TechNet 網路廣播 Welcome

蘇建榮 alan_su@uuu.com.tw 恆逸教育訓練中心(精誠資訊) Windows Server 2008 Active Directory 版權管理服務 蘇建榮 alan_su@uuu.com.tw 恆逸教育訓練中心(精誠資訊)

大綱 AD RMS 功能與運作 建置與管理 AD RMS AD RMS 與 AD FS 整合 11/18/2018 6:31 PM 大綱 AD RMS 功能與運作 建置與管理 AD RMS AD RMS 與 AD FS 整合 與 Office SharePoint Server 2007 整合 © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary. 3

廣受採用的防護措施 Share Permission NTFS Permission 檔案加密系統（EFS） File Server 網際網路通訊協定安全性（IPSec） 虛擬私人網路（VPN） 安全通訊端層級（SSL） Firewall Internet File Server Firewall 隔離內部、外部網路限制存取。 Share 、 NTFS Permission 限制特定資料夾或檔案的存取。 EFS 確保檔案資料儲存的安全性。 IPSec 、 VPN 、 SSL 協助傳輸時加以保全數位內容。

上述的解決方案對初始的存取進行保護 並未對文件持續進行保護 授權的使用者 資訊外洩 未授權的人員(外部) 未授權的人員(內部) 防火牆管控 Yes 資訊外洩 No No 存取權限管控 未授權的人員(外部) 未授權的人員(內部) 防火牆管控

AD RMS(版權管理服務) Windows 平台的資訊保護技術 對敏感的資訊提供更好的安全防護 持續不斷的進行保護 彈性與可客製化 只有被授權的人才可以進行特定的存取操作 完全控制；僅供查閱、修改、複製、列印或不允許轉寄等 持續不斷的進行保護 不論您的重要資料傳遞到何處 彈性與可客製化 RMS 與廣受使用應用程式（如：Office）整合且容易使用 提供 SDK 讓獨立軟體供應商或開發人員容易的建構自己的解決方案

AD RMS 不能防止的行為…

AD RMS 的新功能 Windows Server 2008 內建 使用 ASP.NET 2.0 安裝時自動選取所需要的元件(如：IIS、WAS、MSMQ、Windows Internal Database 等) 可整合 AD FS 進行跨企業合作 自行登記-不需連通 Microsoft MMC 中嵌入的管理單元(可遠端管理) Health Report、Troubleshooting Report

AD RMS 的邏輯元件 取得憑證 取得授權 取得 AD RMS 根叢集 根叢集資料庫 Active Directory 身份識別 提供 SCP 取得憑證 AD RMS 根叢集 IIS, ASP.NET 2.0 根叢集資料庫 管理: 安全性設定 原則範本 記錄設定 SCP 註冊 運作: AD RMS Web Services 憑證、發行、授權 SQL Server 組態設定 記錄&快取 取得授權 用戶端電腦 RMS 用戶端軟體 支援 RMS 的應用程式 授權叢集 RMS Web Services: 發行 授權 IIS, ASP.NET 2.0 NLB 取得 SQL 使用者憑證 電腦憑證

AD RMS 環境中所使用的憑證 伺服器授權人憑證 Server Licensor Certificate SLC RMS 電腦憑證 Security Processor Certificate SPC 權限帳號憑證 Rights management Account Certificate RAC 用戶端授權人憑證 Client Licensor Certificate CLC 發行授權 Publishing License PL 使用授權 Use License UL

系統工作流程 部署 使用者驗證 發行文件 授權 使用受保護的資訊 提供 RMS 伺服器叢集與安裝 RMS 用戶端 取得 RAC 與 CLC，啟用使用者使用 RMS 的能力 發行文件 產生 PL 對文件進行保護 授權 取得 UL，授權使用者使用受保護的文件 使用受保護的資訊 應用程式使用 RMS client 來管制功能的使用

部署 伺服器與用戶端電腦完成啟用 伺服器部署與提供 部署用戶端 AD RMS 用戶端 AD RMS 根叢集 安裝 AD RMS 產生 SLC 安裝 RMS Client(SP2) 產生 SPC AD RMS 用戶端 AD RMS 根叢集 伺服器與用戶端電腦完成啟用

使用者驗證 用戶完成發行與使用資訊的準備 AD RMS 服務叢集 RAC 使用者身份識別 用以對 CLC 加密 SLC RAC 使用者身份識別 用以對 CLC 加密 由 SLC 簽署並以 SPC 加密 CLC 授權用戶發行文件 用以對 PL 簽署 由 SLC 簽署並以 RAC 加密 透過服務連接點(SCP)探索 AD RMS 服務位址 Windows 驗證 SPC 用戶完成發行與使用資訊的準備 AD RMS 用戶端

發行文件 資訊已受保護 AD RMS 以使用原則保護文件 散佈受保護的資訊 AD RMS 用戶端 產生加密文件的 Content key 產生 PL 記載本文件的使用原則(Rights Info) 以 SLC 對 Content Key 加密 使用 CLC 對 PL 簽署 由應用程式對資訊進行組合 散佈受保護的資訊 CLC 資訊已受保護 AD RMS 用戶端

授權 使用者被授權使用資訊 AD RMS 服務叢集 UL 收到已保護的資訊 AD RMS 用戶端 讓使用者使用受保護的文件 以 RAC 加密 Content Key 以 SLC 簽署 收到已保護的資訊 PL RAC AD RMS 用戶端 使用者被授權使用資訊

文件已可被使用並且應用程式強制控管使用的權限 使用受保護的資訊 應用程式使用 AD RMS Client 進行 評估 UL 是否被授權 使用 Security Processor 與 SPC 解密 RAC private key 使用 RAC 解密 UL Content key 使用 Content key 解密受保護的文件 授權使用者能對這份文件進行哪些操作 用戶端 受保護的文件 UL RAC Security Processor 文件已可被使用並且應用程式強制控管使用的權限

大綱 AD RMS 功能與運作 建置與管理 AD RMS 在 Office 2007 使用受保護文件 AD RMS 與 AD FS 整合 11/18/2018 6:31 PM 大綱 AD RMS 功能與運作 建置與管理 AD RMS 在 Office 2007 使用受保護文件 AD RMS 與 AD FS 整合 與 Office SharePoint Server 2007 整合 © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary. 17

環境、伺服器軟體與用戶端需求 Active Directory Database Server AD RMS 伺服器的需求 用戶端 Windows Server 2008、Win Srv 2003 或 Win 2000 Srv SP3 (含以上) Database Server SQL Server 2000 SP4 或 SQL Server 2005 AD RMS 伺服器的需求 Windows Server 2008 (Windows Web Server 2008 除外) 安裝 MSMQ、IIS 7.0、ASP.NET 2.0 NTFS 檔案系統(建議) 若無 SQL Server，可使用 Windows Internal Database，但不能使用 MSDE 用戶端 Windows Server 2008 與 Vista 內建 Win2000 SP3、Win XP Pro 與 Win 2003 需安裝RMS Client SP2 Office Professional 2003 或 Office Enterprise 2007 等

AD RMS 帳號 AD RMS Server 安裝及管理帳號 AD RMS Server 服務帳號 使用者及群組帳號 網域的 Domain Users 與 AD RMS Enterprise Administrators 群組成員 AD RMS Server 本機的 Administrators 群組成員 在 SQL Server 為 System Administrators role AD RMS Server 服務帳號 不能與用來安裝 AD RMS 的網域帳號相同 AD RMS Service Group 及 Domain Users 群組成員 需具備登入 AD RMS Server 本機的權限 使用者及群組帳號 必需設定電子郵件屬性

AD RMS 伺服器硬體需求 最低需求 建議配備 AD RMS 是使用叢集的方式建構的 Pentium 4 3.0GHz 單 CPU Pentium 4 3.0 GHz 雙 CPU 512 MB 的記憶體 1GB 的記憶體 40 GB 的可用硬碟空間 80 GB 的可用硬碟空間 AD RMS Cluster Log DB AD RMS 是使用叢集的方式建構的 一部 AD RMS 伺服器 = AD RMS 叢集中的單一節點 RMS Web Services Certification Publishing Licensing HSM NLB

同一叢集多部伺服器 一個 AD 樹系(Forest) 提供容錯與負載分散 必需使用相同版本的 AD RMS 1 個根叢集 可 0~n 個授權叢集 提供容錯與負載分散 使用 DNS 為同一 FQDN 設定多個 A 記錄 使用 NLB 讓多部電腦使用相同的叢集 IP 位址 必需使用相同版本的 AD RMS 共用同一組資料庫(組態、記錄、快取) 若使用 https 同一叢集的所有節點(伺服器)，應安裝相同的憑證

註冊服務連接點（SCP） RMS 用戶端藉由『服務連接點』找到 AD RMS 以索取帳號憑證、發行授權與使用授權 必需是 Enterprise Admins 的群組成員才有足夠權限 帳號憑證、發行授權與使用授權 AD RMS Active Directory 目錄服務 識別 AD RMS 服務 AD RMS 連線 URL

權限原則範本（RPT） 簡化資訊作者對保護文件的繁瑣設定 可依據不同的語言提供不同的權限原則範本 應依據資訊內容的機密等級或使用者的分類進行設定，不宜過多 建立後需散佈至資訊作者可存取到的資料夾(UNC) 權限至少應為 AD RMS 服務帳戶可寫入、資訊作者可讀取 用戶端應用程式需知道此散佈位置 HKCU\Software\Microsoft\Office\12.0\Common\DRM AdminTemplatePath

安裝 AD RMS 根叢集

Office Enterprise 2007 Office Professional 2003 也支援的產品 Word、Excel、Power Point、Outlook Office Enterprise 2007 新支援的產品 InfoPath Outlook 更清楚得知郵件是否啟用版權管理 將 AD RMS 叢集 URL 加入近端內部網站 若使用 https，請信任根憑證授權單位

大綱 AD RMS 功能與運作 建置與管理 AD RMS AD RMS 與 AD FS 整合 11/18/2018 6:31 PM 大綱 AD RMS 功能與運作 建置與管理 AD RMS AD RMS 與 AD FS 整合 與 Office SharePoint Server 2007 整合 © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary. 27

AD RMS 與 AD FS 整合 優點 需求 只需單方部署 AD RMS 即可 不需將 AD RMS (Web Service) 的權限調整為允許匿名存取 不需建立網域信任或樹系信任 使用 https ，安全、方便 需求 雙方皆需要架設 AD FS，且在夥伴組織進行正確設定 已部署 AD RMS 的企業為資源夥伴，需將 certification 與 licensing 在 AD FS 設定為宣告感知應用程式 AD RMS 服務帳戶需額外授予 Generate Security Audits 需在 AD FS 與 AD RMS 安裝後，再安裝 Identity Federation Support 並啟用它 帳戶夥伴的用戶端需修改登錄機碼值、加入信任站台及CA

AD RMS 與 AD FS 整合 B 公司 A 公司 假設 B 公司人員已完成應有的啟動動作 B 公司人員送出受保護的 E-Mail 給 A A 公司收件人對 AD RMS 提出要求 B 公司 RMS 電腦的 AD FS Web agent 攔截此要求 RMS client 將被重新導向到 B 公司 的 FS-R ，並提示自己的 realm 為 A 公司 RMS client 將再被重新導向到 A 公司 的 FS-A 進行驗證（由 A 公司 Account Store，例：AD 網域） RMS client 在驗證過後被重導回 B 公司 的 FS-R 進行確認與對應 RMS client 對 AD RMS 伺服器提出要求 AD FS Web agent 攔截此要求並檢查 FS-R 所發出的 AD FS Token 內容後,送出要求給 AD RMS server RMS server 發出 RAC 給收件人 RMS server 發出 UL 給收件人 收件人存取受保護的文件 AD RMS 與 AD FS 整合 AD AD FS-R FS-A Web Agent 9 4 6 5 7 3 8 AD RMS PL 2 UL 11 12 RAC CLC 10 1 RAC CLC B 公司 A 公司

在 AD RMS 設定 Federation Identity Support 授予 AD RMS 服務帳號具有Generate Security Audits權利 在 AD RMS 設定 Externet URL 在 AD FS 為 AD RMS 建立宣告感知應用程式 https://ADFS站台/_wmcs/certificationexternal/ https://ADFS站台/_wmcs/licensingexternal/ 修改 web.config 安裝 Identity Federation Support 在 AD RMS 啟用 Federated Identity Support 修改帳戶夥伴用戶端的 registry

大綱 AD RMS 功能與運作 建置與管理 AD RMS AD RMS 與 AD FS 整合 11/18/2018 6:31 PM 大綱 AD RMS 功能與運作 建置與管理 AD RMS AD RMS 與 AD FS 整合 與 Office SharePoint Server 2007 整合 © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary. 32

MOSS 2007 使用版權管理 Policy 未加密 已受保護

設定 MOSS 2007 使用版權管理 使用 IE 將 SharePoint Site 加入近端內部網站 在 AD RMS 授予 MOSS 2007 Computer Account 對 certification pipeline 存取權 在 SharePoint 3.0 管理中心啟用 MOSS 2007 的資訊版權管理 在 SharePoint 站台使用 AD RMS 限制權限

設定 MOSS 2007 使用版權管理 使用 IE 將 SharePoint Site 加入近端內部網站 在 AD RMS 授予 MOSS 2007 Computer Account 對 certification pipeline 存取權 在 SharePoint 3.0 管理中心啟用 MOSS 2007 的資訊版權管理 在 SharePoint 站台使用 AD RMS 限制權限

設定 MOSS 2007 使用版權管理 使用 IE 將 SharePoint Site 加入近端內部網站 在 AD RMS 授予 MOSS 2007 Computer Account 對 certification pipeline 存取權 在 SharePoint 3.0 管理中心啟用 MOSS 2007 的資訊版權管理 在 SharePoint 站台使用 AD RMS 限制權限

設定 MOSS 2007 使用版權管理 使用 IE 將 SharePoint Site 加入近端內部網站 在 AD RMS 授予 MOSS 2007 Computer Account 對 certification pipeline 存取權 在 SharePoint 3.0 管理中心啟用 MOSS 2007 的資訊版權管理 在 SharePoint 站台使用 AD RMS 限制權限

結論 使用 AD RMS 與 Office Enterprise 2007 保護您的敏感資料 使用 AD RMS(IFS) 與 AD FS 整合 達成同盟企業單方部署 AD RMS 當然，雙方都部署 AD RMS 也很好 使用 MOSS 2007(IRM) 與 AD RMS 整合 保護內部或分享的文件 不需文件作者對每一份文件設定保護

相關資源 Microsoft Windows Server 2008 Home Microsoft TechNet http://www.microsoft.com/windowsserver2008/ Microsoft TechNet http://www.microsoft.com/taiwan/technet/ Microsoft Forums http://forums.microsoft.com/

TechNet 訂閱者下載 http://www.microsoft.com/taiwan/technet

For training information and availability www.microsoft.com/learning Training Resources Course ID Title 6416A Updating Your Active Directory Technology Skills to Windows Server 2008(Beta 3) For training information and availability www.microsoft.com/learning

Readiness with Skills Assessment Self-study learning tool free to anyone. Determines skills gaps. Provides learning plans. Post your Score, see how you stack up. Visit www.microsoft.com/assessment

Become a Microsoft Certified Professional What are MCP certifications? Validation in performing critical IT functions. Why Certify? WW recognition of skills gained via experience. More effective deployments with reduced costs What Certifications are there for IT Pros? MCP, MCSE, MCSA, MCDST, MCDBA. www.microsoft.com/learning/mcp

Heard the News about TechNet? Software without time limits! Complimentary technical support. The most current resources on hand www.microsoft.com/technet/subscriptions

Find all these support options at www. microsoft Find all these support options at www.microsoft.com/technet/support Microsoft offers a progressive series of support options starting with no-charge online support and developing through subscription, incident, and contract support. 1. No-Charge Online Support Knowledge Base Search a vast database of articles to pinpoint the information you need. Newsgroups Access over 20,000 active newsgroups on scores of topics. Product Support Centers Get answers to frequently asked questions, plus how-to articles and step- by-step instructions organized by product. DLL Help Database Search here to identify the software used to install a specific DLL version. Events and Errors Message Center Resolve event and error messages fast with explanations, recommendations, and links to support and resources. Support Webcasts Tune in to live technical presentations by Microsoft experts and take part in real- time Q&A. Chats Chat online with Microsoft specialists or search the transcript archives. User Group Program Access information and support for IT and other interest-specific user groups. TechNet Security Resource Center Get ahead of security risks with resources that keep you current, including security newsletters and the Microsoft notification service. 2. Subscription-Based Support TechNet Subscription Subscribe to TechNet for a personal library of articles, service packs, how-tos, resource kits, tools, utilities, and more. Your subscription includes monthly updates delivered on CD or DVD, so you always have the latest information, straight from the source. Upgrade to a TechNet Plus subscription and add all this: 1. Full-version evaluation software, including Microsoft Office System and Windows Server System™ products, without time restrictions. 2. Free support — two complimentary incidents, plus a discount on other support calls. 3. Unlimited, next-business-day access to reliable answers from the IT community and Microsoft Support Professionals through Managed Newsgroups (English only). 3. Assisted Incident Support E-mail Support Get online incident help via e-mail from a Microsoft Support Professional. Phone Support Get incident help over the phone from a Microsoft Support Professional. Phone Support Contract Save with a discounted 5-Pack Phone Support contract. Advisory Services Add remotely delivered consultation options from Microsoft Advisory Services for proactive support that goes far beyond routine product maintenance. 4. Contract-Based Support Premier Support Get the flexibility to match support options to your organization and enjoy direct access to Microsoft technical experts at any time, day or night. Premier Support delivers customized options for businesses with complex needs, including dedicated technical professionals to oversee your support, 24x7 problem resolution, and training and workshops that keep your IT staff up to date. Essential Support Essential Support offers prepackaged options specifically designed to meet the fundamental support requirements of any business, large or small. Includes account management, problem resolution, and information services.

Where Else Can I Get Help? Free chats and webcasts List of newsgroups Microsoft community sites Community events and columns www.microsoft.com/technet/community

52