应用程序的现成支持,作为帮助保护敏感信息的易于实施的选择。 |
| • |
Internet Explorer 的权限管理加载项此加载项允许查看文档和 HTML 而无须使用创作应用程序。作者可以向文档或基于 Web 的信息授予使用权限,并通过电子邮件、共享文件夹或网页将其分发给接收者。接收者可以安装 Internet Explorer 权限管理加载项,并使用它基于作者授予的权限处理内容。这对于与还没有部署 RMS 但是需要使用内容的使用者共享受权限保护的信息是有帮助的。 | |
| • |
Windows RMS 软件开发工具包.RMS 软件开发工具包 (SDK) 是一组工具、文档和示例代码,它们使独立软件供应商 (ISV) 能够创建启用 RMS 的应用程序,并使得公司开发人员能够在组织中扩展 Windows RMS。它包括简单对象访问协议 (SOAP) 接口和权限管理 API,允许开发人员创建组件以扩展和增强 Windows RMS,包括用于与现有存储和内容管理系统集成的功能、自定义策略的实施和存储在后端数据库系统中的信息的实时保护。 |
使用该 SDK 和配套的 API,Microsoft 合作伙伴能够构建受信任的应用程序,这些应用程序能够将 PC 和用户注册到 RMS 信任模型中,并发布和使用受 RMS 保护的内容。 |
|
问:
答: |
|
带 Service Pack1 的 Windows RMS
| 问: |
带 Service Pack 1 的 RMS 中的新增功能 |
| 答: |
自从 RMS 发布以来,Microsoft 听取了评估和部署 RMS 的客户以及在 RMS 平台上开发企业权限管理 (ERM) 解决方案的应用程序供应商的反馈。
下面是我们听到的内容以及如何做出回应的一些示例:
| • |
客户要求将 ERM 集成到它们的环境中,并与诸如记录管理、电子邮件存档系统、电子邮件网关、内容检查网关和自动化的工作流等应用集成起来。
| • |
这就是我们扩展 RMS 以支持与基于第三方服务器的应用程序更好地集成,从而实现一致和全面的信息保护的原因。 | |
| • |
客户要求 ERM 在敏感、高度安全或隔离的环境中操作,例如隔离网络(没有连接到 Internet 的网络)。
| • |
这就是我们使得 RMS SP1 能够在隔离网络中部署并提供符合 FIPS(联邦信息处理标准)的解决方案(这样的解决方案是我们的许多美国政府和银行客户所必需的)的原因。此外,对于需要除用户名和密码以外的附加保护层的客户,我们还支持需要第二因素身份验证才能使用受保护的内容的能力。 | |
| • |
客户需要易于部署和使用的解决方案。
| • |
这就是我们使用诸如软件部署和桌面映射工具之类的标准工具使得 RMS 更容易部署的原因。此外,RMS 可以在不要求桌面用户拥有管理特权的情况下部署。 | | |
| 问: |
能否进一步说明 RMS 如何得到扩展以更好地与基于服务器的应用程序集成吗? |
| 答: |
如今,Microsoft Office 2003 Professional 中的 RMS 实现赋予用户向文档和电子邮件消息分配权限策略的能力。许多组织曾要求 Microsoft 允许他们以更集中的方式向信息应用权限保护策略,例如在服务器或网络级别。
各组织曾请求过的方案包括:
| • |
受保护的文档存储存储库,最终用户可从中“签出”文档并确保已在幕后应用正确的权限管理策略 |
| • |
在消息进入和离开组织的网络时对消息的动态权限保护,以便发件人和收件人不必记住应用权限,并根据组织的需要一致地强制正确的策略。 |
为了更容易地支持这些类型的方案,RMS 引入了一个称为“服务器密码箱”的组件。执行发布和使用受权限保护的信息所必需的所有加密、解密、签名和验证的 RMS 组件称为“密码箱”。在 RMS 的第一版中,密码箱是为诸如 Microsoft Office 这样的客户端应用程序设计的。因此,它缺乏服务器应用程序所需要的性能特征。除了增强的 SP1 客户端密码箱外,RMS Service Pack 1 (SP1) 还引入了一种新的密码箱类型。新的服务器密码箱将可能的 RMS 解决方案的范围扩展到包括服务器应用程序。
服务器密码箱使得服务器应用程序记录管理、消息网关和电子邮件存档解决方案能够更容易地处理受保护的文档和电子邮件。这个“服务器友好”的密码箱实现了性能和功能改进,使得服务器应用程序能够根据权限管理策略自动保护文档(举例而言),同时维持服务器应用程序所需要的性能水平。 |
| 问: |
能否进一步说明如何消除对 Internet 连接的需要吗? |
| 答: |
早期版本的 Windows Rights Management Services (RMS) 要求客户的 RMS 服务器拥有实时的 Internet 连接。要求这点是因为 RMS 安装过程中的两个名为“服务器注册”和“客户端机器激活”的步骤需要从客户的 RMS 服务器到 Internet 上承载的服务的连接。使用 RMS Service Pack 1 (SP1),RMS 现在能够在没有 Internet 连接的网络(有时称为隔离网络)中操作。这是借助两个更改来实现的。
| • |
首先,服务器注册步骤(RMS 服务器在该步骤中获得操作所需的服务器许可证颁发者证书 (SLC))已被更新,使之能够脱机或联机执行。选择脱机选项的客户能够在两个单独的步骤中获得 SLC 并将其导入 RMS 服务器,并使用物理媒体在连接到 Internet 的机器和没有连接到 Internet 的网络之间传输 SLC。 |
| • |
其次,客户端机器激活步骤已被更新为自激活的模型。执行发布和使用受权限保护的信息所必需的所有加密、解密、签名和验证步骤的 RMS 组件称为“密码箱”。机器激活是安装并激活密码箱的过程。与从 Microsoft 托管的激活服务获得密码箱不同,RMS SP1 客户端在发货时已经包括密码箱,并且它将在激活时自己生成必要的凭据。RMS SP1 客户端将在由任何用户(包括非管理员)第一次使用时自行激活。 | |
| 问: |
请告诉我有关 FIPS 遵从性的信息。确切地说,究竟认证了什么内容并达到哪个 FIPS 认证级别? |
| 答: |
联邦信息处理标准 (FIPS) 140-1 和 140-2 适用于加密产品和模块。带 Service Pack 1 (SP1) 的 Windows Rights Management Services 已被更新以利用 Windows 中可用的经过 FIPS-140 验证的加密模块,该模块可通过标准的 Windows CryptoAPI (CAPI) 接口访问。这些模块中包含的加密算法包括用于内容的对称加密的 AES (FIPS 197) 和用于内容密钥和其他凭据的非对称加密的 RSA。Microsoft 数据保护 API (DPAPI) 用于保护机密密钥材料。
FIPS 认证级别详细列举如下:
|
Windows XP、Windows XP SP1 |
FIPS 140-1,*经过 Level 1 验证 |
|
Windows XP SP2 |
FIPS 140-1,*经过 Level 1 验证 |
|
Windows Server 2003 |
FIPS 140-2,Level 1 |
* FIPS-140-2 于 2002 年 5 月成为正式标准。在那之前,Windows 2000 和 Windows XP 已经达到了正式的 FIPS-140-1 条件。FIPS 140-1 仍然是有效并受认可的级别,并预计将在整个 Longhorn 交货期限内保持有效。 |
| 问: |
请告诉我有关 RMS SP1 支持的双因素身份验证的详细信息。 |
| 答: |
使用第一版的 RMS,用户需要登录并验证身份到 Microsoft Active Directory (AD) 才能获得 RMS 用户凭据。一旦获得这些 RMS 凭据,然后就能够发布和使用内容而无需 AD 身份验证。
客户曾要求增强的身份验证级别,包括双因素身份验证方法。
使用 RMS SP1,要求最终用户通过智能卡提供 x.509 证书才能获得 RMS 用户凭据是可能的。这将通过以下方式实现:(1) 将用户的 Active Directory 帐户映射到 x.509 证书,然后 (2) 在授予用户凭据的 RMS 服务上设置访问控制列表。这样 Windows 将提示用户提供基于智能卡的 PIN 才能验证身份,从而授予他们 RMS 凭据。相对于简单的用户名和密码 AD 身份验证,这样提供了一个附加的安全层。
对非常高的安全级别感兴趣的组织可以另外在 RMS 的授权服务上设置访问控制列表。有了这种安全措施,最终用户必须在每次使用或“授权”新的受 RMS 保护的内容时提供网络凭据。就像在上面的认证方案中一样,使用 RMS SP1,管理员也能够对授权方案强制基于智能卡的身份验证。 |
| 问: |
RMS SP1 中的其他一些改进是什么? |
| 答: |
需要更少最终用户特权的更容易的部署
对于 RMS SP1,将客户端程序包部署到台式机容易多了。例如,使用来自 Microsoft 的部署和安装技术,客户可以跨网络部署 RMS 客户端而无须“接触”桌面,也不需要最终用户拥有管理特权。
RMS SP1 使用支持程序“公布”的安装技术。通过公布的程序,组织可以允许非管理员调用的安装程序临时“提升特权”以完成安装。这可以使用组策略对象 (GPO) 完成,或使用 Microsoft Systems Management Server (SMS) 进一步自动化。
此外,RMS SP1 客户端软件将通过 Microsoft Windows Update 通道自动分发,使得客户能够使用软件更新服务 (SUS) 或 Windows Server Update Services (WSUS) 部署客户端。
更容易的基于角色的安全性
许多组织具有将信息限制到一个其成员不断变化的组的要求,并且他们不希望在每次有人员进入或离开该组时都得更新组定义。
在 RMS SP1 中,对基于查询的组的支持允许根据动态组应用权限管理策略,这些动态组由针对某些属性的 Active Directory 查询所定义。例如,当接收者尝试“使用”或打开受权限保护的内容时,RMS 将根据分配给内容的权限检查他们的组成员身份。如果接收者在尝试使用内容时不是正确的组的成员,他们将无法获得访问内容所需要的许可证。这同样适用于静态定义的组以及基于查询的组。
使用基于查询的组需要 Microsoft Exchange 2000 Service Pack 3 (SP3) 或更高版本以及基于 Windows 2000 SP3 或更高版本的 Active Directory。
改进的工具和指导
RMS 工具箱已随着 RMS SP1 的发布而被更新。RMS SP1 包括新的和经过升级的工具,例如与现有 RMS 日志分析器工具配合使用的 Web 用户界面,以便为客户提供查看整个组织中的 RMS 操作(例如每用户的认证、发布和授权)的更简单的方法。 |
| 问: |
RMS SP1 的技术要求是什么? |
| 答: |
对 RMS SP1 的技术要求的最重要更新在于,Internet 连接不再是安装、部署或操作 RMS 所必需的。RMS 现在可以在完全断开或“隔离”的网络中操作。除此之外,RMS SP1 的技术要求类似于 RMS 第一版的技术要求:
服务器软件要求
| • |
必须至少有一台运行 Windows Server 2003(Standard、Enterprise、Web 或 Datacenter 版本)的服务器作为 RMS 服务器。 |
| • |
环境中必须包含 Windows Server Active Directory 服务(基于 Windows 2000 Server SP3 或更高版本),该服务提供每个用户的已知唯一 ID。
| • |
不需要 Microsoft Exchange Server,RMS 就能正常工作。 | |
| • |
RMS 服务器需要用于日志记录和配置的数据库,例如 Microsoft SQL Server 2000 SP3 或更高版本(用于企业部署)或 MSDE(用于测试或概念验证环境)。
| • |
MSDE 可用于小规模的测试或概念验证。 |
| • |
SQL Server 数据库存储所有服务配置数据、关于系统中的主体的信息、所有日志数据,并用于缓存 AD/DL 扩展中的查找。 | |
| • |
最佳实践和建议的实现是在专用服务器(或负载平衡/高可用性方案中的服务器群集)上安装 RMS。
| • |
SQL Server 组件可远程安装,并且可与其他数据库共享。 | |
服务器硬件要求
| • |
最低:PIII 800 MHz / 256MB RAM / 20GB 硬盘* |
| • |
推荐:双 P4 2.4 GHz / 1GB RAM / 40GB 硬盘*
* 注意:规模估计和部署计划是特定于客户的。 |
客户端软件要求
| • |
客户端机器
| • |
Microsoft Windows 2000 Server 或更高版本的操作系统 | |
| • |
启用 RMS 的应用程序,例如
| • |
Office Professional Edition 2003 |
| • |
对于没有 Office Professional Edition 2003 的客户端,带权限管理扩展的 Internet Explorer 允许使用但不允许创建受权限保护的内容。 | | |
| 问: |
RMS SP1 是否附带了 IRM 的 SP1 版本? |
| 答: |
RMS 是一种平台技术,因此具有独立于诸如 Microsoft Office 等其他应用程序的发布计划。RMS SP1 平台将通过使用现在的 RMS 的现有 Microsoft Office 信息管理权限 (IRM) 功能得到支持。Microsoft Office 团队计划在他们的产品的未来版本中利用增强的 RMS 技术,Microsoft 的其他应用程序团队也是如此。 |
| 问: |
RMS SP1 的 RMS 密钥流有何更改? |
| 答: |
RMS SP1 的密钥流很大程度上与在第一个 RMS 版本中相同。例如,脱机和联机发布以及内容的使用都以完全相同的方式工作。两个主要的区别是 RMS 安装过程中的两个步骤:脱机服务器注册和客户端机器自激活。 |
