服务器 频道

微软RMS服务器部署之设置篇

  【IT168 专稿】Microsoft Windows Rights Management Services(权限管理服务,简称 RMS)是一种信息保护技术,它与启用 RMS 的应用程序配合以帮助保护数字信息避免未经授权的使用--不管是联机还是脱机、在防火墙内还是在防火墙外。结合 Windows Server 2003 功能、开发工具和久经考验的安全技术(包括加密、证书和身份验证),RMS 可帮助组织创建可靠的信息保护解决方案。通过持久的使用策略提供始终与信息相随(无论信息到达何处)的信息保护,RMS 扩充了组织的安全战略。

  设置好结构之后,即可在每台服务器上安装和设置 RMS。

  RMS 的安装完成后,管理网站的"全局管理"页将打开。其中列出了服务器上的所有网站,您可使用其中任何一个网站来设置 RMS。

  (一)RMS 的 FIPS 符合性问题

  Rights Management Services (RMS) 版本 1.0 Service Pack 1 (SP1) 的设计适合在需要使用 FIPS 评估加密功能的组织中有效运行。

  联邦信息处理标准 140-1 (FIPS 140-1) 及其后续标准 FIPS 140-2 是美国政府标准,它们为实现加密软件提供了一个基准。这些标准指定实现加密算法、处理密钥材料和数据缓冲器以及使用操作系统的非常好的方法。

  RMS 可以作为符合 FIPS 的系统的一部分来实现,提供一种保护机密数据的方法。

  FIPS 评估加密服务提供程序将该功能限于:TLS_RSA_WITH_3DES_EDE_CBC_SHA。此限制强制安全通道提供程序仅协商更强的传输层安全性 (TLS) 1.0 协议。可能需要配置 Internet Explorer 才能支持 TLS,但是许多第三方 Web 服务器不支持 TLS。有关此问题的详细信息,请参阅 Microsoft 网站上的知识库文章 811834。

  如果您要使用基于软件的私钥保护,请使用 Microsoft 两个默认的加密服务提供程序 (CSP) 之一来保护 RMS 私钥。这些 CSP 已完成美国政府 FIPS 140-1 或 FIPS 140-2(视情形而定)评估过程。虽然没有要求,但是建议安全性至关重要的客户使用硬件安全模块(如 nCipher 或 IBM 的硬件安全模块)来保护高级 RMS 服务器私钥。如果使用 HSM,必须选择适当的 CSP 才能使用 HSM。这可能需要重新启动系统。有关此问题的详细信息,请参阅 Microsoft 网站上的知识库文章 830690。

  当您实现 RMS 系统时,应进行以下选择:

  遵循关于 Windows 中符合 FIPS 的加密的 NSA 准则。

  对符合 FIPS 的加密启用本地安全策略。

  在以上环境中部署 RMS SP1 客户端和服务器。

  在 RMS 服务器上的 Internet 信息服务中启用传输层安全性 (TLS) 协议。

  在客户端的 Internet Explorer 中启用传输层安全性 (TLS) 协议。

  启用 SQL 表格格式数据流 (TDS) 协议,该协议与 SQL 客户端和数据库服务器上的 SQL Server 之间的 Windows TLS/SSL 安全提供程序一起使用。

  配置 SQL 以要求 TSL/SSL

0
相关文章