学习部署RMS.ppt

SEC331?-?利用Windows Rights Management Services保护安全 课程目标 $40 在 Afghanistan你可以买什么? $40 在Kabul的五星级酒店一晚的住宿 送一个孩子读五年的书 或者… $40 前往US空军基地附近的一个市场… 花40$买那些被偷来的USB设备: US武装当地代理的身份信息 US士兵的个人信息 敌军目标的列表 美国军事基地的列表 Source: BBC News http://news.bbc.co.uk/2/hi/south_asia/4905052.stm LA times /news/opinion/editorials/la-ed-bagram14apr14,1,4404976.story 信息丢失的代价 无论是有意还是无意的信息丢失,它所带来的损失都是巨大的 信息漏洞的商业风险 保护初始连接的传统解决方案 什么是 Rights Management Services? 会议目标 系统工作流 高级别的查看 证书角色 密钥使用 应用程序 / RMS 客户端交互作用 RMS 客户端 / RMS 服务器交互作用 RMS感知的应用程序和直接使用RMS客户端APIs的应用程序 应用程序可以是桌面端或者是基于服务器的 基于端对端的系统工作流 部署 用户证明 发布信息 用户许可 信息消费量 系统架构 客户架构 安全处理机 机器 用户密钥保护 应用程序授权 强制完整性 本地 RMS 客户端 APIs 安全处理机接口 服务器接口 保护信息访问 策略处理 操作 管理 RMS 客户 APIs 创建,操作 RMS-保护的 XPS 包 (Office 12 formats, etc.) 服务器架构 Web 服务 ASP.Net 应用程序 98% 管理代码 服务器 API 商业逻辑 许可发行 策略授权 XrML 处理 Active Directory 组的扩展 帐户属性 MSMQ 异步日志 SQL 配置 策略 用户密钥 日志数据 管理 Snap-in 界面 Vista Longhorn Server 重写的 MMC snap-in 管理脚本化 APIs 远程管理服务器接口 证书缩写参考 证书缩写 定义我们的证书结构 所有的证书为 XrML 1.2 格式 权限保护文章 RMS Vista/Longhorn ADFS的外部联合 场景: Fabrikam 是 Contoso 的一个供应商 它们使用 ADFS 创建了同盟信任关系 访问 SharePoint 文档库, 内网站点, 等等. 当 Contoso 部署了 RMS 用来保护它的知识产权时, 它们可以对共享给 Fabrikam 员工的信息进行保护 Contoso 的RMS 服务器将为使用Contoso 内容的Fabrikam员工发布 RACs 和 ULs 会议目标 基本RMS 软件准备条件 RMS 服务器… Windows Rights Management Services (RMS) service Windows Server 2003 (Standard, Enterprise, Web 或 Datacenter) Internet Information Services, ASP.NET, Message Queuing installed 环境… Active Directory service (Windows Server 2000 SP3 或更高) AD中要有E-mail属性 Microsoft SQL Server 2000 SP3或更高版本数据库来存储配置数据和审核日志 测试环境可以使用Microsoft SQL Desktop Engine (MSDE) 桌面端 (客户)… Windows Rights Management client software RMS API’s 和 “Lockbox”, 运行在 Windows 2000 和更高版本 RMS可用应用程序 可以使用 RMS SDK的任意应用程序 Microsoft Office Professional Edition 2003 带有权限管理的Internet Explorer RMS 服务器硬件要求 RMS 利用群集模式 RMS 服务器 = 单节点的群集 总结 RMS 提供了 稳固 策略 强制执行 更加容易的部署和管理 资源 最小的和推荐的 RMS 服务硬件规格 40?GB 硬盘空间 20?GB 硬盘空间 1 GB of RAM 256?MB of RAM Two Pentium 4 processors 2.4 GHz 或更高 Pentium III