【IT168 专稿】Microsoft Windows Rights Management Services（权限管理服务，简称 RMS）是一种信息保护技术，它与启用 RMS 的应用程序配合以帮助保护数字信息避免未经授权的使用--不管是联机还是脱机、在防火墙内还是在防火墙外。结合 Windows Server 2003 功能、开发工具和久经考验的安全技术（包括加密、证书和身份验证），RMS 可帮助组织创建可靠的信息保护解决方案。通过持久的使用策略提供始终与信息相随（无论信息到达何处）的信息保护，RMS 扩充了组织的安全战略。

　　本文介绍RMS的有关安全问题部分常见问题解答。

　　1、什么是超级用户帐户？

　　RMS 支持一个特殊的超级用户组，该组对所有受权限保护的内容拥有完全控制权。在由配置了超级用户组的 RMS 群集颁发给超级用户组成员的所有用户许可证中，超级用户组的成员被授予全部所有者权限。这意味着，该组的成员可以对任何受保护的文件进行解密，并可解除对它们的保护。例如，该组的成员可以解除对已离职员工发布的文件的保护，以便新的所有者可以发布和管理这些文件。

　　2、RMS 是安全解决方案吗？

　　不，RMS 不是安全解决方案。与启用了 RMS 的应用程序（如 Office 2007）一起使用时，可以将 RMS 视为"策略强制实施解决方案"。如果用户未被授予查看数据的权限，则该用户可以使用蛮力攻击尝试破解加密。尽管加密非常可靠，但像所有软件加密方案一样，它是可以破解的。但是，如果用户有权查看数据，则该用户可以手动复制它或对其拍摄数字图片，并向未经授权的用户提供信息。

　　3、在收件人的用户许可证过期后，可以使用什么机制防止收件人向后拨动其客户端计算机上的时钟，延长对受权限保护的文档的访问？

　　RMS 将检测是否向后或向前拨动了客户端系统上的时钟，并阻止用户使用内容。此外，RMS 还将检测 RMS 服务器与客户端之间是否存在可测量的时差。

　　4、Domain Admins 组成员是否能够读取用于该域中其他人的文档？

　　如果 Domain Admins 的组成员是 RMS 超级用户组的成员，或者 Domain Admins 组的成员模拟某个用户帐户，则他们可以读取对该用户帐户保护的内容。因为 Domain Admins 组的成员可以对域中的用户帐户进行控制，所以无法缓解 Domain Admins 组中有不可信成员这一情形。

　　非常好的方案是，当 Domain Admins 组的成员需要访问受权限保护的内容，仅将他们添加到超级用户组中。如果向超级用户组的成员授予许可证，则 RMS 服务器的应用程序事件日志中将记录事件 ID 49。事件 ID 49 描述"已为超级用户组中的一个用户授予了许可证。该用户有以下电子邮件地址：<用户别名>"，其中用户别名将替换为该用户的电子邮件帐户。

　　对于用于限制对资源的访问的其他组，您应该定义警报并执行安全检查，以帮助防止某人未经授权加入超级用户组。

　　5、我知道每个密码箱都可以验证系统中生成的每个证书或许可证，就像这些证书或许可证来自向 Microsoft 注册的服务一样。这种保护面临什么威胁？

　　如果不能验证证书的完整性，则用户可能骗取颁发给其他用户的权限帐户证书 (RAC)，并获取内容的用户许可证，或者创建一个可解除文档保护的应用程序。