机密数据保险箱, RMS确保重要文件安全无忧
我们完成RMS服务器的部署后,就要来测试一下RMS的表现了。我们先来试试RMS对文件的保护,看看能否用RMS阻止重要文件的内容。我们对RMS的预期是,RMS可以阻止文件在公司之外被打开,文件可以被禁止复制,打印及经过电子邮件转发。实验拓扑如下图所示,RMSERVER已经部署了AD RMS角色,DCSERVER将临时客串一下文件服务器,XP是用于测试的客户机机,XP上已经安装了Office2007。
从理论上分析,RMS客户机使用支持RMS的应用程序(例如Office2007)对被保护的文件进行对称加密,然后把对称密钥传输到RMS服务器上的许可证。其他访问者想阅读文件,一定要连接到RMS服务器申请许可证,然后从许可证中取出对称密钥对被保护的文件进行解密。因此,一定访问者离开公司,联系不上RMS服务器,应该是无法访问被保护的文件。当然,这只是理论分析,我们还要通过实验来加以证实。
一 安装RMS客户端
XP客户机上必须安装RMS客户端软件,才可以发挥RMS的作用。RMS客户端软件的下载地址我们就不为大家提供了,为什么,因为Office2007可以自动下载。在XP客户机上打开Word2007,如图1所示,点击Word2007左上角的Office按钮,依次点击 “准备”-“限制权限”-“限制访问”。
图1
如图2所示,Office2007提示我们由于没有安装RMS客户端软件,无法使用限制访问的功能。如果想自动下载RMS客户端软件,点击“是”。
图2
如图3所示,我们同意下载RMS客户端软件后,Word2007自动连接到微软网站去下载RMS客户端了。
图3
RMS客户端软件下载后保存在XP客户机的桌面,如图4所示,我们开始在XP客户机上安装RMS客户端,安装过程很简单,就不过多介绍了。
图4
二 文件保护测试
XP客户机上安装了RMS客户端后,我们准备了两个用户用于测试。一个用户是administrator,一个用户是Jack,我们用administrator对一个文件进行限制,用Jack来访问被限制的文件,看看能否达到限制的目的。值得注意的是,administrator和Jack都需要有电子邮件地址,如果域中有Exchange服务器,这就很简单了,为两个用户各自创建一个邮箱就OK了。
我们用域控制器临时客串一下文件服务器,如图5所示,我们可以看到域控制器上有一个DOC共享文件夹,共享文件夹中有一个用于测试的Office文件,我们要利用这个文件来检验一下RMS的表现。
图5
以administrator的身份在XP客户机上登录,打开DOC共享文件夹中的测试文件,如图6所示,在Word2007中点击“限制访问”。
图6
如图7所示,XP客户机开始通过HtTPS协议访问RMS服务器,RMS服务器要求用户进行身份验证,我们输入administrator的账号进行身份验证。
图7
Administrator通过身份验证后,看到了如图8所示的RMS权限设置界面,我们为Jack设置了读取权限。注意,描述Jack时需要使用电子邮件地址 Jack@contoso.com。如果我们希望对Jack进行更详细的权限设置,我们可以点击左下角的“其他选项”。
图8
点击了图8中的“其他选项”后,我们看到如图9所示的设置界面。除了给Jack分配读取权限,还可以限制Jack是否可以对文件内容进行打印,是否允许对文件内容进行复制。就连文件的到期时间也可以设置,时间到期后文件内容对访问者就彻底关闭了。这里还有一个很人性化的设计,那就是访问者Jack如果发现权限不够,还可以通过电子邮件向文件的所有者administrator申请更多的权限。在本次实验中,我们对Jack的限制是,除了读取文件内容,其他的操作全都不允许,例如对文件内容的复制,打印等。
图9
对文件的权限进行设置之后,如图10所示,我们在XP客户机上以Jack的身份登录,准备测试一下Jack对被限制文件的访问状况。
图10
Jack登录后,打开域控制器上DOC共享文件夹中的测试文件,如图11所示,RMS客户端自动使用HTTPS协议连接到RMS服务器。RMS服务器要求访问者进行身份验证,我们输入Jack的身份凭证进行身份验证,用户名最好输入Jack@contoso.com。
图11
Jack完成身份验证之后,如图12所示,RMS客户端提示由于此文档已经被限制访问,因此访问者必须连接到RMS服务器去下载访问许可证,这样才可以访问被限制的文档。从中我们可以推断,如果文件被带出公司,访问者是无法从RMS服务器获得许可证的。即使在公司内部,访问者从RMS服务器下载许可证,也要通过RMS服务器的身份验证才可以。综合这些因素,我们看出RMS对文件的保护还是非常到位的。
图12
Jack从RMS服务器下载许可证后,如图13所示,看到了文件的内容。这说明我们之前设置的权限已经生效了,Jack获得了读取文档的权限,但其他的限制能否实现呢?我们继续观察。
图13
我们试试Jack能否对文件内容进行复制,如图14所示,我们发现右键菜单中的复制操作已经变为灰色不可选取,显然Jack无法对文件内容进行复制。
图14
如图15所示,我们发现Jack对文件内容也无法进行打印。RMS对文件的保护确实非常有效,至此,我们可以设想一下,想要窃取被RMS保护的文件内容,似乎只有通过DV拍摄屏幕内容了…..如果企业内有重要文件需要保护,大家一定要参考一下RMS服务器。
图15
本文转自yuelei51CTO博客,原文链接:http://blog.51cto.com/yuelei/315070,如需转载请自行联系原作者