微软RMS常见问题解答整理.docx

微软RMS常见问题解答整理.docx

《微软RMS常见问题解答整理.docx》由会员分享，可在线阅读，更多相关《微软RMS常见问题解答整理.docx（16页珍藏版）》请在冰豆网上搜索。

微软RMS常见问题解答整理

微软RMS常见问题解答之部署篇

1、如果用于RMS的安全主体是全局地址列表（GAL）成员，则Exchange的版本是否存在任何依赖关系？

　　RMS依赖于ActiveDirectory，而不是Exchange。

但是，Exchange5.5保留其自己的目录，而不使用ActiveDirectory。

确保ActiveDirectory中的所有用户和组对象都有一个有效的电子邮件属性，该属性包含完全限定的域名。

如果使用的是Exchange2000或更高版本，则此操作是自动完成的。

2、SQLServer在RMS中扮演什么角色？

RMS使用数据库来存储所有服务配置数据、有关系统中主体的信息和所有日志记录数据，并在ActiveDirectory和通讯组列表扩展期间缓存查找。

已使用SQLServer2000和SQLServer2005完全测试RMS。

3、用户计算机是否必须加入RMS服务器所在的域才能使用RMS？

　　用户计算机不必是RMS群集所在域的成员，但该计算机需要能够找到RMS群集。

客户端计算机找到RMS群集的最简单方法是通过服务连接点（SCP）使用ActiveDirectory查找。

但是，也可以将客户端上的注册表设置设置为找到RMS群集，而不必使用ActiveDirectory查找。

确切的注册表设置取决于启用了RMS的应用程序。

4、如果客户希望将RMS服务器放在外围网络中，则要与RMS通信，必须对面向Internet的防火墙和面向Intranet的防火墙打开哪些端口？

　　内部用户需要访问颁发权限帐户证书（RAC）和用户许可证的RMS服务器。

默认情况下，RMS服务器侦听HTTP（TCP端口80）或HTTPS（TCP端口443），这取决于服务器是否被配置为使用SSL，因此需要对面向Internet的防火墙打开这些端口。

需要对面向Intranet的防火墙打开域中成员服务器使用的其他端口。

5、仅授权群集中的从属服务器是如何注册的，是否需要对客户端执行什么操作，此群集才知道这些从属服务器？

　　当在企业的根群集中创建第一台RMS服务器时，该服务器将接收到来自Microsoft注册服务的服务器许可方证书。

当安装并设置另一台RMS服务器时，您可以将它加入到根群集中，或者将它注册为从属仅授权群集中的服务器。

如果选择将它注册为从属仅授权群集中的服务器，则它将会向RMS根群集发送注册请求。

启用了RMS的应用程序指定客户端应用程序在哪里查找仅授权群集。

Office2003是启用了RMS的应用程序之一，默认情况下，它查找根群集。

可以使用注册表设置代替此行为，以便应用程序查找新的从属仅授权群集。

6、使用从属仅授权群集有什么好处？

　　一个好处是可以隔离组织中的不同部门。

如果尚未在RMS群集之间建立受信任的发布域，则仅有权访问给定授权服务器的用户才能使用内容。

这样，法律部门可以阻止其他人阅读其RMS加密的电子邮件。

此外，还可以在仅授权群集中设置一些选项，如权限模板、日志记录、超级用户组中的成员身份和排除策略。

7、要完全回滚RMS安装需要执行什么操作？

　　要彻底回滚RMS安装，请执行下列过程。

　　回滚RMS安装

　　通过使用RMS管理网站删除RMS群集的服务连接点（SCP）。

　　从"全局管理"页面中，单击"从此网站中删除RMS"以在服务器上取消设置RMS。

应该首先取消设置仅授权群集中任何通过注册子过程注册的服务器，然后取消设置根群集服务器。

　　在"控制面板"中，单击"添加或删除程序"，然后删除"RightsManagementServices"。

　　在数据库服务器上，删除任何其余RMS数据库。

　　从数据库服务器上的授权登录列表中删除RMS服务帐户，然后从ActiveDirectory本身中删除该帐户。

　　如果RMS客户端运行的是WindowsXP和Windows2000，请从客户端计算机中删除RMS客户端。

　　要点

　　完成此过程之后，您无法再打开受权限保护的内容。

如果RMS用于保护任何有价值的数据，则首先取消RMS配置，然后再回滚RMS安装。

8、使用"添加或删除程序"卸载RMS客户端之后，是否要删除任何其他文件？

　　尽管此操作不是必需的，但您也可以从%systemroot%\system32中删除密码箱。

9、RMS使用FAT文件系统吗？

　　是，尽管建议使用NTFS文件系统，但RMS在使用FAT的计算机上工作。

10、对RMS使用的数据库服务器建议什么样的典型硬件配置？

　　日志记录数据库将快速变大，尤其是在大量使用RMS的环境中。

如果考虑对数据库服务器使用SQLServer，则应该考虑在Windows2000AdvancedServer或WindowsServer2003EnterpriseEdition上使用SQLServer2000EnterpriseEdition或SQLServer2005EnterpriseEdition，它们是在群集中进行主/从配置期间配置的。

在这种情况下，建议的配置为RAID-1日志磁盘和RAID-5数据磁盘，且RAM至少为512MB。

此配置建议使用的最小CPU为PentiumIII，运行速度为1.4GHz。

在专用数据库服务器上，不需要多个CPU。

11、RMS将全局编录用于组扩展会如何影响全局编录服务器的性能？

　　RMS服务器将缓存任何组扩展列表，以便全局编录服务器上的负载不会很大。

尽管可以通过注册表配置获得新组列表的超时时间，但是频繁更新组成员身份会增加对全局编录服务器的依赖。

频繁扩展较大的组将会降低性能。

有关详细信息，请参阅此文档集的"RMS：

操作"中的"更改ActiveDirectory缓存设置"。

12、RMS是否要求更改ActiveDirectory中的任何架构？

　　为使RMS能够成功地跨林边界扩展发布许可证中指定的组成员身份，本地ActiveDirectory林中必须存在一个联系对象，代表远程林中的组。

RMS可以查询联系对象的属性，并发现此对象代表其他林中的组。

　　为使RMS能够执行此操作，ActiveDirectory需要ExchangeServer2003或更高版本的架构属性msExchOriginatingForest。

如果林中有一台服务器正在运行ExchangeServer2003，则默认情况下，此属性安装在ActiveDirectory架构中。

您必须在将参与RMS的每个ActiveDirectory架构的林中都安装此属性。

如果您当前未使用ExchangeServer2003，则可以使用RMS管理工具包将该架构单独安装在您的ActiveDirectory结构中。

13、是否将在安装了RMS服务器的域中的不同域控制器之间自动复制服务连接点（SCP）？

　　在设置林中的第一台RMS服务器之后，必须使用具有足够权限的域帐户在ActiveDirectory中注册该服务器，以在ActiveDirectory的"配置"容器中的"服务"容器之下创建容器对象。

EnterpriseAdmins内置安全组是具有所需权限的帐户之一。

这将创建SCP。

由于其在"服务"容器中，因此ActiveDirectory将信息复制到林中的所有域控制器中。

14、如果用户对其计算机没有管理权限，则可以如何安装和配置RMS客户端？

　　RMS客户端是一个WindowsInstaller文件，可以使用软件分发体系结构（如SystemsManagementServer2003）进行分发。

也可以使用组策略对象（GPO）分发RMS客户端，但该组策略对象需要使用具有管理权限的服务帐户。

如果RMS客户端运行的是WindowsVista，则不再需要独立的RMS客户端安装，因为它已集成到操作系统中。

15、什么是RMS的可伸缩性？

　　RMS是一种无状态的Web服务，可以像任何其他网站或Web服务那样实现群集化和进行负载平衡。

RMS的性能主要取决于处理器的可用性，因此添加处理器可以提高性能。

16、RMS是否支持硬件安全模块（HSM），以保护硬件中的RMS密钥？

　　是，RMS使用符合CAPI的HSM，如nCipherHSM。

微软RMS常见问题解答之管理篇　

1、吊销离开组织的用户对文档的权限的最佳方法是什么？

　　通常，最好授权ActiveDirectory中定义的用户组而不是个人用户帐户使用文档。

建议这么做是为了在某用户离开组织后，您可以从ActiveDirectory组中删除该用户，该用户不能读取发送到该组的文档。

但是，该用户仍然可以读取具有现有用户许可证的文档，除非这些文档的权限设置为每次打开文档时都需要用户获取用户许可证。

如果未定义该权限，则唯一可以防止用户打开具有现有用户许可证的文档的方法是清除用户计算机上的用户许可证存储。

2、在两个组织之间建立信任以便交换RMS内容时，是否需要对传递到可信公司的任何XrML许可证证书进行特殊处理？

　　建立受信任的用户域或受信任的发布域时，您将选择信任伙伴组织来参与您的权限管理系统。

因此，您要冒经过精确计算的风险，相信信任另一组织不会泄露您的信息。

最佳方案是，请求伙伴组织通过使用经过身份验证的通道（如S/MIME电子邮件）来发送其RMS服务器许可方证书，从而帮助缓解在将服务器许可方证书导入到RMS服务器之前该证书被篡改的风险。

3、RMS如何处理漫游用户配置文件？

　　用于识别用户的权限帐户证书（RAC）是特定于计算机的。

使用漫游配置文件时，在给定计算机上第一次使用RMS时将为该计算机上的用户创建一个新的RAC。

4、组织为什么要取消RMS配置？

　　取消RMS配置将从基础结构中删除RMS服务器，并为用户提供了一种方法来在不采取保护措施的情况下保存受权限保护的内容。

组织选择这样做的主要原因有三个：

　　简化体系结构设计，如将服务器合并到群集中。

　　将概念证明试验环境迁移到生产环境。

　　合并RMS服务器，如在收购后。

5、取消配置的全过程是什么？

　　通过启用取消配置服务来从RMS根群集中启动取消配置过程。

启用取消配置服务时，所有其他服务（例如，授权和认证）都将被禁用。

之后，在使用RMS功能时，每个用户的启用了RMS的应用程序需要被定向以连接到取消配置服务。

MicrosoftOffice2003就是启用了RMS的应用程序的一个示例。

在Office2003中，通过使用注册表项将RMS客户端定向到RMS服务。

一个特定注册表项标识取消配置服务。

一旦此注册表项配置为将客户端定向到取消配置服务，RMS群集就会向用户授予该内容的用户许可证，该许可证提供完整权限，包括读取、写入、复制、打印、编辑等等，而不考虑最初是否向用户授予了这些权限。

然后，系统应指示用户从完全取消RMS群集的配置之后仍想要保留的任何文档中删除所有权限保护。

完成此操作之后，就可以完全停止使用RMS群集。

　　最佳方案是备份RMS群集的配置数据库，以防在停止使用该群集之后，需要恢复受权限保护的文档。

如果没有RMS根群集的私钥，则仅文档的作者能够在删除服务器之后打开受权限保护的内容。

6、是否可以取消RMS服务器的配置，以便只有某些用户能够恢复文档？

　　您可以对取消配置Web服务（decommission.asmx）应用访问控制列表（ACL），以控制对取消配置服务的访问，这样仅某些用户可以获取受权限保护的内容的解密密钥。

7、"服务器不能访问应用程序目录"意味着什么？

　　安装RMS之后，第一次尝试打开RMS管理网站时有时会出现此错误。

收到此错误后，不能配置或管理RMS。

　　此错误通常在InternetInformationServices（IIS）以IIS5.0隔离模式运行时发生。

使用下列过程禁用服务器上的此设置，然后重新启动IIS来解决此问题。

　　禁用IIS5.0隔离模式

　　以本地管理员组成员的身份登录到RMS服务器。

　　单击"开始"，指向"管理工具"，然后单击"Internet信息服务（IIS）管理器"。

　　在"IIS管理器"中，展开本地计算机，右键单击"网站"，然后单击"属性"。

　　单击"服务"选项卡，清除"以IIS5.0隔离模式运行WWW服务"复选框，然后单击"确定"。

　　此更改要求重新启动IIS服务。

当系统提示您是否重新启动IIS服务时，请单击"是"。

8、是否可以对RMS服务器使用跟踪功能？

　　由于RightsManagementServices是使用Microsoft?

.NETFramework创建的，因此您可以启用跟踪功能，以帮助跟踪系统事件并解决问题。

　　如果修改Web.config或Machine.config文件，则可以实施跟踪。

当在Machine.config文件中实施跟踪时，将对计算机上的所有软件组件执行跟踪操作；但是，如果在Web.config文件中实施跟踪，则只跟踪Web服务中出现的事件。

　　启用跟踪功能

　　打开Machine.config文件或Web.config文件，然后将下列各行添加到该文件中的部分之下：

　　从命令提示符运行IISRESET以重新启动IIS。

　　收集完所需的数据后，请从.config文件中删除在第一步中添加的行。

　　从命令提示符运行IISRESET以重新启动IIS。

　　要点

　　当您对RMS服务器使用跟踪功能时，可能出现性能问题，如获取用户许可证以及颁发权限帐户证书的延迟时间较长。

只在某些特定情况下使用跟踪，以便诊断和解决现有的问题。

9、什么是时钟偏移？

应该如何管理时钟偏移？

　　时钟偏移是指某一计算机上的时钟时间与其他计算机上的时钟时间有差异。

这是常见的情况，就像处于同一房间里的两个人的手表所指示的时间略有不同一样。

当您在许可证中指定有效期时，时钟偏移可能导致出现问题。

　　许可证中的有效期是根据发布服务器的时钟设置的。

在发布和使用周期中，这些时间的时钟偏移可能导致出现问题，如下面两种情况所述：

　　应用程序尝试使用发布许可证来获取用户许可证，而根据RMS服务器的时钟，该发布许可证的有效期在过去结束或在将来开始。

在这种情况下，请求将会失败。

对于申请用户许可证的最终用户或者尝试预授权文档（以代表用户获取用户许可证）的应用程序而言，可能会出现这种情况。

　　如果许可证的有效期已过（或尚未开始），尝试使用许可证将会失败。

否则，仅已过期（或尚未有效）的权限不可用。

　　例如，如果发布计算机的时钟比使用计算机的时钟慢15分钟，则发布服务器将创建一个发布许可证，指定内容将在15分钟后过期，而用户将从服务器接收到一个无法使用的用户许可证，因为该用户许可证所授予的、查看内容的权限已经过期。

　　对于时钟偏移问题，尚没有完美的解决方案。

较好的解决方案是，按照较迟的时钟来设置有效期的开始时间，尽可能使其早于用户的当前时间，以便延长时间较快的用户的许可证有效期。

建议您时刻记住时钟偏移问题带来的影响，尤其是在创建具有较短有效期的许可证时。

微软RMS常见问题解答之安全篇

1、什么是超级用户帐户？

　　RMS支持一个特殊的超级用户组，该组对所有受权限保护的内容拥有完全控制权。

在由配置了超级用户组的RMS群集颁发给超级用户组成员的所有用户许可证中，超级用户组的成员被授予全部所有者权限。

这意味着，该组的成员可以对任何受保护的文件进行解密，并可解除对它们的保护。

例如，该组的成员可以解除对已离职员工发布的文件的保护，以便新的所有者可以发布和管理这些文件。

2、RMS是安全解决方案吗？

　　不，RMS不是安全解决方案。

与启用了RMS的应用程序（如Office2007）一起使用时，可以将RMS视为"策略强制实施解决方案"。

如果用户未被授予查看数据的权限，则该用户可以使用蛮力攻击尝试破解加密。

尽管加密非常可靠，但像所有软件加密方案一样，它是可以破解的。

但是，如果用户有权查看数据，则该用户可以手动复制它或对其拍摄数字图片，并向XX的用户提供信息。

3、在收件人的用户许可证过期后，可以使用什么机制防止收件人向后拨动其客户端计算机上的时钟，延长对受权限保护的文档的访问？

　　RMS将检测是否向后或向前拨动了客户端系统上的时钟，并阻止用户使用内容。

此外，RMS还将检测RMS服务器与客户端之间是否存在可测量的时差。

4、DomainAdmins组成员是否能够读取用于该域中其他人的文档？

　　如果DomainAdmins的组成员是RMS超级用户组的成员，或者DomainAdmins组的成员模拟某个用户帐户，则他们可以读取对该用户帐户保护的内容。

因为DomainAdmins组的成员可以对域中的用户帐户进行控制，所以无法缓解DomainAdmins组中有不可信成员这一情形。

　　最佳方案是，当DomainAdmins组的成员需要访问受权限保护的内容，仅将他们添加到超级用户组中。

如果向超级用户组的成员授予许可证，则RMS服务器的应用程序事件日志中将记录事件ID49。

事件ID49描述"已为超级用户组中的一个用户授予了许可证。

该用户有以下电子邮件地址：

<用户别名>"，其中用户别名将替换为该用户的电子邮件帐户。

　　对于用于限制对资源的访问的其他组，您应该定义警报并执行安全检查，以帮助防止某人XX加入超级用户组。

5、我知道每个密码箱都可以验证系统中生成的每个证书或许可证，就像这些证书或许可证来自向Microsoft注册的服务一样。

这种保护面临什么威胁？

　　如果不能验证证书的完整性，则用户可能骗取颁发给其他用户的权限帐户证书（RAC），并获取内容的用户许可证，或者创建一个可解除文档保护的应用程序。

6、如果有人使用蛮力攻击打开了一个文档，他们是否可以使用该密钥打开其他文档？

　　每一部分受权限保护的内容都是使用随机生成的不同对称密钥加密的。

因此，每个文档的密钥都是唯一的，不能用于解密其他文档。

7、由于对加密技术的出口限制，是否会在部署密钥的企业外部暴露部分密钥？

　　登录到Microsoft根的应用程序受Microsoft密钥签署根的限制，但在此之前，Microsoft或客户部署不会披露其他密钥。

8、如何防止恶意攻击者远程启用取消配置功能？

　　攻击者需要对RMS群集具有管理权限的用户帐户的凭据。

默认情况下，RMS管理界面仅在RMS服务器上本地可用。

确保这种情况保持不变、远程桌面协议（RDP）被禁用以及服务器在物理上安全无虞，这样可帮助缓解风险。

9、用户是否可以对受权限保护的内容执行屏幕捕获？

　　如果RMS权限被设置为不允许使用复制功能，则RMS将会禁用WindowsAlt+PrtSc。

但是，在具有不受管理的台式机的环境中，用户可以使用非Microsoft产品捕获内容。

10、备份与RMS相关的文件的管理员是否有权访问受权限保护的内容？

　　否，他们可以执行备份，但无权访问。

11、Windows使用的交换文件是否一直包含未加密的内容，并且很可能使内容保持"打开"状态？

　　一旦RMS客户端将加密的内容发送回应用程序，该内容就会出现在交换文件中。

RightsManagementServices（RMS）软件开发工具包（SDK）中的部分RMS应用程序开发建议包括防止出现这种情况的步骤，但由启用了RMS的应用程序来执行这些步骤。

12、是否可以限制能够访问RMS的不同管理功能的管理员？

　　是，您可以在ActiveDirectory中创建不同的RMS管理员组、添加用户，然后为管理页面创建合适的访问控制列表（ACL）。

例如，RMS管理网页ACL的默认配置指定仅设置了服务器的用户可以访问"安全设置"页面。

13、在用户硬盘或共享文件夹中创建了单独的文档之后，RMS能马上保护这些文档吗？

　　尽管RMS可用来保护存储在用户的本地计算机上的文档，但最好选择加密文件系统（EFS）。

EFS透明地保护文档，而RMS需要手动干预（单击鼠标数次）才能保护文档。

14、打开一个文件时，是否加密自动保存文件和临时文件？

　　是，所有临时文件都将被加密。

15、我接收到一个受权限保护的电子邮件，该邮件中似乎带有附件。

我能保存该附件，即使可能无法保存电子邮件-RMS被破解了吗？

　　否。

这是预期行为。

在RMS客户端解密附件之前，您看到的附件是加密的消息。

它仍受权限保护，一旦解密后就不能保存了。

微软RMS常见问题解答之证书密钥和加密篇

1、RMS中使用什么加密算法？

　　RMS对RMS服务器使用2048位RSA密钥，对用户和计算机密钥对使用1024位RSA密钥。

2、RMS是否使用经过FIPS认证的加密？

　　在RMSServicePack1或更高版本中，如果RMS客户端安装在运行WindowsXP或WindowsServer2003的计算机上，则由该客户端应用程序生成的密码箱使用经过FIPS认证的AES加密。

但是，如果RMS客户端安装在运行Windows2000的计算机上，则不会安装经过FIPS认证的AES库，因此这些密码箱不符合FIPS。

3、对于将权限授予通讯组列表而不是个人用户的发布许可证或模板，是否采用不同的方式处理用户许可证以便动态评估成员？

　　用户许可证总是颁发给个人用户。

如果发布许可证或模板指定一个组，则RMS会在颁发用户许可证时评估组成员身份。

如果请求用户许可证的用户是指定组中的一个成员，则会将用户许可证颁发给该用户的标识。

4、在网亭中使用RMS时，将颁发临时权限帐户证书（RAC）。

临时RAC与标准RAC有何区别？

RMS如何检测网亭中是否正在使用它？

　　启用了RMS的应用程序必须确定RMS