机密数据保险箱， RMS确保重要文件安全无忧

我们完成RMS服务器的部署后，就要来测试一下RMS的表现了。我们先来试试RMS对文件的保护，看看能否用RMS阻止重要文件的内容。我们对RMS的预期是，RMS可以阻止文件在公司之外被打开，文件可以被禁止复制，打印及经过电子邮件转发。实验拓扑如下图所示，RMSERVER已经部署了AD RMS角色，DCSERVER将临时客串一下文件服务器，XP是用于测试的客户机机，XP上已经安装了Office2007。

         从理论上分析， RMS客户机使用支持 RMS的应用程序（例如 Office2007）对被保护的文件进行对称加密，然后把对称密钥传输到 RMS服务器上的许可证。其他访问者想阅读文件，一定要连接到 RMS服务器申请许可证，然后从许可证中取出对称密钥对被保护的文件进行解密。因此，一定访问者离开公司，联系不上 RMS服务器，应该是无法访问被保护的文件。当然，这只是理论分析，我们还要通过实验来加以证实。

 

一  安装RMS客户端

         XP客户机上必须安装 RMS客户端软件，才可以发挥 RMS的作用。 RMS客户端软件的下载地址我们就不为大家提供了，为什么，因为 Office2007可以自动下载。在 XP客户机上打开 Word2007，如图 1所示，点击 Word2007左上角的 Office按钮，依次点击“准备”－“限制权限”－“限制访问”。

图1

 

         如图 2所示， Office2007提示我们由于没有安装 RMS客户端软件，无法使用限制访问的功能。如果想自动下载 RMS客户端软件，点击“是”。

图2

 

         如图 3所示，我们同意下载 RMS客户端软件后， Word2007自动连接到微软网站去下载 RMS客户端了。

图3

 

         RMS客户端软件下载后保存在 XP客户机的桌面，如图 4所示，我们开始在 XP客户机上安装 RMS客户端，安装过程很简单，就不过多介绍了。

图4

 

二  文件保护测试

         XP客户机上安装了 RMS客户端后，我们准备了两个用户用于测试。一个用户是 administrator，一个用户是 Jack，我们用 administrator对一个文件进行限制，用 Jack来访问被限制的文件，看看能否达到限制的目的。值得注意的是， administrator和 Jack都需要有电子邮件地址，如果域中有 Exchange服务器，这就很简单了，为两个用户各自创建一个邮箱就 OK了。

         我们用域控制器临时客串一下文件服务器，如图 5所示，我们可以看到域控制器上有一个 DOC共享文件夹，共享文件夹中有一个用于测试的 Office文件，我们要利用这个文件来检验一下 RMS的表现。

图5

 

         以 administrator的身份在 XP客户机上登录，打开 DOC共享文件夹中的测试文件，如图 6所示，在 Word2007中点击“限制访问”。

图6

 

         如图 7所示， XP客户机开始通过 HtTPS协议访问 RMS服务器， RMS服务器要求用户进行身份验证，我们输入 administrator的账号进行身份验证。

图7

 

         Administrator通过身份验证后，看到了如图 8所示的 RMS权限设置界面，我们为 Jack设置了读取权限。注意，描述 Jack时需要使用电子邮件地址 [email protected]。如果我们希望对Jack进行更详细的权限设置，我们可以点击左下角的“其他选项”。

图8

 

         点击了图 8中的“其他选项”后，我们看到如图 9所示的设置界面。除了给 Jack分配读取权限，还可以限制 Jack是否可以对文件内容进行打印，是否允许对文件内容进行复制。就连文件的到期时间也可以设置，时间到期后文件内容对访问者就彻底关闭了。这里还有一个很人性化的设计，那就是访问者 Jack如果发现权限不够，还可以通过电子邮件向文件的所有者 administrator申请更多的权限。在本次实验中，我们对 Jack的限制是，除了读取文件内容，其他的操作全都不允许，例如对文件内容的复制，打印等。

图9

 

         对文件的权限进行设置之后，如图 10所示，我们在 XP客户机上以 Jack的身份登录，准备测试一下 Jack对被限制文件的访问状况。

图10

 

         Jack登录后，打开域控制器上 DOC共享文件夹中的测试文件，如图 11所示， RMS客户端自动使用 HTTPS协议连接到 RMS服务器。 RMS服务器要求访问者进行身份验证，我们输入 Jack的身份凭证进行身份验证， 用户名最好输入[email protected]。

图11

 

         Jack完成身份验证之后，如图 12所示， RMS客户端提示由于此文档已经被限制访问，因此访问者必须连接到 RMS服务器去下载访问许可证，这样才可以访问被限制的文档。从中我们可以推断，如果文件被带出公司，访问者是无法从 RMS服务器获得许可证的。即使在公司内部，访问者从 RMS服务器下载许可证，也要通过 RMS服务器的身份验证才可以。综合这些因素，我们看出 RMS对文件的保护还是非常到位的。

图12

 

         Jack从 RMS服务器下载许可证后，如图 13所示，看到了文件的内容。这说明我们之前设置的权限已经生效了， Jack获得了读取文档的权限，但其他的限制能否实现呢？我们继续观察。

图13

 

         我们试试 Jack能否对文件内容进行复制，如图 14所示，我们发现右键菜单中的复制操作已经变为灰色不可选取，显然 Jack无法对文件内容进行复制。

图14

 

         如图 15所示，我们发现 Jack对文件内容也无法进行打印。 RMS对文件的保护确实非常有效，至此，我们可以设想一下，想要窃取被 RMS保护的文件内容，似乎只有通过 DV拍摄屏幕内容了 …..如果企业内有重要文件需要保护，大家一定要参考一下 RMS服务器。

图15

 

本文出自 “岳雷的微软网络课堂” 博客，请务必保留此出处http://yuelei.blog.51cto.com/202879/315070