基于Windows的文件权限管理AD RMS应用

柴方艳

摘 要：保护文件安全是现代企业管理的重要工作，微软公司随操作系统提供的AD RMS通过数字证书和用户身份验证技术对各种Office 文档的访问权限加以限制，可以有效防止未经授权的用户通过各种途径擅自泄露机密文档内容，从而确保数据文件访问的安全性。

关键字：AD RMS；文件权限管理，访问安全性

中图分类号：TP391.1 文献标识码：A 文章编号：2095-2163（2015）01-

Abstract ： Protecting the security of the files is an important work for modern enterprise management. Microsoft provides AD RMS with the operating system. The AD RMS can limit the visit authorities of all kinds of office documents through digital certification technology and identification authentication technology for user， which could effectively prevent unauthorized users disclose confidential document content without permission by the various ways， therefore ensure the safety of data file access.

Keywords： AD RMS； File Authority Management； Access Security

0 引 言

信息安全在信息化高速发展的今天尤为重要，如何保护好企业内部的机密信息不为外界窃取已经成为关键工作，如果机密的技术文档或财务资料出现了外泄，必将会给企业造成巨大的损失[1-2]。如何加强文档安全管理，限制文件的打印、复制、粘贴等常规操作，以及防止未经授权的用户对文档进行访问，则已成为企业信息安全的重要任务。微软的RMS（Rights Management Services，权限管理服务）服务通过数字证书技术和用户的身份验证技术对重要或敏感的Office文档信息进行权限管理，避免员工通过各种途径泄露企业的机密信息，以提高数据信息的安全性。

RMS服务早在Windows Server 2003操作系统中即已有所应用， Windows Server 2008操作系统又将RMS服务实行了一定改进，且与Active Directory及其联合身份验证等服务配合应用，功能更加强大，正式命名为AD RMS（活动目录权限管理服务），本文将以Windows Server 2008 R2系统为例完成AD RMS环境的搭建和测试[3]。

1 构建AD RMS环境

AD RMS属于典型的服务器/客户端结构，完整的AD RMS系统包括AD RMS客户端和AD RMS服务器端。其中，客户端需要安装支持AD RMS的应用程序Office供用户创建和使用文件，服务器端则负责为信任实体颁发证书、授权服务，并为使用AD RMS保护的文档授权。

1.1 AD RMS的工作流程

AD RMS的工作流程如图1所示。用户在执行第一次保护文件时，会首先从AD RMS服务器获取一个CLC（Client Licensor Certifcate）证书。用户拥有此证书后，即使在离线状态，依然可以使用该证书实现文件保护。

由图1可见，AD RMS工作流程的具体解析如下：

（1） 用户tom使用AD RMS客户端应用程序创建文件，并执行保护文件工作，即设置可使用此文件的用户及权限。同时，还创建发布许可证，发布许可证包含文件使用权限、使用条件和解密密钥。

（2） 用户jerry使用AD RMS客户端应用程序打开文件时，会向AD RMS服务器发出索取使用许可证的请求。AD RMS服务器通过发布许可证中的信息来确认用户jerry是否有权访问该文件；确认其拥有访问权限后，服务器将会创建包含文件使用权限、使用条件和解密密钥的用户请求的许可证，再将许可证传递给用户jerry。

（3） 用户jerry的AD RMS客户端应用程序接收到服务器发来的许可证后，使用许可证中包含的解密密钥来解密文件并打开文件[4]。

1.2安装AD RMS服务器的准备

在Windows Server 2008 R2系统安装AD RMS服务要满足以下软件要求：安装AD RMS服务的计算机必须是域控制器、额外的域控制器或域成员服务器；安装IIS服务和ASP.Net组件；需要安装SQL Server数据库服务或使用自带的内部数据库服务。

1.3安装AD RMS服务器

为了更好地理解AD RMS的部署，简化实验环境，准备两台安装有Windows Server 2008 R2系统的计算机[5]，分别是名为DC1的域控制器（域名abc.com）和加入此域的成员服务器ADRMS1，另配一台安装有Windows 7操作系统的客户机（加入域）用于tom和jerry用户的文件创建和访问。现给出AD RMS服务器的安装实现过程如下：

（1） 在DC1创建用户tom、jerry、adrms，并为用户填写电子邮箱地址。在AD RMS1使用域管理员账户administrator或属于Enterprise Admins组的账户登录到域。打开“服务器管理器”，在“角色摘要”页中单击“添加角色”，选择“Active Directory Rights Management Services”，如图2所示，根据提示添加AD RMS所需的角色服务和功能。单击“下一步”按钮，显示如图3所示的"选择角色服务"对话框，确认选中了“Active Directory权限管理服务器”选项。

（2） 在“创建或加入AD RMS群集”页中选择“新建AD RMS群集”，单击“下一步”按钮，再在“选择配置数据库”页选择“在此服务器上使用Windows内部数据库”，如图4所示。如果选择“使用其他数据库服务器”选项，还需要输入承载AD RMS数据库的计算机名称和相应的数据库实例名。而且又一次单击“下一步”按钮，在“指定服务账户”页中单击“指定”按钮，键入域用户adrms及密码，界面效果如图5所示，该账户用做后续在AD RMS群集中选择使用。在“配置AD RMS群集键存储”页中选择“使用AD RMS集中管理的密钥存储”选项，即由本地服务器自动生成并存储密钥。同时单击“下一步”按钮，并在“密码”、“确认密码”框输入符合复杂度要求的密码，该密码当其他AD RMS服务器加入群集时仍要用到，必须妥善保存。

（3） 在“选择AD RMS群集网站”页中选择管理AD RMS群集服务器时使用的站点，准备工作中安装IIS就是为了在本地创建该站点，此处则使用默认网站。单击“下一步”按钮，在“指定群集地址”页中选择“使用未加密的连接（http：//）单选按钮”，并在“内部地址框”中输入域名ADRMS1.abc.com和使用的端口号80，再次单击“验证”，综合界面如图6所示。如果选择“使用SSL加密的连接”单选按钮，客户端只有得到并安装服务器颁发的数字证书后才能建立连接，默认传输端口是443。而后单击“下一步”按钮，在“命名服务器许可方证书”页中系统默认以计算机名命名证书。在接下来出现的“注册AD RMS服务连接点”页选择“立即注册AD RMS服务连接点”选项，且按照提示单击“下一步”按钮，到达“确认安装选择”页，选择单击“安装”按钮开始安装AD RMS，安装成功后显示安装结果，同时又提示注销后重新登录才能管理AD RMS。安装完成界面如图7所示。

1.4部署AD RMS客户端

Windows 7操作系统内置了AD RMS客户端，无需安装，如果采用Windows XP系统作为客户端，则必须下载并安装AD RMS客户端程序。本文中使用Windows 7作为AD RMS客户端，且将Windows 7加入abc.com域，同时一并安装office 2010。

2应用AD RMS保护文件安全

域用户tom在Windows 7客户端登录到域，创建一个新的Word文档并编辑，单击“文件”→“信息”→“保护文档”，在下拉列表中选择“按人员限制权限”→“限制访问”项，此时界面如图8所示。为此客户端将自动向AD RMS服务器发出申请，稍候如果出现“选择用户”对话框，则表示建立连接成功。选择“使用Microsoft Windows用户”，输入用户名和密码，出现如图9所示的为文档设置权限对话框，这里给用户jerry设置读取权限，格式为电子邮件地址，如果限制多个用户，用户之间则用“；”隔开。权限设置完成后，即将文档保存至jerry用户能访问的位置。

用户jerry在客户端登录后，打开tom设置了访问权限的文档，会要求输入有效的用户名和密码，并出现文档被限制的提示，就需要到AD RMS服务器验证凭据并下载权限，单击“确定”按钮打开文档，将会出现限制访问的提示，如打开“查看权限”，显示出图10所示的权限列表。如果用户发现自己的权限不能完成所需的任务，可以在如图10所示的对话框中单击“请求附加权限”，藉此向管理员请求获取更大的权限，随即会默认启用邮件客户端，并在邮件中输入需要文件所有者授予自己的追加权限。

上述AD RMS应用非常简单，如果要进行更加严格和复杂的文件保护工作，就需要通过如图11所示的AD RMS管理控制台来操作和完成。该控制台的功能实现可表述为：信任策略用于在两个以上域或不同群集中建立信任关系；权限策略模板可以根据用户的不同需求预先制定不同安全权限的策略模板，需要时可直接调用；而权限账户证书策略则用来配置AD RMS服务器颁发给每个客户的认证凭证（包含一个公钥）的有效期； 另外，AD RMS排除策略主要是用来防止非授权用户使用AD RMS服务，包括用户排除、应用程序排除、密码箱排除等；此外，还有安全策略包括超级用户、群集密钥密码和解除授权，但在默认状态下，所有策略却都是禁用的，因而配置之前必须将其启用。

3结束语

AD RMS服务的应用简明清晰，本文搭建的是测试环境。在真正的生产环境中部署AD RMS系统时，要将 AD RMS 服务单独安装至一台服务器，如果条件不能满足，AD RMS 服务与域控制器将在同一服务器上，此时就必须将 AD RMS 服务账号添加到域管理员用户组中。数据库服务也要使用微软的SQL Server ，Windows服务器上的内部数据库服务却仅适用于测试环境。AD RMS客户端通过网络与群集通信时，使用SSL加密的连接将更为安全，并且确保安装了证书服务器。AD RMS 服务器安装完毕，则要及时备份并将群集密钥密码置于妥善、安全的管理之下。

参考文献：

[1]杨敏.企业信息安全管理体系建设的探讨[J].电子技术与软件工程，2013（24）：238-239.

[2]赵林.计算机网络信息安全及防护策略研究[J].网络安全技术与应用，2014 （3）：159-160.

[3] Microsoft. Active Directory 权限管理服务[EB/OL]. http：//technet.microsoft.com/zh-cn/library/cc771627.aspx，2008（7）.

[4]戴有炜. Windows Server2008R2安装与管理[M]. 北京：清华大学出版社，2011（1）：404-420.

[5]王星亮.计算机网络安全中数据加密技术的应用分析[J].计算机光盘软件与应用，2013（13）：169-170.