企业级项目案例实战-使用AD RMS保护重要文档

合集下载

使用AD RMS保护文档安全

必须使活动目录域的成员服务器或者域控制器，用户账户必须使活动目录域账户，并且该账户必须和ＩＩＳ服务器位于相同的或者信任的域。选择所需的身份验证协议，点击 “启用 ”，可以激活该验证方式。当激活多个身份验证协议，其使用是由顺序的。一般匿名身份验证方式优先级最高，之后依次为Ｗｉｎｄｏｗｓ验证；ｈ－式，摘要式验证方式，基本身份
也无法对其访问呢？
触的。虽然可以
以彻底阻止其接
对文档进行加密保护，不过一将其泄漏出去，也无法对其访触任何文档。
旦密码设置的比较简单的话，问呢？使用ＡＤＲＭＳ权限管
验证方式。母
ｗｗｗ．３６５ｍａｓｔｅｒ．ＣＯＩＴＩ２０１ｔ．６０７１１５
Ｓｅｃｕｒｉｔｙ－信息安全贞任编辑：划徽投稿信箱：ｔａｄｍｊｎ好６５ｍ。ｓｔｅｃ。ｍ
Ｏｆｉｃｅ２００３／２０Ｏ７／２０ｌ０／２０１３等版本，而且只支持Ｗｏｍ，Ｅｘｃｅｌ，ＰｏｗｅｒＰｏｉｎｔ，Ｏｕｔｌｏｏｋ，ＩｎｆｏＰａｔｈ组件。对于Ｏｆ￣ｃｅ２００３来说，因为其内置的证书存在过期问题，所以必须安装特定的补丁才可以使用ＡＤＲＩ；保护功能。当打开ＡＤＲＭＳ保护的文档时，必须

微软免费的文档权限管理方案(RMS)

微软免费的文档权限管理方案(RMS)一.客户需求分析一)需求分析1.在公司的日常工作中，经常会产生或查阅一些重要的技术文档，信息的使用者经常通过电子邮件、磁盘复制或文件服务器来共享他们的文档，随着这种使用计算机来创建和处理机密信息、敏感数据的情况越来越多，并且计算设备的功能也愈来愈强大，使得保护信息和数据成为公司内部工作中的一项艰巨而长久的任务。

此外，信息窃取行为也使得如何更好地保护公司数字信息这一需求变得更为强烈二.设计方案一)规划建议1.针对公司的需求，微软建议在公司内部署Windows RMS平台（Rights Management Service），通过与Windows Server中的活动目录紧密集成，实现对日常工作中产生的机密Office文档、电子邮件、Web内容的保护，通过设置策略，更好地控制哪些用户可以复制、打印或转发在Word 2003、Excel 2003、PowerPoint 2003 和Outlook 2003中创建的信息，监控机密信息的流动，防止信息内容的外泻。

并且基于Windows RMS的保护方案是基于文件内容的信息权限管理方案，配合传统的基于文件目录的方式，形成一个完整的、更灵活、更安全的信息权限解决方案二)方案功能实现1.让你可以保护你的文档，只有你允许的用户，才能执行您允许的操作2.你可以赋于用户，不能查看，允许查看，允许修改的权限3.基于AD的用户和组的权限管理，用户只需要通过单点登录的方式就可以获得自己的相关权限4.具体的功能图片，可在后面的客户端使用见到三)逻辑架构设计1.RMS服务器硬件建议配置如下a).两个P4 2.4G以上CPU，可扩充至4个；512K或1M二级缓存；1GB内存；采用RAID1或RAID5磁盘阵列2.RMS服务器的软件组件要求如下：a).操作系统：Windows Server 2003企业版；启用MSMQ、RMS、WEB服务；NTFS文件系统b).数据库：MSDE 或SQL Server 2000企业版；安装SP3补丁3.设计说明a).配置网络，使得内网中的机器可以访问RMS服务器，可以不能访问Internet；而RMS服务器即可以访问内部网络，又可以访问Internet。

用RMS对Office文件安全保密概述

• Microsoft Windows Rights Management 服务 (RMS) 可运行于 Microsoft Windows Server 2003 操作系统系列产品之上，是一种与应用程序协作来保护数字内容（不论其何去何从）的安全技术，专为那些需要保护敏感的 Web 内容、文档和电子邮件的用户而设计。用户可以严格规定哪些用户可以打开、读取、修改和重新分发特定内容。组织可以创建权限
用RMS对Office文件安全保密概述
Module #: Title
• 什么是ADRMS • 目前有哪些的版本 • 加密的方式及类型 • 加密过程ights Management Services (RMS)” 是微软公司针对企业数字内容安全所提供的支持信息权限管理的服务器和客户端技术。
8 1
3
6
2
4
SQL
Consumption
5 9
架构
• 单一安装 • 群集安装
谢谢！
MOSS Permission
MOSS Permission 基于RMS集成Sharepoint,以权限的方式加密
加密类型
• 主要加密对象为Office 文档和XPS
• 其他第三方有支持 PDF
加密过程
Active Directory
Protection
7 CLC AD RMS Server
目前有哪些的版本
• RMS 1.1 • ADRMS 2008 • ADRMS 2008 R2 • ADRMS 2012 • ADRMS 2012 R2
加密的方式及类型
• IRM（Information Rights Management） • MOSS Permission

ADRMS的信息权限保护应用开发

2011.344 基于AD RMS 的信息权限保护应用开发研究邱刚中船重工第七二二研究所信息安全事业部湖北 430079摘要：对电子信息实施保护，使电子信息按允许的方式使用是企业和机构业务正常进行的重要需要。

AD RMS 支持对信息的受控发布与使用，本文介绍AD RMS 信息授权保护的原理，阐述了支持AD RMS 信息保护的应用程序的开发和调试方法。

关键词：信息保护；AD RMS ；应用程序开发；调试0 前言计算机与网络技术日益深入各种行业的业务应用，大量企业和机构部署了办公自动化和业务信息系统。

在提高组织工作效率的同时，信息滥用和泄露的风险也随之增大。

计算机网络中电子信息发布和访问的安全性的得到了广泛的关注和重视。

AD RMS 是一种在分布式网络环境中集中保护信息按要求方式使用的技术，为网络中信息的安全发布和使用提供了一个完整的解决方法和技术平台。

AD RMS 定义了细粒度的访问方式，可以为指定的用户或者组在一定时间范围内指定读取、修改、打印等操作权限的任意组合。

确保信息文件有意无意的离开AD RMS 安全域后无法被读取和使用。

AD RMS 适合于各种组织机构控制文档在机构内部和外部的发布和使用方式与时间。

为了使用AD RMS 的权限管理功能，应用程序要使用AD RMS SDK 提供的接口来实现对权限保护的支持。

本文介绍AD RMS 的原理，简述开发AD RMS 应用的环境建立和程序实现方法。

1 原理1.1 AD RMS 应用系统AD RMS 应用系统包含AD RMS 服务器、客户端计算机、用户认证服务器、证书服务器和用户，如图1所示。

AD RMS 采用信息加密技术保护敏感信息内容及使用方式。

客户端计算机客户端计算机证书服务器AD RMS 服务器用户认证服务器图1 AD RMS 环境示意图1.2 信息加密AD RMS 采用对称与非对称密码结合数字证书的机制加密受保护的信息内容和使用权限信息。

adrms加解密原理

adrms加解密原理AD RMS（Active Directory Rights Management Services）是一种基于角色的访问控制技术，用于保护组织的敏感信息和文档。

它使用加密和访问控制技术，以确保只有授权用户可以访问受保护的内容。

下面我将从加密和解密原理、角色控制等方面来详细解释AD RMS的加解密原理。

首先，让我们来谈谈AD RMS的加密原理。

当一个用户创建或编辑一个受AD RMS保护的文档时，AD RMS会使用加密算法对该文档进行加密。

这通常涉及到对文档内容进行加密，以及对访问该文档所需的许可证进行加密。

这样，即使文档被未经授权的用户访问，也无法解密或查看其内容，因为访问权限是通过许可证控制的。

AD RMS使用了强大的加密算法，如AES（高级加密标准）来保护文档内容和许可证。

其次，让我们来谈谈AD RMS的解密原理。

当一个授权用户尝试访问一个受AD RMS保护的文档时，AD RMS会验证用户的身份和权限，并向用户提供相应的许可证。

这个许可证包含了解密文档所需的密钥信息，只有授权用户才能解密许可证并使用其中的密钥来解密文档内容。

这种方式确保了只有授权用户才能解密受保护的文档，从而保护了文档的安全性。

除了加密和解密原理，AD RMS还涉及到角色控制。

AD RMS通过角色控制来管理用户对受保护内容的访问权限。

管理员可以定义不同的角色，并为每个角色分配不同的权限。

这样，用户可以根据其在组织中的角色而被分配相应的访问权限，从而实现对敏感信息的有效保护。

综上所述，AD RMS的加解密原理涉及到使用强大的加密算法对文档内容和许可证进行加密，以及通过角色控制来管理用户的访问权限。

这种综合的安全机制确保了受AD RMS保护的内容的安全性和保密性。

AD RMS在保护敏感信息和文档方面发挥着重要作用，为组织提供了一种可靠的安全解决方案。

RMS软件授权管理系统及案例分析

赫尔辛基维格特
渥太华
圣何塞东京托兰斯爱芬北京香港台北新德里新加坡墨尔本
全球约 900 名员工全世界超过 5000 家客户经销渠道遍及 100 多个
丹维斯纽约巴尔的摩雷拉尔墨西哥城巴黎慕尼黑
汉城
伦敦
圣保罗
国家和地区
2
市场划分
SafeNet 为客户提供版权管理的全面解决方案，保护知识产权，防止盗版，确保客户的销售收入。软件软件保护：反盗版与许可证管理
正式版许可证（Permanent License）
正式版许可证，无任何限制
绑定的许可证Locked License
有绑定的许可证，不可移动
1定义信息存储在许可证中
软件／模块名称
用于不同的软件／模块的许可证的区分
绑定信息
9
成功案例
Bosch需要一套可以对其嵌入式产品及软件产品进行全面高效的授权管理的系统；

Bosch原有的嵌入式产品授权保护模式：一个基于DOS，已经用了10年的软件系统，不能适应许可证授权管理。
Bosch需要什么？
所有的终端产品需要许可证发放；不同的功能定价不一样，许可证需要管理；
8
为什么会需要Sentinel™ RMS
4、降低成本，提升价值
硬件加密狗采购成本随着软件销量增加而增加，软件价格下降，硬件加密狗成本比例上升；
RMS系统采购成本比例会随着软件销量大幅增加而明显下降，同时管理效率提高，运营成本降低，给软件开发销售商带来更多价值。
5、支持更多的操作系统
Windows98/2000/xp/2003 server Redhat Linux 9.0/ Redhat Linux Enterprise v3.0 /SuSe Linux 9.x; HP-UX B.11.00 32-bit/HP-UX 11.00 32-bit IBM AIX 5.1 32-bit Solaris SPARC 2.8 64-bit/Solaris SPARC 2.9 64-bit/Solaris SPARC 8 (SunOS 5.8)/Solaris SPARC 9 (SunOS 5.9) (static & shared objects); MacOS X v10.2/MacOS X v10.3

AD RMS信息权限保护研究

和访问的安全性得到了广泛的关注和重视。各种组织机构广泛使用计算机网络处理各种工作信息，这
２原理
２１ＭＳ环境．ＡＤＲ
ＡＤＲＭＳ环境包含ＡＤＲＭＳ服务器、客户端
些信息需要得到妥善保护并在合适的授权下使用。

刚
（第七二二研究所，湖北武汉４０７）３０９
摘要：对电子信息实施保护，使电子信息按允许的方式使用是企业和机构业务正常进行的重要需求。研究ＡｇＳ信息授权ＤＭ保护的原理，阐述了信息受控发布和访问的过程，分析ＡＲｓ信息安全保护方案，评估了信息授权服务的效能。ＡｇＳ可ＤＭＤＭ以用来构建功能完善且强大的信息权限保护系统，有效防止敏感数据通过网络、移动存储介质等各种途径的泄漏和滥用。关键词：信息安全；信息保护；ＡＭＤＥＳ
ＫｗｏｄＩｆｒｔｏＳｃｒｙ：Ｉｆｒｔｏｐｏｅｔｏｅｙｒｓ：ｎｏｍａｉｎｅｕｉｔｎｏｍａｉｎｒｔｃｉｎ；ＡＤＲＭＳ
１引言
计算机与网络技术日益深入各种行业的业务应
企业对于设计方案和技术文档使用的控制；财务部门的内部报表不应被工程部门所读取；对外发布的
ＲｅｅｒｈｎＡＤＲＭＳｎｏｍａｉｎｓａｃｏＩｆｒｔｏＲｉｈＰｒｔｃｉｎｇｔｏｅｔｏｑｕＧｎａｇＪ

Active Directory Rights Management Services 概述

Active Directory Rights Management Services 概述更新时间: 2007年5月应用到: Windows Server 2008使用Active Directory 权限管理服务(AD RMS) 和AD RMS 客户端，可通过永久使用策略（始终随信息一同存在，无论是否移动信息）保护信息，从而增强组织的安全策略。

可以使用AD RMS 来帮助防止敏感信息（如财务报表、产品说明、客户数据及机密电子邮件）被有意或意外地用于不当用途。

有关AD RMS 的信息，请参阅位于/fwlink/?LinkId=80907（可能为英文网页）中的“Active Directory Rights Management Services 技术中心”页。

在以下各部分中，了解有关AD RMS、AD RMS 中的必需和可选功能以及用于运行AD RMS 的硬件和软件的详细信息。

在本主题结尾，了解如何打开AD RMS 控制台以及如何查找有关AD RMS 的详细信息。

什么是Active Directory Rights Management Services？AD RMS 系统包括基于Windows Server® 2008 R2 的服务器（运行用于处理证书和授权的Active Directory 权限管理服务(AD RMS) 服务器角色）、数据库服务器以及AD RMS 客户端。

最新版本的AD RMS 客户端作为Windows® 7 和Windows Vista® 操作系统的一部分包括在内。

AD RMS 系统的部署为组织提供以下优势：∙保护敏感信息。

如字处理器、电子邮件客户端和行业应用程序等应用程序可以启用AD RMS，从而帮助保护敏感信息。

用户可以定义打开、修改、打印、转发该信息或对该信息执行其他操作的人员。

组织可以创建子自定义的使用策略模板（如“机密- 只读”），这些模板可直接应用于上述信息。

测试AD RMS的功能

企业的SOLOGEN
图9-22 安全警报
L0GO
(8)如图9-23所示，勾选“限制对此文档的权限”，然后单击“读取”按钮来开发权限，完成后单击“确定”按钮，图中选择开放读取权限给用户“Tom@”, 由图9-24所示可知，还可以设置文档到期日、是否可打印文档内容、是否可复制内容等。
企业的SOLOGEN
图9-25 安全警报
L0GO
（14）如图9-26所示，显示这是权限受到限制的文档，必须通过Https的方式连接AD RMS服务器以便验证用户的信息，单击“确定”按钮。
图9-26 https连接提示信息
企业的SOLOGEN
L0GO
（15）验证成功后，出现如图9-27所示界面和文档内容，如果Tom要向文件所有者 George索取其他权限，可以通过单击“查看权限”按钮->“要求附加权限”的方法给 George发送索取权限的邮件。
企业的SOLOGEN
图9-23 权限设置
图9-24其它选项设置
L0GO
（9）在Word中，单击“文件”->“另存为”，将文件存储到共享文件夹 “dc\public”内，并设置文件名为jdy_test.docx。（10）注销现登录账户，改用“Tom@”登录。（11）通过运行IE浏览器,按一下“Alt”键->“工具”->Internet选项>“安全”->本地Intranet->站点->高级按钮后，输入 https://，单击“添加”按钮，将AD RMS群集网站加入本地 Intranet的安全域内。（12）打开“资源管理器”，运行位于:C:\\Program File\Microsoft Office\Office14下的WINWORD.EXE（此处是默认的安装路径，具体根据安装路径来定），并打开\\DC\pulic\jdy_test.docx文件。（13）出现如图9-25所示，单击“是”按钮（或者通过“查看证书”按钮来执行信任的步骤）。

AD RMS企业文件版权管理

AD RMS企业文件版权管理AD RMS (AD权限管理服务)能够确保企业内部数字文件的机密性，例如，用户即使有权限读取受保护的文件，但是如果未被许可，就无法复制与打印该文件。

AD RMS概述虽然可以通过NTFS权限来设置用户的访问权限，然而NTFS权限还有不足之处，例如你开放用户可以读取某个包含机密数据的文件，此时用户就可以复制文件内容或将文件存储到其他位置，这样可能让这份机密文件泄露出去，尤其现在便携存储媒体盛行，用户可以轻易地将文件带离公司。

AD RMS是一种信息保护技术，在搭配支持AD RMS的应用程序后，文件的所有者可以将其设置为版权保护文件，并授予其他用户读取，复制或打印。

如果用户仅被授予读取权限，则他无法复制文件内容，也无法打印。

发件人也可以限制收件人转发邮件。

每个版权保护文件内都存储着保护信息，不论这个文件被移动，复制到何处，这些保护信息都仍然存在文件内，因此可以确保文件不会被未经许可的用户访问。

AD RMS可以保护企业内部的机密文件，如财务报表，技术文件等。

AD RMS的需求一个基本的AD RMS环境包含下图的组件。

●域控制器：AD RMS需要一个域环境，因此需要域控。

●AD RMS服务器：客户端需要证书与许可证才可以进行文件版权保护的工作，而AD RMS服务器就负责证书与许可证的发放。

可以假设多台AD RMS服务器来提供排除和负载均衡功能，其中第一台服务器被称为AD RMS根群集服务器。

由于客户端通过HTTP和HTTPS与AD RMS服务器通信，因此AD RMS服务器必须架设IIS。

●数据库服务器：用来存储AD RMS设置与策略等信息，可以使用Microsoft SQLServer来架设数据库服务器。

还可以直接使用AD RMS内置数据库，不过此时只架设一台AD RMS服务器。

●运行AD RMS-enabled应用程序的客户端用户：用户允许AD RMS-enabled应用程序（例如Word）并利用他来创建，编辑文件并将文件设置为受保护的文件，然后将此文件存储到其他用户可以访问到的地方，如网络共享文件夹，U盘等。

文档授权保护工具(RMS)开发手记

文档授权保护工具(RMS)开发手记经过近半个月的全力开发，这个小工具终于完成了，整个开发过程基本都是一步步摸索着走过来的，现在就把我开发过程所积累的一点点经验做一下总结。

一、环境设置1.系统环境开发环境为VPC2007虚机，所装系统软件为Win2003+AD，数据库使用SQL2005，其他应用软件有MOSS2007和OFFICE2007等，当然，RMS 1.0 SP2的客户端、服务器端是必不可少的。

值得注意的是，在安装配置完RMS的服务器端之后，需要把机器名称添加到Certification和Licensing目录文件的访问列表中，否则可能会出现拒绝访问的情况。

如下图：至于MOSS2007、RMS1.0 SP2的安装过程已经有很多人介绍过了，这里就不罗嗦了，如有需要，可以在网上查找相关资料。

系统安装完成后请确认是否能够通过IE正常访问该Web Services。

在计算机管理中（开始 -> 运行 -> compmgmt.msc）的事件查看器中查看有无RMS相关的错误日志。

在IIS管理器中打开RMS管理站点，查看虚拟路径Certification 和Licensing目录中的Web Services是否都能正常显示，最好使用站点名称而不是以Localhost方式访问这两个目录进行验证。

2.开发环境本工具的开发工具为VS2008，开发语言VC++，程序类型为命令行（控制台）程序，使用标准Windows 库(None MFC)。

3.切换RMS到Pre-Production环境如果需要详细了解生产环境和开发环境之间的切换，请参考MSDN，下面就把重点步骤简要列举一下。

1)更改注册表，请根据自身情况替换黑体字部分的内容，如下：第一段注册表内容为切换服务器端到Pre-Production环境，第二段为客户端切换到Pre-Production环境，其中Hierarchy=1表示Pre-Production，Hierarchy=0表示Production环境。

SAAM-评估实例

02
评估实例选择与背景
评估实例的选择标准
代表性
选择的评估实例应具有代表性，能够反映特定领域或行业的整体情况。
可获取性
确保所选评估实例的数据和信息易于获取，以便进行准确和可靠的评估。
多样性
为了更全面地了解情况，应选择不同类型、规模和地理位置的评估实例。
实际应用价值
评估实例应具有实际应用价值，能够对政策制定、决策或改进提供有意义的参考。
对收集到的数据进行深入分析，以揭示被评估对象的优势、劣势、机会和威胁。通过对比行业标准和竞争情况，进一步明确被评估对象的定位和市场地位。
根据分析结果，撰写详细的评估报告。报告应清晰、准确地反映评估结果，并提出有针对性的建议和改进措施。
与相关利益方沟通评估结果和建议，确保他们能够理解并接受评估结论。同时，根据反馈意见对评估报告进行必要的调整和完善。
SAFE评估方法的适用范围
总结词
SAFE评估方法适用于各种类型的软件项目，特别是对于关键基础设施和大型企业级软件系统。
详细描述
SAFE评估方法适用于各种软件开发项目，包括桌面应用程序、移动应用程序、Web应用程序和嵌入式系统等。对于关键基础设施和大型企业级软件系统，SAFE评估方法尤
为重要，因为它能够确保软件在整个生命周期内都具备足够的安全性。
评估结果：员工绩效水平整体较高，但存在部分员工表现不佳
评估实例结果分析方法
数据分析
对评估数据进行统计分析，了解员工绩效的分布情况
趋势分析
分析员工绩效的变化趋势，预测未来的发展情况
对比分析
将员工绩效与行业标准、公司内部标准进行对比，找出优势和不足
因素分析

ad rms rights policy template management

ad rms rights policy templatemanagementActive Directory Rights Management Services (AD RMS) is a technology that helps organizations protect their sensitive information by enabling them to control how that information is used, shared, and printed. One of the key components of AD RMS is the Rights Policy Template, which defines the rules and permissions for protecting content.AD RMS Rights Policy Template Management is the process of creating, modifying, and deploying Rights Policy Templates. This involves defining the access controls, usage restrictions, and encryption settings that apply to different types of content. For example, you might create a Rights Policy Template that allows users to read and print a document, but not copy or modify it.To manage Rights Policy Templates in AD RMS, you can use the AD RMS console or the AD RMS PowerShell cmdlets. The AD RMS console provides a graphical user interface for creating and managing Rights Policy Templates, while the PowerShell cmdlets allow you to perform these tasks from the command line.When creating a Rights Policy Template, you can specify the following settings: - Access controls: Define who can access the content and what actions they can perform (e.g., read, print, copy, modify).- Usage restrictions: Set conditions for using the content, such as time limits, device restrictions, and geographical restrictions.- Encryption settings: Choose the加密算法 and key length to use for encrypting the content.Once you have created a Rights Policy Template, you can deploy it to users or groups in your organization. You can also customize the template for specific scenarios, such as for documents that contain sensitive information or for collaboration scenarios.AD RMS Rights Policy Template Management is an important aspect of AD RMS that helps organizations protect their sensitive information and ensure that it is used and shared in a secure manner. By creating and deploying Rights Policy Templates, organizations can control access to their content and prevent unauthorized use or distribution.。

AD-RMS企业文件版权管理

AD-RMS企业文件版权管理————————————————————————————————作者：————————————————————————————————日期：AD RMS企业文件版权管理AD RMS (AD权限管理服务)能够确保企业内部数字文件的机密性，例如，用户即使有权限读取受保护的文件，但是如果未被许可，就无法复制与打印该文件。

AD RMS是一种信息保护技术，在搭配支持AD RMS的应用程序后，文件的所有者可以将其设置为版权保护文件，并授予其他用户读取，复制或打印。

如果用户仅被授予读取权限，则他无法复制文件内容，也无法打印。

发件人也可以限制收件人转发邮件。

AD RMS可以保护企业内部的机密文件，如财务报表，技术文件等。

AD RMS的需求一个基本的AD RMS环境包含下图的组件。

●域控制器：AD RMS需要一个域环境，因此需要域控。

●AD RMS服务器：客户端需要证书与许可证才可以进行文件版权保护的工作，而ADRMS服务器就负责证书与许可证的发放。

可以假设多台AD RMS服务器来提供排除和负载均衡功能，其中第一台服务器被称为AD RMS根群集服务器。

由于客户端通过HTTP和HTTPS与AD RMS服务器通信，因此AD RMS服务器必须架设IIS。

●数据库服务器：用来存储AD RMS设置与策略等信息，可以使用Microsoft SQL Server来架设数据库服务器。

还可以直接使用AD RMS内置数据库，不过此时只架设一台AD RMS服务器。

AD RMS

indows Server 2008 R2 之二十二AD RMS基础(2009-08-23 08:48:50)转载▼分类：WindowsServer2008标签：adrms发布许可使用在线离线受保护权限帐号证书racit相对于传统的信息安全保护方案（防火墙、ACL、EFS等），Active Directory 权限管理服务它提供了与应用程序协作（如office 2007)保护数字内容的安全技术，它专门为那些需要保护的敏感文档、电子邮件和WEB内容而设计，可以严格地控制哪些用户可以打开、读取、修改和重新分发等权限。

RMS的最大优势在于它能对整个数字信息生命周期进行管理，权限伴随文档。

一、AD RMS的工作过程AD RMS的工作过程是一个相当复杂的过程。

我们可以用下面的四步来简单描述它的工作过程（尽管不够具体、准确）。

作者：1、创建受保护的文档。

2、授权并分发内容（作者会身RMS服务器请求发布许可，RMS服务器返回发布许可，支持RMS的应用程序将发布许可合并到受保护的文档）使用者：当使用都打开受保护的文档时，1、向RMS服务器请求使用许可。

2、服务器向使用者返回使用许可，使用者使用使用许可打开文档内容二、AD Rms证书和许可证服务器许可方证书(SLC)在群集中的第一个服务器上安装和配置AD RMS 服务器角色时会创建SLC。

服务器会为自己生成唯一的SLC，该SLC 建立该服务器的标识，称为自注册，且有效期为250 年。

这样可以将受权限保护的数据存档较长时间。

根群集既处理证书（通过发放权限帐户证书(RAC)），又处理对受权限保护的内容的授权。

添加到根群集的其他服务器共享一个SLC。

在复杂环境中，可以部署仅授权群集，这会生成它们自己的SLC。

SLC 包含服务器的公钥。

（注意在Windows Server 2003中，SLC是通过向微软网站注册后而微软创建的）客户端许可方证书(CLC)CLC 由AD RMS 群集为响应客户端应用程序的请求而创建。

深圳紫色力腾科技-域防电子文档保密系统成功案例

•
使用示意图
政府行业
• H市人民政府侨务办公室
• H市人民政府侨务办公室是市政府主管侨务工作的工作部门，对外工作是一项政策性强、敏感度高和权力相对集中的工作，必须在授权范围内进行。为
了保证H市外事侨务工作不折不扣地贯彻中央对外方针政策和侨务政策以及
市委、市政府的涉外决策，保证县外事侨务工作高效有序地进行，H市人民政府侨务办公室选用了紫色力腾文档加密系统等级版和单机版做为内部文档安全的辅助工具，所有侨办的内部公文、请示、报告、通知、密电等，在需要离开工作环境时，必须由紫色力腾文档加密系统进行加密，工作人员需持有相关KEY才能打开内部文件，有效杜绝了移动工作平台遗失、在外网环境下造成的文件安全问题。
域防电子文档保密系统案例分享
公司简介
深圳市紫色力腾科技发展有限公司是一家专注于安全控制领域的高科技企业。主要从事信息安全、网络安全、专业数据中心管控系统设备的设计、生产和销售，是国家商用密码产品生产定点单位、国家级高新技术企业、深圳市软件企业等。在上海拥有全资子公司，在北京、重庆、成都、香港等地拥有代表处以及技术支持中心。
使用示意图
• • •
重要文件加密存储
移动平台无明文
Байду номын сангаас
USBKEY+口令双重防护内部文件，彻底杜绝笔记本遗失/被盗，在互联网环境使用造成的文件外泄风险
服装行业
• 深圳XXXX服饰有限公司创立于1996年，旗下某品牌是开拓中国设计师品牌的先行者，历经十余年发展成长为中国最成功的女装设计师品牌，广受中国知性女性的青睐，亦是国际国内主流时尚媒体热捧的中国时尚女装设计师品牌代表。 • 目前公司在在中国拥有百余家连锁店，位于中国各大城市一流商圈，是中国知性女士最喜爱的知名女装品牌之一。 • 随着企业的发展，有些新产品尚未上市后会被其他的供应商迅速仿制，成为比较头痛的问题。公司希望自己的作品可以得到有效保护,企业的创造性劳动得到社会的尊重和合理回报;见过严格的试用和测试，该服饰公司选用了紫色力腾文档加密产品企业版，实现了预期目标，有效杜绝了

【VIP专享】windowsserver活动目录AD RMS策略服务

由于网络中安全事件的不断发生,企业内部的文件数据安全性已经成为网络安全领域比较受关注的课题之一。

网络中安全的威胁通常来自于Internet和局域网络内部，而来自企业内部的网络攻击往往是最致命的。

遭受攻击的结果通常会导致企业内部敏感数据的大量泄漏，从而会对企业造成巨大的经济损失。

微软公司的RMS（Rights Management Services，权限管理服务）正是在这种环境下产生的。

它通过数字证书和用户身份验证技术对各种支持 AD RMS 的应用程序文档访问权限加以限制，可以有效防止内部用户通过各种途径擅自泄露机密文档内容，从而确保了数据文件访问的安全性。

AD RMS 概述随着windows server 2008操作系统在企业中的不断普及与应用，windows server 2008系统中的AD RMS服务也越来越被广大IT管理人员所熟悉。

Windows Server 2008 操作系统的 Active Directory 权限管理服务 (AD RMS) 是一种信息保护技术，它与支持 AD RMS 的应用程序协同工作，以防止在企业内部的数字信息在未经授权的情况下被非法使用。

AD RMS 适用于需要保护敏感信息和专有信息（例如财务报表、产品说明、客户数据和机密电子邮件消息）的组织。

AD RMS 通过永久使用策略（也称为使用权限和条件）提供对信息的保护，从而增强组织的安全策略，无论信息移到何处，永久使用策略都保持与信息在一起。

AD RMS 永久保护任何二进制格式的数据，因此使用权限保持与信息在一起，而不是权限仅驻留在组织网络中。

这样也使得使用权限在信息被授权的接收方访问后得以强制执行。

AD RMS 系统包括基于 Windows Server 2008的服务器（运行用于处理证书和授权的 Active Directory 权限管理服务服务器角色）、数据库服务器以及 ADRMS 客户端。

最新版本的 AD RMS 客户端作为 Windows 7 和 Windows Vista 操作系统的一部分包括在内。

51CTO下载-第16章 AD RMS企业文件版权管理

AD RMS服务器的其他高级设置
信任策略权限策略模版权限账户证书策略 D RMS概述 AD RMS实战演练其他高级说明与设置

作业
简述AD RMS运行的流程
内置数据库
ADRMS AD RMS服务器（Windows Server 2008）
IP:192.168.8.3/24 DNS:192.168.8.1
Vista PC 测试用的计算机（Windows Vista Business）
AD RMS 实战演练
其他高级说明与设置
AD RMS运行的详细流程 AD RMS服务器的其他高级设置
AD RMS的需求
域控制器
AD RMS服务器
数据库服务器
文件的所有者
受保护的文件
想要访问文件的用户（文件接收者）
AD RMS实战演练
IP:192.168.8.1/24 DNS:192.168.8.1 受保护的文件 DC 域控制器&DNS服务器（Windows Server 2008） IP:192.168.8.2/24 DNS:192.168.8.1
第十六章 AD RMS企业文件版权管理
本章要点
AD RMS概述 AD RMS实战演练其他高级说明与设置

AD RMS概述
虽然可以通过NTFS权限来设置用户的访问权限，但NTFS权限还是有功能不足之处。 Windows Server 2008的Active Directory Rights Management Services（AD RMS）是一种信息保护技术，在搭配支持AD RMS的应用程序（以下简称为AD RMS-enabled应用程序）后，文件的所有者可以将其设置为版权保护文件，并授予其他用户读取、复制或打印文件的权限。