我白天的任務是在一家生產白名單應用程序的公司上班，這種應用程序會完全顛倒保護您計算機的常規安全性方法。本月我希望介紹保護安全的另一種方法（或許也是非常規的方法）— 企業權限管理，以及它為什么會成為真正保護機密信息的唯一途徑。

在本年度的舊金山 RSA 會議中，我走在展覽會場四處比較各家供應商提供的軟件，我不禁感到相當困惑。幾乎所有會場上的供應商都在銷售被動型（而非主動型）安全性解決方案。讓我來解釋一下，當您建造建筑物時，會在門窗上加上鎖來保護它。如果您希望更安全一點，會安裝報警系統。如果需要更安全呢？修建圍墻。保障建筑物的安全，不是舍棄鎖、報警系統和圍墻，而只雇用一兩名警衛四處巡察。這本身并不會提供任何保障。

其他資源

2007 Microsoft Office System 中的信息權限管理

office.microsoft.com/en-us/help/HA101029181033.aspx

Windows SharePoint Services 中的信息權限管理

msdn.microsoft.com/library/ms458245

Windows 權限管理服務

microsoft.com/windowsserver2003/technologies/rightsmgmt

Windows Server 2003 權限管理服務

technet2.microsoft.com/windowsserver/en/technologies/featured/rms/default.mspx

RMS：保護您的資產

blogs.technet.com/rmssupp/default.aspx

Windows Rights Management Services 合作伙伴

microsoft.com/windowsserver2003/partners/rmspartners.mspx

考慮數據丟失防御措施

下面是一個更真實的例子。我有很多客戶問到如何封閉 USB 端口來防止信息從公司泄漏（在我們消除了入站威脅的顧慮之后）。但事實是，嘗試阻止數據通過端口本身根本不會提供任何保護。事實上，這就像建筑物不采取任何保護措施，只雇用警衛一樣。當然，他很盡職，但他不可能同時巡視每個出入口。因此，在這兩種情形中，都選擇錯了執行任務的工具。

封閉訪問端口（還有嘗試幫助您掃描或保護 UNC 共享安全、進行狀態數據包檢查，或進行任何其他類型的檢查的所有其他解決方案）的問題在于它們都是被動的做法。它們全都是在數據從公司泄露時嘗試攔截數據，但那時，為時已晚。

這讓我想到以前曾在 Microsoft 發生的情形（而且我肯定您一定也有所耳聞）。在 Microsoft Office 推出信息權限管理 (IRM) 以及 Windows 推出權限管理服務 (RMS) 之前的時代，任何有趣的電子郵件（即便是清楚地標記為機密）都會在每天工作結束時轉發給媒體。遺憾的是，策略、嚴厲的命令、數據包檢查、共享安全性，甚至是威脅終止，起的作用都很有限。有時候需要采取更多行動 — 而這可能正是 Microsoft 所推出的權限管理技術派上用場的地方，它可以幫您保護 Office 內容。我現在是 IRM 和 RMS 的忠實用戶，我開始將它們尊為安全性解決方案，而不只是審核、監視或符合性技術。

在保護 Office 內容方面，IRM/RMS 與使用常規密碼保護相比，有什么優點？

有些暴力機制可入侵 Office 文檔所使用的密碼保護。

進行常規密碼保護的內容與采用 IRM/RMS 保護的文檔加密的方式不同。

IRM 和 RMS 會在 Windows 內結合起來以最低的級別保護內容。

通過使用 IRM/RMS，您可以通過非常精確的訪問控制來保護內容，這些訪問控制會分配給 Active Directory 帳戶。

但 IRM 和 RMS 到底是什么？這些技術最先隨 Microsoft Office 2003 發布，它們會加密文檔并控制對內容本身的訪問，從而保護存儲在 Office 文檔中的知識資產，包括通過 Microsoft Outlook、Outlook Mobile Access，以及通過 Internet Explorer 的 Outlook Web Access 閱讀的電子郵件。

大多數 Office 文檔類型（包括新的基于 XML 的文檔）以及電子郵件都可以加密，除 .msg 文件（常常附加到其他電子郵件中的電子郵件）之外。（請訪問 office.microsoft.com/en-us/help/HA101029181033.aspx 以查看可通過 IRM 管理的文件類型的完整列表。）文檔在由該文檔的創建者授權用戶打開之前不會解密。

IRM 基本上是權限管理前端，通過啟用 RMS 的應用程序公開，而 RMS 是后端。RMS 服務器控制用來標識已授予用戶的權限的信息，并會驗證這些用戶的憑據。啟用 RMS 應用程序中的 IRM 組件可允許您設置和管理這些權限。IRM 和 RMS 一起使用，允許授權用戶閱讀、更改文檔，或執行完整的編輯控制權（具體取決于分配的權限）。

當授權用戶通過 Office 應用程序打開受 IRM 保護的內容時，該內容會被解密，并且可在該應用程序中閱讀或編輯。請記住，雖然 IRM 和 RMS 的目的是保護信息的安全，但總可能會有一心想要搞破壞的用戶。如果用戶選擇使用“模擬漏洞”（一種數碼相機或其他屏幕捕獲軟件，甚至可以是手動重新鍵入重要信息），則 IRM 對保護信息的作用不大。不過，對于大多數情形，它可以算是相當強大的安全性措施。#p#

權限管理的構建塊

Microsoft 權限管理解決方案包含四個組件，我會詳細介紹全部內容。我還會簡要介紹 RMS SDK 和有用的 RMS Toolkit。第一個是內置組件，而其他組件則可從 microsoft.com/windowsserver2003/technologies/rightsmgmt 下載獲得。

信息權限管理內置到 Microsoft Office 2003 和 2007 Office System（以及通過 Windows Mobile 6x 提供的 Outlook、Excel、Word 和 PowerPoint 的移動版本）的組件，允許用戶將權限分配給 Word 文檔、Excel 工作簿、PowerPoint 演示文稿、InfoPath 表單、Outlook 電子郵件，以及 XML 文件規范 (.xps) 文件，從而允許或阻止這些文件的收件人轉發、復制、修改、打印、傳真、剪貼和使用 Print Screen 鍵。您可以按用戶或按文檔來設置這些權限。

在 Active Directory 環境中，您還可以為組設置權限，如果您的組織使用 Microsoft Office SharePoint Server 2007，還可以設置庫上的權限（請注意，從技術上講，內容存儲到 SharePoint 中時會被解密，然后在提供給用戶時重新加密）。除非設置為過期，否則無論何時何地發送該文檔，它都會一直保留 IRM 權限。

Apple Macintosh 的 Office 版本并不提供 IRM，但有幾種方法可使 Mac 用戶利用受 RMS 保護的內容。有關詳細信息，請參閱下個月的專欄。

權限管理服務（服務器）在 Windows Server 2003 中提供，而在 Windows Server 2008 中作為角色提供。RMS 服務器是 Microsoft 企業權限管理的核心。它負責對受信任實體（用戶、客戶端計算機和服務器）進行認證、定義和發布使用權限和條件，注冊服務器和用戶，授權對受保護信息的訪問，以及提供必要的管理功能以允許授權用戶訪問權限受保護的信息。

圖 1 顯示了允許您在 Windows Server 2008 系統上安裝 RMS 角色的服務器管理器屏幕。雖然 RMS 需要很多依賴項，但向導會指導您逐步完成整個過程，安裝所有依賴項。

圖 1 選擇權限管理服務服務器角色（單擊可獲得大圖）

RMS 服務器角色（在 Windows Server 2003 或 Windows Server 2008 上）所需的服務器系統需要：

Microsoft Message Queue Server (MSMQ)

啟用 ASP.NET 的 IIS

Active Directory

SQL Server Enterprise Edition（適用于生產環境）、Microsoft SQL 桌面引擎 (MSDE) 或 SQL Server Express（很適用于測試環境）

如前所述，即使您沒有安裝這些組件，系統還是會在 Windows Server 2008 上的安裝過程中為您進行配置。對于生產實施，您的服務器需要具有有效的 SSL 數字證書，以便 RMS 能夠適當維護客戶端與服務器之間的安全性。然而，若是用于測試，RMS 可在安裝角色時提供測試證書。圖 2 顯示了 RMS 控制臺在 Windows Server 2008 下運行的情形。

圖 2 RMS 控制臺（單擊可獲得大圖）

權限管理服務（客戶端）它允許啟用 RMS 的應用程序與 RMS 服務器一起使用，以便發布和使用受到權限保護的內容。此客戶端內置到 Windows Vista 和 Windows Server 2008 中，而對于舊版的 Windows，可下載和安裝此客戶端，進而為這些操作系統提供 RMS 的功能。

如果您正在構建自己的企業部署，可能會想要通過新的系統、組策略或 System Center Configuration Manager (SCCM) 來部署 RMS 客戶端，而不是讓用戶手動進行部署。

適用于 Internet Explorer 的權限管理加載項對于 Internet Explorer 6.0 及之后的版本，它允許您從 Internet Explorer 中查看受權限保護的內容。

RMS SDK 允許開發人員使用基于 SOAP 的權限管理服務 API 構建他們自己的應用程序，以保護自定義的內容。

RMS Toolkit 您可能會像我一樣發現，RMS Toolkit 在部署您自己的 RMS 基礎結構及對其進行故障排除方面極為有用。此工具包中包含許多便捷的程序，可幫助您確保 RMS 系統正常工作。請注意，RMS Toolkit 事實上并不屬于 RMS 的一部分，也因此 Microsoft 沒有正式支持它。#p#

它如何工作？

當您在 Word 2007 中的“審閱”選項卡下單擊“保護文檔”，或在 Excel 2007 中單擊“保護工作簿”，使用 RMS 保護文檔時，您必須指定要用作為該文檔作者的帳戶 — 具備文檔擁有權特權的帳戶。此帳戶理論上應該是 Active Directory 帳戶，不過 RMS 允許您使用試用版的 Windows Live 帳戶（您不應該將此帳戶用于實際的生產系統）。

當您通過帳戶驗證之后（請參見圖 3），便可指定該帳戶或將該帳戶添加為所有者。然后，您可以迅速為您希望其擁有權限讀取或更改您保護的文檔的用戶指定高級權限或更具體的權限（請參見圖 4）。

圖 3 指定要使用的帳戶（單擊可獲得大圖）

圖 4 設置權限（單擊可獲得大圖）

您現在已經將文檔保護起來了，因此，任何嘗試打開此文檔的用戶都必須提供憑據才能打開。此外，也會強制該用戶享有文檔所有者所定義的權限。

RMS 使用 IIS 和 ASP.NET 來對打開文檔的任一用戶進行身份驗證，以驗證他的標識和訪問權限，并同時將此信息返回 RMS 客戶端和 Office 中的 IRM 基礎結構。根據 Active Directory 和 RMS 服務器所定義的權利，最終用戶會獲得文檔的完整或有限訪問權限，或者不會獲得任何訪問權限。

RMS 使用一個依賴 XrML（可擴展權限管理語言）的基礎結構來描述受 IRM 保護的內容的最終用戶所擁有的權限。事實上，這些權限包含在 XrML 許可證中，該許可證可附加到數字內容中，因而可持續存在。因為 XrML 是一種標準，所以其他希望以類似方式保護內容的應用程序也可以使用這種語言。您可以在 xrml.org 中查看更多詳細信息。

在哪些地方存在漏洞？

如上所述，RMS 和 IRM 并不是百毒不侵，如果惡意的“授權”用戶一心想要入侵受 IRM 保護的內容，只要花些功夫就能辦到。

并且，內容可能也很容易受到惡意代碼和以非標準方式運行的屏幕捕獲軟件中途攔截。雖然 RMS 努力嘗試預防屏幕捕獲及未授權的剪貼行為，但它的功能仍很有限。我看過一些嘗試超越 IRM 和 RMS，保護更多內容類型的解決方案。若要了解其他 ISV 構建 RMS 的解決方案，請參閱 microsoft.com/windowsserver2003/partners/rmspartners.mspx。

我認為企業權限管理是真正保護如今系統上“非靜止”內容唯一合理的方法。如果您看一下如今受到入侵的內容類型（電子郵件、Office 文檔等），可以看出其中大多數都可以輕易通過 IRM 和 RMS 加以保護，但情況并非如此。雖然 Windows Vista 中的完整卷加密技術（如 BitLocker）使您可以保護靜止數據的安全，并且在系統遭到入侵的情況下一般都能持續保護它的安全，但它們并不能保護共享上、電子郵件服務器上，或是 SharePoint 服務器上的內容。

由于內容一般“在外”不能受到保護，因此解決方案也演變成嘗試跟蹤內容，并將它消除。IRM 與 RMS 是專門為了插入到 Active Directory、Exchange、Office 和 Windows 中而設計 — 因此，不需要多少培訓，特別是對實際使用內容的最終用戶 — 而它們所能提供的保護是無限的。有關詳細信息，請參閱“其他資源”邊欄。

是否希望保護您的資產？

您的組織是否已采用 RMS 和 IRM？請您將對 RMS 和 IRM 的想法與我分享 — 我希望了解一些讀者部署（或尚未部署）RMS 和 IRM 的方法和理由，或是您是否確信該組織已通過其他機制的保護來防止數據丟失。

原文地址 |  查看更多相關文章