微軟RMS常見問題解答整理

1、微軟RMS常見問題解答之部署篇1、如果用于 RMS 的安全主體是全局地址列表 (GAL) 成員，則 Exchange 的版本是否存在任何依賴關(guān)系？RMS 依賴于 Active Directory，而不是 Exchange。但是，Exchange 5.5 保留其自己的目錄，而不使用 Active Directory。確保 Active Directory 中的所有用戶和組對象都有一個有效的電子郵件屬性，該屬性包含完全限定的域名。如果使用的是 Exchange 2000 或更高版本，則此操作是自動完成的。2、SQL Server 在 RMS 中扮演什么角色？RMS 使用數(shù)據(jù)庫來存儲所有服務(wù)配置數(shù)據(jù)

2、、有關(guān)系統(tǒng)中主體的信息和所有日志記錄數(shù)據(jù)，并在 Active Directory 和通訊組列表擴(kuò)展期間緩存查找。已使用 SQL Server 2000 和 SQL Server 2005 完全測試 RMS。3、用戶計(jì)算機(jī)是否必須加入 RMS 服務(wù)器所在的域才能使用 RMS？用戶計(jì)算機(jī)不必是 RMS 群集所在域的成員，但該計(jì)算機(jī)需要能夠找到 RMS 群集?？蛻舳擞?jì)算機(jī)找到 RMS 群集的最簡單方法是通過服務(wù)連接點(diǎn) (SCP) 使用 Active Directory 查找。但是，也可以將客戶端上的注冊表設(shè)置設(shè)置為找到 RMS 群集，而不必使用 Active Directory 查找。確切的注冊表設(shè)

3、置取決于啟用了 RMS 的應(yīng)用程序。4、如果客戶希望將 RMS 服務(wù)器放在外圍網(wǎng)絡(luò)中，則要與 RMS 通信，必須對面向 Internet 的防火墻和面向 Intranet 的防火墻打開哪些端口？內(nèi)部用戶需要訪問頒發(fā)權(quán)限帳戶證書 (RAC) 和用戶許可證的 RMS 服務(wù)器。默認(rèn)情況下，RMS 服務(wù)器偵聽 HTTP（TCP 端口 80）或 HTTPS（TCP 端口 443），這取決于服務(wù)器是否被配置為使用 SSL，因此需要對面向 Internet 的防火墻打開這些端口。需要對面向 Intranet 的防火墻打開域中成員服務(wù)器使用的其他端口。5、僅授權(quán)群集中的從屬服務(wù)器是如何注冊的，是否需要對客戶端

4、執(zhí)行什么操作，此群集才知道這些從屬服務(wù)器？當(dāng)在企業(yè)的根群集中創(chuàng)建第一臺 RMS 服務(wù)器時，該服務(wù)器將接收到來自 Microsoft 注冊服務(wù)的服務(wù)器許可方證書。當(dāng)安裝并設(shè)置另一臺 RMS 服務(wù)器時，您可以將它加入到根群集中，或者將它注冊為從屬僅授權(quán)群集中的服務(wù)器。如果選擇將它注冊為從屬僅授權(quán)群集中的服務(wù)器，則它將會向 RMS 根群集發(fā)送注冊請求。啟用了 RMS 的應(yīng)用程序指定客戶端應(yīng)用程序在哪里查找僅授權(quán)群集。Office 2003 是啟用了 RMS 的應(yīng)用程序之一，默認(rèn)情況下，它查找根群集?？梢允褂米员碓O(shè)置代替此行為，以便應(yīng)用程序查找新的從屬僅授權(quán)群集。6、使用從屬僅授權(quán)群集有什么好處？一

5、個好處是可以隔離組織中的不同部門。如果尚未在 RMS 群集之間建立受信任的發(fā)布域，則僅有權(quán)訪問給定授權(quán)服務(wù)器的用戶才能使用內(nèi)容。這樣，法律部門可以阻止其他人閱讀其 RMS 加密的電子郵件。此外，還可以在僅授權(quán)群集中設(shè)置一些選項(xiàng)，如權(quán)限模板、日志記錄、超級用戶組中的成員身份和排除策略。7、要完全回滾 RMS 安裝需要執(zhí)行什么操作？要徹底回滾 RMS 安裝，請執(zhí)行下列過程?；貪L RMS 安裝通過使用 RMS 管理網(wǎng)站刪除 RMS 群集的服務(wù)連接點(diǎn) (SCP)。從全局管理頁面中，單擊從此網(wǎng)站中刪除 RMS以在服務(wù)器上取消設(shè)置 RMS。應(yīng)該首先取消設(shè)置僅授權(quán)群集中任何通過注冊子過程注冊的服務(wù)器，然后取

6、消設(shè)置根群集服務(wù)器。在控制面板中，單擊添加或刪除程序，然后刪除Rights Management Services。在數(shù)據(jù)庫服務(wù)器上，刪除任何其余 RMS 數(shù)據(jù)庫。從數(shù)據(jù)庫服務(wù)器上的授權(quán)登錄列表中刪除 RMS 服務(wù)帳戶，然后從 Active Directory 本身中刪除該帳戶。如果 RMS 客戶端運(yùn)行的是 Windows XP 和 Windows 2000，請從客戶端計(jì)算機(jī)中刪除 RMS 客戶端。要點(diǎn)完成此過程之后，您無法再打開受權(quán)限保護(hù)的內(nèi)容。如果 RMS 用于保護(hù)任何有價值的數(shù)據(jù)，則首先取消 RMS 配置，然后再回滾 RMS 安裝。8、使用添加或刪除程序卸載 RMS 客戶端之后，是否要刪

7、除任何其他文件？盡管此操作不是必需的，但您也可以從 %systemroot%system32 中刪除密碼箱。9、RMS 使用 FAT 文件系統(tǒng)嗎？是，盡管建議使用 NTFS 文件系統(tǒng)，但 RMS 在使用 FAT 的計(jì)算機(jī)上工作。10、對 RMS 使用的數(shù)據(jù)庫服務(wù)器建議什么樣的典型硬件配置？日志記錄數(shù)據(jù)庫將快速變大，尤其是在大量使用 RMS 的環(huán)境中。如果考慮對數(shù)據(jù)庫服務(wù)器使用 SQL Server，則應(yīng)該考慮在 Windows 2000 Advanced Server 或 Windows Server 2003 Enterprise Edition 上使用 SQL Server 2000 En

8、terprise Edition 或 SQL Server 2005 Enterprise Edition ，它們是在群集中進(jìn)行主/從配置期間配置的。在這種情況下，建議的配置為 RAID-1 日志磁盤和 RAID-5 數(shù)據(jù)磁盤，且 RAM 至少為 512 MB。此配置建議使用的最小 CPU 為 Pentium III，運(yùn)行速度為 1.4 GHz。在專用數(shù)據(jù)庫服務(wù)器上，不需要多個 CPU。11、RMS 將全局編錄用于組擴(kuò)展會如何影響全局編錄服務(wù)器的性能？RMS 服務(wù)器將緩存任何組擴(kuò)展列表，以便全局編錄服務(wù)器上的負(fù)載不會很大。盡管可以通過注冊表配置獲得新組列表的超時時間，但是頻繁更新組成員身份會增

9、加對全局編錄服務(wù)器的依賴。頻繁擴(kuò)展較大的組將會降低性能。有關(guān)詳細(xì)信息，請參閱此文檔集的RMS：操作中的更改 Active Directory 緩存設(shè)置。12、RMS 是否要求更改 Active Directory 中的任何架構(gòu)？為使 RMS 能夠成功地跨林邊界擴(kuò)展發(fā)布許可證中指定的組成員身份，本地 Active Directory 林中必須存在一個聯(lián)系對象，代表遠(yuǎn)程林中的組。RMS 可以查詢聯(lián)系對象的屬性，并發(fā)現(xiàn)此對象代表其他林中的組。為使 RMS 能夠執(zhí)行此操作，Active Directory 需要 Exchange Server 2003 或更高版本的架構(gòu)屬性 msExchOrigina

10、tingForest。如果林中有一臺服務(wù)器正在運(yùn)行 Exchange Server 2003，則默認(rèn)情況下，此屬性安裝在 Active Directory 架構(gòu)中。您必須在將參與 RMS 的每個 Active Directory 架構(gòu)的林中都安裝此屬性。如果您當(dāng)前未使用 Exchange Server 2003，則可以使用 RMS 管理工具包將該架構(gòu)單獨(dú)安裝在您的 Active Directory 結(jié)構(gòu)中。13、是否將在安裝了 RMS 服務(wù)器的域中的不同域控制器之間自動復(fù)制服務(wù)連接點(diǎn) (SCP)？在設(shè)置林中的第一臺 RMS 服務(wù)器之后，必須使用具有足夠權(quán)限的域帳戶在 Active Direct

11、ory 中注冊該服務(wù)器，以在 Active Directory 的配置容器中的服務(wù)容器之下創(chuàng)建容器對象。Enterprise Admins 內(nèi)置安全組是具有所需權(quán)限的帳戶之一。這將創(chuàng)建 SCP。由于其在服務(wù)容器中，因此 Active Directory 將信息復(fù)制到林中的所有域控制器中。14、如果用戶對其計(jì)算機(jī)沒有管理權(quán)限，則可以如何安裝和配置 RMS 客戶端？RMS 客戶端是一個 Windows Installer 文件，可以使用軟件分發(fā)體系結(jié)構(gòu)（如 Systems Management Server 2003）進(jìn)行分發(fā)。也可以使用組策略對象 (GPO) 分發(fā) RMS 客戶端，但該組策略對象

12、需要使用具有管理權(quán)限的服務(wù)帳戶。如果 RMS 客戶端運(yùn)行的是 Windows Vista，則不再需要獨(dú)立的 RMS 客戶端安裝，因?yàn)樗鸭傻讲僮飨到y(tǒng)中。15、什么是 RMS 的可伸縮性？RMS 是一種無狀態(tài)的 Web 服務(wù)，可以像任何其他網(wǎng)站或 Web 服務(wù)那樣實(shí)現(xiàn)群集化和進(jìn)行負(fù)載平衡。RMS 的性能主要取決于處理器的可用性，因此添加處理器可以提高性能。16、RMS 是否支持硬件安全模塊 (HSM)，以保護(hù)硬件中的 RMS 密鑰？是，RMS 使用符合 CAPI 的 HSM，如 nCipher HSM。微軟RMS常見問題解答之管理篇1、吊銷離開組織的用戶對文檔的權(quán)限的最佳方法是什么？通常，最好

13、授權(quán) Active Directory 中定義的用戶組而不是個人用戶帳戶使用文檔。建議這么做是為了在某用戶離開組織后，您可以從 Active Directory 組中刪除該用戶，該用戶不能讀取發(fā)送到該組的文檔。但是，該用戶仍然可以讀取具有現(xiàn)有用戶許可證的文檔，除非這些文檔的權(quán)限設(shè)置為每次打開文檔時都需要用戶獲取用戶許可證。如果未定義該權(quán)限，則唯一可以防止用戶打開具有現(xiàn)有用戶許可證的文檔的方法是清除用戶計(jì)算機(jī)上的用戶許可證存儲。2、在兩個組織之間建立信任以便交換 RMS 內(nèi)容時，是否需要對傳遞到可信公司的任何 XrML 許可證證書進(jìn)行特殊處理？建立受信任的用戶域或受信任的發(fā)布域時，您將選擇信任伙

14、伴組織來參與您的權(quán)限管理系統(tǒng)。因此，您要冒經(jīng)過精確計(jì)算的風(fēng)險，相信信任另一組織不會泄露您的信息。最佳方案是，請求伙伴組織通過使用經(jīng)過身份驗(yàn)證的通道（如 S/MIME 電子郵件）來發(fā)送其 RMS 服務(wù)器許可方證書，從而幫助緩解在將服務(wù)器許可方證書導(dǎo)入到 RMS 服務(wù)器之前該證書被篡改的風(fēng)險。3、RMS 如何處理漫游用戶配置文件？用于識別用戶的權(quán)限帳戶證書 (RAC) 是特定于計(jì)算機(jī)的。使用漫游配置文件時，在給定計(jì)算機(jī)上第一次使用 RMS 時將為該計(jì)算機(jī)上的用戶創(chuàng)建一個新的 RAC。4、組織為什么要取消 RMS 配置？取消 RMS 配置將從基礎(chǔ)結(jié)構(gòu)中刪除 RMS 服務(wù)器，并為用戶提供了一種方法來在

15、不采取保護(hù)措施的情況下保存受權(quán)限保護(hù)的內(nèi)容。組織選擇這樣做的主要原因有三個：簡化體系結(jié)構(gòu)設(shè)計(jì)，如將服務(wù)器合并到群集中。將概念證明試驗(yàn)環(huán)境遷移到生產(chǎn)環(huán)境。合并 RMS 服務(wù)器，如在收購后。5、取消配置的全過程是什么？通過啟用取消配置服務(wù)來從 RMS 根群集中啟動取消配置過程。啟用取消配置服務(wù)時，所有其他服務(wù)（例如，授權(quán)和認(rèn)證）都將被禁用。之后，在使用 RMS 功能時，每個用戶的啟用了 RMS 的應(yīng)用程序需要被定向以連接到取消配置服務(wù)。Microsoft Office 2003 就是啟用了 RMS 的應(yīng)用程序的一個示例。在 Office 2003 中，通過使用注冊表項(xiàng)將 RMS 客戶端定向到 RM

16、S 服務(wù)。一個特定注冊表項(xiàng)標(biāo)識取消配置服務(wù)。一旦此注冊表項(xiàng)配置為將客戶端定向到取消配置服務(wù)，RMS 群集就會向用戶授予該內(nèi)容的用戶許可證，該許可證提供完整權(quán)限，包括讀取、寫入、復(fù)制、打印、編輯等等，而不考慮最初是否向用戶授予了這些權(quán)限。然后，系統(tǒng)應(yīng)指示用戶從完全取消 RMS 群集的配置之后仍想要保留的任何文檔中刪除所有權(quán)限保護(hù)。完成此操作之后，就可以完全停止使用 RMS 群集。最佳方案是備份 RMS 群集的配置數(shù)據(jù)庫，以防在停止使用該群集之后，需要恢復(fù)受權(quán)限保護(hù)的文檔。如果沒有 RMS 根群集的私鑰，則僅文檔的作者能夠在刪除服務(wù)器之后打開受權(quán)限保護(hù)的內(nèi)容。6、是否可以取消 RMS 服務(wù)器的配置

17、，以便只有某些用戶能夠恢復(fù)文檔？您可以對取消配置 Web 服務(wù) (decommission.asmx) 應(yīng)用訪問控制列表 (ACL) ，以控制對取消配置服務(wù)的訪問，這樣僅某些用戶可以獲取受權(quán)限保護(hù)的內(nèi)容的解密密鑰。7、服務(wù)器不能訪問應(yīng)用程序目錄意味著什么？安裝 RMS 之后，第一次嘗試打開 RMS 管理網(wǎng)站時有時會出現(xiàn)此錯誤。收到此錯誤后，不能配置或管理 RMS。此錯誤通常在 Internet Information Services (IIS) 以 IIS 5.0 隔離模式運(yùn)行時發(fā)生。使用下列過程禁用服務(wù)器上的此設(shè)置，然后重新啟動 IIS 來解決此問題。禁用 IIS 5.0 隔離模式以本地管

18、理員組成員的身份登錄到 RMS 服務(wù)器。單擊開始，指向管理工具，然后單擊Internet 信息服務(wù) (IIS) 管理器。在IIS 管理器中，展開本地計(jì)算機(jī)，右鍵單擊網(wǎng)站，然后單擊屬性。單擊服務(wù)選項(xiàng)卡，清除以 IIS 5.0 隔離模式運(yùn)行 WWW 服務(wù)復(fù)選框，然后單擊確定。此更改要求重新啟動 IIS 服務(wù)。當(dāng)系統(tǒng)提示您是否重新啟動 IIS 服務(wù)時，請單擊是。8、是否可以對 RMS 服務(wù)器使用跟蹤功能？由于 Rights Management Services 是使用 Microsoft? .NET Framework 創(chuàng)建的，因此您可以啟用跟蹤功能，以幫助跟蹤系統(tǒng)事件并解決問題。如果修改 Web

19、.config 或 Machine.config 文件，則可以實(shí)施跟蹤。當(dāng)在 Machine.config 文件中實(shí)施跟蹤時，將對計(jì)算機(jī)上的所有軟件組件執(zhí)行跟蹤操作；但是，如果在 Web.config 文件中實(shí)施跟蹤，則只跟蹤 Web 服務(wù)中出現(xiàn)的事件。啟用跟蹤功能打開 Machine.config 文件或 Web.config 文件，然后將下列各行添加到該文件中的 部分之下：從命令提示符運(yùn)行 IISRESET 以重新啟動 IIS。收集完所需的數(shù)據(jù)后，請從 .config 文件中刪除在第一步中添加的行。從命令提示符運(yùn)行 IISRESET 以重新啟動 IIS。要點(diǎn)當(dāng)您對 RMS 服務(wù)器使用跟蹤功

20、能時，可能出現(xiàn)性能問題，如獲取用戶許可證以及頒發(fā)權(quán)限帳戶證書的延遲時間較長。只在某些特定情況下使用跟蹤，以便診斷和解決現(xiàn)有的問題。9、什么是時鐘偏移？應(yīng)該如何管理時鐘偏移？時鐘偏移是指某一計(jì)算機(jī)上的時鐘時間與其他計(jì)算機(jī)上的時鐘時間有差異。這是常見的情況，就像處于同一房間里的兩個人的手表所指示的時間略有不同一樣。當(dāng)您在許可證中指定有效期時，時鐘偏移可能導(dǎo)致出現(xiàn)問題。許可證中的有效期是根據(jù)發(fā)布服務(wù)器的時鐘設(shè)置的。在發(fā)布和使用周期中，這些時間的時鐘偏移可能導(dǎo)致出現(xiàn)問題，如下面兩種情況所述：應(yīng)用程序嘗試使用發(fā)布許可證來獲取用戶許可證，而根據(jù) RMS 服務(wù)器的時鐘，該發(fā)布許可證的有效期在過去結(jié)束或在將來

21、開始。在這種情況下，請求將會失敗。對于申請用戶許可證的最終用戶或者嘗試預(yù)授權(quán)文檔（以代表用戶獲取用戶許可證）的應(yīng)用程序而言，可能會出現(xiàn)這種情況。如果許可證的有效期已過（或尚未開始），嘗試使用許可證將會失敗。否則，僅已過期（或尚未有效）的權(quán)限不可用。例如，如果發(fā)布計(jì)算機(jī)的時鐘比使用計(jì)算機(jī)的時鐘慢 15 分鐘，則發(fā)布服務(wù)器將創(chuàng)建一個發(fā)布許可證，指定內(nèi)容將在 15 分鐘后過期，而用戶將從服務(wù)器接收到一個無法使用的用戶許可證，因?yàn)樵撚脩粼S可證所授予的、查看內(nèi)容的權(quán)限已經(jīng)過期。對于時鐘偏移問題，尚沒有完美的解決方案。較好的解決方案是，按照較遲的時鐘來設(shè)置有效期的開始時間，盡可能使其早于用戶的當(dāng)前時間，以

22、便延長時間較快的用戶的許可證有效期。建議您時刻記住時鐘偏移問題帶來的影響，尤其是在創(chuàng)建具有較短有效期的許可證時。微軟RMS常見問題解答之安全篇1、什么是超級用戶帳戶？RMS 支持一個特殊的超級用戶組，該組對所有受權(quán)限保護(hù)的內(nèi)容擁有完全控制權(quán)。在由配置了超級用戶組的 RMS 群集頒發(fā)給超級用戶組成員的所有用戶許可證中，超級用戶組的成員被授予全部所有者權(quán)限。這意味著，該組的成員可以對任何受保護(hù)的文件進(jìn)行解密，并可解除對它們的保護(hù)。例如，該組的成員可以解除對已離職員工發(fā)布的文件的保護(hù)，以便新的所有者可以發(fā)布和管理這些文件。2、RMS 是安全解決方案嗎？不，RMS 不是安全解決方案。與啟用了 RMS

23、的應(yīng)用程序（如 Office 2007）一起使用時，可以將 RMS 視為策略強(qiáng)制實(shí)施解決方案。如果用戶未被授予查看數(shù)據(jù)的權(quán)限，則該用戶可以使用蠻力攻擊嘗試破解加密。盡管加密非?？煽浚袼熊浖用芊桨敢粯?，它是可以破解的。但是，如果用戶有權(quán)查看數(shù)據(jù)，則該用戶可以手動復(fù)制它或?qū)ζ渑臄z數(shù)字圖片，并向未經(jīng)授權(quán)的用戶提供信息。3、在收件人的用戶許可證過期后，可以使用什么機(jī)制防止收件人向后撥動其客戶端計(jì)算機(jī)上的時鐘，延長對受權(quán)限保護(hù)的文檔的訪問？RMS 將檢測是否向后或向前撥動了客戶端系統(tǒng)上的時鐘，并阻止用戶使用內(nèi)容。此外，RMS 還將檢測 RMS 服務(wù)器與客戶端之間是否存在可測量的時差。4、Doma

24、in Admins 組成員是否能夠讀取用于該域中其他人的文檔？如果 Domain Admins 的組成員是 RMS 超級用戶組的成員，或者 Domain Admins 組的成員模擬某個用戶帳戶，則他們可以讀取對該用戶帳戶保護(hù)的內(nèi)容。因?yàn)?Domain Admins 組的成員可以對域中的用戶帳戶進(jìn)行控制，所以無法緩解 Domain Admins 組中有不可信成員這一情形。最佳方案是，當(dāng) Domain Admins 組的成員需要訪問受權(quán)限保護(hù)的內(nèi)容，僅將他們添加到超級用戶組中。如果向超級用戶組的成員授予許可證，則 RMS 服務(wù)器的應(yīng)用程序事件日志中將記錄事件 ID 49。事件 ID 49 描述已為

25、超級用戶組中的一個用戶授予了許可證。該用戶有以下電子郵件地址：，其中用戶別名將替換為該用戶的電子郵件帳戶。對于用于限制對資源的訪問的其他組，您應(yīng)該定義警報并執(zhí)行安全檢查，以幫助防止某人未經(jīng)授權(quán)加入超級用戶組。5、我知道每個密碼箱都可以驗(yàn)證系統(tǒng)中生成的每個證書或許可證，就像這些證書或許可證來自向 Microsoft 注冊的服務(wù)一樣。這種保護(hù)面臨什么威脅？如果不能驗(yàn)證證書的完整性，則用戶可能騙取頒發(fā)給其他用戶的權(quán)限帳戶證書 (RAC)，并獲取內(nèi)容的用戶許可證，或者創(chuàng)建一個可解除文檔保護(hù)的應(yīng)用程序。6、如果有人使用蠻力攻擊打開了一個文檔，他們是否可以使用該密鑰打開其他文檔？每一部分受權(quán)限保護(hù)的內(nèi)容都

26、是使用隨機(jī)生成的不同對稱密鑰加密的。因此，每個文檔的密鑰都是唯一的，不能用于解密其他文檔。7、由于對加密技術(shù)的出口限制，是否會在部署密鑰的企業(yè)外部暴露部分密鑰？登錄到 Microsoft 根的應(yīng)用程序受 Microsoft 密鑰簽署根的限制，但在此之前，Microsoft 或客戶部署不會披露其他密鑰。8、如何防止惡意攻擊者遠(yuǎn)程啟用取消配置功能？攻擊者需要對 RMS 群集具有管理權(quán)限的用戶帳戶的憑據(jù)。默認(rèn)情況下，RMS 管理界面僅在 RMS 服務(wù)器上本地可用。確保這種情況保持不變、遠(yuǎn)程桌面協(xié)議 (RDP) 被禁用以及服務(wù)器在物理上安全無虞，這樣可幫助緩解風(fēng)險。9、用戶是否可以對受權(quán)限保護(hù)的內(nèi)容執(zhí)

27、行屏幕捕獲？如果 RMS 權(quán)限被設(shè)置為不允許使用復(fù)制功能，則 RMS 將會禁用 Windows Alt+PrtSc。但是，在具有不受管理的臺式機(jī)的環(huán)境中，用戶可以使用非 Microsoft 產(chǎn)品捕獲內(nèi)容。10、備份與 RMS 相關(guān)的文件的管理員是否有權(quán)訪問受權(quán)限保護(hù)的內(nèi)容？否，他們可以執(zhí)行備份，但無權(quán)訪問。11、Windows 使用的交換文件是否一直包含未加密的內(nèi)容，并且很可能使內(nèi)容保持打開狀態(tài)？一旦 RMS 客戶端將加密的內(nèi)容發(fā)送回應(yīng)用程序，該內(nèi)容就會出現(xiàn)在交換文件中。Rights Management Services (RMS) 軟件開發(fā)工具包 (SDK) 中的部分 RMS 應(yīng)用程序開發(fā)

28、建議包括防止出現(xiàn)這種情況的步驟，但由啟用了 RMS 的應(yīng)用程序來執(zhí)行這些步驟。12、是否可以限制能夠訪問 RMS 的不同管理功能的管理員？是，您可以在 Active Directory 中創(chuàng)建不同的 RMS 管理員組、添加用戶，然后為管理頁面創(chuàng)建合適的訪問控制列表 (ACL)。例如，RMS 管理網(wǎng)頁 ACL 的默認(rèn)配置指定僅設(shè)置了服務(wù)器的用戶可以訪問安全設(shè)置頁面。13、在用戶硬盤或共享文件夾中創(chuàng)建了單獨(dú)的文檔之后，RMS 能馬上保護(hù)這些文檔嗎？盡管 RMS 可用來保護(hù)存儲在用戶的本地計(jì)算機(jī)上的文檔，但最好選擇加密文件系統(tǒng) (EFS)。EFS 透明地保護(hù)文檔，而 RMS 需要手動干預(yù)（單擊鼠標(biāo)數(shù)

29、次）才能保護(hù)文檔。14、打開一個文件時，是否加密自動保存文件和臨時文件？是，所有臨時文件都將被加密。15、我接收到一個受權(quán)限保護(hù)的電子郵件，該郵件中似乎帶有附件。我能保存該附件，即使可能無法保存電子郵件 - RMS 被破解了嗎？否。這是預(yù)期行為。在 RMS 客戶端解密附件之前，您看到的附件是加密的消息。它仍受權(quán)限保護(hù)，一旦解密后就不能保存了。微軟RMS常見問題解答之證書密鑰和加密篇1、RMS 中使用什么加密算法？RMS 對 RMS 服務(wù)器使用 2048 位 RSA 密鑰，對用戶和計(jì)算機(jī)密鑰對使用 1024 位 RSA 密鑰。2、RMS 是否使用經(jīng)過 FIPS 認(rèn)證的加密？在 RMS Servi

30、ce Pack 1 或更高版本中，如果 RMS 客戶端安裝在運(yùn)行 Windows XP 或 Windows Server 2003 的計(jì)算機(jī)上，則由該客戶端應(yīng)用程序生成的密碼箱使用經(jīng)過 FIPS 認(rèn)證的 AES 加密。但是，如果 RMS 客戶端安裝在運(yùn)行 Windows 2000 的計(jì)算機(jī)上，則不會安裝經(jīng)過 FIPS 認(rèn)證的 AES 庫，因此這些密碼箱不符合 FIPS。3、對于將權(quán)限授予通訊組列表而不是個人用戶的發(fā)布許可證或模板，是否采用不同的方式處理用戶許可證以便動態(tài)評估成員？用戶許可證總是頒發(fā)給個人用戶。如果發(fā)布許可證或模板指定一個組，則 RMS 會在頒發(fā)用戶許可證時評估組成員身份。如果請

31、求用戶許可證的用戶是指定組中的一個成員，則會將用戶許可證頒發(fā)給該用戶的標(biāo)識。4、在網(wǎng)亭中使用 RMS 時，將頒發(fā)臨時權(quán)限帳戶證書 (RAC)。臨時 RAC 與標(biāo)準(zhǔn) RAC 有何區(qū)別？RMS 如何檢測網(wǎng)亭中是否正在使用它？啟用了 RMS 的應(yīng)用程序必須確定 RMS 客戶端應(yīng)該為用戶請求臨時 RAC 還是標(biāo)準(zhǔn) RAC。在這種情況下，沒有檢測方法。Microsoft Office 2003 是啟用了 RMS 的應(yīng)用程序之一，它允許用戶選擇合適的 RAC。臨時 RAC 和標(biāo)準(zhǔn) RAC 之間的主要區(qū)別在于指定的有效期不同以及是否存在用戶安全標(biāo)識符。臨時 RAC 不包括用戶 SID，其指定的有效期為幾分鐘

32、。臨時 RAC 的默認(rèn)有效期為 15 分鐘。但是，標(biāo)準(zhǔn) RAC 包括用戶 SID，其指定的有效期為幾天。標(biāo)準(zhǔn) RAC 的默認(rèn)有效期為 365 天。5、何時使用臨時 RAC？臨時 RAC 設(shè)計(jì)為允許用戶在滿足下列任何條件的計(jì)算機(jī)上使用受 RMS 保護(hù)的內(nèi)容：計(jì)算機(jī)不是從中獲取 RAC 的 RMS 安裝所在林的成員。計(jì)算機(jī)不是用戶帳戶所在林的成員。不能保證用戶以后使用同一臺計(jì)算機(jī)。滿足這些條件的計(jì)算機(jī)的示例可在機(jī)場候機(jī)樓、公共圖書館和網(wǎng)吧中找到。6、RMS 是否頒發(fā) X.509v3 證書？否。RMS 頒發(fā)旨在代表用戶和超出 X.509v3 證書范圍的策略表達(dá)式的 XrML 證書。7、XrML 證書

33、存儲在何處？RMS 系統(tǒng)使用存儲在客戶端計(jì)算機(jī)上的 XrML 中的下列證書和許可證。計(jì)算機(jī)證書文件名：CERT-Machine.drm 文件位置：%USERPROFILE%Local SettingsApplication DataMicrosoftDRM權(quán)限帳戶證書文件名前綴：GIC位置：%USERPROFILE%Local SettingsApplication DataMicrosoftDRM客戶端許可方證書文件名前綴：CLC位置：%USERPROFILE%Local SettingsApplication DataMicrosoftDRM用戶許可證文件名前綴：EUL位置：%USERPR

34、OFILE%Local SettingsApplication DataMicrosoftDRM注意對于訪問的每部分內(nèi)容，用戶帳戶都有一個計(jì)算機(jī)證書、GIC 文件和 CLC 文件，但有多個 EUL 文件。注意對于與 Windows Vista? 集成的 RMS 客戶端，該位置為 %USERPROFILE%AppDataLocalMicrosoftDRM。8、計(jì)算機(jī)私鑰/公鑰對存儲在何處？計(jì)算機(jī)私鑰被安全存儲，由與用戶的登錄憑據(jù)和計(jì)算機(jī)配置相關(guān)的加密密鑰保護(hù)。9、客戶端私鑰/公鑰對存儲在何處？用戶帳戶的密鑰對存儲在權(quán)限帳戶證書中。10、AES 是對稱算法。如何在服務(wù)器和用戶之間安全傳遞密鑰？系統(tǒng)中同時使用對稱密鑰和公鑰/私鑰。內(nèi)容使用對稱密鑰進(jìn)行加密，但系統(tǒng)中的其他密鑰（用戶、計(jì)算機(jī)和服務(wù)器）是 RSA 公鑰/私鑰。對稱內(nèi)容密鑰總是在各種許可證中加密的，要么在發(fā)布許可證中加