Windows-Server-2008-R2-之二十二AD-RMS基礎(chǔ)

1、相對于傳統(tǒng)的信息安全保護(hù)方案（防火墻、ACL、EFS等），Active Directory 權(quán)限管理服務(wù)它提供了與應(yīng)用程序協(xié)作（如office 2007)保護(hù)數(shù)字內(nèi)容的安全技術(shù)，它專門為那些需要保護(hù)的敏感文檔、電子郵件和WEB內(nèi)容而設(shè)計，可以嚴(yán)格地控制哪些用戶可以打開、讀取、修改和重新分發(fā)等權(quán)限。RMS的最大優(yōu)勢在于它能對整個數(shù)字信息生命周期進(jìn)行管理，權(quán)限伴隨文檔。一、AD RMS的工作過程AD RMS的工作過程是一個相當(dāng)復(fù)雜的過程。我們可以用下面的四步來簡單描述它的工作過程（盡管不夠具體、準(zhǔn)確）。作者：1、創(chuàng)建受保護(hù)的文檔。2、授權(quán)并分發(fā)內(nèi)容（作者會身RMS服務(wù)器請求發(fā)布許可，RMS服務(wù)器返

2、回發(fā)布許可，支持RMS的應(yīng)用程序?qū)l(fā)布許可合并到受保護(hù)的文檔）使用者：當(dāng)使用都打開受保護(hù)的文檔時，1、向RMS服務(wù)器請求使用許可。2、服務(wù)器向使用者返回使用許可，使用者使用使用許可打開文檔內(nèi)容 二、AD Rms證書和許可證服務(wù)器許可方證書 (SLC)在群集中的第一個服務(wù)器上安裝和配置 AD RMS 服務(wù)器角色時會創(chuàng)建 SLC。服務(wù)器會為自己生成唯一的 SLC，該 SLC 建立該服務(wù)器的標(biāo)識，稱為自注冊，且有效期為 250 年。這樣可以將受權(quán)限保護(hù)的數(shù)據(jù)存檔較長時間。根群集既處理證書（通過發(fā)放權(quán)限帳戶證書 (RAC)），又處理對受權(quán)限保護(hù)的內(nèi)容的授權(quán)。添加到根群集的其他服務(wù)器共享一個

3、SLC。在復(fù)雜環(huán)境中，可以部署僅授權(quán)群集，這會生成它們自己的 SLC。SLC 包含服務(wù)器的公鑰。（注意在Windows Server 2003中，SLC是通過向微軟網(wǎng)站注冊后而微軟創(chuàng)建的） 客戶端許可方證書 (CLC)CLC 由 AD RMS 群集為響應(yīng)客戶端應(yīng)用程序的請求而創(chuàng)建。CLC 在客戶端連接到組織的網(wǎng)絡(luò)時會發(fā)送到客戶端，并授予用戶在客戶端未連接時發(fā)布受權(quán)限保護(hù)的內(nèi)容的權(quán)限。CLC 與用戶的 RAC 相關(guān)聯(lián)，因此，如果 RAC 無效或不存在，用戶將無法訪問 AD RMS 群集。CLC 包含客戶端許可方公鑰以及客戶端許可方私鑰，該私鑰由請求證書的用戶的公鑰加密。它還包含發(fā)放證書

4、的群集的公鑰，該公鑰由發(fā)放證書的群集的私鑰簽名?？蛻舳嗽S可方私鑰用于對發(fā)布許可證進(jìn)行簽名。 計算機證書首次使用支持 AD RMS 的應(yīng)用程序時，會在客戶端計算機上創(chuàng)建計算機證書。Windows Vista 和 Windows 7 中的 AD RMS 客戶端自動激活并注冊根群集，從而在客戶端計算機上創(chuàng)建此證書。此證書標(biāo)識計算機或設(shè)備上與登錄用戶的配置文件相關(guān)的密碼箱。計算機證書包含已激活計算機的公鑰。該計算機的密碼箱包含對應(yīng)的私鑰。密碼箱是%windir%system32SECPRO.DLL文件 權(quán)限帳戶證書 (RAC)RAC 在 AD RMS 系統(tǒng)中建立了用戶的標(biāo)識。它由

5、AD RMS 根群集創(chuàng)建，并在首次嘗試打開受權(quán)限保護(hù)的內(nèi)容時提供給用戶。標(biāo)準(zhǔn) RAC 在特定計算機或設(shè)備環(huán)境中使用帳戶憑據(jù)標(biāo)識用戶，且具有以天數(shù)表示的有效時間。標(biāo)準(zhǔn) RAC 的默認(rèn)有效時間是 365 天。臨時 RAC 僅基于帳戶憑據(jù)標(biāo)識用戶，且具有以分鐘數(shù)表示的有效時間。臨時 RAC 的默認(rèn)有效時間是 15 分鐘。RAC 包含用戶的公鑰，以及用戶的使用已激活計算機的公鑰加密的私鑰。RAC和特定的計算機相關(guān)聯(lián)，每個用戶對每個設(shè)備都有唯一的RAC。在任何計算機上，RAC的密鑰對是相同的。RAC的產(chǎn)生過程：1、使用Windows集成身份驗證向RMS服務(wù)器發(fā)送請求2、RMS服務(wù)器查詢數(shù)據(jù)庫，可能會使用

6、已有的密鑰對或生成密鑰對3、RMS服務(wù)器將用戶的私鑰用計算機的公鑰進(jìn)行加密4、RMS服務(wù)器將用戶的公鑰和加密后的私鑰放在RAC中5、RAC被RMS服務(wù)器用私鑰進(jìn)行數(shù)字簽署6、RMS服務(wù)器將RAC發(fā)送給用戶7、RMS服務(wù)器將用戶的密鑰對存放在RMS數(shù)據(jù)庫中 發(fā)布許可證(Publishing License)使用權(quán)限保護(hù)保存內(nèi)容時，客戶端會創(chuàng)建發(fā)布許可證。它指定可以打開受權(quán)限保護(hù)的內(nèi)容的用戶、用戶可以打開內(nèi)容的條件，以及每個用戶對受權(quán)限保護(hù)的內(nèi)容所具有的權(quán)限。它由RMS授權(quán)服務(wù)器頒發(fā)。發(fā)布許可證包含：1、用于解密內(nèi)容的對稱內(nèi)容密鑰，該密鑰使用發(fā)放許可證的服務(wù)器的公鑰加密。2、使用都權(quán)限。

7、以Email標(biāo)識用戶和相應(yīng)的權(quán)限，被發(fā)放許可證的服務(wù)器的公鑰加密。3、發(fā)布服務(wù)器的URL：使用者通過這個URL向服務(wù)器申請使用許可。4、發(fā)布服務(wù)器的數(shù)字簽署：證明發(fā)布許可證的有效性，防止篡改。使用許可證(Usage License)使用許可證在特定的已驗證用戶的環(huán)境中指定應(yīng)用于受權(quán)限保護(hù)的內(nèi)容的權(quán)限。此許可證與 RAC 相關(guān)聯(lián)。如果 RAC 無效或不存在，則無法通過使用許可證打開內(nèi)容。使用許可證包含用于解密內(nèi)容的對稱內(nèi)容密鑰，該密鑰使用用戶的公鑰加密和用戶對文檔的權(quán)限。使用許可證必由發(fā)布許可證的同一臺服務(wù)器頒發(fā)；每個文檔對每個用戶都對應(yīng)一個使用許可證；同時，如果用戶對文檔有寫權(quán)限時，使用許可證

8、會被緩存到OFFICE文檔，對于電子郵件，會被OUTLOOK緩存。RMS 系統(tǒng)使用存儲在客戶端計算機上的 XrML 中的下列證書和許可證。計算機證書文件名：CERT-Machine.drm 文件位置：%USERPROFILE%Local SettingsApplication DataMicrosoftDRM權(quán)限帳戶證書文件名前綴：GIC位置：%USERPROFILE%Local SettingsApplication DataMicrosoftDRM客戶端許可方證書文件名前綴：CLC位置：%USERPROFILE%Local SettingsApplication DataMicrosoft

9、DRM用戶許可證文件名前綴：EUL位置：%USERPROFILE%Local SettingsApplication DataMicrosoftDRM三、AD RMS數(shù)據(jù)庫下圖是使用Windows內(nèi)部數(shù)據(jù)庫安裝AD RMS服務(wù)器后數(shù)據(jù)庫的情況：命名采取:數(shù)據(jù)庫類型(DRMS_Config,DRMS_DirectorySerivces,DRMS_Logging)_<RMS名>_<服務(wù)端口>AD RMS 使用以下數(shù)據(jù)庫：1、配置數(shù)據(jù)庫配置數(shù)據(jù)庫是 AD RMS 安裝的關(guān)鍵組件，因為它可存儲、共享和檢索您管理群集的帳戶證書、授權(quán)和發(fā)布服務(wù)所需的所有配置數(shù)據(jù)及其他數(shù)據(jù)。您管理配

10、置數(shù)據(jù)庫的方法直接影響受權(quán)限保護(hù)的內(nèi)容的安全性和可用性。每個 AD RMS 群集有一個配置數(shù)據(jù)庫。根群集的配置數(shù)據(jù)庫包含 Windows 用戶標(biāo)識及其 權(quán)限帳戶證書 (RAC) 的列表。如果群集密鑰由 AD RMS 集中管理，則證書密鑰對在存儲到該數(shù)據(jù)庫之前加密為 AD RMS 群集密鑰。僅授權(quán)群集的配置數(shù)據(jù)庫不包含此信息。2、日志記錄數(shù)據(jù)庫對于每個根群集或僅授權(quán)群集，默認(rèn)情況下，AD RMS 在承載配置數(shù)據(jù)庫的同一個數(shù)據(jù)庫服務(wù)器實例中安裝日志記錄數(shù)據(jù)庫。AD RMS 還在 AD RMS 群集中的每個服務(wù)器上創(chuàng)建專用消息隊列，以用于消息隊列中的日志記錄。AD RMS 日志記錄服務(wù)將數(shù)據(jù)從此消息

11、隊列傳輸?shù)饺罩居涗洈?shù)據(jù)庫。3、目錄服務(wù)數(shù)據(jù)庫此數(shù)據(jù)庫包含有關(guān)用戶、標(biāo)識符（如電子郵件地址）、安全 ID (SID)、組成員身份和備用標(biāo)識符的信息。通過 AD RMS 授權(quán)服務(wù)對 Active Directory 域服務(wù) (AD DS) 全局編錄進(jìn)行輕型目錄訪問協(xié)議 (LDAP) 查詢，來獲得此信息。四、AD RMS 客戶端服務(wù)發(fā)現(xiàn)Active Directory 權(quán)限管理服務(wù) (AD RMS) 客戶端服務(wù)發(fā)現(xiàn)是 AD RMS 客戶端用來發(fā)現(xiàn) AD RMS 群集的方法。AD RMS 客戶端服務(wù)發(fā)現(xiàn)實現(xiàn)方法：1、Active Directory 域服務(wù) (AD DS) 服務(wù)連接點 (SCP) 自動

12、服務(wù)發(fā)現(xiàn)。這是部署 AD RMS 環(huán)境的推薦方法。在此方案中，會在安裝了 AD RMS 群集的 Active Directory 林中創(chuàng)建 SCP。當(dāng) AD RMS 客戶端在計算機上嘗試用戶激活時，它會查詢該 SCP 以查找 AD RMS 群集并下載 權(quán)限帳戶證書 (RAC)。使用自動服務(wù)發(fā)現(xiàn)，無需在 AD RMS 客戶端上進(jìn)行任何其他配置。2、AD RMS 客戶端注冊表替代。在復(fù)雜的 AD RMS 部署拓?fù)渲校枰獙?AD RMS 客戶端的更具體控制。對于在 Windows XP、Windows 2000 或 Windows Server 2003 上運行的 Rights Managemen

13、t Services (RMS) 客戶端版本，部署了多個 Active Directory 林的拓?fù)湫枰褂眠@些替代?？梢允褂每蛻舳俗员硖娲牧硪粋€示例是用于支持 Extranet 用戶。在這些情況下，會在 AD RMS 客戶端中創(chuàng)建客戶端注冊表替代，以強制執(zhí)行 AD RMS 群集中不同于在 SCP 中發(fā)布的受權(quán)限保護(hù)內(nèi)容的證書或授權(quán)。AD RMS 客戶端注冊表替代用于替代在以下位置創(chuàng)建的 SCP：HKEY_LOCAL_MACHINESoftwareMicrosoftMSDRMServiceLocation。客戶端注冊表替代項如下：Activation。此項用于替代在 SCP 中配置的默認(rèn)

14、AD RMS 證書服務(wù)。此項的語法是 http(s):/<your cluster>/_wmcs/certification，其中 <your cluster> 是應(yīng)該用于證書的根群集的 URL。EnterprisePublishing。此項用于替代 AD RMS 客戶端連接到的默認(rèn) AD RMS 授權(quán)服務(wù)。此項的語法是 http(s):/<your cluster>/_wmcs/licensing，其中 <your cluster> 是僅授權(quán)群集的 URL。注意 客戶端注冊表替代配置為注冊表項。這些注冊表項的值應(yīng)添加到類型為 REG_

15、SZ 的注冊表項的默認(rèn)項。 五、文檔的發(fā)布過程文檔的發(fā)布過程分為以下兩種：1、文檔的在線發(fā)布過程由RMS客戶端在線向授權(quán)服務(wù)器發(fā)送請求。過程：由密碼箱生成對稱密鑰作為內(nèi)容密鑰內(nèi)容密鑰被授權(quán)服務(wù)器的公鑰加密加密后的內(nèi)容密鑰和權(quán)限被發(fā)送到請求發(fā)布許可的授權(quán)服務(wù)器授權(quán)服務(wù)器使用它的私鑰解開密的內(nèi)容密鑰授權(quán)服務(wù)器使用它的公鑰加密內(nèi)容密鑰和使用權(quán)限加密后內(nèi)容和使用權(quán)限被添加到發(fā)布許可授權(quán)服務(wù)器使用它的私鑰簽署使用許可發(fā)布許可返回到申請的客戶端支持RMS的應(yīng)用程序?qū)l(fā)布許可合并到受保護(hù)的文檔2、文檔的離線發(fā)布過程文檔的離線發(fā)布過程中使用到客戶許可證書（CLC）。當(dāng)用戶端首次從授權(quán)服務(wù)器申請許可時就自動獲取了CLC。CLC包含CLC公鑰，由用戶RAC中的公鑰加密的私鑰等。過程：由密碼箱生成對稱密鑰作為內(nèi)容密鑰客戶端從CLC中取出授權(quán)服務(wù)器的公鑰客戶端使用授權(quán)服務(wù)器的公鑰加密內(nèi)容密鑰和使用權(quán)限客戶端使用CLC公鑰對內(nèi)容密鑰和使用權(quán)限進(jìn)行加密加密后的內(nèi)容密鑰和使用權(quán)限放在發(fā)布許可中客戶端使用RAC服務(wù)器私鑰解密CLC中的私鑰客戶使用CLC的私鑰簽署發(fā)布許可支持RMS的應(yīng)