Hi,大家好.看過了前兩篇談域環境下EFS的使用部署維護心得之後,對於有打算加固公司重要資料文件安全的你,有沒有一些啓發和幫助呢?正如我在文中最後說到的那樣,EFS作爲一個歷史悠久的系統應用已經慢慢地淡出了大家的視野和考量範圍,並且它也不能滿足一些IT Pro朋友們的功能需求了.翻出論壇上那位朋友的帖子(http://bbs.51cto.com/thread-604202-1.html),裏面他提到要達到的效果:"加密了的文件,只能在本域可以打到,離開本公司就不能打開,除非你有證書之類的東西!"...
想要做到這點,EFS可是辦不到了.那麼,當下微軟又有什麼主流的技術方案和手段提供給大家呢?
在介紹本文的主角之前,我想先問一下大家平時工作中處理文檔使用最多的辦公軟件是什麼?
毫無疑問,是Microsoft Office System!從Office XP, Office 2003到現在的Office 2007甚至已經推出beta測試版的Office 2010,我們早已經習慣了使用Word來寫工作文案,使用Excel來統計數據和做報表,使用Powerpoint來製作幻燈片,使用Outlook來收發郵件...等等等等.
那麼平時大家都用的什麼手段來保護這些Office文檔的安全呢?
有人說,加密啊,可以設置密碼的,地球人都知道.
呵呵,沒錯,那我們就先來一起復習一下如何對Office文檔加密吧.
以Microsoft Office Word 2007舉例
我們在點擊"Office按鈕"以後,在彈出的菜單中選擇"準備",然後選擇"加密文檔".
接着會彈出一個對話框,叫你輸入密碼
這裏可以輸入最多255個字符的密碼
在後臺,你看不到的是它其實是使用了AES 128位的高級加密標準.
這裏請使用大小寫字母,數字和符號,長度大於等於8的複雜密碼組合.
輸入一次後它會要求再輸入一遍確認
加密完成後,當任何用戶需要查看此文件時都需要輸入密碼了.
OK,很簡單很實用,但此種措施仍有以下的問題:
1.跟域環境沒什麼關係,而且每要保護一個文檔都要單獨設置一個密碼,萬一用戶忘記了那麻煩可大了,上面截圖裏微軟也有鄭重提示.
2.因爲Office產品的樹大招風,網上傳有不少破解加密的工具,我曾測試過其中一些,部分確實有效.
3.仍然沒有達到前面網友想要的預期效果."有心人"還是可以把這個文件轉移(copy,mail等方式)到其他機器上甚至自己家裏慢慢嘗試各種破解工具.
好吧,
Information Rights Management (簡稱IRM),閃亮登場!
我們來看看IRM都能做些什麼?
IRM能夠讓你對每個文檔、每個用戶或每個羣組設置許可(結合活動目錄環境).它與EFS加密,Office文檔加密相比,其真正的價值則是,你可以通過設置允許他人查看,卻不讓他們做出以下操作:
◆拷貝文件或文件中的任意部分
◆將文件另存到他們的硬盤或其它介質中
◆編輯文件
◆打印文件
◆轉發郵件
◆將內容進行傳真
◆在文件中進行剪切或粘貼操作
◆使用Print Screen鍵對內容進行抓圖式的拷貝
◆將文件另存到他們的硬盤或其它介質中
◆編輯文件
◆打印文件
◆轉發郵件
◆將內容進行傳真
◆在文件中進行剪切或粘貼操作
◆使用Print Screen鍵對內容進行抓圖式的拷貝
此外,IRM還支持文件過期,就是在使用戶在指定的一段時間後不能再查看文件內容.
借用3G的廣告語,WO...
很好很強大,快一起來體驗一下吧.
想要在Office 2007中使用IRM,我們需要先在計算機上安裝Windows Rights Management Services (RMS) Service Pack 1 (SP1)客戶端.
在vista操作系統中此客戶端軟件是默認已經安裝好的,在XP上我們就需要動一下手了.這裏下載此客戶端的地址我就不要貼出來了. (爲什麼呢?... LR你就不能把鏈接發出來我們就不用搜了啊...衆網友喊道)
呵呵,不是我懶,咱們點開一個Word 2007(XP操作系統上)看一下吧![clip_p_w_picpath010]( "clip_p_w_picpath010")
要使用IRM,位置就是在"加密文檔"的下方,點擊"管理憑據"
呵呵,看到了吧,你點一下"是"就會自動開始下載啦 .前提當然是電腦連入Internet了 .
只有2.31M,不是很大...
注意如果使用的是普通域用戶賬號要確定其是否有軟件安裝的權限
安裝過程略了,就點幾次Next而已,安裝完成.
我們再回來,選擇"限制訪問"
出現了一個短暫的連接授權服務器的畫面,一閃而過,我沒來及截上圖...
然後...
可以看到詳細的文字說明
額,原來是微軟的免費試用服務,而且要使用Windows Live ID才能使用此服務
選擇"是",下一項
還沒有註冊Live ID的兄弟去註冊個吧...(隨着MSN的崛起,沒有這個的很少了吧...)
這個,俺真有的,接着下一步
服務是有時間期限的,六個月...
我接受... 繼續
連接到帳戶證書服務,此過程也是很快的.還好截到圖了...
最多可以在25臺私人電腦上使用此服務...
可以開始授權了,可以輸入想要授權給的用戶的電子郵件地址或者從活動目錄中選擇.
點開"其他選項"看一下
(額,忘記遮蓋ID了,呵呵,沒事,這個也是我的MSN號碼,有Windows server方面問題的朋友可以++,一起交流哈)
回到上上個截圖的界面,選擇將權要授給誰...
這裏我選擇從活動目錄中查找用戶
我選擇授權給這個系列頻繁出鏡的用戶cto
點擊確定以後會發現原來讀取的是用戶對應的電子郵件地址
說明一下:我的實驗環境還沒有搭起exchange,所以這裏寫外部郵件地址
後面文章裏就需要自己搭建exchange了
如果你沒有爲用戶設置郵件地址,會是下面這樣
前面提到的IRM功能基本都是在這裏設置的.
可以選擇對用戶的授權的到期時間
只是對他授予的權限到期,不是文檔到期不可用或者被刪除,大家不要害怕
還可以授權是否允許打印
可以設置是否允許有讀取權限的用戶在文檔裏複製內容
......
設置好授權項以後,會看到"限制訪問"等字眼
我們在另外一臺電腦上(Windows server 2003系統)訪問這個已經設置過權限的Word檔.
雙擊打開
直接會提示安裝RMS客戶端.
安裝完成客戶端後會要求你取得IRM服務的憑據
使用cto的live ID
提示這個文檔做過權限設置,要連接到微軟的許可服務器上下載權限
通過了live ID的驗證後可以查看文檔內容了
無法修改,被限制了.
無法剪切複製內容,也被限制了(灰色按鍵不可用)
無法打印,還是被限制了(灰色按鍵不可用)
不過,可以通過電子郵件聯繫那頭的權限設置人請求放寬權限.
或者權限設置者直接在文檔上修改用戶權限.
一點擊"請求附加權限"自動就啓用Outlook發郵件了...
總結:
通過本文中的演示,我們可以看到使用IRM實現了令人歎服的對Office文檔的權限管理,其綜合安全性比較EFS,Office文檔加密等方法有了質的提高.但是麻煩的是我們要讓客戶端使用live ID連入Internet網絡去跟微軟的Lisences server去聯繫,並且免費服務還是有時間期限的.
必須要這樣我們才能使用上這麼好的東西嗎?
呵呵,當然不是啦,其實我們可以在內網架設RMS服務器來代替微軟放在公網上的認證服務器的.
下篇文章就讓我們一起學習如何建置使用RMS實現Office文檔的信息權限管理吧,敬請期待~