| 问: | Windows Rights Management Services (RMS) 是什么、有何用处? | ||||||||||||
| 答: |
Microsoft Windows Rights Management Services(权限管理服务,简称 RMS)是一种信息保护技术,它与启用 RMS 的应用程序配合以帮助保护数字信息避免未经授权的使用——不管是联机还是脱机、在防火墙内还是在防火墙外。结合 Windows Server 2003 功能、开发工具和久经考验的安全技术(包括加密、证书和身份验证),RMS 可帮助组织创建可靠的信息保护解决方案。通过持久的使用策略提供始终与信息相随(无论信息到达何处)的信息保护,RMS 扩充了组织的安全战略。 | ||||||||||||
| 问: | IRM 是什么? | ||||||||||||
| 答: |
信息权限管理(简称:IRM)是 Microsoft Office 2003 Professional(Office Word 2003、Office Excel 2003、Office PowerPoint 2003 和 Office Outlook 2003)中的一个功能,它使用 RMS 帮助信息工作者保护敏感 Word 文档、电子表格、演示文稿和电子邮件。 | ||||||||||||
| 问: | “企业权限管理”是什么? | ||||||||||||
| 答: |
企业权限管理或 ERM 是集中于保护业务应用程序(包括文档和电子邮件)的权限管理。它与数字权限管理或 DRM 截然不同。DRM 是特定种类的权限管理,集中于保护诸如歌曲和电影之类的商业媒体内容。权限管理作为更广的范畴还包含企业权限管理(它是 RMS 的重点)。今后,我们也将看到权限管理的其他应用 — 个人权限管理、隐私权限管理,等等。数字化的任何内容最终都可以受到保护 — 这就是权限管理。 | ||||||||||||
| 问: | Windows Rights Management Services 的组件有哪些? | ||||||||||||
| 答: |
Windows Rights Management Services (RMS) 技术包括以下组件:
使用该 SDK 和配套的 API,Microsoft 合作伙伴能够构建受信任的应用程序,这些应用程序能够将 PC 和用户注册到 RMS 信任模型中,并发布和使用受 RMS 保护的内容。 | ||||||||||||
| 问: | 带 Service Pack 1 的 RMS 中的新增功能 | ||||||||||||||||||||||||||||||
| 答: |
自从 RMS 发布以来,Microsoft 听取了评估和部署 RMS 的客户以及在 RMS 平台上开发企业权限管理 (ERM) 解决方案的应用程序供应商的反馈。 下面是我们听到的内容以及如何做出回应的一些示例:
| ||||||||||||||||||||||||||||||
| 问: | 能否进一步说明 RMS 如何得到扩展以更好地与基于服务器的应用程序集成吗? | ||||||||||||||||||||||||||||||
| 答: |
如今,Microsoft Office 2003 Professional 中的 RMS 实现赋予用户向文档和电子邮件消息分配权限策略的能力。许多组织曾要求 Microsoft 允许他们以更集中的方式向信息应用权限保护策略,例如在服务器或网络级别。 各组织曾请求过的方案包括:
为了更容易地支持这些类型的方案,RMS 引入了一个称为“服务器密码箱”的组件。执行发布和使用受权限保护的信息所必需的所有加密、解密、签名和验证的 RMS 组件称为“密码箱”。在 RMS 的第一版中,密码箱是为诸如 Microsoft Office 这样的客户端应用程序设计的。因此,它缺乏服务器应用程序所需要的性能特征。除了增强的 SP1 客户端密码箱外,RMS Service Pack 1 (SP1) 还引入了一种新的密码箱类型。新的服务器密码箱将可能的 RMS 解决方案的范围扩展到包括服务器应用程序。 服务器密码箱使得服务器应用程序记录管理、消息网关和电子邮件存档解决方案能够更容易地处理受保护的文档和电子邮件。这个“服务器友好”的密码箱实现了性能和功能改进,使得服务器应用程序能够根据权限管理策略自动保护文档(举例而言),同时维持服务器应用程序所需要的性能水平。 | ||||||||||||||||||||||||||||||
| 问: | 能否进一步说明如何消除对 Internet 连接的需要吗? | ||||||||||||||||||||||||||||||
| 答: |
早期版本的 Windows Rights Management Services (RMS) 要求客户的 RMS 服务器拥有实时的 Internet 连接。要求这点是因为 RMS 安装过程中的两个名为“服务器注册”和“客户端机器激活”的步骤需要从客户的 RMS 服务器到 Internet 上承载的服务的连接。使用 RMS Service Pack 1 (SP1),RMS 现在能够在没有 Internet 连接的网络(有时称为隔离网络)中操作。这是借助两个更改来实现的。
| ||||||||||||||||||||||||||||||
| 问: | 请告诉我有关 FIPS 遵从性的信息。确切地说,究竟认证了什么内容并达到哪个 FIPS 认证级别? | ||||||||||||||||||||||||||||||
| 答: |
联邦信息处理标准 (FIPS) 140-1 和 140-2 适用于加密产品和模块。带 Service Pack 1 (SP1) 的 Windows Rights Management Services 已被更新以利用 Windows 中可用的经过 FIPS-140 验证的加密模块,该模块可通过标准的 Windows CryptoAPI (CAPI) 接口访问。这些模块中包含的加密算法包括用于内容的对称加密的 AES (FIPS 197) 和用于内容密钥和其他凭据的非对称加密的 RSA。Microsoft 数据保护 API (DPAPI) 用于保护机密密钥材料。 FIPS 认证级别详细列举如下:
* FIPS-140-2 于 2002 年 5 月成为正式标准。在那之前,Windows 2000 和 Windows XP 已经达到了正式的 FIPS-140-1 条件。FIPS 140-1 仍然是有效并受认可的级别,并预计将在整个 Longhorn 交货期限内保持有效。 | ||||||||||||||||||||||||||||||
| 问: | 请告诉我有关 RMS SP1 支持的双因素身份验证的详细信息。 | ||||||||||||||||||||||||||||||
| 答: |
使用第一版的 RMS,用户需要登录并验证身份到 Microsoft Active Directory (AD) 才能获得 RMS 用户凭据。一旦获得这些 RMS 凭据,然后就能够发布和使用内容而无需 AD 身份验证。 客户曾要求增强的身份验证级别,包括双因素身份验证方法。 使用 RMS SP1,要求最终用户通过智能卡提供 x.509 证书才能获得 RMS 用户凭据是可能的。这将通过以下方式实现:(1) 将用户的 Active Directory 帐户映射到 x.509 证书,然后 (2) 在授予用户凭据的 RMS 服务上设置访问控制列表。这样 Windows 将提示用户提供基于智能卡的 PIN 才能验证身份,从而授予他们 RMS 凭据。相对于简单的用户名和密码 AD 身份验证,这样提供了一个附加的安全层。 对非常高的安全级别感兴趣的组织可以另外在 RMS 的授权服务上设置访问控制列表。有了这种安全措施,最终用户必须在每次使用或“授权”新的受 RMS 保护的内容时提供网络凭据。就像在上面的认证方案中一样,使用 RMS SP1,管理员也能够对授权方案强制基于智能卡的身份验证。 | ||||||||||||||||||||||||||||||
| 问: | RMS SP1 中的其他一些改进是什么? | ||||||||||||||||||||||||||||||
| 答: |
需要更少最终用户特权的更容易的部署 RMS SP1 使用支持程序“公布”的安装技术。通过公布的程序,组织可以允许非管理员调用的安装程序临时“提升特权”以完成安装。这可以使用组策略对象 (GPO) 完成,或使用 Microsoft Systems Management Server (SMS) 进一步自动化。 此外,RMS SP1 客户端软件将通过 Microsoft Windows Update 通道自动分发,使得客户能够使用软件更新服务 (SUS) 或 Windows Server Update Services (WSUS) 部署客户端。 更容易的基于角色的安全性 在 RMS SP1 中,对基于查询的组的支持允许根据动态组应用权限管理策略,这些动态组由针对某些属性的 Active Directory 查询所定义。例如,当接收者尝试“使用”或打开受权限保护的内容时,RMS 将根据分配给内容的权限检查他们的组成员身份。如果接收者在尝试使用内容时不是正确的组的成员,他们将无法获得访问内容所需要的许可证。这同样适用于静态定义的组以及基于查询的组。 使用基于查询的组需要 Microsoft Exchange 2000 Service Pack 3 (SP3) 或更高版本以及基于 Windows 2000 SP3 或更高版本的 Active Directory。 改进的工具和指导 | ||||||||||||||||||||||||||||||
| 问: | RMS SP1 的技术要求是什么? | ||||||||||||||||||||||||||||||
| 答: |
对 RMS SP1 的技术要求的最重要更新在于,Internet 连接不再是安装、部署或操作 RMS 所必需的。RMS 现在可以在完全断开或“隔离”的网络中操作。除此之外,RMS SP1 的技术要求类似于 RMS 第一版的技术要求: 服务器软件要求
服务器硬件要求
客户端软件要求
| ||||||||||||||||||||||||||||||
| 问: | RMS SP1 是否附带了 IRM 的 SP1 版本? | ||||||||||||||||||||||||||||||
| 答: |
RMS 是一种平台技术,因此具有独立于诸如 Microsoft Office 等其他应用程序的发布计划。RMS SP1 平台将通过使用现在的 RMS 的现有 Microsoft Office 信息管理权限 (IRM) 功能得到支持。Microsoft Office 团队计划在他们的产品的未来版本中利用增强的 RMS 技术,Microsoft 的其他应用程序团队也是如此。 | ||||||||||||||||||||||||||||||
| 问: | RMS SP1 的 RMS 密钥流有何更改? | ||||||||||||||||||||||||||||||
| 答: |
RMS SP1 的密钥流很大程度上与在第一个 RMS 版本中相同。例如,脱机和联机发布以及内容的使用都以完全相同的方式工作。两个主要的区别是 RMS 安装过程中的两个步骤:脱机服务器注册和客户端机器自激活。 |
| 自由广告区 |
| 分类导航 |
| 邮件新闻资讯: IT业界 | 邮件服务器 | 邮件趣闻 | 移动电邮 电子邮箱 | 反垃圾邮件|邮件客户端|网络安全 行业数据 | 邮件人物 | 网站公告 | 行业法规 网络技术: 邮件原理 | 网络协议 | 网络管理 | 传输介质 线路接入 | 路由接口 | 邮件存储 | 华为3Com CISCO技术 | 网络与服务器硬件 操作系统: Windows 9X | Linux&Uinx | Windows NT Windows Vista | FreeBSD | 其它操作系统 邮件服务器: 程序与开发 | Exchange | Qmail | Postfix Sendmail | MDaemon | Domino | Foxmail KerioMail | JavaMail | Winwebmail |James Merak&VisNetic | CMailServer | WinMail 金笛邮件系统 | 其它 | 反垃圾邮件: 综述| 客户端反垃圾邮件|服务器端反垃圾邮件 邮件客户端软件: Outlook | Foxmail | DreamMail| KooMail The bat | 雷鸟 | Eudora |Becky! |Pegasus IncrediMail |其它 电子邮箱: 个人邮箱 | 企业邮箱 |Gmail 移动电子邮件:服务器 | 客户端 | 技术前沿 邮件网络安全: 软件漏洞 | 安全知识 | 病毒公告 |防火墙 攻防技术 | 病毒查杀| ISA | 数字签名 邮件营销: Email营销 | 网络营销 | 营销技巧 |营销案例 邮件人才:招聘 | 职场 | 培训 | 指南 | 职场 解决方案: 邮件系统|反垃圾邮件 |安全 |移动电邮 |招标 产品评测: 邮件系统 |反垃圾邮件 |邮箱 |安全 |客户端 |