机密数据保险箱,RMS确保重要文件安全无忧

我们完成RMS服务器的部署后,就要来测试一下RMS的表现了。我们先来试试RMS对文件的保护,看看能否用RMS阻止重要文件的内容。我们对RMS的预期是,RMS可以阻止文件在公司之外被打开,文件可以被禁止复制,打印及经过电子邮件转发。实验拓扑如下图所示,RMSERVER已经部署了AD RMS角色,DCSERVER将临时客串一下文件服务器,XP是用于测试的客户机机,XP上已经安装了Office2007
         从理论上分析,RMS客户机使用支持RMS的应用程序(例如Office2007)对被保护的文件进行对称加密,然后把对称密钥传输到RMS服务器上的许可证。其他访问者想阅读文件,一定要连接到RMS服务器申请许可证,然后从许可证中取出对称密钥对被保护的文件进行解密。因此,一定访问者离开公司,联系不上RMS服务器,应该是无法访问被保护的文件。当然,这只是理论分析,我们还要通过实验来加以证实。
 
  安装RMS客户端
XP客户机上必须安装RMS客户端软件,才可以发挥RMS的作用。RMS客户端软件的下载地址我们就不为大家提供了,为什么,因为Office2007可以自动下载。在XP客户机上打开Word2007,如图1所示,点击Word2007左上角的Office按钮,依次点击“准备”-“限制权限”-“限制访问”。
1
 
         如图2所示,Office2007提示我们由于没有安装RMS客户端软件,无法使用限制访问的功能。如果想自动下载RMS客户端软件,点击“是”。
2
 
         如图3所示,我们同意下载RMS客户端软件后,Word2007自动连接到微软网站去下载RMS客户端了。
3
 
RMS客户端软件下载后保存在XP客户机的桌面,如图4所示,我们开始在XP客户机上安装RMS客户端,安装过程很简单,就不过多介绍了。
4
 
  文件保护测试
XP客户机上安装了RMS客户端后,我们准备了两个用户用于测试。一个用户是administrator,一个用户是Jack,我们用administrator对一个文件进行限制,用Jack来访问被限制的文件,看看能否达到限制的目的。值得注意的是,administratorJack都需要有电子邮件地址,如果域中有Exchange服务器,这就很简单了,为两个用户各自创建一个邮箱就OK了。
         我们用域控制器临时客串一下文件服务器,如图5所示,我们可以看到域控制器上有一个DOC共享文件夹,共享文件夹中有一个用于测试的Office文件,我们要利用这个文件来检验一下RMS的表现。
5
 
         administrator的身份在XP客户机上登录,打开DOC共享文件夹中的测试文件,如图6所示,在Word2007中点击“限制访问”。
6
 
         如图7所示,XP客户机开始通过HtTPS协议访问RMS服务器,RMS服务器要求用户进行身份验证,我们输入administrator的账号进行身份验证。
7
 
Administrator通过身份验证后,看到了如图8所示的RMS权限设置界面,我们为Jack设置了读取权限。注意,描述Jack时需要使用电子邮件地址Jack@contoso.com。如果我们希望对Jack进行更详细的权限设置,我们可以点击左下角的“其他选项”。
8
 
         点击了图8中的“其他选项”后,我们看到如图9所示的设置界面。除了给Jack分配读取权限,还可以限制Jack是否可以对文件内容进行打印,是否允许对文件内容进行复制。就连文件的到期时间也可以设置,时间到期后文件内容对访问者就彻底关闭了。这里还有一个很人性化的设计,那就是访问者Jack如果发现权限不够,还可以通过电子邮件向文件的所有者administrator申请更多的权限。在本次实验中,我们对Jack的限制是,除了读取文件内容,其他的操作全都不允许,例如对文件内容的复制,打印等。
9
 
         对文件的权限进行设置之后,如图10所示,我们在XP客户机上以Jack的身份登录,准备测试一下Jack对被限制文件的访问状况。
10
 
Jack登录后,打开域控制器上DOC共享文件夹中的测试文件,如图11所示,RMS客户端自动使用HTTPS协议连接到RMS服务器。RMS服务器要求访问者进行身份验证,我们输入Jack的身份凭证进行身份验证,用户名最好输入Jack@contoso.com
11
 
Jack完成身份验证之后,如图12所示,RMS客户端提示由于此文档已经被限制访问,因此访问者必须连接到RMS服务器去下载访问许可证,这样才可以访问被限制的文档。从中我们可以推断,如果文件被带出公司,访问者是无法从RMS服务器获得许可证的。即使在公司内部,访问者从RMS服务器下载许可证,也要通过RMS服务器的身份验证才可以。综合这些因素,我们看出RMS对文件的保护还是非常到位的。
12
 
JackRMS服务器下载许可证后,如图13所示,看到了文件的内容。这说明我们之前设置的权限已经生效了,Jack获得了读取文档的权限,但其他的限制能否实现呢?我们继续观察。
13
 
         我们试试Jack能否对文件内容进行复制,如图14所示,我们发现右键菜单中的复制操作已经变为灰色不可选取,显然Jack无法对文件内容进行复制。
14
 
         如图15所示,我们发现Jack对文件内容也无法进行打印。RMS对文件的保护确实非常有效,至此,我们可以设想一下,想要窃取被RMS保护的文件内容,似乎只有通过DV拍摄屏幕内容了…..如果企业内有重要文件需要保护,大家一定要参考一下RMS服务器。
15
 
更多相关文章
  • 我们在无数的好莱坞影片中看到过商业间谍为了窃取企业的机密数据而斗智斗勇,绞尽脑汁的精彩镜头,但我们有没有想到过,如果这一幕就发生在我们身边,我们该如何加以防范呢?微软公司的RMS(Rights Management Services 版权管理服务)服务器就是为此应运而生的.RMS可以保护企业内的重要 ...
  • 随着企业信息化发展的日趋加剧,软件行业厂商之间的竞争也愈加白热化,加上国内对知识产权的不够重视.山寨事业的横行,保护源代码.保证企业的核心竞争力,成为众多软件厂商的第一要务.那么,在资源如金的信息化时代,企业如何保证源代码的安全呢?加密厂商多如牛毛,企业又该如何选择一款合适自己的加密软件呢?通常,企 ...
  • Exchange2013部署系列之(十)信息权限保护RMS和Exchange2013的整合
    Exchange 2013部署系列之(十)信息权限保护RMS和Exchange 2013的整合 在 Exchange 2013 中,可使用 IRM 功能对邮件和附件应用持久保护.IRM 使用 Active Directory 权限管理服务 (AD RMS),这是 Windows Server 200 ...
  • 与自动的数据库备份不同,对系统管理员来说,保护数据免受未授权用户的侵犯需要采取一定的行动.如果你用的是MySQL,就可以使用一些方便的功能来保护系统,来大大减少机密数据被未授权用户访问的风险.企业最有价值的资产通常是其数据库中的客户或产品信息.因此,在这些企业中,数据库管理的一个重要部分就是保护这些 ...
  • 随着信息化的普及,企业数据的安全越来越受到重视,目前市场上已经出现了不少的企业加密软件,那么如何才能选择自己的企业加密软件呢?一.国家法定资质和认证加密软件的应用,涉及到国家关于密码和密码产品的管理,这关系到国家机关.军队和军工.公检法机关涉及国家机密和军事机密的安全.同样,企事业单位使用加密软件, ...
  • iOSAPP之本地数据存储译
    最近工作中完成了项目的用户信息本地存储,查阅了一些本地存储加密方法等相关资料.期间发现了一个来自印度理工学院(IIT)的信息安全工程师的个人博客,写了大量有关iOS Application security的文章.   个人感觉写的还不错,实用性比较强,加之阅读难度不大,于是趁着工作日无聊之际,小翻 ...
  • 运维与节能:数据中心绿色运维技术研讨会召开
    5月31日,由数据中心工作组主办的“2012金融行业数据中心绿色运维技术研讨暨机房参观活动”在北京召开.来自中国农业银行北方数据中心基建办.中国人民银行总行中国金融电子化公司.北京银行.华夏人寿保险股份有限公司.中信银行股份有限公司.中证期证券期货业信息基地开发建设有限公司.中国证券登记结算有限责任 ...
  • 备份是写代码的人必不可少的一项工作,传统的备份,一般就是copy所有数据到一个地方,然后贴上标签,表示是什么时候备份的,这种备份被称之为"整体备份".如果经常进行整体备份,对磁盘的空间占用需求就很大,尤其当你备份大容量的数据的时候,有时候,比如一个星期,只对其中一小部分的内容进行 ...
一周排行
  • 模板实现简易stack
        栈提供了以下操作:/*cpp*/ s.empty()        //如果栈为空 ...
  • CentOS6.x下安装Tomcat
    接上文安装了JDK,配置了环境变量后,就可以安装tomcat了.1.下载tomcat:ht ...
  • OCS Inventory-NG(Open Computer and Software Inventory Next Generation)是一款开源的用于帮助网络或系统管理员来跟踪网络中计算机配置与软件安装情况的应 ...
  • 截取字符串:Js代码  var str = "1234567890";   var a = str.substring(0,8);    //==str.substring(8)---结果:123 ...
  • 使用VPN服务最主要就是通过隐藏你的IP地址实现匿名,以及在网络中发送加密数据提供隐私.目前有各种各样的VPN连接,但是一般来说,VPN提供商提供PPTP和OpenVPN连接方式,原因就在于二者的使用简易和效率高.除 ...
  • http://linuxtoy.org/archives/openpctv-adding-full-tv-functionality-to-htpc.htmlOpenPCTV - 让你的HTPC拥有更全面的电视功能通 ...
  • 如何在一个页面上让多个jQuery共存呢?比如jquery-1.5和jquery-1.11.    你可能会问,为什么需要在一个页面上让多个jQuery共存?直接引用最新版本的jQuery不行吗?    答案是,不行 ...
  • cacti下syslog插件安装&&syslog-ng统一管理日志
    实验目标用syslog-ng过滤日志并转存到日志服务器上通过cacti的syslog插件将 ...
  • 第2层交换是在LAN上使用设备的硬件地址(MAC地址)对网络进行分段的过程. 一.交换机的工作原理  1.交换机根据收到数据帧中的源MAC地址建立该地址同交换机端口的映射,并将其写入MAC地址表中. 2.交换机将数据 ...
  • 坐了24个小时的火车,终于到家了,一觉睡醒好舒服哦!!!过两天就不能上网了,在这里祝福大伙,新年快乐!合家欢乐!!!