【IT168 专稿】Microsoft Windows Rights Management Services（权限管理服务，简称 RMS）是一种信息保护技术，它与启用 RMS 的应用程序配合以帮助保护数字信息避免未经授权的使用--不管是联机还是脱机、在防火墙内还是在防火墙外。结合 Windows Server 2003 功能、开发工具和久经考验的安全技术（包括加密、证书和身份验证），RMS 可帮助组织创建可靠的信息保护解决方案。通过持久的使用策略提供始终与信息相随（无论信息到达何处）的信息保护，RMS 扩充了组织的安全战略。

　　设置好结构之后，即可在每台服务器上安装和设置 RMS。

　　RMS 的安装完成后，管理网站的"全局管理"页将打开。其中列出了服务器上的所有网站，您可使用其中任何一个网站来设置 RMS。

　　（一）RMS 的 FIPS 符合性问题

　　Rights Management Services (RMS) 版本 1.0 Service Pack 1 (SP1) 的设计适合在需要使用 FIPS 评估加密功能的组织中有效运行。

　　联邦信息处理标准 140-1 (FIPS 140-1) 及其后续标准 FIPS 140-2 是美国政府标准，它们为实现加密软件提供了一个基准。这些标准指定实现加密算法、处理密钥材料和数据缓冲器以及使用操作系统的非常好的方法。

　　RMS 可以作为符合 FIPS 的系统的一部分来实现，提供一种保护机密数据的方法。

　　FIPS 评估加密服务提供程序将该功能限于：TLS_RSA_WITH_3DES_EDE_CBC_SHA。此限制强制安全通道提供程序仅协商更强的传输层安全性 (TLS) 1.0 协议。可能需要配置 Internet Explorer 才能支持 TLS，但是许多第三方 Web 服务器不支持 TLS。有关此问题的详细信息，请参阅 Microsoft 网站上的知识库文章 811834。

　　如果您要使用基于软件的私钥保护，请使用 Microsoft 两个默认的加密服务提供程序 (CSP) 之一来保护 RMS 私钥。这些 CSP 已完成美国政府 FIPS 140-1 或 FIPS 140-2（视情形而定）评估过程。虽然没有要求，但是建议安全性至关重要的客户使用硬件安全模块（如 nCipher 或 IBM 的硬件安全模块）来保护高级 RMS 服务器私钥。如果使用 HSM，必须选择适当的 CSP 才能使用 HSM。这可能需要重新启动系统。有关此问题的详细信息，请参阅 Microsoft 网站上的知识库文章 830690。

　　当您实现 RMS 系统时，应进行以下选择：

　　遵循关于 Windows 中符合 FIPS 的加密的 NSA 准则。

　　对符合 FIPS 的加密启用本地安全策略。

　　在以上环境中部署 RMS SP1 客户端和服务器。

　　在 RMS 服务器上的 Internet 信息服务中启用传输层安全性 (TLS) 协议。

　　在客户端的 Internet Explorer 中启用传输层安全性 (TLS) 协议。

　　启用 SQL 表格格式数据流 (TDS) 协议，该协议与 SQL 客户端和数据库服务器上的 SQL Server 之间的 Windows TLS/SSL 安全提供程序一起使用。

　　配置 SQL 以要求 TSL/SSL