【IT168 专稿】Microsoft Windows Rights Management Services(权限管理服务,简称 RMS)是一种信息保护技术,它与启用 RMS 的应用程序配合以帮助保护数字信息避免未经授权的使用--不管是联机还是脱机、在防火墙内还是在防火墙外。结合 Windows Server 2003 功能、开发工具和久经考验的安全技术(包括加密、证书和身份验证),RMS 可帮助组织创建可靠的信息保护解决方案。通过持久的使用策略提供始终与信息相随(无论信息到达何处)的信息保护,RMS 扩充了组织的安全战略。
设置好结构之后,即可在每台服务器上安装和设置 RMS。
RMS 的安装完成后,管理网站的"全局管理"页将打开。其中列出了服务器上的所有网站,您可使用其中任何一个网站来设置 RMS。
(一)RMS 的 FIPS 符合性问题
Rights Management Services (RMS) 版本 1.0 Service Pack 1 (SP1) 的设计适合在需要使用 FIPS 评估加密功能的组织中有效运行。
联邦信息处理标准 140-1 (FIPS 140-1) 及其后续标准 FIPS 140-2 是美国政府标准,它们为实现加密软件提供了一个基准。这些标准指定实现加密算法、处理密钥材料和数据缓冲器以及使用操作系统的非常好的方法。
RMS 可以作为符合 FIPS 的系统的一部分来实现,提供一种保护机密数据的方法。
FIPS 评估加密服务提供程序将该功能限于:TLS_RSA_WITH_3DES_EDE_CBC_SHA。此限制强制安全通道提供程序仅协商更强的传输层安全性 (TLS) 1.0 协议。可能需要配置 Internet Explorer 才能支持 TLS,但是许多第三方 Web 服务器不支持 TLS。有关此问题的详细信息,请参阅 Microsoft 网站上的知识库文章 811834。
如果您要使用基于软件的私钥保护,请使用 Microsoft 两个默认的加密服务提供程序 (CSP) 之一来保护 RMS 私钥。这些 CSP 已完成美国政府 FIPS 140-1 或 FIPS 140-2(视情形而定)评估过程。虽然没有要求,但是建议安全性至关重要的客户使用硬件安全模块(如 nCipher 或 IBM 的硬件安全模块)来保护高级 RMS 服务器私钥。如果使用 HSM,必须选择适当的 CSP 才能使用 HSM。这可能需要重新启动系统。有关此问题的详细信息,请参阅 Microsoft 网站上的知识库文章 830690。
当您实现 RMS 系统时,应进行以下选择:
遵循关于 Windows 中符合 FIPS 的加密的 NSA 准则。
对符合 FIPS 的加密启用本地安全策略。
在以上环境中部署 RMS SP1 客户端和服务器。
在 RMS 服务器上的 Internet 信息服务中启用传输层安全性 (TLS) 协议。
在客户端的 Internet Explorer 中启用传输层安全性 (TLS) 协议。
启用 SQL 表格格式数据流 (TDS) 协议,该协议与 SQL 客户端和数据库服务器上的 SQL Server 之间的 Windows TLS/SSL 安全提供程序一起使用。
配置 SQL 以要求 TSL/SSL
(二)在第一台服务器上设置认证和授权服务
要在林中设置 RMS,请首先安装并设置一台服务器。部署的第一台服务器称为根认证服务器。此服务器提供认证支持和授权支持,而且可用作单服务器配置中的唯一服务器或者根认证群集中的第一台服务器。
安装和设置其他 RMS 服务器时所需的角色、权限和权利
要安装 RMS,必须使用具有本地管理员权限的帐户登录计算机。另外,还必须使用有效的域帐户登录到域,以允许 Active Directory 对 RMS 进行身份验证。如果是在 Active Directory 结构使用 Windows 2000 本地模式的环境中部署 RMS,则当 Active Directory 尝试扩展组成员身份时,RMS 可能无法读取 Active Directory 对象上的 memberOf 属性。要使 RMS 能够读取 memberOf 属性,RMS 服务帐户必须是域帐户,且该域帐户是林中与 Windows 2000 以前版本兼容的访问组的成员。如果部署了具有隐藏成员身份的组,则还需要配置 RMS 服务帐户具有能够读取隐藏成员身份的权限。
注意:RMS 服务帐户不能与安装 RMS 时所用的域帐户相同。
第一台服务器的安装和设置过程
部署 RMS 服务器包括两个步骤。首先,安装 RMS 服务器软件时必须同时安装所有支持软件,如 IIS、Message Queuing 和 ASP.NET。有关安装的详细信息,请参阅本文档集中的"运行 RMS 服务器"中的"安装带 Service Pack 1 的 RMS"。
注意:也可以在命令提示符下安装 RMS。有关详细信息,请参阅本文档集中的"运行 RMS 服务器"中的"从命令提示符窗口安装 RMS"。
在服务器上安装 RMS 后,必须对其进行设置,使其能够在服务器上的某个网站上使用。在设置此网站时,将修改多项网站设置并添加虚拟目录。有关这些更改的详细信息,请参阅本文档集中的"RMS 技术参考"中的"RMS 的 Internet 信息服务支持"。
您既可以使用 IIS 中的默认网站,也可以创建一个新网站。要在默认网站以外的网站上设置 RMS,必须先创建网站,然后才能开始设置过程。如果要将默认网站用于其他用途,就应当为 RMS 创建一个新站点,从而保留默认网站的默认配置。
在"开始"菜单上单击"Windows RMS 管理"时,将显示"全局管理"页。在此页上,可以开始网站上的设置过程。要设置第一个 RMS 服务器,必须提供以下信息:
指定 RMS 配置数据库、日志数据库和目录服务数据库要使用的数据库名称。
如果 SQL Server 实例的名称与本地服务器的名称不同,则必须将其设置为远程 SQL Server 实例,即使所有程序都安装在一台服务器上,也是如此。
在设置过程中,当前登录的用户帐户必须有权在数据库服务器上创建数据库。
指定要用于 RMS 服务帐户的帐户。对于本地配置,可使用本地系统帐户,虽然我们建议不要这样做,因为运行具有本地系统权限的服务时本身就存在安全问题。
对于包括远程 SQL Server 实例或多个 RMS 服务器的安装,必须指定域帐户。您所使用的域帐户必须具有 Active Directory 查找权限,且该帐户将用于创建 IIS 应用程序池(管理控制台在其中运行)。如果不是升级或使用现有数据库,则 RMS 服务帐户需要具有数据库创建权限。如果是使用现有的数据库,则该帐户需要具有每个 RMS 数据库的读写权限。
指定将用于访问此网站的 URL。默认值是您正在设置的网站的名称(例如,如果您正使用默认安装的 IIS 设置服务器,则该 URL 为"默认网站")。您可以指定一个自定义的 URL 来访问另外一个网站,以便执行其他操作,例如,支持负载均衡 URL 或同时支持 Intranet 访问和 Internet 访问。必须验证该自定义 URL 是否可用,而且必须在 DNS 中添加此网站名称,以确保"全局管理"页和"设置"页都能找到虚拟根。如果此 URL 是用于可支持 Internet 的部署,请确保该新的 URL 对 Internet 和公司网络都可用。
选择一种保护机制,以用于保护注册时所使用的根配置私钥。默认情况下,将使用基于软件的加密并将经过加密的私钥存储在 RMS 配置数据库中。如果使用默认配置,则必须提供一个难破解的密码,对该数据库中的值进行加密。
不过,如果计算机中安装并配置了硬件安全模块 (HSM),则您还可以选择加密服务提供程序 (CSP) 来用于硬件安全模块,并将私钥存储在硬件(如智能卡)中。RMS 要求完整的 RSA 提供程序,而 CSP 列表中只包括这类提供程序。强烈建议使用 HSM 保护 RMS 私钥。
如果使用基于软件的 CSP 选项并通过密码来保护 RMS 私钥,应当将该密码存放在安全位置,以备后用。还应当连同密码一起存储配置数据库的一个备份副本。这样,就可以在 SQL 数据库遭到破坏时恢复 RMS。不论出于何种原因更改了该密码,请务必重新备份其中存储了用该密码加密的私钥的那个配置数据库,然后将数据库副本和密码一起存放在安全位置。有关如何备份和恢复配置数据库的详细信息,请参阅本文档集中的"规划 RMS 部署"中的"备份和恢复 RMS 的系统"。
指定将在服务器许可方证书内使用的名称。默认情况下,该名称为服务器名。
如果适用,指定用于连接到 Internet 的代理服务器(包括地址和端口)。
指定一个电子邮件地址,如果其他 RMS 管理员试图通过注册子过程注册授权服务器时遇到问题,则可以利用此电子邮件地址来与管理员联系。设置根配置后,可以更改该地址。
选择服务器许可方证书的吊销方法,以控制除 Microsoft 注册服务外,谁还能够吊销根配置的服务器许可方证书。要使用第三方吊销,必须指定包含该第三方实体公钥的那个文件的路径和名称。
如果选择了联机注册选项,则当(配置所有适当选项之后)在"设置"页上单击"提交"时,RMS 将生成一个密钥对,并将公钥发送到 Microsoft 注册服务。(如果收到错误消息,请不要关闭错误显示页。纠正错误后,打开命令提示符窗口并键入 IISReset 以停止并重新启动 IIS,返回到上一屏幕,在设置屏幕上重新键入信息,然后再次单击"提交"。Microsoft 注册服务创建一个服务器许可方证书,并在数分钟之内将该证书返回给配置数据库。因为这是域中第一台安装 RMS 的服务器,所以此步骤是组成注册根认证服务器过程的一部分。
如果选择了脱机注册选项,则将在设置过程完成之后手动向 Microsoft 注册服务注册服务器。必须完成注册过程,才能使用该服务器。
完成设置和注册服务器之后,"全局管理"页上的链接将改变。该页中的"在此网站上设置 RMS"链接变为"在此网站上管理 RMS"链接,而"将此服务器添加到群集"链接被"更改 RMS 服务帐户"链接取代,并增加了"从此网站中删除 RMS"链接。
第一台服务器将建立 RMS 的根配置。根配置可以包含一台服务器或一个群集。安装并设置好第一台服务器之后,可以设置其他服务器,以便为认证服务和授权服务提供冗余支持和负载均衡支持。
完成配置后,必须在 Active Directory 中注册根认证群集的服务连接点以允许支持 RMS 的客户端发现服务。如果未注册服务连接点,将不能与 RMS 一起使用您的 RMS 客户端。
要点:必须先在第一台服务器上完成安装和设置 RMS,然后才能开始在其他服务器上安装 RMS。 RMS 对全体成员跨越多个林的 Active Directory 组提供内容保护支持。如果您的组织没有多个林或跨越多个林的组,则可以通过修改 RMS 配置数据库中的 MaxCrossForestCalls 群集策略,来优化 RMS 服务器上的用户许可证颁发过程的性能。 该策略指定了组成员身份可跨越林边界的最大次数。默认值为 10。要将该值更改为 0,请使用以下 SQL 命令:update DRMS_ClusterPolicies set PolicyData=0 where PolicyName='MaxCrossForestCalls'
(三)添加服务器以支持认证和授权
安装并设置第一台服务器以完成 RMS 的根配置之后,可以设置其他服务器以增加对认证服务和授权服务的支持,例如:
可以添加服务器并将其当做根认证群集成员,从而提供附加的认证支持和授权支持。添加到此群集中的服务器所使用的配置和数据库与根认证服务器所使用的配置和数据库完全相同。
可以单独设置一个授权服务器,也可将其设置为授权服务器群集的成员。授权服务器通过注册子过程在根认证群集中注册,并通过根认证服务器的认证服务接收其服务器许可方证书 (SLC)。从客户端向授权服务器发出的所有认证服务请求都转发给该认证服务器。授权服务器不必将请求提交给根认证服务器,即可颁发用户许可证和发布许可证。
您在决定部署选项时,将不仅受到组织的规模的影响,而且还将受到您希望采用什么方式来实现冗余、扩展、负载均衡支持和安全等功能的影响。如果要部署附加的 RMS 服务器以满足不断增长的认证、授权和发布需要,应当将 RMS 服务器部署为根认证群集的一部分,这样就可以在所有服务器上设置冗余功能和负载均衡功能。可以将认证服务器组成一个群集,并通过注册子过程注册授权服务器来处理部分授权和发布服务(授权服务器也可能组成一个群集来实现负载均衡),但是,通过注册子过程注册的授权群集与根认证群集上的负载不可能达到均衡。
下列主题针对此项任务提供了指导:
安装和设置时所需的角色、权限和权利
其他认证服务器和授权服务器的设置过程
设置群集和负载均衡
安装和设置时所需的角色、权限和权利
要安装和设置附加服务器,需要设置第一台服务器时所需的那些角色、权限和权利。另外,还必须具有根认证服务器的权限才能设置单独的授权服务器,这称为注册子过程。通过 SubEnrollService.asmx 文件的 DACL 可控制根认证服务器。RMS 服务组的成员(包括设置根认证服务器时指定的 RMS 服务帐户)都具有执行注册子过程的权限。
其他认证服务器和授权服务器的设置过程
将服务器添加到认证群集和授权群集中时,要求服务器完成设置过程。根据要设置的服务器类型,设置过程各不相同。
如果要设置单独的授权服务器,请指定一个配置数据库、一个 RMS 服务帐户、一个群集 URL 以及私钥保护信息,指定这些信息的方法与此前为根认证服务器指定这些信息的方法相同。但是,您不必指定服务器许可方证书吊销策略,该策略由根认证服务器控制。
如果要将服务器作为群集成员来设置,则在设置过程中只需指定 RMS 服务帐户、配置数据库和用于保护私钥的密码(或使用与现有群集相同的 CSP 和加密私钥)。同一群集中的所有服务器将共享同一个服务器许可方证书和服务器密钥对。
要点:在第一台服务器上完成设置 RMS(包括安装和设置该服务器)之前,切勿在任何其他服务器上开始安装 RMS。
安装并设置好一台附加服务器后,它将自动配置为群集成员。不过,如果您已实现负载均衡,则需要配置负载均衡软件,使其对该新的服务器起作用。
设置群集和负载均衡
RMS 的设计目的是支持服务器群集化。创建 RMS 服务器群集可获得更高的可扩展性、可靠性以及对 RMS 部署进行负载均衡。
创建群集
要设置群集,可从根认证服务器或授权服务器开始。对于每个群集中的第二台服务器以及其他服务器,可在新的服务器上安装 RMS、转到"全局管理"页,然后单击"将此服务器添加到群集",以设置必要的资源并将该服务器添加到根认证群集或授权群集中。
请指定所要加入的群集的数据库名称。
在群集之间均衡负载
RMS 不会自动实现负载均衡功能。可以使用硬件或包括网络负载均衡在内的负载均衡软件来均衡所有 RMS 服务器之间的负载。