基于微软ADRMS管理企业文件服务器文件安全

基于微软ADRMS管理企业文件服务器文件安全FileserversecuritymanagementonenterprisebasedonMicrosoftADRMS学部：信息专业：计算机科学与技术工作单位：OPENLAB国际教育集团毕业设计（论文）完成时间：自2012年12月至2013年5月摘要正所谓"日防夜防，家贼难防"。最致命的攻击往往来自于企业内部，微软公司的RMS（RightsManagementServices，权限管理服务）正是为这种情况而生，通过安装微软ADRMS服务,管理企业文件服务器，利用发布许可证、数字证书、身份验证、权限策略和各种密钥对加密的方法,对支持ADRMS的应用程序进行管理，限制域数据库内用户的访问权限，从而保护那些敏感文档、电子邮件和WEB内容，可以严格地对用户打开、读取、修改和重新分发等权限进行管理。保证了企业信息不外露。关键词：活动目录，域，安全，访问权限AbstractIstheso-called"onthenight,thegrotesque".Thedeadliestattackoftencomesfrominnerenterprise,theMicrosoftCorp'sRMS(RightsManagementServices,rightsmanagementservices)isbornforthissituation,wecanmanageenterprisefileserverbyinstallingMicrosoftADRMSservice,uselicensepublishing,digitalcertificate,authentication,authorizationstrategyandkeyencryptionmethodtocarryonthemanagementtotheapplicationswhichcansupportMicrosoftADRMS,restricttheuserdomaindatabaseaccess,therebyprotectingthesensitivedocuments,e-mailandWEBcontent,canstrictlymanageuserrightstoopen,read,modifyandredistribute.Toensuretheinformationisnotexposed.Keywords：ActiveDirectory,Domainservice,Security,Accessright.目录TOC\h\z\t"毕设正文一级标题,1,毕设正文二级标题,2"引言 11.需求分析 11.1功能需求 11.2ADRMS的新特性 12.相关技术介绍 12.1运行环境 12.2实验环境 12.3ADRMS的相关组件 22.4ADRMS服务器的软件需求 23.实现原理 23.1ADRMS的实现原理 23.2ADRMS文档发布过程 34.详细设计 44.1ADRMS的创建过程 44.2ADRMS的工作过程 64.3ADRMS证书和许可证 64.4ADRMS数据库 75.系统功能实现（功能截图） 86.ADRMS管理 86.1更改ADRMS服务账户 86.2ADRMS服务器属性 96.3信任策略 96.4权限策略模板 106.5排除策略 106.6安全策略 106.7备份RMS服务器 116.8恢复RMS服务器 116.9解除授权 11总结 11参考文献 12致谢 13引言在网络领域中，文件安全是最重要的课题之一，通常由Internet和局域网内部两个方面对安全有威胁。正所谓"日防夜防，家贼难防"。最致命的攻击往往来自于企业内部，微软公司的RMS（RightsManagementServices，权限管理服务）正是为这种情况而生。它把数字证书和用户身份验证技术相结合，从而限制各种Office文档的访问权限，达到防止内部用户泄露机密文档内容的效果，从而安全保护了数据文件。1.需求分析1.1功能需求相对于（防火墙、ACL、EFS等）传统的信息安全保护方案，ActiveDirectory权限管理服务提供了很可靠的安全技术同时与应用程序协作（如office2007)保护数字内容，它专门保护那些的敏感文档、电子邮件和WEB内容，可以严格地对用户打开、读取、修改和重新分发等权限进行管理。RMS能管理整个数字信息的生命周期，权限伴随文档，这是它的最大优势。1.2ADRMS的新特性ADRMS较RMS而言具有如下新特性。（1）更加有好的管理界面：在RMS1.0中Web是唯一的管理界面，而ADRMS则用嵌入式管理单元MMC，更加便于操作。（2）自动启用服务器授权凭证：在ADRMS中，根群集的服务器授权凭证（ServerLicensorCertificate，SLC）可以自动启用，无须手动操作。（3）配合与ActiveDirectory联合身份验证服务（ADFS）使用：WindowsServer2008推出了一项新功能ADFS，可以使身份验证变得简单且安全。ADRMS配合ADFS使用，可以允许企业之间共同使用一方的ADRMS群集，并且利用ADFS（使用HTTPS协议）对自己域中的用户账户进行识别和验证。2.相关技术介绍2.1运行环境Windowsserver2008R2、Windows7、office2007及以上版本2.2实验环境涉及到两台虚拟机服务器：ADRMSServer,安装了WindowsServer2008R2,DC,域名AD123客户机：RMSClient,安装了Windows7,已加入域，安装Office20072.3ADRMS的相关组件ADRMS是基于服务器/客户端的结构，其主要组件由支持ADRMS的应用程序、ADRMS客户端和ADRMS服务器端组成，三者必备。若想生成被保护的文档只有应用程序支持ADRMS功能；ADRMS客户端是安装在客户端上，负责与支持ADRMS的应用程序进行交互；ADRMS服务器则为信任实体颁发证书、授权服务器，并授权给使用ADRMS保护的文档。若想将用户账户和具体的一台设备关联起来可以使用权限账户证书，即每个账户在同一台计算机上唯一的权限证书，或在不同的计算机上同一账户的权限证书也不相同。尽管用户的权限账户证书不同，但是密钥却是相同的。企业中的第1台ADRMS服务器颁发给该账户权限证书，所以在其他计算机上的密钥对是相同的，当用户向ADRMS许可服务器请求许可时需要使用权限账户证书。ADRMS服务器：WindowsServer2008或R2ADRMS客户端：ADRMS客户端随WindowsVista、Windows7、WindowsServer2008和WindowsServer2008R2操作系统一起提供。如果您使用WindowsXP、Windows2000或WindowsServer2003作为客户端操作系统，则可以从Microsoft下载中心下载ADRMS客户端的兼容版本。ADRMS应用程序：RMS支持的应用程序如Office2003等。2.4ADRMS服务器的软件需求ADRMS服务器的软件需求如下。（1）必须是域控制器、额外的域控制器或域成员服务器。（2）安装IIS服务和ASP.Net组件。（3）安装MSMQ（消息队列）服务。（4）如果要创建ADRMS服务器群集，需要安装SQLServer数据库服务器或MSDE数据库（建议选择SQLServer）；否则可以直接使用ADRMS自带的本地数据库。ADRMS服务器软件需要提前安装的Windows组件，在安装过程中可以自动安装，用户不必一一手动准备。3.实现原理3.1ADRMS的实现原理服务的发现服务的发现实际上是RMS客户端发现ADRMS服务器的一个过程，该过程可以通过两种方法来实现，一是通过注册表；二是通过活动目录中的服务连接点（SCP），找到企业中的证书服务器的位置。通过ADRMS服务使RMS客户端被激活，若使用该RMS客户端，必须在ADRMS服务器第1次使用时激活该RMS客户端，可以从ADRMS服务器上获取权限管理账户证书等信息。3.2ADRMS文档发布过程1．在线发布文档过程RMS客户端在线发送请求给授权服务器，发布过程如下。（1）由密码箱生成对称密钥作为内容密钥。（2）内容密钥会被授权服务器的公钥加密，目的是通过网络将其发送给授权服务器。然后授权服务器能够用自己的私钥将这个内容解出，而在传送的过程中不会被他人截获后获取内容密钥。（3）加密的内容密钥和权限被发送给请求发布许可的授权服务器。（4）授权服务器使用其私钥解开加密的内容密钥。（5）授权服务器使用其公钥加密内容密钥和使用权限。（6）加密后的密钥和使用权限被添加到发布许可中。（7）授权服务器使用私钥签署发布许可。（8）发布许可返回给申请的客户端。（9）支持ADRMS的应用程序将发布许可合并到受保护的文档中。2.离线发布文档过程如果用户使用笔记本电脑等移动办公设备，就不可能在自己的家中连接到公司的ADRMS服务器。必须要一个客户端许可证书（CLC），才能访问由ADRMS创建的文档。保护过程如下：（1）由密码箱生成对称密钥作为内容密钥。（2）客户端从客户端许可证书中取出授权服务器的公钥。（3）客户端使用服务器的公钥加密内容密钥，加密的内容密钥只能由服务器的私钥所解密。（4）客户端使用客户端许可证书的公钥对内容密钥再进行一次加密，从而再次获得一个加密后的对称密钥。需要注意的是，在离线和在线发布不同是离线发布过程中对内容进行了两次加密。（5）两个加密后的对称密钥同时被放到发布许可中。（6）客户端使用权限账户证书中的私钥解密客户端许可证书中的私钥。（7）客户端使用CLC的私钥签署发布许可。（8）支持ADRMS的应用程序将发布许可合到受保护的文档中。3．使用受保护文档的过程受保护文档的具体使用过程如下。（1）客户端将权限账户证书和文档的发布许可发送到颁发发布许可的授权服务器。（2）授权服务器使用其私钥解出发布许可中的内容密钥。（3）授权服务器使用权限账户证书中用户的公钥加密内容密钥。（4）把加密的内容密钥和用户的使用权限添加到使用许可中。（5）授权服务器使用其私钥签署使用许可。（6）作为响应，将该使用许可发送给客户端。（7）密码箱使用计算机的私钥解密保存在权限账户证书中和用户私钥。（8）密码箱使用用户的私钥解密内容密钥。（9）密码箱使用内容密钥解密被加密的受保护内容。使用服务器的公钥所加密的内容只能由服务器的私钥来解开。（10）服务器将用户的密钥对存储到ADRMS的数据库中，该权限账户证书就是以后该用户进行申请各种使用许可的证书。4.详细设计4.1ADRMS的创建过程4.2ADRMS的工作过程ADRMS的工作过程相当复杂。我们可以概括为以下四步。作者：1、创建受保护的文档。2、授权并分发内容（作者会身RMS服务器请求发布许可，RMS服务器返回发布许可，支持RMS的应用程序将发布许可合并到受保护的文档）使用者：当使用或打开受保护的文档时，1、向RMS服务器发送请求。2、服务器向使用者返回使用许可，使用者用该使用许可打开文档内容。4.3ADRMS证书和许可证4.3.1服务器许可方证书（SLC）SLC会在群集中的第一个服务器上安装和配置ADRMS服务器角色时创建。服务器会为自己生成唯一的SLC，该服务器的标识由SLC建立，称为自注册，且有效期为250年。可以长时间保存受权限保护的数据存档。根群集既处理证书（通过发放权限帐户证书(RAC)），又处理授权。添加到根群集的其他服务器同时使用一个SLC。在复杂环境中，若要生成它们自己的SLC，可以部署仅授权群集。SLC包含服务器的公钥。4.3.2客户端许可方证书（CLC）在ADRMS群集响应客户端应用程序的请求时创建CLC。在客户端连接到组织的网络时会发送CLC到客户端，并授予用户在客户端未连接时发布受权限保护的内容的权限。用户的RAC与CLC相关联，所以，如果RAC无效或不存在，用户将访问不了ADRMS群集。CLC包含客户端许可方公钥以及私钥，该私钥被请求证书的用户的公钥加密。它还包含发放证书的群集的公钥，该公钥由发放证书的群集的私钥签名。客户端许可方私钥用于对发布许可证进行签名。4.3.3计算机证书当第一次使用支持ADRMS的应用程序时，会创建计算机证书在客户端计算机上。WindowsVista和Windows7中的ADRMS客户端自动激活并注册根群集，从而在客户端计算机上创建此证书。此证书标识计算机或设备上与登录用户的配置文件相关的密码箱。计算机证书包含已激活计算机的公钥。该计算机的密码箱包含对应的私钥。4.3.4权限账户证书（RAC）RAC在ADRMS系统中建立了用户的标识。它由ADRMS根群集创建，并在首次尝试打开受权限保护的内容时提供给用户。标准RAC在特定计算机或设备环境中使用帐户凭据标识用户，且具有以天数表示的有效时间。标准RAC的默认有效时间是365天。临时RAC仅基于帐户凭据标识用户，且具有以分钟数表示的有效时间。临时RAC的默认有效时间是15分钟。RAC包含用户的公钥，以及用户的使用已激活计算机的公钥加密的私钥。RAC和特定的计算机相关联，每个用户对每个设备都有唯一的RAC。在任何计算机上，RAC的密钥对是相同的。RAC的产生过程：1、使用Windows集成身份验证向RMS服务器发送请求2、RMS服务器查询数据库，可能会使用已有的密钥对或生成密钥对3、RMS服务器将用户的私钥用计算机的公钥进行加密4、RMS服务器将用户的公钥和加密后的私钥放在RAC中5、RAC被RMS服务器用私钥进行数字签署6、RMS服务器将RAC发送给用户7、RMS服务器将用户的密钥对存放在RMS数据库中4.3.5发布许可证（PublishingLicense）使用权限保护保存内容时，客户端会创建发布许可证。它指定可以打开受权限保护的内容的用户、用户可以打开内容的条件，以及每个用户对受权限保护的内容所具有的权限。它由RMS授权服务器颁发。发布许可证包含：1、用于解密内容的对称内容密钥，该密钥使用发放许可证的服务器的公钥加密。2、使用都权限。以Email标识用户和相应的权限，被发放许可证的服务器的公钥加密。3、发布服务器的URL：使用者通过这个URL向服务器申请使用许可。4、发布服务器的数字签署：证明发布许可证的有效性，防止篡改。4.3.6使用许可证（UsageLicense）使用许可证在特定的已验证用户的环境中指定应用于受权限保护的内容的权限。此许可证与RAC相关联。如果RAC无效或不存在，则无法通过使用许可证打开内容。使用许可证包含用于解密内容的对称内容密钥，该密钥使用用户的公钥加密和用户对文档的权限。使用许可证必由发布许可证的同一台服务器颁发；每个文档对每个用户都对应一个使用许可证；同时，如果用户对文档有写权限时，使用许可证会被缓存到OFFICE文档，对于电子邮件，会被OUTLOOK缓存。4.4ADRMS数据库4.4.1配置数据库ADRMS安装的关键组件是配置数据库，它可以存储、共享和检索您管理群集的帐户证书、授权和发布服务所需的所有配置数据及其他数据。管理配置数据库的方法将会直接影响受权限保护的内容的安全性和可用性。每个ADRMS群集都有一个配置数据库。Windows用户标识及其权限帐户证书(RAC)的列表在根群集的配置数据库内。若群集密钥由ADRMS集中管理，则证书密钥对在存储到该数据库之前加密为ADRMS群集密钥。仅授权群集的配置数据库不包含此信息。4.4.2日志记录数据库对于每个根群集或仅授权群集，默认情况下，ADRMS在承载配置数据库的同一个数据库服务器实例中安装日志记录数据库。ADRMS还在ADRMS群集中的每个服务器上创建专用消息队列，以用于消息队列中的日志记录。ADRMS日志记录服务将数据从此消息队列传输到日志记录数据库。4.4.3目录服务数据库此数据库包含有关用户、标识符（如电子邮件地址）、安全ID(SID)、组成员身份和备用标识符的信息。通过ADRMS授权服务对ActiveDirectory域服务(ADDS)全局编录进行轻型目录访问协议(LDAP)查询，来获得此信息。5.系统功能实现（功能截图）图2功能实现6.ADRMS管理6.1更改ADRMS服务账户若要运行“更改服务帐户”向导，必须使用对配置数据库具有管理权限的用户帐户以本地方式登录ADRMS服务器。进行此操作时，先前指定的帐户将自动从ADRMSServiceGroup中删除，新帐户将成为该组的成员。如果要在其中更改ADRMS服务帐户的ADRMS群集中有多个服务器，则必须在群集中的所有服务器上更改该服务帐户。6.2ADRMS服务器属性1、服务器证书选项导出服务器许可方证书(SLC)，以便在建立可信发布域和可信用户域时使用2、群集URL选项IntranetURL连接到您组织的专用网络的支持ADRMS的客户端，使用这些URL连接到ADRMS群集中的证书和授权服务。ExtranetURL通过Internet连接到群集的ADRMS客户端使用这些URL。将根据这些URL创建授权和证书URL。3、日志记录选项启用和禁用ADRMS日志记录。验证日志是否正写入数据库：登录ADRMS日志记录数据库的数据库服务器。在SQLServer企业管理器中，展开“数据库”，然后展开ADRMS日志记录数据库。展开“表”，右键单击ServiceRequest，然后单击“打开表-返回所有行”。如果正在创建日志文件，将会在此表中看到一行或多行内容。4、SCP选项ADRMS的服务连接点(SCP)标识服务到组织中支持ADRMS的客户端的连接URL。在ActiveDirectory域服务(ADDS)中注册SCP后，客户端将能够发现ADRMS群集以请求使用许可证、发布许可证或权限帐户证书(RAC)。6.3信任策略1、受信任的用户域。如果用户的权限帐户证书(RAC)是由不同的ADRMS根群集颁发的，则通过添加可信用户域，ADRMS根群集可以处理这些用户的客户端许可方证书或使用许可证请求。通过导入要信任的ADRMS群集的服务器许可方证书，可添加可信用户域。2、受信任的发布域。通过添加受信任的发布域，一个ADRMS群集可以根据由不同的ADRMS群集颁发的发布许可证来颁发使用许可证。通过导入要信任的服务器的服务器许可方证书和私钥，可添加受信任的发布域。3、WindowsLiveID。通过设置与Microsoft的联机RMS服务的信任关系，ADRMS用户可以将受权限保护的内容发送到具有WindowsLiveID的用户。WindowsLiveID用户将能够使用来自已信任Microsoft的联机RMS服务的ADRMS群集的受权限保护内容，但是WindowsLiveID用户不能创建由ADRMS群集进行权限保护的内容。4、联合信任。使用ActiveDirectory联合身份验证服务，可以在两个林之间建立联合信任。当一个林没有安装ADRMS，但它的用户需要使用另一个林的受权限保护的内容时，这将非常有用。6.4权限策略模板权限策略模板是在RMS服务器上创建的。它在服务器数据库和指定文件夹以XML件分别存放。在客户端机以XML文件形式存在本地或网络共享文件夹中。它支持动态更新，即新的模板不用重新应用以前用保护的内容上，当用户获取UL时，获取更新后的模板；它由受权服务器负责管理。存档的模板不会导出到模板导出位置，也不会通过模板分发管道进行分发。在客户端计算机刷新其权限策略模板后，用户不能再使用存档的模板发布新内容。但是，存档的模板允许服务器继续为已经按照其发布的内容发放使用许可证。

存档的权限策略模板不会导出到共享模板文件夹。如果希望导出此模板，必须将其更改回分布式权限策略模板。6.5排除策略RMS服务器可以基于某些因素（用户、应用程序、密码箱的版本）拒绝对许可的请求。6.6安全策略1、更改超级用户设置

此选项允许您启用或禁用ADRMS超级用户组。此组可以解密由群集发布的所有内容。2、重置密码

如果群集的私钥由ADRMS集中管理，则群集密钥密码将用于保护ADRMS群集的私钥。3、更改解除授权设置

在从基础结构中删除ADRMS之前会使用解除授权功能，而且需要解密受ADRMS保护的所有内容。6.7备份RMS服务器1、备份RMS服务器：备份RMS根证书服务器的数据库；备份每一台RMS授权服务器的数据库；备份每一台RMS服务器的私钥；2、备份数据库的内容：配置数据库：包含配置信息和用户的密钥，必须备份目录服务数据库：活动目录缓存，可选择备份或不备份日志数据库：根据企业安全策略进行备份6.8恢复RMS服务器如果恢复的是一台根证书服务器，首先必须删除AD中的SCP重新安装操作系统和SQLSERVER安装ADRMS恢复数据库6.9解除授权解除授权是指从组织中删除ADRMS群集及其相关数据库的整个过程。通过此过程，可以在从基础结构删除ADRMS之前将受权限保护的文件另存为一般文件，以便不会丢失对这些文件的访问权限。总结ADRMS通过发布许可证、数字证书、身份验证、权限策略和各种密钥对加密的方法对支持ADRMS的应用程序进行管理，对各种Office文档的访问权限加以限制，它专门保护那些