機密資料保險箱,RMS確保重要檔案安全無憂
機密資料保險箱, RMS確保重要檔案安全無憂
我們完成RMS伺服器的部署後,就要來測試一下RMS的表現了。我們先來試試RMS對檔案的保護,看看能否用RMS阻止重要檔案的內容。我們對RMS的預期是,RMS可以阻止檔案在公司之外被開啟,檔案可以被禁止複製,列印及經過電子郵件轉發。實驗拓撲如下圖所示,RMSERVER已經部署了AD RMS角色,DCSERVER將臨時客串一下檔案伺服器,XP是用於測試的客戶機機,XP上已經安裝了Office2007。
從理論上分析,RMS客戶機使用支援RMS的應用程式(例如Office2007)對被保護的檔案進行對稱加密,然後把對稱金鑰傳輸到RMS伺服器上的許可證。其他訪問者想閱讀檔案,一定要連線到RMS伺服器申請許可證,然後從許可證中取出對稱金鑰對被保護的檔案進行解密。因此,一定訪問者離開公司,聯絡不上RMS伺服器,應該是無法訪問被保護的檔案。當然,這只是理論分析,我們還要通過實驗來加以證實。
一 安裝RMS客戶端
XP客戶機上必須安裝RMS客戶端軟體,才可以發揮RMS的作用。RMS客戶端軟體的下載地址我們就不為大家提供了,為什麼,因為Office2007可以自動下載。在XP客戶機上開啟Word2007,如圖1所示,點選Word2007左上角的Office按鈕,依次點選 “準備”-“限制許可權”-“限制訪問”。
圖1
如圖2所示,Office2007提示我們由於沒有安裝RMS客戶端軟體,無法使用限制訪問的功能。如果想自動下載RMS客戶端軟體,點選“是”。
圖2
如圖3所示,我們同意下載RMS客戶端軟體後,Word2007自動連線到微軟網站去下載RMS客戶端了。
圖3
RMS客戶端軟體下載後儲存在XP客戶機的桌面,如圖4所示,我們開始在XP客戶機上安裝RMS客戶端,安裝過程很簡單,就不過多介紹了。
圖4
二 檔案保護測試
XP客戶機上安裝了RMS客戶端後,我們準備了兩個使用者用於測試。一個使用者是administrator,一個使用者是Jack,我們用administrator對一個檔案進行限制,用Jack來訪問被限制的檔案,看看能否達到限制的目的。值得注意的是,administrator和Jack都需要有電子郵件地址,如果域中有Exchange伺服器,這就很簡單了,為兩個使用者各自建立一個郵箱就OK了。
我們用域控制器臨時客串一下檔案伺服器,如圖5所示,我們可以看到域控制器上有一個DOC共享資料夾,共享資料夾中有一個用於測試的Office檔案,我們要利用這個檔案來檢驗一下RMS的表現。
圖5
以administrator的身份在XP客戶機上登入,開啟DOC共享資料夾中的測試檔案,如圖6所示,在Word2007中點選“限制訪問”。
圖6
如圖7所示,XP客戶機開始通過HtTPS協議訪問RMS伺服器,RMS伺服器要求使用者進行身份驗證,我們輸入administrator的賬號進行身份驗證。
圖7
Administrator通過身份驗證後,看到了如圖8所示的RMS許可權設定介面,我們為Jack設定了讀取許可權。注意,描述Jack時需要使用電子郵件地址 Jack@contoso.com。如果我們希望對Jack進行更詳細的許可權設定,我們可以點選左下角的“其他選項”。
圖8
點選了圖8中的“其他選項”後,我們看到如圖9所示的設定介面。除了給Jack分配讀取許可權,還可以限制Jack是否可以對檔案內容進行列印,是否允許對檔案內容進行復制。就連檔案的到期時間也可以設定,時間到期後檔案內容對訪問者就徹底關閉了。這裡還有一個很人性化的設計,那就是訪問者Jack如果發現許可權不夠,還可以通過電子郵件向檔案的所有者administrator申請更多的許可權。在本次實驗中,我們對Jack的限制是,除了讀取檔案內容,其他的操作全都不允許,例如對檔案內容的複製,列印等。
圖9
對檔案的許可權進行設定之後,如圖10所示,我們在XP客戶機上以Jack的身份登入,準備測試一下Jack對被限制檔案的訪問狀況。
圖10
Jack登入後,開啟域控制器上DOC共享資料夾中的測試檔案,如圖11所示,RMS客戶端自動使用HTTPS協議連線到RMS伺服器。RMS伺服器要求訪問者進行身份驗證,我們輸入Jack的身份憑證進行身份驗證,使用者名稱最好輸入Jack@contoso.com。
圖11
Jack完成身份驗證之後,如圖12所示,RMS客戶端提示由於此文件已經被限制訪問,因此訪問者必須連線到RMS伺服器去下載訪問許可證,這樣才可以訪問被限制的文件。從中我們可以推斷,如果檔案被帶出公司,訪問者是無法從RMS伺服器獲得許可證的。即使在公司內部,訪問者從RMS伺服器下載許可證,也要通過RMS伺服器的身份驗證才可以。綜合這些因素,我們看出RMS對檔案的保護還是非常到位的。
圖12
Jack從RMS伺服器下載許可證後,如圖13所示,看到了檔案的內容。這說明我們之前設定的許可權已經生效了,Jack獲得了讀取文件的許可權,但其他的限制能否實現呢?我們繼續觀察。
圖13
我們試試Jack能否對檔案內容進行復制,如圖14所示,我們發現右鍵選單中的複製操作已經變為灰色不可選取,顯然Jack無法對檔案內容進行復制。
圖14
如圖15所示,我們發現Jack對檔案內容也無法進行列印。RMS對檔案的保護確實非常有效,至此,我們可以設想一下,想要竊取被RMS保護的檔案內容,似乎只有通過DV拍攝螢幕內容了…..如果企業內有重要檔案需要保護,大家一定要參考一下RMS伺服器。
圖15
本文轉自yuelei51CTO部落格,原文連結:http://blog.51cto.com/yuelei/315070,如需轉載請自行聯絡原作者
相關文章
- 域環境下如何保護重要資料檔案的安全(三)—BitLocker(上)
- 域環境下如何保護重要資料檔案的安全(一)—EFS加密(下)加密
- 如何確保位於各處的資料資產安全無虞?
- 更安全的rm命令,保護重要資料
- 保護資料和日誌檔案的安全
- 確保帳戶安全 談MySQL資料庫安全解決方案MySql資料庫
- 確保預言機網路安全運轉
- 11月資料安全重要政策法規、檔案彙總
- 進入“資料密態時代”,面對資料安全、網路安全、資料確權
- 安全機密管理:Asp.Net Core中的本地敏感資料保護技巧ASP.NET
- 直指要害用技術確保網站密碼安全網站密碼
- laravel、lumen等.env檔案資料庫密碼配置正確,連不上資料庫Laravel資料庫密碼
- 動態 | 9月資料安全重要政策法規、檔案彙總
- 動態 | 10月資料安全重要政策法規、檔案彙總
- WPS檔案保險箱 張三丰的終極法寶
- Dataguise:確保Hadoop資料安全的十大最佳方法GUIHadoop
- 私密空間保險箱
- 改變出版行業數字化確保資料儲存安全行業
- 如何透過檔案外發管理系統,保護企業機密資料不外洩?
- 順利上雲,安全無憂執行|這才是SQL Server正確點開方式SQLServer
- 萬視無憂:影片裡的大資料大資料
- 確保web安全的HTTPSWebHTTP
- 資料儲存安全加密方案怎麼選?重要電子資料檔案如何藉助加密軟體實現?無錫風奧科技加密
- 前後端資料的互動--如何確保前後端資料的安全性?後端
- 淺談資料庫系統安全保護機制資料庫
- 華為雲資料災備,如何讓企業資料無憂
- 動態 | 4月網路與資料安全重要政策法規、檔案彙總
- 如何解決重要資料檔案各種問題?
- 叢集資料庫重要檔案的檢視管理資料庫
- 報告:確保智慧世界的安全
- 確保應用程式安全性
- 網路資訊保安亮紅燈,確保資料安全是大勢所趨
- 當 Kubernetes 遇到機密計算,阿里巴巴如何保護容器內資料的安全?阿里
- 1.7.8. 刪除資料庫密碼檔案資料庫密碼
- 《資料資產》專題:《資料資產》如何確權、估值? 《資料產權》如何明確、保護?
- Oracle Goldengate是如何保證資料有序和確保資料不丟失的?OracleGo
- 確保nginx安全,請注意這10點Nginx
- 確保Windows XP安全的“七招”(轉)Windows