機密資料保險箱,RMS確保重要檔案安全無憂

技術小甜發表於2017-11-08
機密資料保險箱, RMS確保重要檔案安全無憂
         我們完成RMS伺服器的部署後,就要來測試一下RMS的表現了。我們先來試試RMS對檔案的保護,看看能否用RMS阻止重要檔案的內容。我們對RMS的預期是,RMS可以阻止檔案在公司之外被開啟,檔案可以被禁止複製,列印及經過電子郵件轉發。實驗拓撲如下圖所示,RMSERVER已經部署了AD RMS角色,DCSERVER將臨時客串一下檔案伺服器,XP是用於測試的客戶機機,XP上已經安裝了Office2007
         從理論上分析,RMS客戶機使用支援RMS的應用程式(例如Office2007)對被保護的檔案進行對稱加密,然後把對稱金鑰傳輸到RMS伺服器上的許可證。其他訪問者想閱讀檔案,一定要連線到RMS伺服器申請許可證,然後從許可證中取出對稱金鑰對被保護的檔案進行解密。因此,一定訪問者離開公司,聯絡不上RMS伺服器,應該是無法訪問被保護的檔案。當然,這只是理論分析,我們還要通過實驗來加以證實。
 
  安裝RMS客戶端
         XP客戶機上必須安裝RMS客戶端軟體,才可以發揮RMS的作用。RMS客戶端軟體的下載地址我們就不為大家提供了,為什麼,因為Office2007可以自動下載。在XP客戶機上開啟Word2007,如圖1所示,點選Word2007左上角的Office按鈕,依次點選 “準備”-“限制許可權”-“限制訪問”。
1
 
         如圖2所示,Office2007提示我們由於沒有安裝RMS客戶端軟體,無法使用限制訪問的功能。如果想自動下載RMS客戶端軟體,點選“是”。
2
 
         如圖3所示,我們同意下載RMS客戶端軟體後,Word2007自動連線到微軟網站去下載RMS客戶端了。
3
 
         RMS客戶端軟體下載後儲存在XP客戶機的桌面,如圖4所示,我們開始在XP客戶機上安裝RMS客戶端,安裝過程很簡單,就不過多介紹了。
4
 
  檔案保護測試
         XP客戶機上安裝了RMS客戶端後,我們準備了兩個使用者用於測試。一個使用者是administrator,一個使用者是Jack,我們用administrator對一個檔案進行限制,用Jack來訪問被限制的檔案,看看能否達到限制的目的。值得注意的是,administratorJack都需要有電子郵件地址,如果域中有Exchange伺服器,這就很簡單了,為兩個使用者各自建立一個郵箱就OK了。
         我們用域控制器臨時客串一下檔案伺服器,如圖5所示,我們可以看到域控制器上有一個DOC共享資料夾,共享資料夾中有一個用於測試的Office檔案,我們要利用這個檔案來檢驗一下RMS的表現。
5
 
         administrator的身份在XP客戶機上登入,開啟DOC共享資料夾中的測試檔案,如圖6所示,在Word2007中點選“限制訪問”。
6
 
         如圖7所示,XP客戶機開始通過HtTPS協議訪問RMS伺服器,RMS伺服器要求使用者進行身份驗證,我們輸入administrator的賬號進行身份驗證。
7
 
         Administrator通過身份驗證後,看到了如圖8所示的RMS許可權設定介面,我們為Jack設定了讀取許可權。注意,描述Jack時需要使用電子郵件地址 Jack@contoso.com。如果我們希望對Jack進行更詳細的許可權設定,我們可以點選左下角的“其他選項”。
8
 
         點選了圖8中的“其他選項”後,我們看到如圖9所示的設定介面。除了給Jack分配讀取許可權,還可以限制Jack是否可以對檔案內容進行列印,是否允許對檔案內容進行復制。就連檔案的到期時間也可以設定,時間到期後檔案內容對訪問者就徹底關閉了。這裡還有一個很人性化的設計,那就是訪問者Jack如果發現許可權不夠,還可以通過電子郵件向檔案的所有者administrator申請更多的許可權。在本次實驗中,我們對Jack的限制是,除了讀取檔案內容,其他的操作全都不允許,例如對檔案內容的複製,列印等。
9
 
         對檔案的許可權進行設定之後,如圖10所示,我們在XP客戶機上以Jack的身份登入,準備測試一下Jack對被限制檔案的訪問狀況。
10
 
         Jack登入後,開啟域控制器上DOC共享資料夾中的測試檔案,如圖11所示,RMS客戶端自動使用HTTPS協議連線到RMS伺服器。RMS伺服器要求訪問者進行身份驗證,我們輸入Jack的身份憑證進行身份驗證,使用者名稱最好輸入Jack@contoso.com
11
 
         Jack完成身份驗證之後,如圖12所示,RMS客戶端提示由於此文件已經被限制訪問,因此訪問者必須連線到RMS伺服器去下載訪問許可證,這樣才可以訪問被限制的文件。從中我們可以推斷,如果檔案被帶出公司,訪問者是無法從RMS伺服器獲得許可證的。即使在公司內部,訪問者從RMS伺服器下載許可證,也要通過RMS伺服器的身份驗證才可以。綜合這些因素,我們看出RMS對檔案的保護還是非常到位的。
12
 
         JackRMS伺服器下載許可證後,如圖13所示,看到了檔案的內容。這說明我們之前設定的許可權已經生效了,Jack獲得了讀取文件的許可權,但其他的限制能否實現呢?我們繼續觀察。
13
 
         我們試試Jack能否對檔案內容進行復制,如圖14所示,我們發現右鍵選單中的複製操作已經變為灰色不可選取,顯然Jack無法對檔案內容進行復制。
14
 
         如圖15所示,我們發現Jack對檔案內容也無法進行列印。RMS對檔案的保護確實非常有效,至此,我們可以設想一下,想要竊取被RMS保護的檔案內容,似乎只有通過DV拍攝螢幕內容了…..如果企業內有重要檔案需要保護,大家一定要參考一下RMS伺服器。
15


















本文轉自yuelei51CTO部落格,原文連結:http://blog.51cto.com/yuelei/315070,如需轉載請自行聯絡原作者


相關文章