微软免费的文档权限管理方案(RMS)

一.客户需求分析

一)需求分析

1.在公司的日常工作中，经常会产生或查阅一些重要的技术文档，信息的使用者经常通过电子邮件、磁盘复制或文件服务器来共享他们的文档，随着这种使用计算机来创建和处理机密信息、敏感数据的情况越来越多，并且计算设备的功能也愈来愈强大，使得保护信息和数据成为公司内部工作中的一项艰巨而长久的任务。此外，信息窃取行为也使得如何更好地保护公司数字信息这一需求变得更为强烈

二.设计方案

一)规划建议

1.针对公司的需求，微软建议在公司内部署Windows RMS平台（Rights Management Service），通过与Windows Server中的活动目录紧密集成，实现对日常工作中产生的机密Office文档、电子邮件、Web内容的保护，通过设置策略，更好地控制哪些用户可以复制、打印或转发在Word 2003、Excel 2003、PowerPoint 2003 和 Outlook 2003中创建的信息，监控机密信息的流动，防止信息内容的外泻。并且基于Windows RMS的保护方案是基于文件内容的信息权限管理方案，配合传统的基于文件目录的方式，形成一个完整的、更灵活、更安全的信息权限解决方案

二)方案功能实现

1.让你可以保护你的文档，只有你允许的用户，才能执行您允许的操作

2.你可以赋于用户，不能查看，允许查看，允许修改的权限

3.基于AD的用户和组的权限管理，用户只需要通过单点登录的方式就可以获得自己的相关权限

4.具体的功能图片，可在后面的客户端使用见到

三)逻辑架构设计

1.RMS服务器硬件建议配置如下

a).两个P4 2.4G以上CPU，可扩充至4个；512K或1M二级缓存；1GB内存；采用RAID1或RAID5磁盘阵列

2.RMS服务器的软件组件要求如下：

a).操作系统：Windows Server 2003企业版；启用MSMQ、RMS、WEB服务；NTFS文件系统

b).数据库：MSDE 或SQL Server 2000企业版；安装SP3补丁

3.设计说明

a).配置网络，使得内网中的机器可以访问RMS服务器，可以不能访问Internet；而RMS服务器即可以访问内部网络，又可以访问Internet。

b).RMS服务器在完成服务器和RMS客户端的激活之后即可断开与Internet的连接。

c).RMS服务器通过外网防火墙访问Internet，实现RMS服务器的激活，外网防火墙上只打开80和443端口。

d).采用Windows Server 2003企业版、SQL Server 2003企业版，支持RMS服务器集群，支持更多的CPU和内存，在提供高可靠性和高性能的同时，也提供了系统的可扩展性。

e).将RMS服务器加入到AD域中作为成员服务器，利用现有的Windows 2003活动目录服务（Active Directory），RMS和活动目录紧密集成，为AD域用户提供单点登陆功能，为用户提供针对信息内容的权限保护。

四)先进技术

1.RMS

a).Microsoft Windows Rights Management Service（RMS）是微软最新推出的基于Microsoft Windows Server 2003操作系统系列产品之上的服务组件，它与日常办公所使用的应用程序协作来保护数字内容，专为那些需要保护敏感的Web内容、文档和电子邮件的单位和用户而设计。它将Windows RM客户端和服务器技术综合起来，可以提供创建受RM保护的内容、授权和分发受RM保护的内容、获取许可并打开受RM保护的信息，并可以将信息安全策略在企业内部快速部署。

b).RMS确定出可信的实体包括用户、用户群、计算机和应用软件，他们可以分享一个机构的RM系统。RMS向可信实体发布数字证书，授权受保护信息，登记服务器和用户，而且完成事件日志功能。可信实体被授予许可，这使他们能设置策略并访问受保护的内容。

c).可信实体由RMS发布的数字证书进行身份鉴别，他们可以创建使用权限并被其控制。这些权限使用户可以拷贝、打印、转送、修改等等。使用权限也可以被控制为过期，从而拒绝所有对内容的访问。

d).当一个可信实体（例如一个用户）将使用权限赋给内容时，他向RMS要求一个发行许可。发行许可将使用权限与内容捆绑，发行许可由XrML（Extensible Rights Markup Language，可扩展权限标示语言）描述。XrML是用于描述赋与数字化内容权限的一个建议标准，其内容也会被加密。此后，受保护内容的接受者申请使用许可。使用许可检查发行许可中的策略，并在本地应用这些策略。只有使用许可确认了接受者是一个向RMS注册的有效可信实体之后，受保护信息才会被解密。这样，即使用户偶然向企业可信实体网络之外的某人发送了受RM保护的信息，该信息仍然会处于一个不可读的混乱密码文本状态。

e).RMS实现权限保护的工作流程如下图：

f).如上图所示，一般情况下，客户端计算机必须连接到内部网络中才可以获得受RM保护内容的发布许可。如果在客户端计算机未连接到内部网络的情况下使用这些计算机发布受RM保护的内容，则需要进行客户端注册，使用许可证书在未连接到内部网络的情况下发布受RM保护的内容。文档的作者可以使用RMS客户端应用程序（比如Office 2003）来设置与企业的业务策略相一致的内容使用权限和条件。接收了RM保护内容的每个用户均可以通过Windows RMS请求和接收用户许可证，其中列出了该用户使用该内容时的使用权限和条件。RMS客户端应用程序（如Office 2003）可以使用Windows RM技术来读取、解释和实施使用权限和条件。支持RM的应用程序使用对称密钥加密内容，所有Windows RMS服务器、客户端计算机和用户账户都具有相关联的1024位的RSA密钥。

g).IT管理人员可以为用户创建和分发文档定义使用权限和条件的权限策略模板。例如，可以为员工创建权限策略模板，以便对本单位的机密信息按照不同部门的访问能力单独分配使用权限和条件。对于那些要为其内容建立文档分类层次结构的组织而言，这些模板提供了一种便于管理的方法。同时，Windows RMS支持日志记录，管理员可以跟踪和审计组织内受RM保护内容的使用情况，以便记录RM的活动情况

2.RMS客户端

a).Windows RM 客户端组件是一套可用于开发支持 RM 的应用程序接口。支持 RM 的应用程序既可用于发布受 RM 保护的内容，又可用于使用这些内容。RM 系统中的每台客户端计算机都必须装有 Windows RM 客户端组件。Windows RM 客户端组件是计算机激活的前提条件，也是使用支持 RM 的应用程序所必需的。Windows Rights Management 客户端可以安装在任何运行 Windows 98 Second Edition 或更高版本操作系统的计算机上。此版本不支持较早的 Windows 操作系统。

b).支持 RM 的应用程序允许内容作者将使用权限以发布许可证的形式附加到其创建的文件中，以控制内容的使用方式。支持 RM 的应用程序还可处理加密的文件信息，并允许用户根据发布许可证中定义的权限使用该内容。

c).通过使用 Windows RM 客户端 SDK，开发人员可以建立支持 RM 的应用程序，以授权、发布和使用受 RM 保护的内容。可以为运行 Microsoft® Windows® 98 Second Edition 或更高版本的计算机开发支持 RM 的应用程序。

d).开发人员还可以使用 Windows Rights Management 服务 SDK 来建立支持 RM 的服务器应用程序。这应用程序可以发布内容，但不能使用内容。

e).目前微软支持RMS的应用程序是Office System。如果用户没有其他支持 RM 的应用程序可用于在电子邮件或网页中使用受 RM 保护的内容，则可获得并使用适用于 Microsoft Internet Explorer 的权限管理插件。例如，Outlook Web Access (OWA) 客户可以使用适用于 Internet Explorer 的权限管理插件来使用受 RM 保护的电子邮件。

三.具体实施

一)服务器部署

1.服务器的安装

a).安装一台WIN2003服务器，文件系统为NTFS

b).将服务器加入到域中

c).为服务器安装以下组件:MSMQ和IIS（ASP.NET）

d).在服务器上安装MSDE 2000（你也可以用SQL SERVER SP3代替）

e).调整INTERNET连接（这一点很重要！！！）

f).安装RMS端服务器程序

2.服务器的配置

a).设置根认证服务器

(1)配置数据库

(a)可以是本地或远程，按要求写入“服务器名\实例名

(2)配置你的服务帐号

(a)可以是本地系统或合法的域用户（注意：这里的服务帐户不能是当前安装的用户！！）

(3)设置RMS证书保护

(a)可以选择用软件保护，如图（需要设置复杂的密码）

3.服务器的管理

a).注册一个服务连接点

(1)在AD中注册RMS服务的URL

b).配置信任策略

(1)可以配置信任.NET PASSPORT。如果你希望DRM能和以前的IRM一起工作，必须设置。在这里还可以导出证书，或更改信任域信息

c).配置权限策略模板

(1)定义企业的权限策略用的，管理员可以通过定义一些现成的策略模板让企业用户直接调用

d).配置日志记录

(1)配置日志记录相关设置

e).配置外部群集URL

(1)当您要从外网访问你的服务器时,在这里进行相关设置

f).配置认证用户报告

(1)这里将显示所有使用RMS服务的用户数量

g).配置安全设置

(1)在这里是关于安全的设置了，有超级用户组（就是具有管理权限的组），还有证书密钥重设，代理设置以及取消RMS配置（删除前必须先取消配置）

h).配置认证设置

(1)证书的有效时间

i).排除策略

(1)排除测量的作用是防止非法用户使用RMS服务，这里可以定义排除的密码箱版本，WINDOWS版本、RM用户证书以及应用程序项

二)客户机安装

1.安装RMS客户端程序

2.启动RMS应用程序，获得用户证书

a).启动支持RMS的应用程序（如OFFICE2003），创建保护内容并获得用户证书。

三)客户端的应用

1.创建受保护的文档(以OFFICE 2007 ENT版为例)

a).创建一个文档后,点击审阅,再点击保护

b).然后会打一个文件权限设置界面,如下图

c).在这里你可以为权限为读取和更改两个目录下,选择用户,在这里,你可以直接从你的AD中来选择用户,如下图:

2.用户打开被保护的文档

a).当用户打开被保护过的文档时,会向服务器验证用户的权限,如下图:

b).如果你是未授权的用户,你将无法查看,如下图:

c).如果您有相应权限,你将可以基于你的权限进行使用,如下图: