机密数据保险箱,RMS确保重要文件安全无忧

简介:
机密数据保险箱,  RMS 确保重要文件安全无忧
         我们完成RMS服务器的部署后,就要来测试一下RMS的表现了。我们先来试试RMS对文件的保护,看看能否用RMS阻止重要文件的内容。我们对RMS的预期是,RMS可以阻止文件在公司之外被打开,文件可以被禁止复制,打印及经过电子邮件转发。实验拓扑如下图所示,RMSERVER已经部署了AD RMS角色,DCSERVER将临时客串一下文件服务器,XP是用于测试的客户机机,XP上已经安装了Office2007
         从理论上分析,RMS客户机使用支持RMS的应用程序(例如Office2007)对被保护的文件进行对称加密,然后把对称密钥传输到RMS服务器上的许可证。其他访问者想阅读文件,一定要连接到RMS服务器申请许可证,然后从许可证中取出对称密钥对被保护的文件进行解密。因此,一定访问者离开公司,联系不上RMS服务器,应该是无法访问被保护的文件。当然,这只是理论分析,我们还要通过实验来加以证实。
 
  安装RMS客户端
         XP客户机上必须安装RMS客户端软件,才可以发挥RMS的作用。RMS客户端软件的下载地址我们就不为大家提供了,为什么,因为Office2007可以自动下载。在XP客户机上打开Word2007,如图1所示,点击Word2007左上角的Office按钮,依次点击 “准备”-“限制权限”-“限制访问”。
1
 
         如图2所示,Office2007提示我们由于没有安装RMS客户端软件,无法使用限制访问的功能。如果想自动下载RMS客户端软件,点击“是”。
2
 
         如图3所示,我们同意下载RMS客户端软件后,Word2007自动连接到微软网站去下载RMS客户端了。
3
 
         RMS客户端软件下载后保存在XP客户机的桌面,如图4所示,我们开始在XP客户机上安装RMS客户端,安装过程很简单,就不过多介绍了。
4
 
  文件保护测试
         XP客户机上安装了RMS客户端后,我们准备了两个用户用于测试。一个用户是administrator,一个用户是Jack,我们用administrator对一个文件进行限制,用Jack来访问被限制的文件,看看能否达到限制的目的。值得注意的是,administratorJack都需要有电子邮件地址,如果域中有Exchange服务器,这就很简单了,为两个用户各自创建一个邮箱就OK了。
         我们用域控制器临时客串一下文件服务器,如图5所示,我们可以看到域控制器上有一个DOC共享文件夹,共享文件夹中有一个用于测试的Office文件,我们要利用这个文件来检验一下RMS的表现。
5
 
         administrator的身份在XP客户机上登录,打开DOC共享文件夹中的测试文件,如图6所示,在Word2007中点击“限制访问”。
6
 
         如图7所示,XP客户机开始通过HtTPS协议访问RMS服务器,RMS服务器要求用户进行身份验证,我们输入administrator的账号进行身份验证。
7
 
         Administrator通过身份验证后,看到了如图8所示的RMS权限设置界面,我们为Jack设置了读取权限。注意,描述Jack时需要使用电子邮件地址 Jack@contoso.com。如果我们希望对Jack进行更详细的权限设置,我们可以点击左下角的“其他选项”。
8
 
         点击了图8中的“其他选项”后,我们看到如图9所示的设置界面。除了给Jack分配读取权限,还可以限制Jack是否可以对文件内容进行打印,是否允许对文件内容进行复制。就连文件的到期时间也可以设置,时间到期后文件内容对访问者就彻底关闭了。这里还有一个很人性化的设计,那就是访问者Jack如果发现权限不够,还可以通过电子邮件向文件的所有者administrator申请更多的权限。在本次实验中,我们对Jack的限制是,除了读取文件内容,其他的操作全都不允许,例如对文件内容的复制,打印等。
9
 
         对文件的权限进行设置之后,如图10所示,我们在XP客户机上以Jack的身份登录,准备测试一下Jack对被限制文件的访问状况。
10
 
         Jack登录后,打开域控制器上DOC共享文件夹中的测试文件,如图11所示,RMS客户端自动使用HTTPS协议连接到RMS服务器。RMS服务器要求访问者进行身份验证,我们输入Jack的身份凭证进行身份验证,用户名最好输入Jack@contoso.com
11
 
         Jack完成身份验证之后,如图12所示,RMS客户端提示由于此文档已经被限制访问,因此访问者必须连接到RMS服务器去下载访问许可证,这样才可以访问被限制的文档。从中我们可以推断,如果文件被带出公司,访问者是无法从RMS服务器获得许可证的。即使在公司内部,访问者从RMS服务器下载许可证,也要通过RMS服务器的身份验证才可以。综合这些因素,我们看出RMS对文件的保护还是非常到位的。
12
 
         JackRMS服务器下载许可证后,如图13所示,看到了文件的内容。这说明我们之前设置的权限已经生效了,Jack获得了读取文档的权限,但其他的限制能否实现呢?我们继续观察。
13
 
         我们试试Jack能否对文件内容进行复制,如图14所示,我们发现右键菜单中的复制操作已经变为灰色不可选取,显然Jack无法对文件内容进行复制。
14
 
         如图15所示,我们发现Jack对文件内容也无法进行打印。RMS对文件的保护确实非常有效,至此,我们可以设想一下,想要窃取被RMS保护的文件内容,似乎只有通过DV拍摄屏幕内容了…..如果企业内有重要文件需要保护,大家一定要参考一下RMS服务器。
15

















本文转自yuelei51CTO博客,原文链接:http://blog.51cto.com/yuelei/315070,如需转载请自行联系原作者


相关文章
|
6月前
|
云安全 安全 网络安全
云端防御策略:确保云服务中的网络安全与信息完整性
【5月更文挑战第27天】 随着企业逐渐迁移到云计算平台,对数据和服务的安全性提出了更高要求。本文将深入探讨在云环境下维护网络安全和信息安全的关键技术与策略。我们将从云服务模型出发,分析不同服务模型下的安全挑战,并探索多层次、多维度的防护措施。通过综合运用加密技术、身份认证机制、入侵检测系统以及安全事件管理,构建起一个既灵活又强大的云安全防护网络。文章还将讨论如何实施有效的合规性和监管策略,以确保数据处理遵循行业最佳实践和法律法规要求。
QPBOC与标准借贷记的脱机认证详细过程
QPBOC与标准借贷记的脱机认证详细过程
|
存储 运维 Kubernetes
云上数据安全实践:一键加密K8s集群Secrets,防止高危机密信息泄露
在Kubernetes集群中,我们通常使用Secrets模型存储和管理业务应用涉及的敏感信息,比如应用密码、TLS证书、Docker镜像下载凭据等敏感信息。Kubernetes会将所有的这些Secrets对象数据存储在集群对应的etcd中。阿里云容器服务Kubernetes版(简称ACK)通过用户指定的KMS主密钥,对K8s集群Secrets进行落盘加密,用户只需要一键配置就可以实现对K8s集群的纵深安全保护。
4817 0
云上数据安全实践:一键加密K8s集群Secrets,防止高危机密信息泄露
|
安全 网络安全 数据安全/隐私保护
|
安全 数据安全/隐私保护
SaaS应用程序存安全隐患 或泄露敏感数据
据国外媒体报道,近期发表的一篇研究论文称,SaaS(软件即服务,Software-as-a-service)交付应用程序可能会导致数据的泄露。 这份由微软研究院和印第安纳大学学者发表的论文,提供了SaaS交付应用程序的操作细节及其如何通过网络导致“侧通道”泄露,并可能引发严重的安全隐患的过程:即使在SaaS加密的情况下,攻击者也可能获取到最敏感的数据。
1059 0
|
Web App开发 JavaScript 安全
黑客矛头指向企业终端用户 窃机密数据
根据安全服务提供商Zscaler公司的最新网络流量分析报告结果显示,与之前针对网络和电子邮件服务器的攻击重点不同,最近攻击者将矛头更多的指向了企业用户,从内部对最终用户的系统构成威胁,然后利用他们来访问机密数据。
791 0
|
安全 数据安全/隐私保护 存储
|
安全 数据安全/隐私保护 存储
下一篇
无影云桌面