机密数据保险箱，RMS确保重要文件安全无忧

 

机密数据保险箱， RMS 确保重要文件安全无忧

我们完成RMS 服务器的部署后，就要来测试一下RMS 的表现了。我们先来试试RMS 对文件的保护，看看能否用RMS 阻止重要文件的内容。我们对RMS 的预期是，RMS 可以阻止文件在公司之外被打开，文件可以被禁止复制，打印及经过电子邮件转发。实验拓扑如下图所示，RMSERVER 已经部署了AD RMS 角色，DCSERVER 将临时客串一下文件服务器，XP 是用于测试的客户机机，XP 上已经安装了Office2007 。

从理论上分析，RMS 客户机使用支持RMS 的应用程序（例如Office2007 ）对被保护的文件进行对称加密，然后把对称密钥传输到RMS 服务器上的许可证。其他访问者想阅读文件，一定要连接到RMS 服务器申请许可证，然后从许可证中取出对称密钥对被保护的文件进行解密。因此，一定访问者离开公司，联系不上RMS 服务器，应该是无法访问被保护的文件。当然，这只是理论分析，我们还要通过实验来加以证实。

 

一 安装RMS 客户端

XP 客户机上必须安装RMS 客户端软件，才可以发挥RMS 的作用。RMS 客户端软件的下载地址我们就不为大家提供了，为什么，因为Office2007 可以自动下载。在XP 客户机上打开Word2007 ，如图1 所示，点击Word2007 左上角的Office 按钮，依次点击 “准备”－“限制权限”－“限制访问”。

图1

 

如图2 所示，Office2007 提示我们由于没有安装RMS 客户端软件，无法使用限制访问的功能。如果想自动下载RMS 客户端软件，点击“是”。

图2

 

如图3 所示，我们同意下载RMS 客户端软件后，Word2007 自动连接到微软网站去下载RMS 客户端了。

图3

 

RMS 客户端软件下载后保存在XP 客户机的桌面，如图4 所示，我们开始在XP 客户机上安装RMS 客户端，安装过程很简单，就不过多介绍了。

图4

 

二 文件保护测试

XP 客户机上安装了RMS 客户端后，我们准备了两个用户用于测试。一个用户是administrator ，一个用户是Jack ，我们用administrator 对一个文件进行限制，用Jack 来访问被限制的文件，看看能否达到限制的目的。值得注意的是，administrator 和Jack 都需要有电子邮件地址，如果域中有Exchange 服务器，这就很简单了，为两个用户各自创建一个邮箱就OK 了。

我们用域控制器临时客串一下文件服务器，如图5 所示，我们可以看到域控制器上有一个DOC 共享文件夹，共享文件夹中有一个用于测试的Office 文件，我们要利用这个文件来检验一下RMS 的表现。

图5

 

以administrator 的身份在XP 客户机上登录，打开DOC 共享文件夹中的测试文件，如图6 所示，在Word2007 中点击“限制访问”。

图6

 

如图7 所示，XP 客户机开始通过HtTPS 协议访问RMS 服务器，RMS 服务器要求用户进行身份验证，我们输入administrator 的账号进行身份验证。

图7

 

Administrator 通过身份验证后，看到了如图8 所示的RMS 权限设置界面，我们为Jack 设置了读取权限。注意，描述Jack 时需要使用电子邮件地址[email protected] 。如果我们希望对Jack 进行更详细的权限设置，我们可以点击左下角的“其他选项”。

图8

 

点击了图8 中的“其他选项”后，我们看到如图9 所示的设置界面。除了给Jack 分配读取权限，还可以限制Jack 是否可以对文件内容进行打印，是否允许对文件内容进行复制。就连文件的到期时间也可以设置，时间到期后文件内容对访问者就彻底关闭了。这里还有一个很人性化的设计，那就是访问者Jack 如果发现权限不够，还可以通过电子邮件向文件的所有者administrator 申请更多的权限。在本次实验中，我们对Jack 的限制是，除了读取文件内容，其他的操作全都不允许，例如对文件内容的复制，打印等。

图9

 

对文件的权限进行设置之后，如图10 所示，我们在XP 客户机上以Jack 的身份登录，准备测试一下Jack 对被限制文件的访问状况。

图10

 

Jack 登录后，打开域控制器上DOC 共享文件夹中的测试文件，如图11 所示，RMS 客户端自动使用HTTPS 协议连接到RMS 服务器。RMS 服务器要求访问者进行身份验证，我们输入Jack 的身份凭证进行身份验证， 用户名最好输入[email protected] 。

图11

 

Jack 完成身份验证之后，如图12 所示，RMS 客户端提示由于此文档已经被限制访问，因此访问者必须连接到RMS 服务器去下载访问许可证，这样才可以访问被限制的文档。从中我们可以推断，如果文件被带出公司，访问者是无法从RMS 服务器获得许可证的。即使在公司内部，访问者从RMS 服务器下载许可证，也要通过RMS 服务器的身份验证才可以。综合这些因素，我们看出RMS 对文件的保护还是非常到位的。

图12

 

Jack 从RMS 服务器下载许可证后，如图13 所示，看到了文件的内容。这说明我们之前设置的权限已经生效了，Jack 获得了读取文档的权限，但其他的限制能否实现呢？我们继续观察。

图13

 

我们试试Jack 能否对文件内容进行复制，如图14 所示，我们发现右键菜单中的复制操作已经变为灰色不可选取，显然Jack 无法对文件内容进行复制。

图14

 

如图15 所示，我们发现Jack 对文件内容也无法进行打印。RMS 对文件的保护确实非常有效，至此，我们可以设想一下，想要窃取被RMS 保护的文件内容，似乎只有通过DV 拍摄屏幕内容了….. 如果企业内有重要文件需要保护，大家一定要参考一下RMS 服务器。

图15

 

本文出自 “ 岳雷的微软网络课堂” 博客，请务必保留此出处 http://yuelei.blog.51cto.com/202879/315070