中國(guó)專業(yè)IT外包服務(wù)

加入收藏??

公司微博

網(wǎng)站地圖??

IT外包價(jià)格計(jì)算器

您當(dāng)前位置：主頁(yè) > IT服務(wù) > 數(shù)據(jù)恢復(fù)服務(wù) >

機(jī)密數(shù)據(jù)保險(xiǎn)箱， RMS確保重要文件安全無(wú)憂

2013-04-19 10:23 作者：ly 瀏覽量：

我們完成RMS服務(wù)器的部署后，就要來(lái)測(cè)試一下RMS的表現(xiàn)了。我們先來(lái)試試RMS對(duì)文件的保護(hù)，看看能否用RMS阻止重要文件的內(nèi)容。我們對(duì)RMS的預(yù)期是，RMS可以阻止文件在公司之外被打開(kāi)，文件可以被禁止復(fù)制，打印及經(jīng)過(guò)電子郵件轉(zhuǎn)發(fā)。實(shí)驗(yàn)拓?fù)淙缦聢D所示，RMSERVER已經(jīng)部署了AD RMS角色，DCSERVER將臨時(shí)客串一下文件服務(wù)器，XP是用于測(cè)試的客戶機(jī)機(jī)，XP上已經(jīng)安裝了Office2007。

從理論上分析，RMS客戶機(jī)使用支持RMS的應(yīng)用程序（例如Office2007）對(duì)被保護(hù)的文件進(jìn)行對(duì)稱加密，然后把對(duì)稱密鑰傳輸?shù)絉MS服務(wù)器上的許可證。其他訪問(wèn)者想閱讀文件，一定要連接到RMS服務(wù)器申請(qǐng)?jiān)S可證，然后從許可證中取出對(duì)稱密鑰對(duì)被保護(hù)的文件進(jìn)行解密。因此，一定訪問(wèn)者離開(kāi)公司，聯(lián)系不上RMS服務(wù)器，應(yīng)該是無(wú)法訪問(wèn)被保護(hù)的文件。當(dāng)然，這只是理論分析，我們還要通過(guò)實(shí)驗(yàn)來(lái)加以證實(shí)。

一安裝RMS客戶端

XP客戶機(jī)上必須安裝RMS客戶端軟件，才可以發(fā)揮RMS的作用。RMS客戶端軟件的下載地址我們就不為大家提供了，為什么，因?yàn)镺ffice2007可以自動(dòng)下載。在XP客戶機(jī)上打開(kāi)Word2007，如圖1所示，點(diǎn)擊Word2007左上角的Office按鈕，依次點(diǎn)擊“準(zhǔn)備”－“限制權(quán)限”－“限制訪問(wèn)”。

一安裝RMS客戶端

如圖2所示，Office2007提示我們由于沒(méi)有安裝RMS客戶端軟件，無(wú)法使用限制訪問(wèn)的功能。如果想自動(dòng)下載RMS客戶端軟件，點(diǎn)擊“是”。

如圖3所示，我們同意下載RMS客戶端軟件后，Word2007自動(dòng)連接到微軟網(wǎng)站去下載RMS客戶端了。

RMS客戶端軟件下載后保存在XP客戶機(jī)的桌面，如圖4所示，我們開(kāi)始在XP客戶機(jī)上安裝RMS客戶端，安裝過(guò)程很簡(jiǎn)單，就不過(guò)多介紹了。

二文件保護(hù)測(cè)試

XP客戶機(jī)上安裝了RMS客戶端后，我們準(zhǔn)備了兩個(gè)用戶用于測(cè)試。一個(gè)用戶是administrator，一個(gè)用戶是Jack，我們用administrator對(duì)一個(gè)文件進(jìn)行限制，用Jack來(lái)訪問(wèn)被限制的文件，看看能否達(dá)到限制的目的。值得注意的是，administrator和Jack都需要有電子郵件地址，如果域中有Exchange服務(wù)器，這就很簡(jiǎn)單了，為兩個(gè)用戶各自創(chuàng)建一個(gè)郵箱就OK了。

我們用域控制器臨時(shí)客串一下文件服務(wù)器，如圖5所示，我們可以看到域控制器上有一個(gè)DOC共享文件夾，共享文件夾中有一個(gè)用于測(cè)試的Office文件，我們要利用這個(gè)文件來(lái)檢驗(yàn)一下RMS的表現(xiàn)。

以administrator的身份在XP客戶機(jī)上登錄，打開(kāi)DOC共享文件夾中的測(cè)試文件，如圖6所示，在Word2007中點(diǎn)擊“限制訪問(wèn)”。

如圖7所示，XP客戶機(jī)開(kāi)始通過(guò)HtTPS協(xié)議訪問(wèn)RMS服務(wù)器，RMS服務(wù)器要求用戶進(jìn)行身份驗(yàn)證，我們輸入administrator的賬號(hào)進(jìn)行身份驗(yàn)證。

Administrator通過(guò)身份驗(yàn)證后，看到了如圖8所示的RMS權(quán)限設(shè)置界面，我們?yōu)镴ack設(shè)置了讀取權(quán)限。注意，描述Jack時(shí)需要使用電子郵件地址Jack@contoso.com。如果我們希望對(duì)Jack進(jìn)行更詳細(xì)的權(quán)限設(shè)置，我們可以點(diǎn)擊左下角的“其他選項(xiàng)”。

點(diǎn)擊了圖8中的“其他選項(xiàng)”后，我們看到如圖9所示的設(shè)置界面。除了給Jack分配讀取權(quán)限，還可以限制Jack是否可以對(duì)文件內(nèi)容進(jìn)行打印，是否允許對(duì)文件內(nèi)容進(jìn)行復(fù)制。就連文件的到期時(shí)間也可以設(shè)置，時(shí)間到期后文件內(nèi)容對(duì)訪問(wèn)者就徹底關(guān)閉了。這里還有一個(gè)很人性化的設(shè)計(jì)，那就是訪問(wèn)者Jack如果發(fā)現(xiàn)權(quán)限不夠，還可以通過(guò)電子郵件向文件的所有者administrator申請(qǐng)更多的權(quán)限。在本次實(shí)驗(yàn)中，我們對(duì)Jack的限制是，除了讀取文件內(nèi)容，其他的操作全都不允許，例如對(duì)文件內(nèi)容的復(fù)制，打印等。

對(duì)文件的權(quán)限進(jìn)行設(shè)置之后，如圖10所示，我們?cè)赬P客戶機(jī)上以Jack的身份登錄，準(zhǔn)備測(cè)試一下Jack對(duì)被限制文件的訪問(wèn)狀況。

Jack登錄后，打開(kāi)域控制器上DOC共享文件夾中的測(cè)試文件，如圖11所示，RMS客戶端自動(dòng)使用HTTPS協(xié)議連接到RMS服務(wù)器。RMS服務(wù)器要求訪問(wèn)者進(jìn)行身份驗(yàn)證，我們輸入Jack的身份憑證進(jìn)行身份驗(yàn)證，用戶名最好輸入Jack@contoso.com。

Jack完成身份驗(yàn)證之后，如圖12所示，RMS客戶端提示由于此文檔已經(jīng)被限制訪問(wèn)，因此訪問(wèn)者必須連接到RMS服務(wù)器去下載訪問(wèn)許可證，這樣才可以訪問(wèn)被限制的文檔。從中我們可以推斷，如果文件被帶出公司，訪問(wèn)者是無(wú)法從RMS服務(wù)器獲得許可證的。即使在公司內(nèi)部，訪問(wèn)者從RMS服務(wù)器下載許可證，也要通過(guò)RMS服務(wù)器的身份驗(yàn)證才可以。綜合這些因素，我們看出RMS對(duì)文件的保護(hù)還是非常到位的。

Jack從RMS服務(wù)器下載許可證后，如圖13所示，看到了文件的內(nèi)容。這說(shuō)明我們之前設(shè)置的權(quán)限已經(jīng)生效了，Jack獲得了讀取文檔的權(quán)限，但其他的限制能否實(shí)現(xiàn)呢？我們繼續(xù)觀察。

我們?cè)囋嘕ack能否對(duì)文件內(nèi)容進(jìn)行復(fù)制，如圖14所示，我們發(fā)現(xiàn)右鍵菜單中的復(fù)制操作已經(jīng)變?yōu)榛疑豢蛇x取，顯然Jack無(wú)法對(duì)文件內(nèi)容進(jìn)行復(fù)制。

如圖15所示，我們發(fā)現(xiàn)Jack對(duì)文件內(nèi)容也無(wú)法進(jìn)行打印。RMS對(duì)文件的保護(hù)確實(shí)非常有效，至此，我們可以設(shè)想一下，想要竊取被RMS保護(hù)的文件內(nèi)容，似乎只有通過(guò)DV拍攝屏幕內(nèi)容了…..如果企業(yè)內(nèi)有重要文件需要保護(hù)，大家一定要參考一下RMS服務(wù)器。