域环境下如何保护重要资料文件的安全(二)---IRMRMS(上)
2024-04-15 21:29:50
Hi,大家好.看过了前两篇谈域环境下EFS的使用部署维护心得之后,对于有打算加固公司重要资料文件安全的你,有没有一些启发和帮助呢?正如我在文中最后说到的那样,EFS作为一个历史悠久的系统应用已经慢慢地淡出了大家的视野和考量范围,并且它也不能满足一些IT Pro朋友们的功能需求了.翻出论坛上那位朋友的帖子(http://bbs.51cto.com/thread-604202-1.html),里面他提到要达到的效果:"加密了的文件,只能在本域可以打到,离开本公司就不能打开,除非你有证书之类的东西!"...
想要做到这点,EFS可是办不到了.那么,当下微软又有什么主流的技术方案和手段提供给大家呢?
在介绍本文的主角之前,我想先问一下大家平时工作中处理文档使用最多的办公软件是什么?
毫无疑问,是Microsoft Office System!从Office XP, Office 2003到现在的Office 2007甚至已经推出beta测试版的Office 2010,我们早已经习惯了使用Word来写工作文案,使用Excel来统计数据和做报表,使用Powerpoint来制作幻灯片,使用Outlook来收发邮件...等等等等.
那么平时大家都用的什么手段来保护这些Office文档的安全呢?
有人说,加密啊,可以设置密码的,地球人都知道.
呵呵,没错,那我们就先来一起复习一下如何对Office文档加密吧.
以Microsoft Office Word 2007举例
我们在点击"Office按钮"以后,在弹出的菜单中选择"准备",然后选择"加密文档".
接着会弹出一个对话框,叫你输入密码
这里可以输入最多255个字符的密码
在后台,你看不到的是它其实是使用了AES 128位的高级加密标准.
这里请使用大小写字母,数字和符号,长度大于等于8的复杂密码组合.
输入一次后它会要求再输入一遍确认
加密完成后,当任何用户需要查看此文件时都需要输入密码了.
OK,很简单很实用,但此种措施仍有以下的问题:
1.跟域环境没什么关系,而且每要保护一个文档都要单独设置一个密码,万一用户忘记了那麻烦可大了,上面截图里微软也有郑重提示.
2.因为Office产品的树大招风,网上传有不少破解加密的工具,我曾测试过其中一些,部分确实有效.
3.仍然没有达到前面网友想要的预期效果."有心人"还是可以把这个文件转移(copy,mail等方式)到其他机器上甚至自己家里慢慢尝试各种破解工具.
好吧,
Information Rights Management (简称IRM),闪亮登场!
我们来看看IRM都能做些什么?
IRM能够让你对每个文档、每个用户或每个群组设置许可(结合活动目录环境).它与EFS加密,Office文档加密相比,其真正的价值则是,你可以通过设置允许他人查看,却不让他们做出以下操作:
◆拷贝文件或文件中的任意部分
◆将文件另存到他们的硬盘或其它介质中
◆编辑文件
◆打印文件
◆转发邮件
◆将内容进行传真
◆在文件中进行剪切或粘贴操作
◆使用Print Screen键对内容进行抓图式的拷贝
◆将文件另存到他们的硬盘或其它介质中
◆编辑文件
◆打印文件
◆转发邮件
◆将内容进行传真
◆在文件中进行剪切或粘贴操作
◆使用Print Screen键对内容进行抓图式的拷贝
此外,IRM还支持文件过期,就是在使用户在指定的一段时间后不能再查看文件内容.
借用3G的广告语,WO...
很好很强大,快一起来体验一下吧.
想要在Office 2007中使用IRM,我们需要先在计算机上安装Windows Rights Management Services (RMS) Service Pack 1 (SP1)客户端.
在vista操作系统中此客户端软件是默认已经安装好的,在XP上我们就需要动一下手了.这里下载此客户端的地址我就不要贴出来了. (为什么呢?... LR你就不能把链接发出来我们就不用搜了啊...众网友喊道)
呵呵,不是我懒,咱们点开一个Word 2007(XP操作系统上)看一下吧
要使用IRM,位置就是在"加密文档"的下方,点击"管理凭据"
呵呵,看到了吧,你点一下"是"就会自动开始下载啦 .前提当然是电脑连入Internet了 .
只有2.31M,不是很大...
注意如果使用的是普通域用户账号要确定其是否有软件安装的权限
安装过程略了,就点几次Next而已,安装完成.
我们再回来,选择"限制访问"
出现了一个短暂的连接授权服务器的画面,一闪而过,我没来及截上图...
然后...
可以看到详细的文字说明
额,原来是微软的免费试用服务,而且要使用Windows Live ID才能使用此服务
选择"是",下一项
还没有注册Live ID的兄弟去注册个吧...(随着MSN的崛起,没有这个的很少了吧...)
这个,俺真有的,接着下一步
服务是有时间期限的,六个月...
我接受... 继续
连接到帐户证书服务,此过程也是很快的.还好截到图了...
最多可以在25台私人电脑上使用此服务...
可以开始授权了,可以输入想要授权给的用户的电子邮件地址或者从活动目录中选择.
点开"其他选项"看一下
(额,忘记遮盖ID了,呵呵,没事,这个也是我的MSN号码,有Windows server方面问题的朋友可以++,一起交流哈)
回到上上个截图的界面,选择将权要授给谁...
这里我选择从活动目录中查找用户
我选择授权给这个系列频繁出镜的用户cto
点击确定以后会发现原来读取的是用户对应的电子邮件地址
说明一下:我的实验环境还没有搭起exchange,所以这里写外部邮件地址
后面文章里就需要自己搭建exchange了
如果你没有为用户设置邮件地址,会是下面这样
前面提到的IRM功能基本都是在这里设置的.
可以选择对用户的授权的到期时间
只是对他授予的权限到期,不是文档到期不可用或者被删除,大家不要害怕
还可以授权是否允许打印
可以设置是否允许有读取权限的用户在文档里复制内容
......
设置好授权项以后,会看到"限制访问"等字眼
我们在另外一台电脑上(Windows server 2003系统)访问这个已经设置过权限的Word档.
双击打开
直接会提示安装RMS客户端.
安装完成客户端后会要求你取得IRM服务的凭据
使用cto的live ID
提示这个文档做过权限设置,要连接到微软的许可服务器上下载权限
通过了live ID的验证后可以查看文档内容了
无法修改,被限制了.
无法剪切复制内容,也被限制了(灰色按键不可用)
无法打印,还是被限制了(灰色按键不可用)
不过,可以通过电子邮件联系那头的权限设置人请求放宽权限.
或者权限设置者直接在文档上修改用户权限.
一点击"请求附加权限"自动就启用Outlook发邮件了...
总结:
通过本文中的演示,我们可以看到使用IRM实现了令人叹服的对Office文档的权限管理,其综合安全性比较EFS,Office文档加密等方法有了质的提高.但是麻烦的是我们要让客户端使用live ID连入Internet网络去跟微软的Lisences server去联系,并且免费服务还是有时间期限的.
必须要这样我们才能使用上这么好的东西吗?
呵呵,当然不是啦,其实我们可以在内网架设RMS服务器来代替微软放在公网上的认证服务器的.
下篇文章就让我们一起学习如何建置使用RMS实现Office文档的信息权限管理吧,敬请期待~
本文转自 jrfly331 51CTO博客,原文链接:http://blog.51cto.com/mrfly/192629,如需转载请自行联系原作者
域环境下如何保护重要资料文件的安全(二)---IRMRMS(上)相关推荐
- 非域环境下搭建文件服务器,非域环境下SQL Server搭建Mirror(镜像)的详细步骤...
原标题:非域环境下SQL Server搭建Mirror(镜像)的详细步骤 1.测试验证环境 服务器角色 机器名 IP SQL Server Ver 主体服务器 WIN-TestDB4O 172.83. ...
- ACT5.6 动手实验手册 如何在工作组模式下对客户端进行数据收集 如何在AD域环境下对...
ACT5.6 动手实验手册 实验的目标 这个实验的目的是: · 了解如何部署ACT5.6 · 了解如何在工作组模式下对客户端进行数据收集 · 了解如何在AD域环境下对客户端进行数据收集 本次试验大约6 ...
- 域控下发脚本_域环境下做到单用户登陆控制脚本
早两年的时候因目前工作的工厂有要求做域环境下单用户的登陆控制,即只允许一个用户帐号在域环境下一台电脑登陆,以此来做好相关用户资料及权限控制的要求,故通过此脚本来做好相关用户的登陆记录,并配合之后的注销 ...
- 向日葵资深产品总监技术分享:“国民远控”如何在AD域环境下应用
在大型企业进行IT建设时,AD域很早就已经成为了必选项,企业选择引入其他IT服务也往往需要该服务能够对接现有的AD域体系."国民远控"向日葵作为最具代表性的国产远程控制品牌,那么其 ...
- 工作组与域环境下NTLM协议数据包分析
NTLM协议由来 早起SMB协议以明文口令形式在网络上传输,存在安全问题为了解决这个问题出现了LM协议, 因为LM协议过于简单很容易被破解,于是微软又提出了NTLM协议,以及更新的NTLM第2版. 发 ...
- 渗透测试-域环境下的信息收集
域环境下的信息收集 常规信息类收集,应用.服务.权限 用户信息收集 系统信息收集 其他信息收集 自动信息收集 MSF自动收集信息 CS自动信息收集插件 架构信息类收集-网络.用户.域控 网络信息收集 ...
- windows server2019 AD域环境下用gpo统一员工桌面壁纸不久变黑屏
环景: Win10专业版 问题描述: Win10专业版系统win server2019AD域环境下用gpo统一设置壁纸过几天员工Win10系统桌面壁纸变黑色 原因分析: 域内通信问题 解决方案: 1. ...
- 虚拟机为域环境下的所有计算机设置统一壁纸(第二节)
虚拟机为域环境下的所有计算机设置统一壁纸(第二节) 本节内容是在第一节内容中系统环境的基础上实现的,接下来实现本节的任务: 首先在作为域控计算机的C盘下新建一个名为test的文件夹(文件夹名随意取), ...
- ISA2006 之 域环境下部署
域环境下部署ISA2006 一 准备实验环境 简单拓扑图如下: 二 开始部署 1.安装和配置DC和DNS DOMAIN NAME:TESTISA.COM HOSTNAME:2K3DCSERVER IP ...
最新文章
- java cirteria_java – 简单的JPA CriteriaQuery的条件
- win7 win10 win8系统文件夹重命名要刷新下文件名才会改变,桌面也不会自动刷新...
- Silverlight 2.0 RTW 正式版发布(附下载地址)!
- caffe中各层的作用
- 计算机病毒属于什么类工具,什么是计算机病毒?有哪些类型
- Unity3D-协同程序
- python 双层for循环_day05-Python运维开发基础(双层循环、pass/break/continue、for循环)...
- 《球球大作战》源码解析:服务器与客户端架构
- 如何学习SAP系统并从事相关职业
- 如何用photoshop快速换脸
- 计算机视觉实习面试经历
- 更新显卡驱动后,Windows重启卡在Logo页面
- 案例分享 | 蜂窝,是“蜂窝”,虹科HK-DAT数字衰减器助力蜂窝设备测试
- flutter 多版本管理利器fvm的详细使用介绍
- Cesium — orientation计算
- 制药机械设备远程监控及故障预警维护管理系统
- unix/linux 经典书籍推荐
- 空间点到直线距离的一种解法
- python执行CMD指令,并获取返回
- Python对阿里云物联网MQTT设备接入端开发