机密数据保险箱，RMS确保重要文件安全无忧

机密数据保险箱， RMS 确保重要文件安全无忧

         我们完成 RMS 服务器的部署后，就要来测试一下 RMS 的表现了。我们先来试试 RMS 对文件的保护，看看能否用 RMS 阻止重要文件的内容。我们对 RMS 的预期是， RMS 可以阻止文件在公司之外被打开，文件可以被禁止复制，打印及经过电子邮件转发。实验拓扑如下图所示， RMSERVER 已经部署了 AD RMS 角色， DCSERVER 将临时客串一下文件服务器， XP 是用于测试的客户机机， XP 上已经安装了 Office2007 。

         从理论上分析， RMS 客户机使用支持 RMS 的应用程序（例如 Office2007 ）对被保护的文件进行对称加密，然后把对称密钥传输到 RMS 服务器上的许可证。其他访问者想阅读文件，一定要连接到 RMS 服务器申请许可证，然后从许可证中取出对称密钥对被保护的文件进行解密。因此，一定访问者离开公司，联系不上 RMS 服务器，应该是无法访问被保护的文件。当然，这只是理论分析，我们还要通过实验来加以证实。

 

一   安装 RMS 客户端

         XP 客户机上必须安装 RMS 客户端软件，才可以发挥 RMS 的作用。 RMS 客户端软件的下载地址我们就不为大家提供了，为什么，因为 Office2007 可以自动下载。在 XP 客户机上打开 Word2007 ，如图 1 所示，点击 Word2007 左上角的 Office 按钮，依次点击 “准备”－“限制权限”－“限制访问”。

图 1

 

         如图 2 所示， Office2007 提示我们由于没有安装 RMS 客户端软件，无法使用限制访问的功能。如果想自动下载 RMS 客户端软件，点击“是”。

图 2

 

         如图 3 所示，我们同意下载 RMS 客户端软件后， Word2007 自动连接到微软网站去下载 RMS 客户端了。

图 3

 

         RMS 客户端软件下载后保存在 XP 客户机的桌面，如图 4 所示，我们开始在 XP 客户机上安装 RMS 客户端，安装过程很简单，就不过多介绍了。

图 4

 

二   文件保护测试

         XP 客户机上安装了 RMS 客户端后，我们准备了两个用户用于测试。一个用户是 administrator ，一个用户是 Jack ，我们用 administrator 对一个文件进行限制，用 Jack 来访问被限制的文件，看看能否达到限制的目的。值得注意的是， administrator 和 Jack 都需要有电子邮件地址，如果域中有 Exchange 服务器，这就很简单了，为两个用户各自创建一个邮箱就 OK 了。

         我们用域控制器临时客串一下文件服务器，如图 5 所示，我们可以看到域控制器上有一个 DOC 共享文件夹，共享文件夹中有一个用于测试的 Office 文件，我们要利用这个文件来检验一下 RMS 的表现。

图 5

 

         以 administrator 的身份在 XP 客户机上登录，打开 DOC 共享文件夹中的测试文件，如图 6 所示，在 Word2007 中点击“限制访问”。

图 6

 

         如图 7 所示， XP 客户机开始通过 HtTPS 协议访问 RMS 服务器， RMS 服务器要求用户进行身份验证，我们输入 administrator 的账号进行身份验证。

图 7

 

         Administrator 通过身份验证后，看到了如图 8 所示的 RMS 权限设置界面，我们为 Jack 设置了读取权限。注意，描述 Jack 时需要使用电子邮件地址 [email protected]。如果我们希望对Jack 进行更详细的权限设置，我们可以点击左下角的“其他选项”。

图 8

 

         点击了图 8 中的“其他选项”后，我们看到如图 9 所示的设置界面。除了给 Jack 分配读取权限，还可以限制 Jack 是否可以对文件内容进行打印，是否允许对文件内容进行复制。就连文件的到期时间也可以设置，时间到期后文件内容对访问者就彻底关闭了。这里还有一个很人性化的设计，那就是访问者 Jack 如果发现权限不够，还可以通过电子邮件向文件的所有者 administrator 申请更多的权限。在本次实验中，我们对 Jack 的限制是，除了读取文件内容，其他的操作全都不允许，例如对文件内容的复制，打印等。

图 9

 

         对文件的权限进行设置之后，如图 10 所示，我们在 XP 客户机上以 Jack 的身份登录，准备测试一下 Jack 对被限制文件的访问状况。

图 10

 

         Jack 登录后，打开域控制器上 DOC 共享文件夹中的测试文件，如图 11 所示， RMS 客户端自动使用 HTTPS 协议连接到 RMS 服务器。 RMS 服务器要求访问者进行身份验证，我们输入 Jack 的身份凭证进行身份验证， 用户名最好输入[email protected] 。

图 11

 

         Jack 完成身份验证之后，如图 12 所示， RMS 客户端提示由于此文档已经被限制访问，因此访问者必须连接到 RMS 服务器去下载访问许可证，这样才可以访问被限制的文档。从中我们可以推断，如果文件被带出公司，访问者是无法从 RMS 服务器获得许可证的。即使在公司内部，访问者从 RMS 服务器下载许可证，也要通过 RMS 服务器的身份验证才可以。综合这些因素，我们看出 RMS 对文件的保护还是非常到位的。

图 12

 

         Jack 从 RMS 服务器下载许可证后，如图 13 所示，看到了文件的内容。这说明我们之前设置的权限已经生效了， Jack 获得了读取文档的权限，但其他的限制能否实现呢？我们继续观察。

图 13

 

         我们试试 Jack 能否对文件内容进行复制，如图 14 所示，我们发现右键菜单中的复制操作已经变为灰色不可选取，显然 Jack 无法对文件内容进行复制。

图 14

 

         如图 15 所示，我们发现 Jack 对文件内容也无法进行打印。 RMS 对文件的保护确实非常有效，至此，我们可以设想一下，想要窃取被 RMS 保护的文件内容，似乎只有通过 DV 拍摄屏幕内容了 ….. 如果企业内有重要文件需要保护，大家一定要参考一下 RMS 服务器。

图 15