【IT168 专稿】Microsoft Windows Rights Management Services（权限管理服务，简称 RMS）是一种信息保护技术，它与启用 RMS 的应用程序配合以帮助保护数字信息避免未经授权的使用--不管是联机还是脱机、在防火墙内还是在防火墙外。结合 Windows Server 2003 功能、开发工具和久经考验的安全技术（包括加密、证书和身份验证），RMS 可帮助组织创建可靠的信息保护解决方案。通过持久的使用策略提供始终与信息相随（无论信息到达何处）的信息保护，RMS 扩充了组织的安全战略。

　　保证 RMS 部署安全

　　RMS 部署是组织中的重要资产，要求采取与结构中其他关键服务器相同的物理和网络安全措施。在部署的过程中，您应确定 RMS 服务器面临的威胁和适用的对策。

　　RMS 作为一项 Web 服务来实现，因此您可以像对待其他 Web 服务一样，使用访问控制列表和安全套接字层控制对 RMS 的访问。

　　使用 ACL 限制对 RMS Web 服务的访问

　　可以通过使用访问控制列表限制对 RMS 服务的访问。在网站上设置 RMS 时创建的每个虚拟根具有可保护的相应文件夹结构。该文件夹结构在默认情况下位于 <system drive>:\<web_root_folder>\_wmcs 中，其中 web_root_folder 是对设置了 RMS 的网站指派的文件夹名称。某些 Web 服务，如注册子过程服务、移动设备认证服务和服务器服务认证服务，受默认值限制，必须将要允许使用服务的用户或组显式地添加到访问控制列表。

　　服务器服务认证服务提供权限帐户证书 (RAC)，诸如 Web 协作服务、邮件服务器和文件管理服务器之类的服务可使用它们访问受 RMS 保护的内容，以支持 RMS 系统的扩展，如：

　　文档协作服务器，用户可在其中上载不受保护的文档，但下载的文档将自动具有根据内容类型的权限策略应用的 RMS 保护。Microsoft Office SharePoint Server 2007 就是这样的一个示例。

　　文档管理系统，用作受保护和不受保护文档的一般存储库和存档。该系统可以为受权限保护的文档建立索引以便搜索，同时仍保留内容创建者定义的权限策略。

　　使邮件服务器能够快速打开受权限保护的内容以检查其中是否有病毒和垃圾邮件，或者是为了遵守合法要求或公司邮件策略。

　　因为这些方案代表其用户请求许可证，所以您应该确保只有组织中已获批准执行此类功能且得到适当保护的服务器才能获取服务 RAC。

　　使用 SSL 限制对 RMS Web 服务的访问

　　建议启用安全套接字层 (SSL) 并要求对每个 RMS Web 服务文件进行 128 位加密。这些文件具有 .asmx 文件扩展名，位于 Licensing、Certification 和 Admin 虚拟目录中。SSL 要求您的服务器具有为网站安装的有效 SSL 证书。如果您对 RMS 安装的 _wmcs 文件夹应用 SSL，则子文件夹和文件将继承该设置。有关 Web 服务文件和虚拟目录的详细信息，请参阅本文档集的"RMS：技术参考"部分中的"Internet 信息服务"。

　　注意：如果希望通过远程计算机上的浏览器打开 Windows RMS 管理网页，则必须启用 SSL。但是，即使启用了 SSL，也不能从远程计算机打开"全局管理"页。有关 RMS 的远程管理的详细信息，请参阅本文档集的"RMS：操作"部分中的"使用管理主页"。

　　设置强私钥密码

　　私钥密码用于生成私钥并将其安全存储在 RMS 配置数据库中。建议使用强密码以确保最大的安全性。如果需要记下密码，请确保将此密码存放在物理上安全的区域。

　　注意，如果丢失或忘记了私钥密码，且 RMS 服务器意外脱机，则将必须对所有 RMS 文档进行解密，重建 RMS 环境，然后使用新的私钥再次对所有内容进行加密。