原理-配置和管理 AD RMS

  • 内容
  • 评论
  • 相关

Active Directory Rights Management Services(AD RMS) 协助文件内容的保护,超越通过加密存储设备的技术,不论是经由 BitLocker 磁盘驱动器加密或是通过加密文件系统(EFS) 加密单个文件。 AD RMS在任何一个设备或平台上都可保护数据,无论数据是在传输中或是静置时。 AD RMS 也能针对特定期限与特定目的,限定用户访问数据的权限。

AD RMS 概要

在部署 AD RMS 之前,您必须先知道它是如何工作的,如何部署它,以及部署一个 AD RMS 包含了哪些组件(components)。你也必须了解在各种不同的 AD RMS 证书(certificates)与授权(licenses)背后涵盖的观念。

AD RMS 是什么?

AD RMS 是一个尽可能减少数据泄漏(Dataleakage)的信息保护技术。数据泄漏是指信息未经授权而传送至组织内部或外部没有该信息访问权的人士。 AD RMS 可与许多现有的微软产品集成使用,包括 Windows Server, Microsoft ExchangeServer, Microsoft SharePoint Server,Microsoft Office 以及在线服务(onlineservices)如 Office 365。

AD RMS 既可以保护静置的数据,也可以保护传输中的数据。例如, AD RMS 可以帮助保护电子邮件中的文件,有助于防止因为误送错误的收件者而被打开。您也可以使用 AD RMS 保护存储在像是可移动 USB 存储设备中的数据。 文件与文件夹权限有一个缺点就是一个文件被复制到另一个位置后;原有的权限就不能沿用了。一个复制到 USB 存储设备的文件就将继承目标设备上的权限。一个原本配置为只读属性的文件被复制后,反而可以通过更改文件与文件夹权限而编辑该文件。如果您决定使用 EFS , 就可以持续的保护文件。无论如何,与其他用户共享该文件并不容易,您不能配置特定的权限。

使用 AD RMS ,无论授予访问权限的文件和文件夹权限如何,您都可以帮助保护基本上在任何位置的文件。 通过使用 AD RMS ,唯有被授予文件打开权限的用户才能够查看该文件的内容。此外,您可以控制文件的操作,如复制,打印, 转发以及其他的操作。

AD RMS 的使用场景

AD RMS 的主要功能是掌控敏感信息的发布。您可以使用结合加密技术的 AD RMS 协助对存储的或是传输中的数据的安全防护。存在许多理由需要掌控敏感信息的发布,像是协助确保只有获得授权的职员才可以访问一个文件,敏感的电子邮件信息不可以被转发,或是一个尚未发表的项目的细节不可以被公布。考虑下列的场景:

  • 场景 1. 执行总裁(CEO)在一个文件服务器中,从一个受保护的文件夹复制了一份包含企业高层主管总体薪资的电子表格到他个人的USB 存储设备中。 在下班回家途中,这个执行总裁将他的 USB 存储设备遗留在列车上,被一个与公司无关的人捡到了。如果没有 AD RMS ,任何捡到这个 USB 存储设备的人都可以打开里面的文件。若使用 AD RMS ,您就可以确保那未获授权的人不能打开那个文件。
  • 场景 2. 一份内部文件只有组织内部特定获授权的组成员可以查看。这些人员并不具有编辑或打印该文件的权限。你可以使用 Microsoft Word 2003 或更新版本的内建功能来限制这些特别需求。这样做必须要求每一个人员拥有一个 Microsoft 账户(account)或 Active Directory DomainServices(AD DS)账户。经由使用 AD RMS ,你可以依据在 AD DS 帐户配置这些权限,也可以依照使用 Microsoft 帐户指定组织外的用户的权限。
  • 场景 3. 组织内的人员绝不可以转发已被指定为特定分类的敏感邮件信息。使用 AD RMS ,你可以让一个寄件人对一封新的邮件信息指定一个特定分类,这个特定分类可以确保收件者不能转发这个邮件信息。

AD RMS 组成组件概要

AD RMS 的基础结构包含了许多组件,其中主要的组件是 AD RMS 群集(cluster)。 AD RMS 根证书群集(root certification cluster)是您在林(forest)中部署的第一个 AD RMS 服务器创建的。 AD RMS 根证书群集管理安装它的域中所有授权(licensing)和证书(certification) 通信流量。 AD RMS 在一个 Microsoft SQL Server 数据库或 Windows 内部数据库(WID)中存储配置信息。在大型的使用环境中, SQL Server 数据库与 ADRMS 角色分别由不同的服务器负责托管。AD RMS 仅授权(licensing-only) 群集是在分布式的环境中使用。 仅授权群集并不提供证书,但是它们允许对内容的使用与公布分配授权。在使用 AD RMS 的组织中,仅授权群集经常部署在大型的分公司机构。

AD RMS 服务器

AD RMS 服务器必须是 AD DS 域的成员。当您安装 AD RMS 时, 群集所在位置的信息会发布给 AD DS 的服务连接点(service connection point) 。在这个域中所有的计算机成员都向服务连接点查询,以决定AD RMS 服务的位置。安装 AD RMS 这个服务器角色,您可以使用在 Windows Server 2016, WindowsServer 2012,以及 Windows Server 2008 操作系统上的服务器管理器(Server Manager)。

AD RMS 客户端

AD RMS 客户端内建于 Windows 10, Windows 8.1, Windows 8, Windows 7, 以及 Windows Vista 操作系统。 AD RMS 客户端允许启用 AD RMS 的应用程序来强制实施由 AD RMS 模板(template)所指定的功能。如果没有 AD RMS 客户端,启用 AD RMS 的应用程序就不能与 AD RMS 保护的内容互动。

启用 AD RMS 的应用程序

启用 AD RMS 的应用程序允许用户创建和使用 AD RMS 保护的内容。 例如, Microsoft Outlook 2010 或更新版本,允许用户创建以及查看受保护的电子邮件信息。 Word 2007 或更新版本允许用户创建以及查看受保护的用字处理的文件。 Microsoft 提供一个 AD RMS 软件开发工具(SDK)使得应用程序开发者,能够支持 AD RMS 对文件内容的保护。

AD RMS 证书和授权

要了解 AD RMS 如何工作,您必须要熟悉 AD RMS不同的证书与授权种类。这些证书与授证每一个都有不同的功能。某些证书,像是服务器许可证书(server licensor certificates)就非常的重要,您必须经常定期的备份它们。

服务器许可证书(Server licensorcertificate)

创建一个 AD RMS 群集时就会产生一个服务器许可证书。这个证书的有效期限是 250 年。一个 服务器许可证书允许一个 AD RMS 群集发行:

服务器许可证书给在群集中的其他服务器。

权限帐户证书(RACs)给客户端。

客户端许可证书(Client licensor certificates)。

发布许可(Publishing licenses)。

用户许可(Use licenses)。

权限策略模板(Rights policy templates)。

服务器授权证书公钥在一个发布许可中加密内容密钥(content key)。如此使得一个 AD RMS 服务器可以提取得内容密钥,并且针对发行内容密钥发出用户许可(end-user licenses)。

AD RMS 计算机证书

AD RMS 计算机证书(machine certificate)是用来识别确认一个可信任的计算机或设备。这个证书确认一个客户端计算机的加密箱(lockbox)。计算机证书公钥加密 RAC 的私钥。计算机证书的私钥解密RAC。

权限帐户证书(RAC)

权限帐户证书识别确认一个特定的用户。 权限帐户证书的默认有效期限是 365 天。 权限帐户证书只能发放给具有电子邮件地址与其帐户相关联的 AD DS 用户。当一个用户第一次尝试要访问 AD RMS 保护的内容或是想要执行一个 AD RMS 的任务,像是创建一个要受保护的文件时,系统就会发出一个权限帐户证书。您可以使用 AD RMS 控制台中的权限帐户证书策略(Rights Account Certificate Policies) 节点位置调整默认的有效期限。

一个临时权限帐户证书具有 15 分钟的有效期。当一个用户从一台计算机要访问 AD RMS 保护的文件内容,而这台计算机不是 AD RMS 群集相同林或是受信任林的成员时,一个临时的权限帐户证书就会发出。您可以使用 AD RMS 控制台中的权限帐户证书策略(Rights Account Certificate Policies) 节点位置调整默认的有效期限。

AD RMS 支持下列附加的权限帐户证书:

Active Directory Federation Services(AD FS) 权限帐户证书。这些权限帐户证书发给联盟的用户,有效期限是七天。

两种类型的 Windows Live ID 权限帐户证书。 用在私用计算机上的 Windows Live ID 权限帐户证书的有效期间是 6 个月。用在公用计算机上的 Windows Live ID 权限帐户证书在用户注销前都有效用。

客户端许可证书

当客户端计算机未连接到与 AD RMS 群集相同的网络时。一个客户端许可证书允许一个用户发布 AD RMS 保护的内容。这个客户端许可证书的公钥加密对称内容密钥(symmetric content key)并将它包含在他发出的发布许可(Publishing licenses)内。只要客户端没有连上 AD RMS 群集,这个发布许可证书的私钥就会在它发出的发布许可(PL)上签名。

客户端许可证书与一个特定用户的权限帐户证书(RAC)连结在一起。如果另一个尚未被颁发给权限帐户证书的用户尝试要在同一个客户端发布 AD RMS 保护的内容, 则他或她将无法执行此操作,除非这个客户端连上 AD RMS 群集,并且可以发给那个用户一个权限帐户证书。

发布许可(PL)

一个发布许可决定对于 AD RMS 保护的内容所实施的权限。例如, 发布许可决定一个用户是否可以编辑、打印或存储一份文件。 发布许可包含了内容密钥,这个内容密钥被授权服务的公钥加密, 发布许可还包含了 AD RMS 服务器的网址和数字签名。

用户许可(End-user license)

需要用户许可才能使用受 AD RMS 保护的内容。 AD RMS 服务器对每一个用户的每一份文件发给一个用户许可。 默认会缓存用户许可。

AD RMS 如何工作

当一个用户要用 AD RMS 来保护内容,或是试着要访问 AD RMS 保护的内容时,许多任务和流程会在后台执行。为了诊断与疑难解答,了解 AD RMS 的工作原理很重要。虽然不是明显地与 ActiveDirectory 证书服务(Certificate Services)相关, AD RMS 非常密集地使用证书与加密。

AD RMS 依照下列的方式工作:

1. 作者第一次为文件配置版权保护。例如,在一个 Word 应用程序之中的配置保护权限时,就会从 ADRMS 服务器请求一个客户端许可证书。一个客户端通过使用在 AD DS 内的服务连接点来查找 ADRMS 服务器。

2. 接着 AD RMS 服务器发出一个客户端许可证书给客户端,除非这个客户端是在 AD RMS 的排除名单内。

3. 当这个作者收到从 AD RMS 服务器发出的客户端许可证书,他或她就可以配置文件的使用权。这个作者可以采用手动操作,或是运用预先创建的模板来执行他的配置。

4. 当这个作者配置文件的使用权时, 启用 AD RMS 的应用程序会对文件做对称密钥加密。一个对称密钥会在客户端设备上产生。当 AD RMS 的保护实施到文件时,这个文件事实上是处在被加密的状态。

5. 这个对称密钥接着会被该作者在使用 AD RMS 服务器使用公钥来加密。这个被加密的密钥会被分发并且存储在 AD RMS 服务器中。因为它是被服务器公开的密钥加密的,它也只能使用服务器的私钥来解密。

6. AD RMS 保护内容的作者将文件配送给收件者。 文件的收件者使用一个 AD RMS 的应用程序或浏览器打开这个文件。除非这个应用程序或浏览器支持 AD RMS ,否则不可能打开 AD RMS 保护的内容。如果这个收件者在现有的设备上没有一个帐户认证,这时就会发出一个给用户。这个应用程序或浏览器传送一个请求给作者的 AD RMS 服务器,申请一个用户许可。

7. AD RMS 服务器决定这个收件者是否拥有合法授权。如果这个收件者是经过授权的, AD RMS 服务器就会发出一个用户许可。

8. 接着 AD RMS 服务器会使用私钥解密在步骤 5 中加密的对称密钥。

9. AD RMS 服务器会再用收件者的公钥加密对称密钥,然后再将加密后的会话密钥加到用户许可上。这个用户许可与这个加密的对称密钥接着就配送给收件者。这个收件者使用他或她的私钥解密对称密钥。之后,再用这个对称密钥来解密 AD RMS 保护的内容。

AD RMS 部署场景

一个 AD RMS 的部署由一个或数个服务器组成,称作一个群集。一个 AD RMS 群集不是一个高可用性群集。当您部署 AD RMS ,您应该要配置在一个具备高可用性的服务器上。 AD RMS 通常会部署作为一个高可用虚拟机。

当您在一个单一林部署 AD RMS ,您就拥有一个单一 AD RMS 群集。这是 AD RMS 部署最常见的形式。您依据需要在 AD RMS 群集上增加一些服务器以提供额外的能力。

当您横跨多林部署 AD RMS 时,每一个林都必须有它自己的 AD RMS 根群集,除非当您为多林部署AD FS 使用一个单一的 AD RMS 群集。为了确保AD RMS 的内容可以在横跨多林中被保护和使用,必须要配置 AD RMS 信任的发布域或信任的用户域。

您也可以将 AD RMS 部署在外部网络的位置上。在这样的部署中,在因特网上的主机都可以访问 AD RMS的授权服务器。您可以使用这种类型的部署来支持与外部用户的协同合作。
您可以用 AD FS 或是 Azure Active Directory(Azure AD)验证系统(之前名称为 Microsoft 联盟网关)来搭配部署 AD RMS 。在这个场景中, 用户可以利用联盟身份来发布与使用受权限保护的内容。

作为最佳实践,您应该避免在域控制器上部署 AD RMS 。如果您在域控制器上部署 AD RMS ,那您就必须将 AD RMS 的服务账号加入到 Domain Admins 组内。无论如何,将服务账号加入高权限组不是最佳实践作法。

除了配合内部部署 AD RMS 的部署作法,另一个选择就是之前描述过的,您可以选择使用 Azure RMS。

配置 AD RMS 群集

在您安装好 AD RMS 服务器这个角色之后,您还要配置 AD RMS 群集才能使用 AD RMS 。配置 ADRMS 群集包含配置下列的组成组件:

  • AD RMS 群集成员。选择创建一个新的 ADRMS 根群集或加入现有的群集。
  • 配置数据库。选择使用现有的 SQL Server 实例(instance)来存储 AD RMS 配置数据库或是配置并安装 Windows 内部数据库(WID)。您可以使用 SQL Server 2008 或更新的版本来支持在 Windows Server 2016 上部署 ADRMS 。 最佳实践作法是在一个单独的主机上托管 SQL Server 数据库。
  • 服务账户。我们建议使用一个有附加权限的标准域用户帐户。您可以使用一个受管理的服务账户当作AD RMS 服务账户。
  • 密码编译模式。选择使用与 AD RMS 加密算法的强度:
    • 密码编译模式 2 使用 RSA 2048 位密钥和 SHA-256 哈希。
    • 密码编译模式 1 使用 RSA 1024 位密钥和 SHA-1 哈希。
  • 群集密钥存储。选择存储群集密钥的地方。您可以将密钥放在 AD RMS 内,或者您可以使用一个加密服务提供程序(CSP) 。如果您使用一个加密服务提供程序,并且想要增加更多的服务器,您就必须用手动的方式来分布密钥。
  • 群集密钥密码。这个密码加密群集密钥,当您想要加入其他的 AD RMS 服务器至群集中或是要从备份中还原一个群集时就必须用到这个密码。
  • 群集网站。选择在本地服务器上的主机,那一个网站将要用来负责作为 AD RMS 群集网站。
  • 群集地址。指定用作群集的完整域名。您可以选择一个使用 SSL 加密的或是没有用 SSL 加密的网站。如果您不选择 SSL 加密的,您就不能增加联盟身份识别的支持。在您配置群集地址与端口,您就无法变更它们,除非整个删除 AD RMS 。
  • 许可证书。选择一个服务器许可证书要使用的易记名称。它应该要能代表这个证书的功能。
  • 服务连接点注册。当创建 AD RMS 群集时,选择是否要在 AD DS 上注册服务连接点。服务连接点允许域成员的计算机自动地寻找 AD RMS 群集。只有属于 Enterprise Admins 组成员的用户才可以注册服务连接点。您可以在创建 AD RMS 群集之后执行这个步骤。您不必在配置的过程中执行这一步骤。

AD RMS 客户端要求

只有在执行 AD RMS 客户端的计算机上可以发布及使用 AD RMS 内容。 Windows 10, Windows8.1, Windows 8, Windows 7, 以及 WindowsVista 都包含 AD RMS 客户端软件 。 WindowsServer 2016, Windows Server 2012 R2,Windows Server 2012, Windows Server 2008R2, 以及 Windows Server 2008 也都包含 ADRMS 客户端 。这些操作系统并不需要另外附加的配置才可以使用及发布 AD RMS 保护的内容。凡是运行 Windows XP 操作系统或是 Mac OS X 的计算机,都可以下载可用的 AD RMS 客户端软件。

必须要先安装这些客户端软件之后,使用这些操作系统的用户才能够使用及发布 AD RMS 保护的内容。

AD RMS 要求兼容的应用软件及应用程序。支持 AD RMS 的服务器应用程序包括 Exchange Server 2007及更新的版本,以及 Office SharePoint Server 2007 及更新的版本。客户端应用软件,像是内含在 Office 2003 及更新的版本,能够发布及使用 AD RMS 保护的内容。您可以使用 AD RMS SDK 来创建可以发布及使用 AD RMS 保护的内容的应用软件。 XML 文件规格查看器以及Internet Explorer 也可以查看 AD RMS 保护的内容。

您还可以在执行 Windows 10 移动设备版, iOS,以及 Android 移动设备设备上使用 RMS 分享应用程序来保护特定类型的内容。

备注: Microsoft 已经释放新版本的 AD RMS 客户端软件 — AD RMS Client 2.1。您可以从 Microsoft 下载中心下载它。新的版本中也提供了新的 SDK,也同样可以从 Microsoft下载中心下载。这个新的 AD RMS SDK 提供了一个简单的机制让开发人员可以创建保护及使用重要内容的应用软件以及解决方案。 通过新的 SDK ,您可以比之前要更快更容易地创建已启用版权的应用软件及解决方案。

AD RMS 客户端授权

要在您的 AD DS 环境使用 AD RMS ,您必须拥有 Windows Rights Management 客户端访问许可证(CAL)。这些客户端访问许可证与用来连接客户端至服务器端的传统 Windows Server 客户端访问许可证不同。每一个要创建或使用有权限保护的文件的用户都必须有一个 RMS 用户 CAL。替代方案是您也可以使用 RMS 计算机设备 CAL ,也同样可以创建及查看 RMS 保护的内容。

如果您必须要在组织外分享您的 RMS 保护的内容,您可以取得一个 RMS 外部连接器授权。这个授权让您的组织有权可以允许无限数量的外部用户访问,或使用一个单一授权,而不需要每一个外部的用户都要取得一个 CAL。

配置 AD RMS 备份和还原策略

为了协助防止数据丢失,您必须要备份一个 ADRMS 服务器,使得您在发生文件损坏或是服务器故障时,可以还原它。如果 AD RMS 服务器变成无法访问,则所有受 AD RMS 保护的内容也将会变成无法访问。

一个简单的 AD RMS 备份与还原策略是 AD RMS 服务器作为一个虚拟机,然后使用一个企业级备份产品,像是 Microsoft System Center DataProtection Manager 来执行定期的虚拟机备份。

一些重要组成组件如私钥, 证书, AD RMS 数据库以及模板等,都须要备份。您也可以在一个执行AD RMS 服务器的虚拟机上执行一个完整服务器备份。

最佳实践作法是您必须要备份 AD RMS 私钥,以及 AD RMS 要使用的所有证书。最简单的方法就是将证书导出到一个安全的位置。您也必须定期地备份 AD RMS 数据库。要做到上述这些取决于您的 AD RMS 是使用 SQL Server 或是 WID 。要备份模板,先配置这些模板导出到一个分享的文件夹,然后再备份它们。

当您要执行还原 AD RMS 角色时,可能须要从 AD DS 中将 ServiceConnectionPoint 这个对象删除。如果您是要还原一个 AD RMS 根组态服务器,而且这个服务器企图将它自己作为一个仅授权的服务器时,您就必须要如此做。

AD RMS 超级用户组

AD RMS 超级用户组是一个特别的角色,这个组的成员对于群集所管理的受保护的内容拥有完全控制的权限。 超级用户组被配置在 AD RMS 群集上,对于群集发出的全部的用户许可, 超级用户组的成员都被赋予了完全的拥有者权限。这意味着这个组的成员可以解密任何权限保护内容的文件,以及删除文件的权限保护。

AD RMS 超级用户组为 AD RMS 保护的内容提供了一个数据恢复机制。这个机制当您须要恢复 ADRMS 保护的数据时很有用, 如, 当内容已经过期了,当一个权限策略模板已经被删除了,或是当您没有访问权限时。AD RMS 超级用户组的成员对于 AD RMS 群集所保护的全部内容,都被分派了拥有者用户许可,这个特定的超级用户组也是被 AD RMS 群集启用的。 超级用户组的成员可以重新配置 AD RMS 服务器的私钥密码。

作为超级用户组的一位成员,您可以访问任何 AD RMS 保护的内容,虽然您必须特别谨慎当您在管理这个组的成员时。如果您选择使用 AD RMS 超级用户组,要审慎考虑配置受限组策略(restricted groupspolicy)并且审核限制组的成员,同时审核所有的更改。 超级用户组的操作活动会写入应用程序事件记录文件。

超级用户组默认为禁用。

您可以执行下列程序以启用超级用户组:

1. 在 AD RMS 控制台,展开服务器节点,然后单击 Security Policies。

2. 在 Security Policies 区域,在 Super Users 下方,单击 Change Super User Settings。

3. 在 Actions 窗格,单击 Enable Super Users。

配置一个特定的组作为超级用户组:

1. 在 Security Policies\Super Users 区域,单击 Change super user group。

2. 提供与超级用户组关联的电子邮件地址。