Hi,大家好.看过了前两篇谈域环境下EFS的使用部署维护心得之后,对于有打算加固公司重要资料文件安全的你,有没有一些启发和帮助呢?正如我在文中最后说到的那样,EFS作为一个历史悠久的系统应用已经慢慢地淡出了大家的视野和考量范围,并且它也不能满足一些IT Pro朋友们的功能需求了.翻出论坛上那位朋友的帖子(http://bbs.51cto.com/thread-604202-1.html),里面他提到要达到的效果:"加密了的文件,只能在本域可以打到,离开本公司就不能打开,除非你有证书之类的东西!"...
  想要做到这点,EFS可是办不到了.那么,当下微软又有什么主流的技术方案和手段提供给大家呢?
  在介绍本文的主角之前,我想先问一下大家平时工作中处理文档使用最多的办公软件是什么?
  毫无疑问,是Microsoft Office System!从Office XP, Office 2003到现在的Office 2007甚至已经推出beta测试版的Office 2010,我们早已经习惯了使用Word来写工作文案,使用Excel来统计数据和做报表,使用Powerpoint来制作幻灯片,使用Outlook来收发邮件...等等等等.
  那么平时大家都用的什么手段来保护这些Office文档的安全呢?
  有人说,加密啊,可以设置密码的,地球人都知道.
  呵呵,没错,那我们就先来一起复习一下如何对Office文档加密吧.
 
以Microsoft Office Word 2007举例
我们在点击"Office按钮"以后,在弹出的菜单中选择"准备",然后选择"加密文档".
clip_image002
 
接着会弹出一个对话框,叫你输入密码
clip_image004
这里可以输入最多255个字符的密码
在后台,你看不到的是它其实是使用了AES 128位的高级加密标准.
这里请使用大小写字母,数字和符号,长度大于等于8的复杂密码组合.
 
输入一次后它会要求再输入一遍确认
clip_image006
 
加密完成后,当任何用户需要查看此文件时都需要输入密码了.
clip_image008
 
OK,很简单很实用,但此种措施仍有以下的问题:
1.跟域环境没什么关系,而且每要保护一个文档都要单独设置一个密码,万一用户忘记了那麻烦可大了,上面截图里微软也有郑重提示.
2.因为Office产品的树大招风,网上传有不少破解加密的工具,我曾测试过其中一些,部分确实有效.
3.仍然没有达到前面网友想要的预期效果."有心人"还是可以把这个文件转移(copy,mail等方式)到其他机器上甚至自己家里慢慢尝试各种破解工具.
 
好吧,
Information Rights Management (简称IRM),闪亮登场!
我们来看看IRM都能做些什么?
IRM能够让你对每个文档、每个用户或每个群组设置许可(结合活动目录环境).它与EFS加密,Office文档加密相比,其真正的价值则是,你可以通过设置允许他人查看,却不让他们做出以下操作:
◆拷贝文件或文件中的任意部分
◆将文件另存到他们的硬盘或其它介质中
◆编辑文件
◆打印文件
◆转发邮件
◆将内容进行传真
◆在文件中进行剪切或粘贴操作
◆使用Print Screen键对内容进行抓图式的拷贝
此外,IRM还支持文件过期,就是在使用户在指定的一段时间后不能再查看文件内容.
 
 
借用3G的广告语,WO...
 
很好很强大,快一起来体验一下吧.
 
想要在Office 2007中使用IRM,我们需要先在计算机上安装Windows Rights Management Services (RMS) Service Pack 1 (SP1)客户端.
在vista操作系统中此客户端软件是默认已经安装好的,在XP上我们就需要动一下手了.这里下载此客户端的地址我就不要贴出来了. (为什么呢?... LR你就不能把链接发出来我们就不用搜了啊...众网友喊道)
呵呵,不是我懒,咱们点开一个Word 2007(XP操作系统上)看一下吧clip_image010
 
要使用IRM,位置就是在"加密文档"的下方,点击"管理凭据"
clip_image012
 
呵呵,看到了吧,你点一下"是"就会自动开始下载啦 .前提当然是电脑连入Internet了 .
clip_image014
只有2.31M,不是很大...
 
注意如果使用的是普通域用户账号要确定其是否有软件安装的权限
clip_image016
clip_image018
安装过程略了,就点几次Next而已,安装完成.
 
我们再回来,选择"限制访问"
clip_image020
出现了一个短暂的连接授权服务器的画面,一闪而过,我没来及截上图...
然后...
clip_image022
可以看到详细的文字说明
额,原来是微软的免费试用服务,而且要使用Windows Live ID才能使用此服务
 
选择"是",下一项
clip_image024
还没有注册Live ID的兄弟去注册个吧...(随着MSN的崛起,没有这个的很少了吧...)
这个,俺真有的,接着下一步
clip_image026
clip_image028
服务是有时间期限的,六个月...
 
我接受... 继续
clip_image030
 
连接到帐户证书服务,此过程也是很快的.还好截到图了...
clip_image032
 
最多可以在25台私人电脑上使用此服务...
clip_image034
 
可以开始授权了,可以输入想要授权给的用户的电子邮件地址或者从活动目录中选择.
点开"其他选项"看一下
clip_image036
(额,忘记遮盖ID了,呵呵,没事,这个也是我的MSN号码,有Windows server方面问题的朋友可以++,一起交流哈)
 
回到上上个截图的界面,选择将权要授给谁...
这里我选择从活动目录中查找用户
clip_image038
 
我选择授权给这个系列频繁出镜的用户cto
clip_image040
 
点击确定以后会发现原来读取的是用户对应的电子邮件地址
说明一下:我的实验环境还没有搭起exchange,所以这里写外部邮件地址
后面文章里就需要自己搭建exchange了
clip_image042
 
如果你没有为用户设置邮件地址,会是下面这样
clip_image044
clip_image046
前面提到的IRM功能基本都是在这里设置的.
可以选择对用户的授权的到期时间
只是对他授予的权限到期,不是文档到期不可用或者被删除,大家不要害怕
clip_image048
还可以授权是否允许打印
可以设置是否允许有读取权限的用户在文档里复制内容
......
设置好授权项以后,会看到"限制访问"等字眼
clip_image050
 
我们在另外一台电脑上(Windows server 2003系统)访问这个已经设置过权限的Word档.
clip_image052
 
双击打开
clip_image054
 
直接会提示安装RMS客户端.
安装完成客户端后会要求你取得IRM服务的凭据
clip_image056
 
使用cto的live ID
clip_image058
 
提示这个文档做过权限设置,要连接到微软的许可服务器上下载权限
clip_image060
 
通过了live ID的验证后可以查看文档内容了
clip_image062
 
无法修改,被限制了.
clip_image064
 
无法剪切复制内容,也被限制了(灰色按键不可用)
clip_image066
 
无法打印,还是被限制了(灰色按键不可用)
clip_image068
 
不过,可以通过电子邮件联系那头的权限设置人请求放宽权限.
或者权限设置者直接在文档上修改用户权限.
clip_image070
一点击"请求附加权限"自动就启用Outlook发邮件了...
clip_image072
 
 
 
总结:
通过本文中的演示,我们可以看到使用IRM实现了令人叹服的对Office文档的权限管理,其综合安全性比较EFS,Office文档加密等方法有了质的提高.但是麻烦的是我们要让客户端使用live ID连入Internet网络去跟微软的Lisences server去联系,并且免费服务还是有时间期限的.
必须要这样我们才能使用上这么好的东西吗?
呵呵,当然不是啦,其实我们可以在内网架设RMS服务器来代替微软放在公网上的认证服务器的.
下篇文章就让我们一起学习如何建置使用RMS实现Office文档的信息权限管理吧,敬请期待~