1026 windows server 2008 active directory 版權管理服務
DESCRIPTION
TRANSCRIPT
Welcome
TechNet 網路廣播
大綱
AD RMS 功能與運作建置與管理 AD RMS
AD RMS 與 AD FS 整合與 Office SharePoint Server 2007 整
合
FirewallFirewall File ServerFile Server
Firewall 隔離內部、外部網路限制存取。
Share 、 NTFS Permission 限制特定資料夾或檔案的存取。
EFS 確保檔案資料儲存的安全性。
IPSec 、 VPN 、 SSL 協助傳輸時加以保全數位內容。
Share PermissionNTFS Permission 檔案加密系統( EFS )
網際網路通訊協定安全性( IPSec )虛擬私人網路( VPN ) 安全通訊端層級( SSL )
InternetInternet
廣受採用的防護措施
上述的解決方案對初始的存取進行保護
存取權限管控
No
Yes
防火牆管控
授權的使用者
未授權的人員( 內部 )
資訊外洩
未授權的人員( 外部 )
No並未對文件持續進行保護
AD RMS( 版權管理服務 )
Windows 平台的資訊保護技術對敏感的資訊提供更好的安全防護
只有被授權的人才可以進行特定的存取操作 完全控制;僅供查閱、修改、複製、列印或不允許轉寄等
持續不斷的進行保護不論您的重要資料傳遞到何處
彈性與可客製化RMS 與廣受使用應用程式(如: Office )整合且容易使用提供 SDK 讓獨立軟體供應商或開發人員容易的建構自己的解決方案
AD RMS 不能防止的行為…
AD RMS 的新功能Windows Server 2008 內建使用 ASP.NET 2.0
安裝時自動選取所需要的元件 ( 如:IIS 、 WAS 、 MSMQ 、 Windows Internal Database 等 )
可整合 AD FS 進行跨企業合作自行登記 - 不需連通 Microsoft
MMC 中嵌入的管理單元 ( 可遠端管理 )
Health Report 、 Troubleshooting Report
AD RMS 的邏輯元件
用戶端電腦
RMS 用戶端軟體支援 RMS 的應用程式
使用者憑證電腦憑證
授權叢集RMS Web Services:
•發行•授權
IIS, ASP.NET 2.0
NLB
取得授權
SQL
Active Directory
•身份識別•提供 SCP
取得授權取得憑證
AD RMS 根叢集
IIS, ASP.NET 2.0
根叢集資料庫管理 :
•安全性設定•原則範本•記錄設定•SCP 註冊
運作 :AD RMS Web Services•憑證、發行、授權 SQL Server
•組態設定•記錄 & 快取
伺服器授權人憑證 Server Licensor CertificateSLC
RMS 電腦憑證 Security Processor CertificateSPC
權限帳號憑證 Rights management Account CertificateRAC
用戶端授權人憑證 Client Licensor CertificateCLC
發行授權 Publishing LicensePL
使用授權 Use LicenseUL
AD RMS 環境中所使用的憑證
系統工作流程部署
提供 RMS 伺服器叢集與安裝 RMS 用戶端使用者驗證
取得 RAC 與 CLC ,啟用使用者使用 RMS 的能力發行文件
產生 PL 對文件進行保護授權
取得 UL ,授權使用者使用受保護的文件使用受保護的資訊
應用程式使用 RMS client 來管制功能的使用
部署
伺服器與用戶端電腦完成啟用
部署用戶端1.安裝 RMS
Client(SP2)2.產生 SPC
AD RMS 用戶端 AD RMS 根叢集
伺服器部署與提供1.安裝 AD RMS2.產生 SLC
使用者驗證
1.透過服務連接點 (SCP)探索 AD RMS 服務位址
2.Windows 驗證
1.RAC• 使用者身份識別• 用以對 CLC 加密 • 由 SLC 簽署並以
SPC 加密2.CLC
• 授權用戶發行文件• 用以對 PL 簽署• 由 SLC 簽署並以
RAC 加密
AD RMS 服務叢集
AD RMS 用戶端
SLC
SPC
用戶完成發行與使用資訊的準備
發行文件AD RMS 以使用原則保護文件
a.產生加密文件的 Content keyb.以 Content key 加密文件c.產生 PL
• 記載本文件的使用原則 (Rights Info)• 以 SLC 對 Content Key 加密• 使用 CLC 對 PL 簽署• 由應用程式對資訊進行組合
散佈受保護的資訊
AD RMS 用戶端
CLC
資訊已受保護
授權
• UL• 讓使用者使用受保護的文件• 以 RAC 加密 Content
Key• 以 SLC 簽署
收到已保護的資訊
AD RMS 用戶端
AD RMS 服務叢集
RAC
PL
使用者被授權使用資訊
使用受保護的資訊應用程式使用 AD RMS Client 進行
1.評估 UL 是否被授權2.使用 Security Processor 與 SPC 解
密 RAC private key3.使用 RAC 解密 UL Content key4.使用 Content key 解密受保護的文件5.授權使用者能對這份文件進行哪些操作用戶端
• 受保護的文件• UL• RAC• Security Processor
文件已可被使用並且應用程式強制控管使用的權限
大綱
AD RMS 功能與運作建置與管理 AD RMS
在 Office 2007 使用受保護文件AD RMS 與 AD FS 整合與 Office SharePoint Server 2007 整
合
Active DirectoryWindows Server 2008 、 Win Srv 2003 或 Win 2000 Srv SP3 ( 含以上 )
Database ServerSQL Server 2000 SP4 或 SQL Server 2005
AD RMS 伺服器的需求Windows Server 2008 (Windows Web Server 2008 除外 )安裝 MSMQ 、 IIS 7.0 、 ASP.NET 2.0NTFS 檔案系統 ( 建議 )若無 SQL Server ,可使用 Windows Internal Database ,但不能使用 MSDE
用戶端Windows Server 2008 與 Vista 內建Win2000 SP3 、 Win XP Pro 與 Win 2003 需安裝 RMS Client SP2Office Professional 2003 或 Office Enterprise 2007 等
環境、伺服器軟體與用戶端需求
AD RMS 帳號AD RMS Server 安裝及管理帳號
網域的 Domain Users 與 AD RMS Enterprise Administrators 群組成員AD RMS Server 本機的 Administrators 群組成員在 SQL Server 為 System Administrators role
AD RMS Server 服務帳號不能與用來安裝 AD RMS 的網域帳號相同 AD RMS Service Group 及 Domain Users 群組成員需具備登入 AD RMS Server 本機的權限
使用者及群組帳號必需設定電子郵件屬性
AD RMS 是使用叢集的方式建構的一部 AD RMS 伺服器 = AD
RMS 叢集中的單一節點
最低需求 建議配備Pentium 4 3.0GHz 單 CPU Pentium 4 3.0 GHz 雙 CPU
512 MB 的記憶體 1GB 的記憶體
40 GB 的可用硬碟空間 80 GB 的可用硬碟空間
AD RMS Cluster
NLB HSM
RMS Web Services•Certification•Publishing•Licensing
Log DB
AD RMS 伺服器硬體需求
同一叢集多部伺服器一個 AD 樹系 (Forest)
1 個根叢集可 0~n 個授權叢集
提供容錯與負載分散使用 DNS 為同一 FQDN 設定多個 A 記錄使用 NLB 讓多部電腦使用相同的叢集 IP 位址
必需使用相同版本的 AD RMS
共用同一組資料庫 ( 組態、記錄、快取 )
若使用 https同一叢集的所有節點 ( 伺服器 ) ,應安裝相同的憑證
註冊服務連接點( SCP )
RMS 用戶端藉由『服務連接點』找到 AD RMS 以索取帳號憑證、發行授權與使用授權必需是 Enterprise Admins 的群組成員才有足夠權限
帳號憑證、發行授權與使用授權
AD RMS
Active Directory目錄服務
識別 AD RMS 服務
AD RMS 連線 URL
權限原則範本( RPT )簡化資訊作者對保護文件的繁瑣設定可依據不同的語言提供不同的權限原則範本應依據資訊內容的機密等級或使用者的分類進行設定,不宜過多建立後需散佈至資訊作者可存取到的資料夾 (UNC)
權限至少應為 AD RMS 服務帳戶可寫入、資訊作者可讀取用戶端應用程式需知道此散佈位置
HKCU\Software\Microsoft\Office\12.0\Common\DRMAdminTemplatePath
安裝 AD RMS 根叢集
Office Enterprise 2007
Office Professional 2003 也支援的產品Word 、 Excel 、 Power Point 、 Outlook
Office Enterprise 2007 新支援的產品InfoPath
Outlook更清楚得知郵件是否啟用版權管理
將 AD RMS 叢集 URL 加入近端內部網站若使用 https ,請信任根憑證授權單位
大綱
AD RMS 功能與運作建置與管理 AD RMS
AD RMS 與 AD FS 整合與 Office SharePoint Server 2007 整
合
AD RMS 與 AD FS 整合優點
只需單方部署 AD RMS 即可不需將 AD RMS (Web Service) 的權限調整為允許匿名存取不需建立網域信任或樹系信任使用 https ,安全、方便
需求雙方皆需要架設 AD FS ,且在夥伴組織進行正確設定已部署 AD RMS 的企業為資源夥伴,需將 certification 與 licensing 在 AD FS 設定為宣告感知應用程式AD RMS 服務帳戶需額外授予 Generate Security Audits需在 AD FS 與 AD RMS 安裝後,再安裝 Identity Federation Support 並啟用它帳戶夥伴的用戶端需修改登錄機碼值、加入信任站台及 CA
B 公司 A 公司
AD
AD RMS
AD
FS-AFS-R
1
RAC CLC
PL
2
Web Agent
4
3
5
6
7
8
9
RAC CLC
10
UL
11
12
1. 假設 B 公司人員已完成應有的啟動動作2. B 公司人員送出受保護的 E-Mail 給 A
3. A 公司收件人對 AD RMS 提出要求4. B 公司 RMS 電腦的 AD FS Web
agent 攔截此要求5. RMS client 將被重新導向到 B 公司 的
FS-R ,並提示自己的 realm 為 A 公司
6. RMS client 將再被重新導向到 A 公司 的 FS-A 進行驗證(由 A 公司 Account Store ,例: AD 網域)
7. RMS client 在驗證過後被重導回 B 公司 的 FS-R 進行確認與對應
8. RMS client 對 AD RMS 伺服器提出要求
9. AD FS Web agent 攔截此要求並檢查 FS-R 所發出的 AD FS Token 內容後 ,
送出要求給 AD RMS server
10. RMS server 發出 RAC 給收件人11. RMS server 發出 UL 給收件人12. 收件人存取受保護的文件
AD RMS 與 AD FS 整合
在 AD RMS 設定 Federation Identity Support授予 AD RMS 服務帳號具有 Generate Security Audits 權利在 AD RMS 設定 Externet URL在 AD FS 為 AD RMS 建立宣告感知應用程式• https://ADFS站台/_wmcs/certificationexternal/
• https://ADFS站台/_wmcs/licensingexternal/修改 web.config 安裝 Identity Federation Support在 AD RMS 啟用 Federated Identity Support修改帳戶夥伴用戶端的 registry
大綱
AD RMS 功能與運作建置與管理 AD RMS
AD RMS 與 AD FS 整合與 Office SharePoint Server 2007 整
合
MOSS 2007 使用版權管理
Policy
未加密
已受保護
設定 MOSS 2007 使用版權管理
使用 IE 將 SharePoint Site 加入近端內部網站在 SharePoint 3.0 管理中心授予用戶存取 在 AD RMS 授予 MOSS 2007 Computer Account
對 certification pipeline 存取權在 SharePoint 3.0 管理中心啟用 MOSS 2007 的資訊版權管理在 SharePoint 站台使用 AD RMS 限制權限
設定 MOSS 2007 使用版權管理
使用 IE 將 SharePoint Site 加入近端內部網站在 SharePoint 3.0 管理中心授予用戶存取 在 AD RMS 授予 MOSS 2007 Computer Account
對 certification pipeline 存取權在 SharePoint 3.0 管理中心啟用 MOSS 2007 的資訊版權管理在 SharePoint 站台使用 AD RMS 限制權限
設定 MOSS 2007 使用版權管理
使用 IE 將 SharePoint Site 加入近端內部網站在 SharePoint 3.0 管理中心授予用戶存取 在 AD RMS 授予 MOSS 2007 Computer Account
對 certification pipeline 存取權在 SharePoint 3.0 管理中心啟用 MOSS 2007 的資訊版權管理在 SharePoint 站台使用 AD RMS 限制權限
設定 MOSS 2007 使用版權管理
使用 IE 將 SharePoint Site 加入近端內部網站在 SharePoint 3.0 管理中心授予用戶存取 在 AD RMS 授予 MOSS 2007 Computer Account
對 certification pipeline 存取權在 SharePoint 3.0 管理中心啟用 MOSS 2007 的資訊版權管理在 SharePoint 站台使用 AD RMS 限制權限
結論
使用 AD RMS 與 Office Enterprise 2007 • 保護您的敏感資料
使用 AD RMS(IFS) 與 AD FS 整合達成同盟企業單方部署 AD RMS 當然,雙方都部署 AD RMS 也很好
使用 MOSS 2007(IRM) 與 AD RMS 整合保護內部或分享的文件不需文件作者對每一份文件設定保護
相關資源
Microsoft Windows Server 2008 Homehttp://www.microsoft.com/windowsserver2008/
Microsoft TechNethttp://www.microsoft.com/taiwan/technet/
Microsoft Forumshttp://forums.microsoft.com/
TechNet 訂閱者下載
• http://www.microsoft.com/taiwan/technet
Course ID Title
6416A Updating Your Active Directory Technology
Skills to Windows Server 2008(Beta 3)
For training information and availability www.microsoft.com/learning
Training Resources
Self-study learning tool free to anyone.
Determines skills gaps.
Provides learning plans.
Post your Score, see how you stack up.
Visitwww.microsoft.com/assessment
Readiness with Skills Assessment
Become a Microsoft Certified Professional What are MCP certifications?
Validation in performing critical IT functions.
Why Certify?
WW recognition of skills gained via experience.
More effective deployments with reduced costs
What Certifications are there for IT Pros?
MCP, MCSE, MCSA, MCDST, MCDBA.
www.microsoft.com/learning/mcp
www.microsoft.com/technet/subscriptions
Heard the News about TechNet?
Software without time limits!
Complimentary technical support.
The most current resources on hand
Find all these support options at www.microsoft.com/technet/supportMicrosoft offers a progressive series of support options starting with no-charge online support and developing through subscription, incident, and contract support.
1. No-Charge Online Support
Knowledge BaseSearch a vast database of articles to pinpoint the information you need.
NewsgroupsAccess over 20,000 active newsgroups on scores of topics.
Product Support CentersGet answers to frequently asked questions, plus how-to articles and step-by-step instructions organized by product.
DLL Help Database Search here to identify the software used to install a specific DLL version.
Events and Errors Message CenterResolve event and error messages fast with explanations, recommendations, and links to support and resources.
Support WebcastsTune in to live technical presentations by Microsoft experts and take part in real-time Q&A.
ChatsChat online with Microsoft specialists or search the transcript archives.
User Group ProgramAccess information and support for IT and other interest-specific user groups.
TechNet Security Resource CenterGet ahead of security risks with resources that keep you current, including security newsletters and the Microsoft notification service.
2. Subscription-Based Support
TechNet SubscriptionSubscribe to TechNet for a personal library of articles, service packs, how-tos, resource kits, tools, utilities, and more. Your subscription includes monthly updates delivered on CD or DVD, so you always have the latest information, straight from the source.
Upgrade to a TechNet Plus subscription and add all this:
1. Full-version evaluation software, including Microsoft Office System and Windows Server System™ products, without time restrictions.
2. Free support — two complimentary incidents, plus a discount on other support calls.
3. Unlimited, next-business-day access to reliable answers from the IT community and Microsoft Support Professionals through Managed Newsgroups (English only).
3. Assisted Incident Support
E-mail SupportGet online incident help via e-mail from a Microsoft Support Professional.
Phone SupportGet incident help over the phone from a Microsoft Support Professional.
Phone Support ContractSave with a discounted 5-Pack Phone Support contract.
Advisory ServicesAdd remotely delivered consultation options from Microsoft Advisory Services for proactive support that goes far beyond routine product maintenance.
4. Contract-Based Support
Premier SupportGet the flexibility to match support options to your organization and enjoy direct access to Microsoft technical experts at any time, day or night. Premier Support delivers customized options for businesses with complex needs, including dedicated technical professionals to oversee your support, 24x7 problem resolution, and training and workshops that keep your IT staff up to date.
Essential SupportEssential Support offers prepackaged options specifically designed to meet the fundamental support requirements of any business, large or small. Includes account management, problem resolution, and information services.
Free chats and webcasts
List of newsgroups
Microsoft community sites
Community events and columns
Where Else Can I Get Help?
www.microsoft.com/technet/community
