AD RMS 保护电子邮件安全
         我们已经在之前的实验中证实了RMS服务器可以有效对保护文件服务器的数据安全,今天我们要考察一下RMS服务器在电子邮件领域的表现。电子邮件对于一个商业公司的重要性是不言而喻的,而且电子邮件用于窃取数据安全也是便利得很。间谍们发现某一封邮件很重要,只要阴险地点击一下转发按钮,就可以在片刻之间把公司的机密数据暴露在光天化日之下。而且这种泄密方式非常隐蔽,速度又快得难以察觉,因此安全工程师们切不可对此掉以轻心。
         好在我们还有RMSRMS对付电子邮件的表现像文件服务器一样优秀。电子邮件的发送者对邮件内容进行加密,然后把密钥集成在RMS服务器上的访问许可证中。邮件接收者收到邮件后,需要从RMS服务器下载访问许可证,这样才可以访问被加密的邮件内容。同时,访问者也要收到RMS服务器的权限制约,例如不允许对邮件内容进行复制,打印等。
         本文我们要通过一个实验来验证一下RMS服务器对电子邮件的保护能力,实验拓扑如下图所示,本次实验中增加了一下Exchange服务器。我们利用Exchange服务器为域内的两个用户administratorJack各自创建了一个邮箱,准备让administratorJack发一封电子邮件,然后对邮件的访问权限进行限制,看看Jack收到邮件后RMS的限制是否能够达到预期效果。XP作为测试邮件的客户机,事先已经安装了Outlook2007
 
         首先,我们要确保administratorJack都已经成功创建了邮箱。如图1所示,我们检查一下JackExchange邮件属性,确认无误后再进行后续操作。
1
 
         确保administratorJack都已经拥有了邮箱,接下来我们以administrator的身份在XP客户机上登录,如图2所示,administrator正在登录XP
2
 
         如图3所示,administratorXP客户机上启动Outlook2007。我们知道,第一次启动Outlook时需要在Outlook上创建一个配置文件,用于记录Outlook所访问的邮件服务器的各项参数,我们在图2所示界面中点击“下一步”就可以开始创建配置文件了。
3
         如图4所示,Outlook2007询问是否需要配置电子邮件账号,当然要选择“是”。
4
 
         如图5所示,接下来要选择Outlook2007所连接的邮件服务器类型,我们选择的邮件服务器类型是Exchange服务器。
5
 
         如图6所示,输入administrator的电子邮件地址,Outlook2007可以在Active Directory自动查询Exchange服务器,并且自动完成Exchange服务器的参数设置,这是Outlook2007Outlook2003有改进的地方。
6
 
         如图7所示,Outlook2007已经通过Active Directory查询到了Exchange,点击“完成”就可以结束Outlook2007的配置文件设置了。
7
 
         如图8所示,administrator登录邮箱后准备给Jack发送一封测试邮件,内容是“RMS测试”。
8
 
         点击Outlook2007左上角的开始按钮,如图9所示,在“权限”的设置菜单中选择“不可转发”,显然是不允许邮件接收者擅自把邮件内容转发给第三者。
9
 
         如图10所示,对邮件进行限制后,我们可以在Outlook2007中看到邮件被标示为只能被读取内容,不允许转发。复制和打印。点击“发送”按钮,把邮件发送Jack的邮箱,看看效果如果。
10
 
         如图11所示,我们在XP客户机上注销administrator,以Jack的身份登录。
11
 
         Jack登录XP后,启动Outlook2007,完成Outlook2007的配置文件设置。登录Jack邮箱后,如图12所示,我们在邮箱中发现了administrator发来的测试邮件。打开测试邮件时,Outlook2007要求连接到RMS服务器进行身份验证,我们输入Jack的用户名和口令完成身份验证。
12
 
         如图13所示,Jack完成身份验证后,被要求从RMS服务器下载访问许可证,然后才可以利用访问许可证访问邮件内容,点击“确定”就可以自动从RMS服务器下载访问许可证。
13
 
         如图14,下载了访问许可证后,Jack看到了邮件的内容。同时我们注意到邮件中的提示,Jack不能转发邮件,也不能对邮件内容进行复制和打印。
14
 
         试试看RMS的限制是否有效,如图15所示,右键单击右键内容,菜单中的复制果然变成了灰色,看来RMS限制复制还是很有用的啊。同时我们也观察到,邮件菜单中的“转发”也变成了灰色,看来想转发邮件也是不可能的了。
15
 
         继续测试,如图16所示,点击Outlook2007左上角的开始按钮,我们发现打印操作也是不支持的。呵呵,间谍遇到了RMS就算是倒霉了,要把邮件内容偷出去看样子要用笔把邮件给抄下来了…..
16
 
         邮件的接收者到底有这封邮件有哪些具体权限呢?如图17所示,我们在邮件中点击“查看权限”,看看权限设置的具体情况。
17
 
         如图18所示,我们看到Jack可以对邮件进行查看,保存,回复等常规操作,但无法进行打印,复制。从这个实验的测试结果来看,如果企业中要发送一些重要邮件,完全可以考虑使用RMS对邮件内容进行保护。本文抛砖引玉,希望能为致力于提高内网数据安全性的朋友们提供一个参考思路。
18