基于微軟ADRMS管理企業(yè)文件服務器文件安全

基于微軟ADRMS管理企業(yè)文件服務器文件安全FileserversecuritymanagementonenterprisebasedonMicrosoftADRMS學部：信息專業(yè)：計算機科學與技術工作單位：OPENLAB國際教育集團畢業(yè)設計（論文）完成時間：自2012年12月至2013年5月摘要正所謂"日防夜防，家賊難防"。最致命的攻擊往往來自于企業(yè)內(nèi)部，微軟公司的RMS（RightsManagementServices，權限管理服務）正是為這種情況而生，通過安裝微軟ADRMS服務,管理企業(yè)文件服務器，利用發(fā)布許可證、數(shù)字證書、身份驗證、權限策略和各種密鑰對加密的方法,對支持ADRMS的應用程序進行管理，限制域數(shù)據(jù)庫內(nèi)用戶的訪問權限，從而保護那些敏感文檔、電子郵件和WEB內(nèi)容，可以嚴格地對用戶打開、讀取、修改和重新分發(fā)等權限進行管理。保證了企業(yè)信息不外露。關鍵詞：活動目錄，域，安全，訪問權限AbstractIstheso-called"onthenight,thegrotesque".Thedeadliestattackoftencomesfrominnerenterprise,theMicrosoftCorp'sRMS(RightsManagementServices,rightsmanagementservices)isbornforthissituation,wecanmanageenterprisefileserverbyinstallingMicrosoftADRMSservice,uselicensepublishing,digitalcertificate,authentication,authorizationstrategyandkeyencryptionmethodtocarryonthemanagementtotheapplicationswhichcansupportMicrosoftADRMS,restricttheuserdomaindatabaseaccess,therebyprotectingthesensitivedocuments,e-mailandWEBcontent,canstrictlymanageuserrightstoopen,read,modifyandredistribute.Toensuretheinformationisnotexposed.Keywords：ActiveDirectory,Domainservice,Security,Accessright.目錄TOC\h\z\t"畢設正文一級標題,1,畢設正文二級標題,2"引言 11.需求分析 11.1功能需求 11.2ADRMS的新特性 12.相關技術介紹 12.1運行環(huán)境 12.2實驗環(huán)境 12.3ADRMS的相關組件 22.4ADRMS服務器的軟件需求 23.實現(xiàn)原理 23.1ADRMS的實現(xiàn)原理 23.2ADRMS文檔發(fā)布過程 34.詳細設計 44.1ADRMS的創(chuàng)建過程 44.2ADRMS的工作過程 64.3ADRMS證書和許可證 64.4ADRMS數(shù)據(jù)庫 75.系統(tǒng)功能實現(xiàn)（功能截圖） 86.ADRMS管理 86.1更改ADRMS服務賬戶 86.2ADRMS服務器屬性 96.3信任策略 96.4權限策略模板 106.5排除策略 106.6安全策略 106.7備份RMS服務器 116.8恢復RMS服務器 116.9解除授權 11總結 11參考文獻 12致謝 13引言在網(wǎng)絡領域中，文件安全是最重要的課題之一，通常由Internet和局域網(wǎng)內(nèi)部兩個方面對安全有威脅。正所謂"日防夜防，家賊難防"。最致命的攻擊往往來自于企業(yè)內(nèi)部，微軟公司的RMS（RightsManagementServices，權限管理服務）正是為這種情況而生。它把數(shù)字證書和用戶身份驗證技術相結合，從而限制各種Office文檔的訪問權限，達到防止內(nèi)部用戶泄露機密文檔內(nèi)容的效果，從而安全保護了數(shù)據(jù)文件。1.需求分析1.1功能需求相對于（防火墻、ACL、EFS等）傳統(tǒng)的信息安全保護方案，ActiveDirectory權限管理服務提供了很可靠的安全技術同時與應用程序協(xié)作（如office2007)保護數(shù)字內(nèi)容，它專門保護那些的敏感文檔、電子郵件和WEB內(nèi)容，可以嚴格地對用戶打開、讀取、修改和重新分發(fā)等權限進行管理。RMS能管理整個數(shù)字信息的生命周期，權限伴隨文檔，這是它的最大優(yōu)勢。1.2ADRMS的新特性ADRMS較RMS而言具有如下新特性。（1）更加有好的管理界面：在RMS1.0中Web是唯一的管理界面，而ADRMS則用嵌入式管理單元MMC，更加便于操作。（2）自動啟用服務器授權憑證：在ADRMS中，根群集的服務器授權憑證（ServerLicensorCertificate，SLC）可以自動啟用，無須手動操作。（3）配合與ActiveDirectory聯(lián)合身份驗證服務（ADFS）使用：WindowsServer2008推出了一項新功能ADFS，可以使身份驗證變得簡單且安全。ADRMS配合ADFS使用，可以允許企業(yè)之間共同使用一方的ADRMS群集，并且利用ADFS（使用HTTPS協(xié)議）對自己域中的用戶賬戶進行識別和驗證。2.相關技術介紹2.1運行環(huán)境Windowsserver2008R2、Windows7、office2007及以上版本2.2實驗環(huán)境涉及到兩臺虛擬機服務器：ADRMSServer,安裝了WindowsServer2008R2,DC,域名AD123客戶機：RMSClient,安裝了Windows7,已加入域，安裝Office20072.3ADRMS的相關組件ADRMS是基于服務器/客戶端的結構，其主要組件由支持ADRMS的應用程序、ADRMS客戶端和ADRMS服務器端組成，三者必備。若想生成被保護的文檔只有應用程序支持ADRMS功能；ADRMS客戶端是安裝在客戶端上，負責與支持ADRMS的應用程序進行交互；ADRMS服務器則為信任實體頒發(fā)證書、授權服務器，并授權給使用ADRMS保護的文檔。若想將用戶賬戶和具體的一臺設備關聯(lián)起來可以使用權限賬戶證書，即每個賬戶在同一臺計算機上唯一的權限證書，或在不同的計算機上同一賬戶的權限證書也不相同。盡管用戶的權限賬戶證書不同，但是密鑰卻是相同的。企業(yè)中的第1臺ADRMS服務器頒發(fā)給該賬戶權限證書，所以在其他計算機上的密鑰對是相同的，當用戶向ADRMS許可服務器請求許可時需要使用權限賬戶證書。ADRMS服務器：WindowsServer2008或R2ADRMS客戶端：ADRMS客戶端隨WindowsVista、Windows7、WindowsServer2008和WindowsServer2008R2操作系統(tǒng)一起提供。如果您使用WindowsXP、Windows2000或WindowsServer2003作為客戶端操作系統(tǒng)，則可以從Microsoft下載中心下載ADRMS客戶端的兼容版本。ADRMS應用程序：RMS支持的應用程序如Office2003等。2.4ADRMS服務器的軟件需求ADRMS服務器的軟件需求如下。（1）必須是域控制器、額外的域控制器或域成員服務器。（2）安裝IIS服務和ASP.Net組件。（3）安裝MSMQ（消息隊列）服務。（4）如果要創(chuàng)建ADRMS服務器群集，需要安裝SQLServer數(shù)據(jù)庫服務器或MSDE數(shù)據(jù)庫（建議選擇SQLServer）；否則可以直接使用ADRMS自帶的本地數(shù)據(jù)庫。ADRMS服務器軟件需要提前安裝的Windows組件，在安裝過程中可以自動安裝，用戶不必一一手動準備。3.實現(xiàn)原理3.1ADRMS的實現(xiàn)原理服務的發(fā)現(xiàn)服務的發(fā)現(xiàn)實際上是RMS客戶端發(fā)現(xiàn)ADRMS服務器的一個過程，該過程可以通過兩種方法來實現(xiàn)，一是通過注冊表；二是通過活動目錄中的服務連接點（SCP），找到企業(yè)中的證書服務器的位置。通過ADRMS服務使RMS客戶端被激活，若使用該RMS客戶端，必須在ADRMS服務器第1次使用時激活該RMS客戶端，可以從ADRMS服務器上獲取權限管理賬戶證書等信息。3.2ADRMS文檔發(fā)布過程1．在線發(fā)布文檔過程RMS客戶端在線發(fā)送請求給授權服務器，發(fā)布過程如下。（1）由密碼箱生成對稱密鑰作為內(nèi)容密鑰。（2）內(nèi)容密鑰會被授權服務器的公鑰加密，目的是通過網(wǎng)絡將其發(fā)送給授權服務器。然后授權服務器能夠用自己的私鑰將這個內(nèi)容解出，而在傳送的過程中不會被他人截獲后獲取內(nèi)容密鑰。（3）加密的內(nèi)容密鑰和權限被發(fā)送給請求發(fā)布許可的授權服務器。（4）授權服務器使用其私鑰解開加密的內(nèi)容密鑰。（5）授權服務器使用其公鑰加密內(nèi)容密鑰和使用權限。（6）加密后的密鑰和使用權限被添加到發(fā)布許可中。（7）授權服務器使用私鑰簽署發(fā)布許可。（8）發(fā)布許可返回給申請的客戶端。（9）支持ADRMS的應用程序將發(fā)布許可合并到受保護的文檔中。2.離線發(fā)布文檔過程如果用戶使用筆記本電腦等移動辦公設備，就不可能在自己的家中連接到公司的ADRMS服務器。必須要一個客戶端許可證書（CLC），才能訪問由ADRMS創(chuàng)建的文檔。保護過程如下：（1）由密碼箱生成對稱密鑰作為內(nèi)容密鑰。（2）客戶端從客戶端許可證書中取出授權服務器的公鑰。（3）客戶端使用服務器的公鑰加密內(nèi)容密鑰，加密的內(nèi)容密鑰只能由服務器的私鑰所解密。（4）客戶端使用客戶端許可證書的公鑰對內(nèi)容密鑰再進行一次加密，從而再次獲得一個加密后的對稱密鑰。需要注意的是，在離線和在線發(fā)布不同是離線發(fā)布過程中對內(nèi)容進行了兩次加密。（5）兩個加密后的對稱密鑰同時被放到發(fā)布許可中。（6）客戶端使用權限賬戶證書中的私鑰解密客戶端許可證書中的私鑰。（7）客戶端使用CLC的私鑰簽署發(fā)布許可。（8）支持ADRMS的應用程序將發(fā)布許可合到受保護的文檔中。3．使用受保護文檔的過程受保護文檔的具體使用過程如下。（1）客戶端將權限賬戶證書和文檔的發(fā)布許可發(fā)送到頒發(fā)發(fā)布許可的授權服務器。（2）授權服務器使用其私鑰解出發(fā)布許可中的內(nèi)容密鑰。（3）授權服務器使用權限賬戶證書中用戶的公鑰加密內(nèi)容密鑰。（4）把加密的內(nèi)容密鑰和用戶的使用權限添加到使用許可中。（5）授權服務器使用其私鑰簽署使用許可。（6）作為響應，將該使用許可發(fā)送給客戶端。（7）密碼箱使用計算機的私鑰解密保存在權限賬戶證書中和用戶私鑰。（8）密碼箱使用用戶的私鑰解密內(nèi)容密鑰。（9）密碼箱使用內(nèi)容密鑰解密被加密的受保護內(nèi)容。使用服務器的公鑰所加密的內(nèi)容只能由服務器的私鑰來解開。（10）服務器將用戶的密鑰對存儲到ADRMS的數(shù)據(jù)庫中，該權限賬戶證書就是以后該用戶進行申請各種使用許可的證書。4.詳細設計4.1ADRMS的創(chuàng)建過程4.2ADRMS的工作過程ADRMS的工作過程相當復雜。我們可以概括為以下四步。作者：1、創(chuàng)建受保護的文檔。2、授權并分發(fā)內(nèi)容（作者會身RMS服務器請求發(fā)布許可，RMS服務器返回發(fā)布許可，支持RMS的應用程序將發(fā)布許可合并到受保護的文檔）使用者：當使用或打開受保護的文檔時，1、向RMS服務器發(fā)送請求。2、服務器向使用者返回使用許可，使用者用該使用許可打開文檔內(nèi)容。4.3ADRMS證書和許可證4.3.1服務器許可方證書（SLC）SLC會在群集中的第一個服務器上安裝和配置ADRMS服務器角色時創(chuàng)建。服務器會為自己生成唯一的SLC，該服務器的標識由SLC建立，稱為自注冊，且有效期為250年。可以長時間保存受權限保護的數(shù)據(jù)存檔。根群集既處理證書（通過發(fā)放權限帳戶證書(RAC)），又處理授權。添加到根群集的其他服務器同時使用一個SLC。在復雜環(huán)境中，若要生成它們自己的SLC，可以部署僅授權群集。SLC包含服務器的公鑰。4.3.2客戶端許可方證書（CLC）在ADRMS群集響應客戶端應用程序的請求時創(chuàng)建CLC。在客戶端連接到組織的網(wǎng)絡時會發(fā)送CLC到客戶端，并授予用戶在客戶端未連接時發(fā)布受權限保護的內(nèi)容的權限。用戶的RAC與CLC相關聯(lián)，所以，如果RAC無效或不存在，用戶將訪問不了ADRMS群集。CLC包含客戶端許可方公鑰以及私鑰，該私鑰被請求證書的用戶的公鑰加密。它還包含發(fā)放證書的群集的公鑰，該公鑰由發(fā)放證書的群集的私鑰簽名。客戶端許可方私鑰用于對發(fā)布許可證進行簽名。4.3.3計算機證書當?shù)谝淮问褂弥С諥DRMS的應用程序時，會創(chuàng)建計算機證書在客戶端計算機上。WindowsVista和Windows7中的ADRMS客戶端自動激活并注冊根群集，從而在客戶端計算機上創(chuàng)建此證書。此證書標識計算機或設備上與登錄用戶的配置文件相關的密碼箱。計算機證書包含已激活計算機的公鑰。該計算機的密碼箱包含對應的私鑰。4.3.4權限賬戶證書（RAC）RAC在ADRMS系統(tǒng)中建立了用戶的標識。它由ADRMS根群集創(chuàng)建，并在首次嘗試打開受權限保護的內(nèi)容時提供給用戶。標準RAC在特定計算機或設備環(huán)境中使用帳戶憑據(jù)標識用戶，且具有以天數(shù)表示的有效時間。標準RAC的默認有效時間是365天。臨時RAC僅基于帳戶憑據(jù)標識用戶，且具有以分鐘數(shù)表示的有效時間。臨時RAC的默認有效時間是15分鐘。RAC包含用戶的公鑰，以及用戶的使用已激活計算機的公鑰加密的私鑰。RAC和特定的計算機相關聯(lián)，每個用戶對每個設備都有唯一的RAC。在任何計算機上，RAC的密鑰對是相同的。RAC的產(chǎn)生過程：1、使用Windows集成身份驗證向RMS服務器發(fā)送請求2、RMS服務器查詢數(shù)據(jù)庫，可能會使用已有的密鑰對或生成密鑰對3、RMS服務器將用戶的私鑰用計算機的公鑰進行加密4、RMS服務器將用戶的公鑰和加密后的私鑰放在RAC中5、RAC被RMS服務器用私鑰進行數(shù)字簽署6、RMS服務器將RAC發(fā)送給用戶7、RMS服務器將用戶的密鑰對存放在RMS數(shù)據(jù)庫中4.3.5發(fā)布許可證（PublishingLicense）使用權限保護保存內(nèi)容時，客戶端會創(chuàng)建發(fā)布許可證。它指定可以打開受權限保護的內(nèi)容的用戶、用戶可以打開內(nèi)容的條件，以及每個用戶對受權限保護的內(nèi)容所具有的權限。它由RMS授權服務器頒發(fā)。發(fā)布許可證包含：1、用于解密內(nèi)容的對稱內(nèi)容密鑰，該密鑰使用發(fā)放許可證的服務器的公鑰加密。2、使用都權限。以Email標識用戶和相應的權限，被發(fā)放許可證的服務器的公鑰加密。3、發(fā)布服務器的URL：使用者通過這個URL向服務器申請使用許可。4、發(fā)布服務器的數(shù)字簽署：證明發(fā)布許可證的有效性，防止篡改。4.3.6使用許可證（UsageLicense）使用許可證在特定的已驗證用戶的環(huán)境中指定應用于受權限保護的內(nèi)容的權限。此許可證與RAC相關聯(lián)。如果RAC無效或不存在，則無法通過使用許可證打開內(nèi)容。使用許可證包含用于解密內(nèi)容的對稱內(nèi)容密鑰，該密鑰使用用戶的公鑰加密和用戶對文檔的權限。使用許可證必由發(fā)布許可證的同一臺服務器頒發(fā)；每個文檔對每個用戶都對應一個使用許可證；同時，如果用戶對文檔有寫權限時，使用許可證會被緩存到OFFICE文檔，對于電子郵件，會被OUTLOOK緩存。4.4ADRMS數(shù)據(jù)庫4.4.1配置數(shù)據(jù)庫ADRMS安裝的關鍵組件是配置數(shù)據(jù)庫，它可以存儲、共享和檢索您管理群集的帳戶證書、授權和發(fā)布服務所需的所有配置數(shù)據(jù)及其他數(shù)據(jù)。管理配置數(shù)據(jù)庫的方法將會直接影響受權限保護的內(nèi)容的安全性和可用性。每個ADRMS群集都有一個配置數(shù)據(jù)庫。Windows用戶標識及其權限帳戶證書(RAC)的列表在根群集的配置數(shù)據(jù)庫內(nèi)。若群集密鑰由ADRMS集中管理，則證書密鑰對在存儲到該數(shù)據(jù)庫之前加密為ADRMS群集密鑰。僅授權群集的配置數(shù)據(jù)庫不包含此信息。4.4.2日志記錄數(shù)據(jù)庫對于每個根群集或僅授權群集，默認情況下，ADRMS在承載配置數(shù)據(jù)庫的同一個數(shù)據(jù)庫服務器實例中安裝日志記錄數(shù)據(jù)庫。ADRMS還在ADRMS群集中的每個服務器上創(chuàng)建專用消息隊列，以用于消息隊列中的日志記錄。ADRMS日志記錄服務將數(shù)據(jù)從此消息隊列傳輸?shù)饺罩居涗洈?shù)據(jù)庫。4.4.3目錄服務數(shù)據(jù)庫此數(shù)據(jù)庫包含有關用戶、標識符（如電子郵件地址）、安全ID(SID)、組成員身份和備用標識符的信息。通過ADRMS授權服務對ActiveDirectory域服務(ADDS)全局編錄進行輕型目錄訪問協(xié)議(LDAP)查詢，來獲得此信息。5.系統(tǒng)功能實現(xiàn)（功能截圖）圖2功能實現(xiàn)6.ADRMS管理6.1更改ADRMS服務賬戶若要運行“更改服務帳戶”向導，必須使用對配置數(shù)據(jù)庫具有管理權限的用戶帳戶以本地方式登錄ADRMS服務器。進行此操作時，先前指定的帳戶將自動從ADRMSServiceGroup中刪除，新帳戶將成為該組的成員。如果要在其中更改ADRMS服務帳戶的ADRMS群集中有多個服務器，則必須在群集中的所有服務器上更改該服務帳戶。6.2ADRMS服務器屬性1、服務器證書選項導出服務器許可方證書(SLC)，以便在建立可信發(fā)布域和可信用戶域時使用2、群集URL選項IntranetURL連接到您組織的專用網(wǎng)絡的支持ADRMS的客戶端，使用這些URL連接到ADRMS群集中的證書和授權服務。ExtranetURL通過Internet連接到群集的ADRMS客戶端使用這些URL。將根據(jù)這些URL創(chuàng)建授權和證書URL。3、日志記錄選項啟用和禁用ADRMS日志記錄。驗證日志是否正寫入數(shù)據(jù)庫：登錄ADRMS日志記錄數(shù)據(jù)庫的數(shù)據(jù)庫服務器。在SQLServer企業(yè)管理器中，展開“數(shù)據(jù)庫”，然后展開ADRMS日志記錄數(shù)據(jù)庫。展開“表”，右鍵單擊ServiceRequest，然后單擊“打開表-返回所有行”。如果正在創(chuàng)建日志文件，將會在此表中看到一行或多行內(nèi)容。4、SCP選項ADRMS的服務連接點(SCP)標識服務到組織中支持ADRMS的客戶端的連接URL。在ActiveDirectory域服務(ADDS)中注冊SCP后，客戶端將能夠發(fā)現(xiàn)ADRMS群集以請求使用許可證、發(fā)布許可證或權限帳戶證書(RAC)。6.3信任策略1、受信任的用戶域。如果用戶的權限帳戶證書(RAC)是由不同的ADRMS根群集頒發(fā)的，則通過添加可信用戶域，ADRMS根群集可以處理這些用戶的客戶端許可方證書或使用許可證請求。通過導入要信任的ADRMS群集的服務器許可方證書，可添加可信用戶域。2、受信任的發(fā)布域。通過添加受信任的發(fā)布域，一個ADRMS群集可以根據(jù)由不同的ADRMS群集頒發(fā)的發(fā)布許可證來頒發(fā)使用許可證。通過導入要信任的服務器的服務器許可方證書和私鑰，可添加受信任的發(fā)布域。3、WindowsLiveID。通過設置與Microsoft的聯(lián)機RMS服務的信任關系，ADRMS用戶可以將受權限保護的內(nèi)容發(fā)送到具有WindowsLiveID的用戶。WindowsLiveID用戶將能夠使用來自已信任Microsoft的聯(lián)機RMS服務的ADRMS群集的受權限保護內(nèi)容，但是WindowsLiveID用戶不能創(chuàng)建由ADRMS群集進行權限保護的內(nèi)容。4、聯(lián)合信任。使用ActiveDirectory聯(lián)合身份驗證服務，可以在兩個林之間建立聯(lián)合信任。當一個林沒有安裝ADRMS，但它的用戶需要使用另一個林的受權限保護的內(nèi)容時，這將非常有用。6.4權限策略模板權限策略模板是在RMS服務器上創(chuàng)建的。它在服務器數(shù)據(jù)庫和指定文件夾以XML件分別存放。在客戶端機以XML文件形式存在本地或網(wǎng)絡共享文件夾中。它支持動態(tài)更新，即新的模板不用重新應用以前用保護的內(nèi)容上，當用戶獲取UL時，獲取更新后的模板；它由受權服務器負責管理。存檔的模板不會導出到模板導出位置，也不會通過模板分發(fā)管道進行分發(fā)。在客戶端計算機刷新其權限策略模板后，用戶不能再使用存檔的模板發(fā)布新內(nèi)容。但是，存檔的模板允許服務器繼續(xù)為已經(jīng)按照其發(fā)布的內(nèi)容發(fā)放使用許可證。

存檔的權限策略模板不會導出到共享模板文件夾。如果希望導出此模板，必須將其更改回分布式權限策略模板。6.5排除策略RMS服務器可以基于某些因素（用戶、應用程序、密碼箱的版本）拒絕對許可的請求。6.6安全策略1、更改超級用戶設置

此選項允許您啟用或禁用ADRMS超級用戶組。此組可以解密由群集發(fā)布的所有內(nèi)容。2、重置密碼

如果群集的私鑰由ADRMS集中管理，則群集密鑰密碼將用于保護ADRMS群集的私鑰。3、更改解除授權設置

在從基礎結構中刪除ADRMS之前會使用解除授權功能，而且需要解密受ADRMS保護的所有內(nèi)容。6.7備份RMS服務器1、備份RMS服務器：備份RMS根證書服務器的數(shù)據(jù)庫；備份每一臺RMS授權服務器的數(shù)據(jù)庫；備份每一臺RMS服務器的私鑰；2、備份數(shù)據(jù)庫的內(nèi)容：配置數(shù)據(jù)庫：包含配置信息和用戶的密鑰，必須備份目錄服務數(shù)據(jù)庫：活動目錄緩存，可選擇備份或不備份日志數(shù)據(jù)庫：根據(jù)企業(yè)安全策略進行備份6.8恢復RMS服務器如果恢復的是一臺根證書服務器，首先必須刪除AD中的SCP重新安裝操作系統(tǒng)和SQLSERVER安裝ADRMS恢復數(shù)據(jù)庫6.9解除授權解除授權是指從組織中刪除ADRMS群集及其相關數(shù)據(jù)庫的整個過程。通過此過程，可以在從基礎結構刪除ADRMS之前將受權限保護的文件另存為一般文件，以便不會丟失對這些文件的訪問權限?？偨YADRMS通過發(fā)布許可證、數(shù)字證書、身份驗證、權限策略和各種密鑰對加密的方法對支持ADRMS的應用程序進行管理，對各種Office文檔的訪問權限加以限制，它專門保護那些