【IT168 专稿】Microsoft Windows Rights Management Services(权限管理服务,简称 RMS)是一种信息保护技术,它与启用 RMS 的应用程序配合以帮助保护数字信息避免未经授权的使用--不管是联机还是脱机、在防火墙内还是在防火墙外。结合 Windows Server 2003 功能、开发工具和久经考验的安全技术(包括加密、证书和身份验证),RMS 可帮助组织创建可靠的信息保护解决方案。通过持久的使用策略提供始终与信息相随(无论信息到达何处)的信息保护,RMS 扩充了组织的安全战略。
本文介绍RMS 的管理部分常见问题解答。
1、吊销离开组织的用户对文档的权限的非常好的方法是什么?
通常,最好授权 Active Directory 中定义的用户组而不是个人用户帐户使用文档。建议这么做是为了在某用户离开组织后,您可以从 Active Directory 组中删除该用户,该用户不能读取发送到该组的文档。但是,该用户仍然可以读取具有现有用户许可证的文档,除非这些文档的权限设置为每次打开文档时都需要用户获取用户许可证。如果未定义该权限,则唯一可以防止用户打开具有现有用户许可证的文档的方法是清除用户计算机上的用户许可证存储。
2、在两个组织之间建立信任以便交换 RMS 内容时,是否需要对传递到可信公司的任何 XrML 许可证证书进行特殊处理?
建立受信任的用户域或受信任的发布域时,您将选择信任伙伴组织来参与您的权限管理系统。因此,您要冒经过精确计算的风险,相信信任另一组织不会泄露您的信息。非常好的方案是,请求伙伴组织通过使用经过身份验证的通道(如 S/MIME 电子邮件)来发送其 RMS 服务器许可方证书,从而帮助缓解在将服务器许可方证书导入到 RMS 服务器之前该证书被篡改的风险。
3、RMS 如何处理漫游用户配置文件?
用于识别用户的权限帐户证书 (RAC) 是特定于计算机的。使用漫游配置文件时,在给定计算机上第一次使用 RMS 时将为该计算机上的用户创建一个新的 RAC。
4、组织为什么要取消 RMS 配置?
取消 RMS 配置将从基础结构中删除 RMS 服务器,并为用户提供了一种方法来在不采取保护措施的情况下保存受权限保护的内容。组织选择这样做的主要原因有三个:
简化体系结构设计,如将服务器合并到群集中。
将概念证明试验环境迁移到生产环境。
合并 RMS 服务器,如在收购后。
5、取消配置的全过程是什么?
通过启用取消配置服务来从 RMS 根群集中启动取消配置过程。启用取消配置服务时,所有其他服务(例如,授权和认证)都将被禁用。之后,在使用 RMS 功能时,每个用户的启用了 RMS 的应用程序需要被定向以连接到取消配置服务。Microsoft Office 2003 就是启用了 RMS 的应用程序的一个示例。在 Office 2003 中,通过使用注册表项将 RMS 客户端定向到 RMS 服务。一个特定注册表项标识取消配置服务。一旦此注册表项配置为将客户端定向到取消配置服务,RMS 群集就会向用户授予该内容的用户许可证,该许可证提供完整权限,包括读取、写入、复制、打印、编辑等等,而不考虑最初是否向用户授予了这些权限。然后,系统应指示用户从完全取消 RMS 群集的配置之后仍想要保留的任何文档中删除所有权限保护。完成此操作之后,就可以完全停止使用 RMS 群集。
非常好的方案是备份 RMS 群集的配置数据库,以防在停止使用该群集之后,需要恢复受权限保护的文档。如果没有 RMS 根群集的私钥,则仅文档的作者能够在删除服务器之后打开受权限保护的内容。
6、是否可以取消 RMS 服务器的配置,以便只有某些用户能够恢复文档?
您可以对取消配置 Web 服务 (decommission.asmx) 应用访问控制列表 (ACL) ,以控制对取消配置服务的访问,这样仅某些用户可以获取受权限保护的内容的解密密钥。
7、"服务器不能访问应用程序目录"意味着什么?
安装 RMS 之后,第一次尝试打开 RMS 管理网站时有时会出现此错误。收到此错误后,不能配置或管理 RMS。
此错误通常在 Internet Information Services (IIS) 以 IIS 5.0 隔离模式运行时发生。使用下列过程禁用服务器上的此设置,然后重新启动 IIS 来解决此问题。
禁用 IIS 5.0 隔离模式
以本地管理员组成员的身份登录到 RMS 服务器。
单击"开始",指向"管理工具",然后单击"Internet 信息服务 (IIS) 管理器"。
在"IIS 管理器"中,展开本地计算机,右键单击"网站",然后单击"属性"。
单击"服务"选项卡,清除"以 IIS 5.0 隔离模式运行 WWW 服务"复选框,然后单击"确定"。
此更改要求重新启动 IIS 服务。当系统提示您是否重新启动 IIS 服务时,请单击"是"。
8、是否可以对 RMS 服务器使用跟踪功能?
由于 Rights Management Services 是使用 Microsoft? .NET Framework 创建的,因此您可以启用跟踪功能,以帮助跟踪系统事件并解决问题。
如果修改 Web.config 或 Machine.config 文件,则可以实施跟踪。当在 Machine.config 文件中实施跟踪时,将对计算机上的所有软件组件执行跟踪操作;但是,如果在 Web.config 文件中实施跟踪,则只跟踪 Web 服务中出现的事件。
启用跟踪功能
打开 Machine.config 文件或 Web.config 文件,然后将下列各行添加到该文件中的 <system.diagnostics> 部分之下:
<system.diagnostics>
<switches>
<add name="Microsoft Windows Rights Management Services-Global" value="4" />
<add name="Microsoft Windows Rights Management Services-TimeStamps" value="1" />
<add name="Microsoft Windows Rights Management Services-Indents" value="0" />
</switches>
<trace autoflush="false" indentsize="4"/>
</system.diagnostics>从命令提示符运行 IISRESET 以重新启动 IIS。
收集完所需的数据后,请从 .config 文件中删除在第一步中添加的行。
从命令提示符运行 IISRESET 以重新启动 IIS。
要点
当您对 RMS 服务器使用跟踪功能时,可能出现性能问题,如获取用户许可证以及颁发权限帐户证书的延迟时间较长。只在某些特定情况下使用跟踪,以便诊断和解决现有的问题。
9、什么是时钟偏移?应该如何管理时钟偏移?
时钟偏移是指某一计算机上的时钟时间与其他计算机上的时钟时间有差异。这是常见的情况,就像处于同一房间里的两个人的手表所指示的时间略有不同一样。当您在许可证中指定有效期时,时钟偏移可能导致出现问题。
许可证中的有效期是根据发布服务器的时钟设置的。在发布和使用周期中,这些时间的时钟偏移可能导致出现问题,如下面两种情况所述:
应用程序尝试使用发布许可证来获取用户许可证,而根据 RMS 服务器的时钟,该发布许可证的有效期在过去结束或在将来开始。在这种情况下,请求将会失败。对于申请用户许可证的最终用户或者尝试预授权文档(以代表用户获取用户许可证)的应用程序而言,可能会出现这种情况。
如果许可证的有效期已过(或尚未开始),尝试使用许可证将会失败。否则,仅已过期(或尚未有效)的权限不可用。
例如,如果发布计算机的时钟比使用计算机的时钟慢 15 分钟,则发布服务器将创建一个发布许可证,指定内容将在 15 分钟后过期,而用户将从服务器接收到一个无法使用的用户许可证,因为该用户许可证所授予的、查看内容的权限已经过期。
对于时钟偏移问题,尚没有完美的解决方案。较好的解决方案是,按照较迟的时钟来设置有效期的开始时间,尽可能使其早于用户的当前时间,以便延长时间较快的用户的许可证有效期。建议您时刻记住时钟偏移问题带来的影响,尤其是在创建具有较短有效期的许可证时。