Hi,大家好.看过了前两篇谈域环境下EFS的使用部署维护心得之后,对于有打算加固公司重要资料文件安全的你,有没有一些启发和帮助呢?正如我在文中最后说到的那样,EFS作为一个历史悠久的系统应用已经慢慢地淡出了大家的视野和考量范围,并且它也不能满足一些IT Pro朋友们的功能需求了.翻出论坛上那位朋友的帖子( ),里面他提到要达到的效果:"加密了的文件,只能在本域可以打到,离开本公司就不能打开,除非你有证书之类的东西!"...
想要做到这点,EFS可是办不到了.那么,当下微软又有什么主流的技术方案和手段提供给大家呢?
在介绍本文的主角之前,我想先问一下大家平时工作中处理文档使用最多的办公软件是什么?
毫无疑问,是Microsoft Office System!从Office XP, Office 2003到现在的Office 2007甚至已经推出beta测试版的Office 2010,我们早已经习惯了使用Word来写工作文案,使用Excel来统计数据和做报表,使用Powerpoint来制作幻灯片,使用Outlook来收发邮件...等等等等.
那么平时大家都用的什么手段来保护这些Office文档的安全呢?
呵呵,没错,那我们就先来一起复习一下如何对Office文档加密吧.
以Microsoft Office Word 2007举例
我们在点击"Office按钮"以后,在弹出的菜单中选择"准备",然后选择"加密文档".
在后台,你看不到的是它其实是使用了AES 128位的高级加密标准.
这里请使用大小写字母,数字和符号,长度大于等于8的复杂密码组合.
加密完成后,当任何用户需要查看此文件时都需要输入密码了.
1.跟域环境没什么关系,而且每要保护一个文档都要单独设置一个密码,万一用户忘记了那麻烦可大了,上面截图里微软也有郑重提示.
2.因为Office产品的树大招风,网上传有不少破解加密的工具,我曾测试过其中一些,部分确实有效.
3.仍然没有达到前面网友想要的预期效果."有心人"还是可以把这个文件转移(copy,mail等方式)到其他机器上甚至自己家里慢慢尝试各种破解工具.
Information Rights Management (简称IRM),闪亮登场!
IRM能够让你对每个文档、每个用户或每个群组设置许可(结合活动目录环境).它与EFS加密,Office文档加密相比,其真正的价值则是,你可以通过设置允许他人查看,却不让他们做出以下操作:
◆拷贝文件或文件中的任意部分
◆将文件另存到他们的硬盘或其它介质中
◆编辑文件
◆打印文件
◆转发邮件
◆将内容进行传真
◆在文件中进行剪切或粘贴操作
◆使用Print Screen键对内容进行抓图式的拷贝
此外,IRM还支持文件过期,就是在使用户在指定的一段时间后不能再查看文件内容.
想要在Office 2007中使用IRM,我们需要先在计算机上安装Windows Rights Management Services (RMS) Service Pack 1 (SP1)客户端.
在vista操作系统中此客户端软件是默认已经安装好的,在XP上我们就需要动一下手了.这里下载此客户端的地址我就不要贴出来了. (为什么呢?... LR你就不能把链接发出来我们就不用搜了啊...众网友喊道)
呵呵,不是我懒,咱们点开一个Word 2007(XP操作系统上)看一下吧
要使用IRM,位置就是在"加密文档"的下方,点击"管理凭据"
呵呵,看到了吧,你点一下"是"就会自动开始下载啦 .前提当然是电脑连入Internet了 .
注意如果使用的是普通域用户账号要确定其是否有软件安装的权限
出现了一个短暂的连接授权服务器的画面,一闪而过,我没来及截上图...
额,原来是微软的免费试用服务,而且要使用Windows Live ID才能使用此服务
还没有注册Live ID的兄弟去注册个吧...(随着MSN的崛起,没有这个的很少了吧...)
连接到帐户证书服务,此过程也是很快的.还好截到图了...
可以开始授权了,可以输入想要授权给的用户的电子邮件地址或者从活动目录中选择.
(额,忘记遮盖ID了,呵呵,没事,这个也是我的MSN号码,有Windows server方面问题的朋友可以++,一起交流哈)
点击确定以后会发现原来读取的是用户对应的电子邮件地址
说明一下:我的实验环境还没有搭起exchange,所以这里写外部邮件地址
只是对他授予的权限到期,不是文档到期不可用或者被删除,大家不要害怕
我们在另外一台电脑上(Windows server 2003系统)访问这个已经设置过权限的Word档.
提示这个文档做过权限设置,要连接到微软的许可服务器上下载权限
不过,可以通过电子邮件联系那头的权限设置人请求放宽权限.
一点击"请求附加权限"自动就启用Outlook发邮件了...
通过本文中的演示,我们可以看到使用IRM实现了令人叹服的对Office文档的权限管理,其综合安全性比较EFS,Office文档加密等方法有了质的提高.但是麻烦的是我们要让客户端使用live ID连入Internet网络去跟微软的Lisences server去联系,并且免费服务还是有时间期限的.
呵呵,当然不是啦,其实我们可以在内网架设RMS服务器来代替微软放在公网上的认证服务器的.
下篇文章就让我们一起学习如何建置使用RMS实现Office文档的信息权限管理吧,敬请期待~