我白天的任務(wù)是在一家生產(chǎn)白名單應(yīng)用程序的公司上班，這種應(yīng)用程序會(huì)完全顛倒保護(hù)您計(jì)算機(jī)的常規(guī)安全性方法。本月我希望介紹保護(hù)安全的另一種方法（或許也是非常規(guī)的方法）— 企業(yè)權(quán)限管理，以及它為什么會(huì)成為真正保護(hù)機(jī)密信息的唯一途徑。

在本年度的舊金山 RSA 會(huì)議中，我走在展覽會(huì)場(chǎng)四處比較各家供應(yīng)商提供的軟件，我不禁感到相當(dāng)困惑。幾乎所有會(huì)場(chǎng)上的供應(yīng)商都在銷售被動(dòng)型（而非主動(dòng)型）安全性解決方案。讓我來解釋一下，當(dāng)您建造建筑物時(shí)，會(huì)在門窗上加上鎖來保護(hù)它。如果您希望更安全一點(diǎn)，會(huì)安裝報(bào)警系統(tǒng)。如果需要更安全呢？修建圍墻。保障建筑物的安全，不是舍棄鎖、報(bào)警系統(tǒng)和圍墻，而只雇用一兩名警衛(wèi)四處巡察。這本身并不會(huì)提供任何保障。

其他資源

2007 Microsoft Office System 中的信息權(quán)限管理

office.microsoft.com/en-us/help/HA101029181033.aspx

Windows SharePoint Services 中的信息權(quán)限管理

msdn.microsoft.com/library/ms458245

Windows 權(quán)限管理服務(wù)

microsoft.com/windowsserver2003/technologies/rightsmgmt

Windows Server 2003 權(quán)限管理服務(wù)

technet2.microsoft.com/windowsserver/en/technologies/featured/rms/default.mspx

RMS：保護(hù)您的資產(chǎn)

blogs.technet.com/rmssupp/default.aspx

Windows Rights Management Services 合作伙伴

microsoft.com/windowsserver2003/partners/rmspartners.mspx

考慮數(shù)據(jù)丟失防御措施

下面是一個(gè)更真實(shí)的例子。我有很多客戶問到如何封閉 USB 端口來防止信息從公司泄漏（在我們消除了入站威脅的顧慮之后）。但事實(shí)是，嘗試阻止數(shù)據(jù)通過端口本身根本不會(huì)提供任何保護(hù)。事實(shí)上，這就像建筑物不采取任何保護(hù)措施，只雇用警衛(wèi)一樣。當(dāng)然，他很盡職，但他不可能同時(shí)巡視每個(gè)出入口。因此，在這兩種情形中，都選擇錯(cuò)了執(zhí)行任務(wù)的工具。

封閉訪問端口（還有嘗試幫助您掃描或保護(hù) UNC 共享安全、進(jìn)行狀態(tài)數(shù)據(jù)包檢查，或進(jìn)行任何其他類型的檢查的所有其他解決方案）的問題在于它們都是被動(dòng)的做法。它們?nèi)际窃跀?shù)據(jù)從公司泄露時(shí)嘗試攔截?cái)?shù)據(jù)，但那時(shí)，為時(shí)已晚。

這讓我想到以前曾在 Microsoft 發(fā)生的情形（而且我肯定您一定也有所耳聞）。在 Microsoft Office 推出信息權(quán)限管理 (IRM) 以及 Windows 推出權(quán)限管理服務(wù) (RMS) 之前的時(shí)代，任何有趣的電子郵件（即便是清楚地標(biāo)記為機(jī)密）都會(huì)在每天工作結(jié)束時(shí)轉(zhuǎn)發(fā)給媒體。遺憾的是，策略、嚴(yán)厲的命令、數(shù)據(jù)包檢查、共享安全性，甚至是威脅終止，起的作用都很有限。有時(shí)候需要采取更多行動(dòng) — 而這可能正是 Microsoft 所推出的權(quán)限管理技術(shù)派上用場(chǎng)的地方，它可以幫您保護(hù) Office 內(nèi)容。我現(xiàn)在是 IRM 和 RMS 的忠實(shí)用戶，我開始將它們尊為安全性解決方案，而不只是審核、監(jiān)視或符合性技術(shù)。

在保護(hù) Office 內(nèi)容方面，IRM/RMS 與使用常規(guī)密碼保護(hù)相比，有什么優(yōu)點(diǎn)？

有些暴力機(jī)制可入侵 Office 文檔所使用的密碼保護(hù)。

進(jìn)行常規(guī)密碼保護(hù)的內(nèi)容與采用 IRM/RMS 保護(hù)的文檔加密的方式不同。

IRM 和 RMS 會(huì)在 Windows 內(nèi)結(jié)合起來以最低的級(jí)別保護(hù)內(nèi)容。

通過使用 IRM/RMS，您可以通過非常精確的訪問控制來保護(hù)內(nèi)容，這些訪問控制會(huì)分配給 Active Directory 帳戶。

但 IRM 和 RMS 到底是什么？這些技術(shù)最先隨 Microsoft Office 2003 發(fā)布，它們會(huì)加密文檔并控制對(duì)內(nèi)容本身的訪問，從而保護(hù)存儲(chǔ)在 Office 文檔中的知識(shí)資產(chǎn)，包括通過 Microsoft Outlook、Outlook Mobile Access，以及通過 Internet Explorer 的 Outlook Web Access 閱讀的電子郵件。

大多數(shù) Office 文檔類型（包括新的基于 XML 的文檔）以及電子郵件都可以加密，除 .msg 文件（常常附加到其他電子郵件中的電子郵件）之外。（請(qǐng)?jiān)L問 office.microsoft.com/en-us/help/HA101029181033.aspx 以查看可通過 IRM 管理的文件類型的完整列表。）文檔在由該文檔的創(chuàng)建者授權(quán)用戶打開之前不會(huì)解密。

IRM 基本上是權(quán)限管理前端，通過啟用 RMS 的應(yīng)用程序公開，而 RMS 是后端。RMS 服務(wù)器控制用來標(biāo)識(shí)已授予用戶的權(quán)限的信息，并會(huì)驗(yàn)證這些用戶的憑據(jù)。啟用 RMS 應(yīng)用程序中的 IRM 組件可允許您設(shè)置和管理這些權(quán)限。IRM 和 RMS 一起使用，允許授權(quán)用戶閱讀、更改文檔，或執(zhí)行完整的編輯控制權(quán)（具體取決于分配的權(quán)限）。

當(dāng)授權(quán)用戶通過 Office 應(yīng)用程序打開受 IRM 保護(hù)的內(nèi)容時(shí)，該內(nèi)容會(huì)被解密，并且可在該應(yīng)用程序中閱讀或編輯。請(qǐng)記住，雖然 IRM 和 RMS 的目的是保護(hù)信息的安全，但總可能會(huì)有一心想要搞破壞的用戶。如果用戶選擇使用“模擬漏洞”（一種數(shù)碼相機(jī)或其他屏幕捕獲軟件，甚至可以是手動(dòng)重新鍵入重要信息），則 IRM 對(duì)保護(hù)信息的作用不大。不過，對(duì)于大多數(shù)情形，它可以算是相當(dāng)強(qiáng)大的安全性措施。#p#

權(quán)限管理的構(gòu)建塊

Microsoft 權(quán)限管理解決方案包含四個(gè)組件，我會(huì)詳細(xì)介紹全部內(nèi)容。我還會(huì)簡要介紹 RMS SDK 和有用的 RMS Toolkit。第一個(gè)是內(nèi)置組件，而其他組件則可從 microsoft.com/windowsserver2003/technologies/rightsmgmt 下載獲得。

信息權(quán)限管理內(nèi)置到 Microsoft Office 2003 和 2007 Office System（以及通過 Windows Mobile 6x 提供的 Outlook、Excel、Word 和 PowerPoint 的移動(dòng)版本）的組件，允許用戶將權(quán)限分配給 Word 文檔、Excel 工作簿、PowerPoint 演示文稿、InfoPath 表單、Outlook 電子郵件，以及 XML 文件規(guī)范 (.xps) 文件，從而允許或阻止這些文件的收件人轉(zhuǎn)發(fā)、復(fù)制、修改、打印、傳真、剪貼和使用 Print Screen 鍵。您可以按用戶或按文檔來設(shè)置這些權(quán)限。

在 Active Directory 環(huán)境中，您還可以為組設(shè)置權(quán)限，如果您的組織使用 Microsoft Office SharePoint Server 2007，還可以設(shè)置庫上的權(quán)限（請(qǐng)注意，從技術(shù)上講，內(nèi)容存儲(chǔ)到 SharePoint 中時(shí)會(huì)被解密，然后在提供給用戶時(shí)重新加密）。除非設(shè)置為過期，否則無論何時(shí)何地發(fā)送該文檔，它都會(huì)一直保留 IRM 權(quán)限。

Apple Macintosh 的 Office 版本并不提供 IRM，但有幾種方法可使 Mac 用戶利用受 RMS 保護(hù)的內(nèi)容。有關(guān)詳細(xì)信息，請(qǐng)參閱下個(gè)月的專欄。

權(quán)限管理服務(wù)（服務(wù)器）在 Windows Server 2003 中提供，而在 Windows Server 2008 中作為角色提供。RMS 服務(wù)器是 Microsoft 企業(yè)權(quán)限管理的核心。它負(fù)責(zé)對(duì)受信任實(shí)體（用戶、客戶端計(jì)算機(jī)和服務(wù)器）進(jìn)行認(rèn)證、定義和發(fā)布使用權(quán)限和條件，注冊(cè)服務(wù)器和用戶，授權(quán)對(duì)受保護(hù)信息的訪問，以及提供必要的管理功能以允許授權(quán)用戶訪問權(quán)限受保護(hù)的信息。

圖 1 顯示了允許您在 Windows Server 2008 系統(tǒng)上安裝 RMS 角色的服務(wù)器管理器屏幕。雖然 RMS 需要很多依賴項(xiàng)，但向?qū)?huì)指導(dǎo)您逐步完成整個(gè)過程，安裝所有依賴項(xiàng)。

圖 1 選擇權(quán)限管理服務(wù)服務(wù)器角色（單擊可獲得大圖）

RMS 服務(wù)器角色（在 Windows Server 2003 或 Windows Server 2008 上）所需的服務(wù)器系統(tǒng)需要：

Microsoft Message Queue Server (MSMQ)

啟用 ASP.NET 的 IIS

Active Directory

SQL Server Enterprise Edition（適用于生產(chǎn)環(huán)境）、Microsoft SQL 桌面引擎 (MSDE) 或 SQL Server Express（很適用于測(cè)試環(huán)境）

如前所述，即使您沒有安裝這些組件，系統(tǒng)還是會(huì)在 Windows Server 2008 上的安裝過程中為您進(jìn)行配置。對(duì)于生產(chǎn)實(shí)施，您的服務(wù)器需要具有有效的 SSL 數(shù)字證書，以便 RMS 能夠適當(dāng)維護(hù)客戶端與服務(wù)器之間的安全性。然而，若是用于測(cè)試，RMS 可在安裝角色時(shí)提供測(cè)試證書。圖 2 顯示了 RMS 控制臺(tái)在 Windows Server 2008 下運(yùn)行的情形。

圖 2 RMS 控制臺(tái)（單擊可獲得大圖）

權(quán)限管理服務(wù)（客戶端）它允許啟用 RMS 的應(yīng)用程序與 RMS 服務(wù)器一起使用，以便發(fā)布和使用受到權(quán)限保護(hù)的內(nèi)容。此客戶端內(nèi)置到 Windows Vista 和 Windows Server 2008 中，而對(duì)于舊版的 Windows，可下載和安裝此客戶端，進(jìn)而為這些操作系統(tǒng)提供 RMS 的功能。

如果您正在構(gòu)建自己的企業(yè)部署，可能會(huì)想要通過新的系統(tǒng)、組策略或 System Center Configuration Manager (SCCM) 來部署 RMS 客戶端，而不是讓用戶手動(dòng)進(jìn)行部署。

適用于 Internet Explorer 的權(quán)限管理加載項(xiàng)對(duì)于 Internet Explorer 6.0 及之后的版本，它允許您從 Internet Explorer 中查看受權(quán)限保護(hù)的內(nèi)容。

RMS SDK 允許開發(fā)人員使用基于 SOAP 的權(quán)限管理服務(wù) API 構(gòu)建他們自己的應(yīng)用程序，以保護(hù)自定義的內(nèi)容。

RMS Toolkit 您可能會(huì)像我一樣發(fā)現(xiàn)，RMS Toolkit 在部署您自己的 RMS 基礎(chǔ)結(jié)構(gòu)及對(duì)其進(jìn)行故障排除方面極為有用。此工具包中包含許多便捷的程序，可幫助您確保 RMS 系統(tǒng)正常工作。請(qǐng)注意，RMS Toolkit 事實(shí)上并不屬于 RMS 的一部分，也因此 Microsoft 沒有正式支持它。#p#

它如何工作？

當(dāng)您在 Word 2007 中的“審閱”選項(xiàng)卡下單擊“保護(hù)文檔”，或在 Excel 2007 中單擊“保護(hù)工作簿”，使用 RMS 保護(hù)文檔時(shí)，您必須指定要用作為該文檔作者的帳戶 — 具備文檔擁有權(quán)特權(quán)的帳戶。此帳戶理論上應(yīng)該是 Active Directory 帳戶，不過 RMS 允許您使用試用版的 Windows Live 帳戶（您不應(yīng)該將此帳戶用于實(shí)際的生產(chǎn)系統(tǒng)）。

當(dāng)您通過帳戶驗(yàn)證之后（請(qǐng)參見圖 3），便可指定該帳戶或?qū)⒃搸籼砑訛樗姓摺Ｈ缓?，您可以迅速為您希望其擁有?quán)限讀取或更改您保護(hù)的文檔的用戶指定高級(jí)權(quán)限或更具體的權(quán)限（請(qǐng)參見圖 4）。

圖 3 指定要使用的帳戶（單擊可獲得大圖）

圖 4 設(shè)置權(quán)限（單擊可獲得大圖）

您現(xiàn)在已經(jīng)將文檔保護(hù)起來了，因此，任何嘗試打開此文檔的用戶都必須提供憑據(jù)才能打開。此外，也會(huì)強(qiáng)制該用戶享有文檔所有者所定義的權(quán)限。

RMS 使用 IIS 和 ASP.NET 來對(duì)打開文檔的任一用戶進(jìn)行身份驗(yàn)證，以驗(yàn)證他的標(biāo)識(shí)和訪問權(quán)限，并同時(shí)將此信息返回 RMS 客戶端和 Office 中的 IRM 基礎(chǔ)結(jié)構(gòu)。根據(jù) Active Directory 和 RMS 服務(wù)器所定義的權(quán)利，最終用戶會(huì)獲得文檔的完整或有限訪問權(quán)限，或者不會(huì)獲得任何訪問權(quán)限。

RMS 使用一個(gè)依賴 XrML（可擴(kuò)展權(quán)限管理語言）的基礎(chǔ)結(jié)構(gòu)來描述受 IRM 保護(hù)的內(nèi)容的最終用戶所擁有的權(quán)限。事實(shí)上，這些權(quán)限包含在 XrML 許可證中，該許可證可附加到數(shù)字內(nèi)容中，因而可持續(xù)存在。因?yàn)?XrML 是一種標(biāo)準(zhǔn)，所以其他希望以類似方式保護(hù)內(nèi)容的應(yīng)用程序也可以使用這種語言。您可以在 xrml.org 中查看更多詳細(xì)信息。

在哪些地方存在漏洞？

如上所述，RMS 和 IRM 并不是百毒不侵，如果惡意的“授權(quán)”用戶一心想要入侵受 IRM 保護(hù)的內(nèi)容，只要花些功夫就能辦到。

并且，內(nèi)容可能也很容易受到惡意代碼和以非標(biāo)準(zhǔn)方式運(yùn)行的屏幕捕獲軟件中途攔截。雖然 RMS 努力嘗試預(yù)防屏幕捕獲及未授權(quán)的剪貼行為，但它的功能仍很有限。我看過一些嘗試超越 IRM 和 RMS，保護(hù)更多內(nèi)容類型的解決方案。若要了解其他 ISV 構(gòu)建 RMS 的解決方案，請(qǐng)參閱 microsoft.com/windowsserver2003/partners/rmspartners.mspx。

我認(rèn)為企業(yè)權(quán)限管理是真正保護(hù)如今系統(tǒng)上“非靜止”內(nèi)容唯一合理的方法。如果您看一下如今受到入侵的內(nèi)容類型（電子郵件、Office 文檔等），可以看出其中大多數(shù)都可以輕易通過 IRM 和 RMS 加以保護(hù)，但情況并非如此。雖然 Windows Vista 中的完整卷加密技術(shù)（如 BitLocker）使您可以保護(hù)靜止數(shù)據(jù)的安全，并且在系統(tǒng)遭到入侵的情況下一般都能持續(xù)保護(hù)它的安全，但它們并不能保護(hù)共享上、電子郵件服務(wù)器上，或是 SharePoint 服務(wù)器上的內(nèi)容。

由于內(nèi)容一般“在外”不能受到保護(hù)，因此解決方案也演變成嘗試跟蹤內(nèi)容，并將它消除。IRM 與 RMS 是專門為了插入到 Active Directory、Exchange、Office 和 Windows 中而設(shè)計(jì) — 因此，不需要多少培訓(xùn)，特別是對(duì)實(shí)際使用內(nèi)容的最終用戶 — 而它們所能提供的保護(hù)是無限的。有關(guān)詳細(xì)信息，請(qǐng)參閱“其他資源”邊欄。

是否希望保護(hù)您的資產(chǎn)？

您的組織是否已采用 RMS 和 IRM？請(qǐng)您將對(duì) RMS 和 IRM 的想法與我分享 — 我希望了解一些讀者部署（或尚未部署）RMS 和 IRM 的方法和理由，或是您是否確信該組織已通過其他機(jī)制的保護(hù)來防止數(shù)據(jù)丟失。

原文地址 |  查看更多相關(guān)文章