機(jī)密數(shù)據(jù)保險(xiǎn)箱， RMS確保重要文件安全無憂

2013-04-19 10:23 作者：ly 瀏覽量：

我們完成RMS服務(wù)器的部署后，就要來測試一下RMS的表現(xiàn)了。我們先來試試RMS對文件的保護(hù)，看看能否用RMS阻止重要文件的內(nèi)容。我們對RMS的預(yù)期是，RMS可以阻止文件在公司之外被打開，文件可以被禁止復(fù)制，打印及經(jīng)過電子郵件轉(zhuǎn)發(fā)。實(shí)驗(yàn)拓?fù)淙缦聢D所示，RMSERVER已經(jīng)部署了AD RMS角色，DCSERVER將臨時(shí)客串一下文件服務(wù)器，XP是用于測試的客戶機(jī)機(jī)，XP上已經(jīng)安裝了Office2007。

         從理論上分析，RMS客戶機(jī)使用支持RMS的應(yīng)用程序（例如Office2007）對被保護(hù)的文件進(jìn)行對稱加密，然后把對稱密鑰傳輸?shù)絉MS服務(wù)器上的許可證。其他訪問者想閱讀文件，一定要連接到RMS服務(wù)器申請?jiān)S可證，然后從許可證中取出對稱密鑰對被保護(hù)的文件進(jìn)行解密。因此，一定訪問者離開公司，聯(lián)系不上RMS服務(wù)器，應(yīng)該是無法訪問被保護(hù)的文件。當(dāng)然，這只是理論分析，我們還要通過實(shí)驗(yàn)來加以證實(shí)。 

一  安裝RMS客戶端

         XP客戶機(jī)上必須安裝RMS客戶端軟件，才可以發(fā)揮RMS的作用。RMS客戶端軟件的下載地址我們就不為大家提供了，為什么，因?yàn)镺ffice2007可以自動(dòng)下載。在XP客戶機(jī)上打開Word2007，如圖1所示，點(diǎn)擊Word2007左上角的Office按鈕，依次點(diǎn)擊“準(zhǔn)備”－“限制權(quán)限”－“限制訪問”。 

一  安裝RMS客戶端

         XP客戶機(jī)上必須安裝RMS客戶端軟件，才可以發(fā)揮RMS的作用。RMS客戶端軟件的下載地址我們就不為大家提供了，為什么，因?yàn)镺ffice2007可以自動(dòng)下載。在XP客戶機(jī)上打開Word2007，如圖1所示，點(diǎn)擊Word2007左上角的Office按鈕，依次點(diǎn)擊“準(zhǔn)備”－“限制權(quán)限”－“限制訪問”。

一  安裝RMS客戶端

         XP客戶機(jī)上必須安裝RMS客戶端軟件，才可以發(fā)揮RMS的作用。RMS客戶端軟件的下載地址我們就不為大家提供了，為什么，因?yàn)镺ffice2007可以自動(dòng)下載。在XP客戶機(jī)上打開Word2007，如圖1所示，點(diǎn)擊Word2007左上角的Office按鈕，依次點(diǎn)擊“準(zhǔn)備”－“限制權(quán)限”－“限制訪問”。

如圖2所示，Office2007提示我們由于沒有安裝RMS客戶端軟件，無法使用限制訪問的功能。如果想自動(dòng)下載RMS客戶端軟件，點(diǎn)擊“是”。 

如圖3所示，我們同意下載RMS客戶端軟件后，Word2007自動(dòng)連接到微軟網(wǎng)站去下載RMS客戶端了。 

RMS客戶端軟件下載后保存在XP客戶機(jī)的桌面，如圖4所示，我們開始在XP客戶機(jī)上安裝RMS客戶端，安裝過程很簡單，就不過多介紹了。 

二  文件保護(hù)測試

         XP客戶機(jī)上安裝了RMS客戶端后，我們準(zhǔn)備了兩個(gè)用戶用于測試。一個(gè)用戶是administrator，一個(gè)用戶是Jack，我們用administrator對一個(gè)文件進(jìn)行限制，用Jack來訪問被限制的文件，看看能否達(dá)到限制的目的。值得注意的是，administrator和Jack都需要有電子郵件地址，如果域中有Exchange服務(wù)器，這就很簡單了，為兩個(gè)用戶各自創(chuàng)建一個(gè)郵箱就OK了。

         我們用域控制器臨時(shí)客串一下文件服務(wù)器，如圖5所示，我們可以看到域控制器上有一個(gè)DOC共享文件夾，共享文件夾中有一個(gè)用于測試的Office文件，我們要利用這個(gè)文件來檢驗(yàn)一下RMS的表現(xiàn)。 

以administrator的身份在XP客戶機(jī)上登錄，打開DOC共享文件夾中的測試文件，如圖6所示，在Word2007中點(diǎn)擊“限制訪問”。 

如圖7所示，XP客戶機(jī)開始通過HtTPS協(xié)議訪問RMS服務(wù)器，RMS服務(wù)器要求用戶進(jìn)行身份驗(yàn)證，我們輸入administrator的賬號進(jìn)行身份驗(yàn)證。 

         Administrator通過身份驗(yàn)證后，看到了如圖8所示的RMS權(quán)限設(shè)置界面，我們?yōu)镴ack設(shè)置了讀取權(quán)限。注意，描述Jack時(shí)需要使用電子郵件地址[email protected]。如果我們希望對Jack進(jìn)行更詳細(xì)的權(quán)限設(shè)置，我們可以點(diǎn)擊左下角的“其他選項(xiàng)”。 

點(diǎn)擊了圖8中的“其他選項(xiàng)”后，我們看到如圖9所示的設(shè)置界面。除了給Jack分配讀取權(quán)限，還可以限制Jack是否可以對文件內(nèi)容進(jìn)行打印，是否允許對文件內(nèi)容進(jìn)行復(fù)制。就連文件的到期時(shí)間也可以設(shè)置，時(shí)間到期后文件內(nèi)容對訪問者就徹底關(guān)閉了。這里還有一個(gè)很人性化的設(shè)計(jì)，那就是訪問者Jack如果發(fā)現(xiàn)權(quán)限不夠，還可以通過電子郵件向文件的所有者administrator申請更多的權(quán)限。在本次實(shí)驗(yàn)中，我們對Jack的限制是，除了讀取文件內(nèi)容，其他的操作全都不允許，例如對文件內(nèi)容的復(fù)制，打印等。

對文件的權(quán)限進(jìn)行設(shè)置之后，如圖10所示，我們在XP客戶機(jī)上以Jack的身份登錄，準(zhǔn)備測試一下Jack對被限制文件的訪問狀況。

Jack登錄后，打開域控制器上DOC共享文件夾中的測試文件，如圖11所示，RMS客戶端自動(dòng)使用HTTPS協(xié)議連接到RMS服務(wù)器。RMS服務(wù)器要求訪問者進(jìn)行身份驗(yàn)證，我們輸入Jack的身份憑證進(jìn)行身份驗(yàn)證，用戶名最好輸入[email protected]。

         Jack完成身份驗(yàn)證之后，如圖12所示，RMS客戶端提示由于此文檔已經(jīng)被限制訪問，因此訪問者必須連接到RMS服務(wù)器去下載訪問許可證，這樣才可以訪問被限制的文檔。從中我們可以推斷，如果文件被帶出公司，訪問者是無法從RMS服務(wù)器獲得許可證的。即使在公司內(nèi)部，訪問者從RMS服務(wù)器下載許可證，也要通過RMS服務(wù)器的身份驗(yàn)證才可以。綜合這些因素，我們看出RMS對文件的保護(hù)還是非常到位的。

         Jack從RMS服務(wù)器下載許可證后，如圖13所示，看到了文件的內(nèi)容。這說明我們之前設(shè)置的權(quán)限已經(jīng)生效了，Jack獲得了讀取文檔的權(quán)限，但其他的限制能否實(shí)現(xiàn)呢？我們繼續(xù)觀察。

我們試試Jack能否對文件內(nèi)容進(jìn)行復(fù)制，如圖14所示，我們發(fā)現(xiàn)右鍵菜單中的復(fù)制操作已經(jīng)變?yōu)榛疑豢蛇x取，顯然Jack無法對文件內(nèi)容進(jìn)行復(fù)制。

如圖15所示，我們發(fā)現(xiàn)Jack對文件內(nèi)容也無法進(jìn)行打印。RMS對文件的保護(hù)確實(shí)非常有效，至此，我們可以設(shè)想一下，想要竊取被RMS保護(hù)的文件內(nèi)容，似乎只有通過DV拍攝屏幕內(nèi)容了…..如果企業(yè)內(nèi)有重要文件需要保護(hù)，大家一定要參考一下RMS服務(wù)器。

   --- 版權(quán)最終歸艾銻無限所有http://www.maosdadas.net/ 如需轉(zhuǎn)載，請標(biāo)明出處。