不久前,有个客户跟我讨论过文件加密的事情,原因是公司有很多创意类文档,或者重要的产品方案,可以视为公司的重要成果,但是总有一些员工很随意地拷贝,相当一部分已经造成外泄。本来这个问题,是很好解决的,现在市面上成熟的加密软件很多,可以很容易地设置文件打开次数和过期日,达到打开次数或者设定日期后,文件就损坏了,无法打开,当然即使能打开的时候,也是无法复制的,这些加密软件的功能非常丰富和强大,但是都造价不菲,部署也很复杂。
那么,有没有既经济又简单的解决方案呢,本着为客户着想的宗旨,决定为客户部署windows server 2019 的AD RMS,以此来保护企业内部的机密文件,如财务报表,技术文件等。
AD RMS是一种信息保护技术,文件的所有者可以将其设置为版权保护文件,并授予其他用户读取,复制或打印。如果用户仅被授予读取权限,则他无法复制文件内容,也无法打印;发件人也可以限制收件人转发邮件;即使文件被移动或者复制到公司以外的任何地方,文件依然是被保护的状态,外部人员是无法打开的。
一、 windows server 2019 AD RMS 的部署过程:
1、添加服务器角色:Active Directory Rights Management Services
2、角色服务中选择:Active Directory 权限管理服务器
3、角色添加完成后,开始执行配置
4、创建新的AD RMS群集
5、选择数据库服务器,之前为客户部署的时候,用的是SQL数据库,今天是为了写这篇文章,在虚拟机里面完成的,所以直接就选用“内部数据库”了
6、指定服务帐户,注意,这里不能使用administrator帐户,需要指定一个域帐户
7、指定加密模式,根据自身情况进行选择
8、指定AD RMS群集密钥存储,建议直接使用AD RAMS集中管理密钥
9、设置AD RMS群集密钥的密码
10、指定群集的地址,这是一个网址,也可以直接输入计算机全称(就是带域名那种),笔者在这里是新建了一个网址的,值得注意的是,这个新建的网址,必须到DNS管理器中建立一条对应的A记录,否则客户端是无法连接的;为防止端口冲突,此处也修改了默认的端口
11、选择服务器身份验证证书,此处选择“为SSL加密创建自签名证书”,如果之前已经有发布过的证书,也可以拿来主义
12、命名服务器许可方证书
二、客户端的测试,至少要两个域帐号才能完成此测试
1、文件编辑完成后,依次点击“信息”、“保护工作簿”、“限制访问”、“连接到权限管理服务器并获取模板”
2、第一次连接RMS服务器,点“是”接受证书
3、按要求输入用户名和密码(本文件创建者的域帐户和密码)
4、再次回到图片1的“限制访问”,这次选择“限制访问”
5、勾选“限制对此工作簿的权限”,下面可以设置只读用户和有权更改的用户,用户名格式必须是电子邮件格式,用户之间用英文状态的分号来分隔
6、点“其他选项”可以进入附加权限配置,在这里可以设置打印内容和复制内容的权限
7、设置完成后,把这个文件放到文件服务器的共享文件夹目录,以便于其他授权用户访问此文件
8、另外一位用户,打开文件服务器共享文件夹,将此文件复制到自己的电脑,首次打开时,会提示,要求接入RMS服务器,勾选“连接到此AD RMS服务时不再显示此消息”
9、按照要求输入用户名和密码(有权打开此文件的域用户)
10、文件打开后,提示:权限已设限制,并且将在2019年10月20日过期,过期后文件就打不开了
11、点菜单时也可以看到,没有权限“另存为”,也没有“打印”权限
12、此时,即使这个用户把文件传输到外网,非相关人员用其他软件也是无法打开此文件的
虽然比不上专业的加密软件,但是基本上达到了客户的要求,关键是零成本!就冲这个,我想有些老板们应该会喜欢吧。
