TechNet 網路廣播 Welcome.

Slides:



Advertisements
Similar presentations
Web Role 的每台虚机运行有 IIS ,用于处理 Web 请求 Worker Role 用于运行后台进程 Cloud Service 是什么? 支持多层架构的应用容器 由多个 Windows 虚拟机集群构成 集群有两种类型: Web 和 Worker Cloud Service 做什么 进行应用的自动化部署.
Advertisements

WCI361 Windows Vista WCI361 Windows Vista 运行性能设计与 改进.
应用技术 陕西华辉科技有限公司.
目錄 Microsoft Office SharePoint Server 2007
泛舆情管理平台 ——助力媒体业务创新 新模式 新格局 创新盈利增长点 2/26/2017 1:59 AM 屈伟: 创始人,总裁
中国银行业前置端操作系统移植研究.
NAP – 高可靠性,高安全性兼备的新一代网络安全接入解决方案
吴峻 软件设计工程师组长 Exchange Server 微软有限公司
王书贵 资深分析师 CCW Research 计世资讯
Database Architecture, not only DBA
请点击以下链接下载WinHEC的演讲材料
1. 设定愿景,确定业务场景 Microsoft Corporation
金融信息安全人才培养的思考与实践 中央财经大学 朱建明 2012年11月24日.
張書源 Microsoft MVP MCT 趨勢科技 技術經理 網酷科技 資深顧問 集英信誠 資深顧問
企業如何建置安全的作業系統 Windows XP 網路安全
Office 2013 全新功能介紹 台灣微軟 Office 大使 楊承恩 Marcus Microsoft Office
Windows 2000/XP网络组建与系统管理 李燕 中南分校.
講師姓名:黃信嘉、黃振宇 職稱:微軟技術支援副理 公司名稱:台灣微軟 課程代碼:WCL305
——打造科技金融升级版 中国建设银行顺德分行 2015年6月.
四川省集体林权流转平台 中国西部林权交易网
IIS網站的安全性管理 羅英嘉 2007年4月.
商業智慧平台 SQL Server Integration Services 介紹
Windows Vista 操作系统最新安全特性
資料檔案的安全性管理 羅英嘉 2007年4月.
轉移Windows XP的使用者環境到Windows Vista
什麼是電子軟體下載 Electronic Software Download (ESD).
OFC 302 InfoPath2007新特性及解决方案.
Windows Vista Internet Explorer 7.0 Overview
安全更新管理 精誠恆逸資訊 資深講師 職念文.
Microsoft Office SharePoint Server 2007 事件追蹤與專案管理
SOLUTIONACCELERATORS Windows Vista Hardware Assessment 1
朝雲端專業DBA邁進: 深入剖析 Windows Azure SQL Database 完整資料庫管理、雲端報表建立、建置分散式雲端資料庫
Microsoft Project 2003 Gibson New Microsoft Enterprise Project
利用最新Hyper-V Replica 功能達成Hyper-V 災難備援機制
Windows Server 2008 NAP整合802.1x網路安全控管
圖形溝通大師 Microsoft Visio 2003
System Center IT 管理系列 - 新一代組態管理與部署工具:如何在企業環境中建置 SCCM 2007
互聯網安全資訊 助您達至更安全的網上體驗.
第1章 SQL Server 2005 关系数据库简介.
服務啟用、導入流程、 郵件移轉步驟簡介 Microsoft Office 12/2/2018
OFC351 利用Office System开发复杂的商务解决方案 架构、模式、场景
TechNet Welcome.
微软新一代云计算 面向企业的 Office 365 客户培训大纲
顧武雄 Jovi Ku Microsoft特約資深講師
2/24/2019 5:40 AM © 2009 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered.
Microsoft SQL Server 2008 報表服務_設計
TechNet 技術講座 Entry Slide 0


OFC321 InfoPath在企业解决方案中应用的最佳实践
橫跨電腦、手機與軟體的全方位端點管控解決方案
CON223 UDDI:服务的发现和搜索.
呂政周 精誠恆逸教育訓練處 資深講師 Windows PowerShell 呂政周 精誠恆逸教育訓練處 資深講師
Cisco Troubleshooting and Maintaining Cisco IP Networks (TSHOOT)
4/30/2019 7:40 AM 約翰福音 15:9;17:20-23 加拉太書 6:1-2 © 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product.
DEV 343 VS2005超快速开发方案/EEP2006控件包.
5/4/2019 4:42 PM © 2009 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered.
微軟資安稽核解決方案 System Center 2012
TechEd /6/ :36 PM © 2013 Microsoft Corporation. All rights reserved. Microsoft, Windows, and other product names are or may be registered trademarks.
5/5/2019 7:06 PM 两跨框架梁截面配筋图的绘制 © 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may.
顧武雄 台灣微軟特約資深講師 Exchange 2007 管理工具活用秘訣 Entry Slide
百万亿次超级计算机诞生记 姓名 Xiangyu Ye 职务 微软中国技术中心资深HPC顾问 公司 微软中国
DEV 343 VS2005超快速开发方案/EEP2006控件包.
蔺华 ISV开发合作经理 平台及开发技术部 微软(中国)有限公司
MGT 213 System Management Server的昨天,今天和明天
MSG 361 如何从Exchange 5.5迁移 胡义 咨询顾问 上海星移软件有限公司 2019年7月31日8时9分
進階應用層防火牆實務 謝長明 技術總監 長成資訊顧問股份有限公司.
強化 Windows 平台 唐任威 資深講師.
高擴充高穩定高安全 企業級資料管理平台 Report Builder概論 錢曉明 資策會 資深講師 台灣微軟 資深講師.
Windows Workflow Foundation CON 230
Presentation transcript:

TechNet 網路廣播 Welcome

蘇建榮 alan_su@uuu.com.tw 恆逸教育訓練中心(精誠資訊) Windows Server 2008 Active Directory 版權管理服務 蘇建榮 alan_su@uuu.com.tw 恆逸教育訓練中心(精誠資訊)

大綱 AD RMS 功能與運作 建置與管理 AD RMS AD RMS 與 AD FS 整合 11/18/2018 6:31 PM 大綱 AD RMS 功能與運作 建置與管理 AD RMS AD RMS 與 AD FS 整合 與 Office SharePoint Server 2007 整合 © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary. 3

廣受採用的防護措施 Share Permission NTFS Permission 檔案加密系統(EFS) File Server 網際網路通訊協定安全性(IPSec) 虛擬私人網路(VPN) 安全通訊端層級(SSL) Firewall Internet File Server Firewall 隔離內部、外部網路限制存取。 Share 、 NTFS Permission 限制特定資料夾或檔案的存取。 EFS 確保檔案資料儲存的安全性。 IPSec 、 VPN 、 SSL 協助傳輸時加以保全數位內容。

上述的解決方案對初始的存取進行保護 並未對文件持續進行保護 授權的使用者 資訊外洩 未授權的人員(外部) 未授權的人員(內部) 防火牆管控 Yes 資訊外洩 No No 存取權限管控 未授權的人員(外部) 未授權的人員(內部) 防火牆管控

AD RMS(版權管理服務) Windows 平台的資訊保護技術 對敏感的資訊提供更好的安全防護 持續不斷的進行保護 彈性與可客製化 只有被授權的人才可以進行特定的存取操作 完全控制;僅供查閱、修改、複製、列印或不允許轉寄等 持續不斷的進行保護 不論您的重要資料傳遞到何處 彈性與可客製化 RMS 與廣受使用應用程式(如:Office)整合且容易使用 提供 SDK 讓獨立軟體供應商或開發人員容易的建構自己的解決方案

AD RMS 不能防止的行為…

AD RMS 的新功能 Windows Server 2008 內建 使用 ASP.NET 2.0 安裝時自動選取所需要的元件(如:IIS、WAS、MSMQ、Windows Internal Database 等) 可整合 AD FS 進行跨企業合作 自行登記-不需連通 Microsoft MMC 中嵌入的管理單元(可遠端管理) Health Report、Troubleshooting Report

AD RMS 的邏輯元件 取得憑證 取得授權 取得 AD RMS 根叢集 根叢集資料庫 Active Directory 身份識別 提供 SCP 取得憑證 AD RMS 根叢集 IIS, ASP.NET 2.0 根叢集資料庫 管理: 安全性設定 原則範本 記錄設定 SCP 註冊 運作: AD RMS Web Services 憑證、發行、授權 SQL Server 組態設定 記錄&快取 取得授權 用戶端電腦 RMS 用戶端軟體 支援 RMS 的應用程式 授權叢集 RMS Web Services: 發行 授權 IIS, ASP.NET 2.0 NLB 取得 SQL 使用者憑證 電腦憑證

AD RMS 環境中所使用的憑證 伺服器授權人憑證 Server Licensor Certificate SLC RMS 電腦憑證 Security Processor Certificate SPC 權限帳號憑證 Rights management Account Certificate RAC 用戶端授權人憑證 Client Licensor Certificate CLC 發行授權 Publishing License PL 使用授權 Use License UL

系統工作流程 部署 使用者驗證 發行文件 授權 使用受保護的資訊 提供 RMS 伺服器叢集與安裝 RMS 用戶端 取得 RAC 與 CLC,啟用使用者使用 RMS 的能力 發行文件 產生 PL 對文件進行保護 授權 取得 UL,授權使用者使用受保護的文件 使用受保護的資訊 應用程式使用 RMS client 來管制功能的使用

部署 伺服器與用戶端電腦完成啟用 伺服器部署與提供 部署用戶端 AD RMS 用戶端 AD RMS 根叢集 安裝 AD RMS 產生 SLC 安裝 RMS Client(SP2) 產生 SPC AD RMS 用戶端 AD RMS 根叢集 伺服器與用戶端電腦完成啟用

使用者驗證 用戶完成發行與使用資訊的準備 AD RMS 服務叢集 RAC 使用者身份識別 用以對 CLC 加密 SLC RAC 使用者身份識別 用以對 CLC 加密 由 SLC 簽署並以 SPC 加密 CLC 授權用戶發行文件 用以對 PL 簽署 由 SLC 簽署並以 RAC 加密 透過服務連接點(SCP)探索 AD RMS 服務位址 Windows 驗證 SPC 用戶完成發行與使用資訊的準備 AD RMS 用戶端

發行文件 資訊已受保護 AD RMS 以使用原則保護文件 散佈受保護的資訊 AD RMS 用戶端 產生加密文件的 Content key 產生 PL 記載本文件的使用原則(Rights Info) 以 SLC 對 Content Key 加密 使用 CLC 對 PL 簽署 由應用程式對資訊進行組合 散佈受保護的資訊 CLC 資訊已受保護 AD RMS 用戶端

授權 使用者被授權使用資訊 AD RMS 服務叢集 UL 收到已保護的資訊 AD RMS 用戶端 讓使用者使用受保護的文件 以 RAC 加密 Content Key 以 SLC 簽署 收到已保護的資訊 PL RAC AD RMS 用戶端 使用者被授權使用資訊

文件已可被使用並且應用程式強制控管使用的權限 使用受保護的資訊 應用程式使用 AD RMS Client 進行 評估 UL 是否被授權 使用 Security Processor 與 SPC 解密 RAC private key 使用 RAC 解密 UL Content key 使用 Content key 解密受保護的文件 授權使用者能對這份文件進行哪些操作 用戶端 受保護的文件 UL RAC Security Processor 文件已可被使用並且應用程式強制控管使用的權限

大綱 AD RMS 功能與運作 建置與管理 AD RMS 在 Office 2007 使用受保護文件 AD RMS 與 AD FS 整合 11/18/2018 6:31 PM 大綱 AD RMS 功能與運作 建置與管理 AD RMS 在 Office 2007 使用受保護文件 AD RMS 與 AD FS 整合 與 Office SharePoint Server 2007 整合 © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary. 17

環境、伺服器軟體與用戶端需求 Active Directory Database Server AD RMS 伺服器的需求 用戶端 Windows Server 2008、Win Srv 2003 或 Win 2000 Srv SP3 (含以上) Database Server SQL Server 2000 SP4 或 SQL Server 2005 AD RMS 伺服器的需求 Windows Server 2008 (Windows Web Server 2008 除外) 安裝 MSMQ、IIS 7.0、ASP.NET 2.0 NTFS 檔案系統(建議) 若無 SQL Server,可使用 Windows Internal Database,但不能使用 MSDE 用戶端 Windows Server 2008 與 Vista 內建 Win2000 SP3、Win XP Pro 與 Win 2003 需安裝RMS Client SP2 Office Professional 2003 或 Office Enterprise 2007 等

AD RMS 帳號 AD RMS Server 安裝及管理帳號 AD RMS Server 服務帳號 使用者及群組帳號 網域的 Domain Users 與 AD RMS Enterprise Administrators 群組成員 AD RMS Server 本機的 Administrators 群組成員 在 SQL Server 為 System Administrators role AD RMS Server 服務帳號 不能與用來安裝 AD RMS 的網域帳號相同 AD RMS Service Group 及 Domain Users 群組成員 需具備登入 AD RMS Server 本機的權限 使用者及群組帳號 必需設定電子郵件屬性

AD RMS 伺服器硬體需求 最低需求 建議配備 AD RMS 是使用叢集的方式建構的 Pentium 4 3.0GHz 單 CPU Pentium 4 3.0 GHz 雙 CPU 512 MB 的記憶體 1GB 的記憶體 40 GB 的可用硬碟空間 80 GB 的可用硬碟空間 AD RMS Cluster Log DB AD RMS 是使用叢集的方式建構的 一部 AD RMS 伺服器 = AD RMS 叢集中的單一節點 RMS Web Services Certification Publishing Licensing HSM NLB

同一叢集多部伺服器 一個 AD 樹系(Forest) 提供容錯與負載分散 必需使用相同版本的 AD RMS 1 個根叢集 可 0~n 個授權叢集 提供容錯與負載分散 使用 DNS 為同一 FQDN 設定多個 A 記錄 使用 NLB 讓多部電腦使用相同的叢集 IP 位址 必需使用相同版本的 AD RMS 共用同一組資料庫(組態、記錄、快取) 若使用 https 同一叢集的所有節點(伺服器),應安裝相同的憑證

註冊服務連接點(SCP) RMS 用戶端藉由『服務連接點』找到 AD RMS 以索取帳號憑證、發行授權與使用授權 必需是 Enterprise Admins 的群組成員才有足夠權限 帳號憑證、發行授權與使用授權 AD RMS Active Directory 目錄服務 識別 AD RMS 服務 AD RMS 連線 URL

權限原則範本(RPT) 簡化資訊作者對保護文件的繁瑣設定 可依據不同的語言提供不同的權限原則範本 應依據資訊內容的機密等級或使用者的分類進行設定,不宜過多 建立後需散佈至資訊作者可存取到的資料夾(UNC) 權限至少應為 AD RMS 服務帳戶可寫入、資訊作者可讀取 用戶端應用程式需知道此散佈位置 HKCU\Software\Microsoft\Office\12.0\Common\DRM AdminTemplatePath

安裝 AD RMS 根叢集

Office Enterprise 2007 Office Professional 2003 也支援的產品 Word、Excel、Power Point、Outlook Office Enterprise 2007 新支援的產品 InfoPath Outlook 更清楚得知郵件是否啟用版權管理 將 AD RMS 叢集 URL 加入近端內部網站 若使用 https,請信任根憑證授權單位

大綱 AD RMS 功能與運作 建置與管理 AD RMS AD RMS 與 AD FS 整合 11/18/2018 6:31 PM 大綱 AD RMS 功能與運作 建置與管理 AD RMS AD RMS 與 AD FS 整合 與 Office SharePoint Server 2007 整合 © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary. 27

AD RMS 與 AD FS 整合 優點 需求 只需單方部署 AD RMS 即可 不需將 AD RMS (Web Service) 的權限調整為允許匿名存取 不需建立網域信任或樹系信任 使用 https ,安全、方便 需求 雙方皆需要架設 AD FS,且在夥伴組織進行正確設定 已部署 AD RMS 的企業為資源夥伴,需將 certification 與 licensing 在 AD FS 設定為宣告感知應用程式 AD RMS 服務帳戶需額外授予 Generate Security Audits 需在 AD FS 與 AD RMS 安裝後,再安裝 Identity Federation Support 並啟用它 帳戶夥伴的用戶端需修改登錄機碼值、加入信任站台及CA

AD RMS 與 AD FS 整合 B 公司 A 公司 假設 B 公司人員已完成應有的啟動動作 B 公司人員送出受保護的 E-Mail 給 A A 公司收件人對 AD RMS 提出要求 B 公司 RMS 電腦的 AD FS Web agent 攔截此要求 RMS client 將被重新導向到 B 公司 的 FS-R ,並提示自己的 realm 為 A 公司 RMS client 將再被重新導向到 A 公司 的 FS-A 進行驗證(由 A 公司 Account Store,例:AD 網域) RMS client 在驗證過後被重導回 B 公司 的 FS-R 進行確認與對應 RMS client 對 AD RMS 伺服器提出要求 AD FS Web agent 攔截此要求並檢查 FS-R 所發出的 AD FS Token 內容後,送出要求給 AD RMS server RMS server 發出 RAC 給收件人 RMS server 發出 UL 給收件人 收件人存取受保護的文件 AD RMS 與 AD FS 整合 AD AD FS-R FS-A Web Agent 9 4 6 5 7 3 8 AD RMS PL 2 UL 11 12 RAC CLC 10 1 RAC CLC B 公司 A 公司

在 AD RMS 設定 Federation Identity Support 授予 AD RMS 服務帳號具有Generate Security Audits權利 在 AD RMS 設定 Externet URL 在 AD FS 為 AD RMS 建立宣告感知應用程式 https://ADFS站台/_wmcs/certificationexternal/ https://ADFS站台/_wmcs/licensingexternal/ 修改 web.config 安裝 Identity Federation Support 在 AD RMS 啟用 Federated Identity Support 修改帳戶夥伴用戶端的 registry

大綱 AD RMS 功能與運作 建置與管理 AD RMS AD RMS 與 AD FS 整合 11/18/2018 6:31 PM 大綱 AD RMS 功能與運作 建置與管理 AD RMS AD RMS 與 AD FS 整合 與 Office SharePoint Server 2007 整合 © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary. 32

MOSS 2007 使用版權管理 Policy 未加密 已受保護

設定 MOSS 2007 使用版權管理 使用 IE 將 SharePoint Site 加入近端內部網站 在 AD RMS 授予 MOSS 2007 Computer Account 對 certification pipeline 存取權 在 SharePoint 3.0 管理中心啟用 MOSS 2007 的資訊版權管理 在 SharePoint 站台使用 AD RMS 限制權限

設定 MOSS 2007 使用版權管理 使用 IE 將 SharePoint Site 加入近端內部網站 在 AD RMS 授予 MOSS 2007 Computer Account 對 certification pipeline 存取權 在 SharePoint 3.0 管理中心啟用 MOSS 2007 的資訊版權管理 在 SharePoint 站台使用 AD RMS 限制權限

設定 MOSS 2007 使用版權管理 使用 IE 將 SharePoint Site 加入近端內部網站 在 AD RMS 授予 MOSS 2007 Computer Account 對 certification pipeline 存取權 在 SharePoint 3.0 管理中心啟用 MOSS 2007 的資訊版權管理 在 SharePoint 站台使用 AD RMS 限制權限

設定 MOSS 2007 使用版權管理 使用 IE 將 SharePoint Site 加入近端內部網站 在 AD RMS 授予 MOSS 2007 Computer Account 對 certification pipeline 存取權 在 SharePoint 3.0 管理中心啟用 MOSS 2007 的資訊版權管理 在 SharePoint 站台使用 AD RMS 限制權限

結論 使用 AD RMS 與 Office Enterprise 2007 保護您的敏感資料 使用 AD RMS(IFS) 與 AD FS 整合 達成同盟企業單方部署 AD RMS 當然,雙方都部署 AD RMS 也很好 使用 MOSS 2007(IRM) 與 AD RMS 整合 保護內部或分享的文件 不需文件作者對每一份文件設定保護

相關資源 Microsoft Windows Server 2008 Home Microsoft TechNet http://www.microsoft.com/windowsserver2008/ Microsoft TechNet http://www.microsoft.com/taiwan/technet/ Microsoft Forums http://forums.microsoft.com/

TechNet 訂閱者下載 http://www.microsoft.com/taiwan/technet

For training information and availability www.microsoft.com/learning Training Resources Course ID Title 6416A Updating Your Active Directory Technology Skills to Windows Server 2008(Beta 3) For training information and availability www.microsoft.com/learning

Readiness with Skills Assessment Self-study learning tool free to anyone. Determines skills gaps. Provides learning plans. Post your Score, see how you stack up. Visit www.microsoft.com/assessment

Become a Microsoft Certified Professional What are MCP certifications? Validation in performing critical IT functions. Why Certify? WW recognition of skills gained via experience. More effective deployments with reduced costs What Certifications are there for IT Pros? MCP, MCSE, MCSA, MCDST, MCDBA. www.microsoft.com/learning/mcp

Heard the News about TechNet? Software without time limits! Complimentary technical support. The most current resources on hand www.microsoft.com/technet/subscriptions

Find all these support options at www. microsoft Find all these support options at www.microsoft.com/technet/support Microsoft offers a progressive series of support options starting with no-charge online support and developing through subscription, incident, and contract support. 1. No-Charge Online Support Knowledge Base Search a vast database of articles to pinpoint the information you need. Newsgroups Access over 20,000 active newsgroups on scores of topics. Product Support Centers Get answers to frequently asked questions, plus how-to articles and step- by-step instructions organized by product. DLL Help Database Search here to identify the software used to install a specific DLL version. Events and Errors Message Center Resolve event and error messages fast with explanations, recommendations, and links to support and resources. Support Webcasts Tune in to live technical presentations by Microsoft experts and take part in real- time Q&A. Chats Chat online with Microsoft specialists or search the transcript archives. User Group Program Access information and support for IT and other interest-specific user groups. TechNet Security Resource Center Get ahead of security risks with resources that keep you current, including security newsletters and the Microsoft notification service. 2. Subscription-Based Support TechNet Subscription Subscribe to TechNet for a personal library of articles, service packs, how-tos, resource kits, tools, utilities, and more. Your subscription includes monthly updates delivered on CD or DVD, so you always have the latest information, straight from the source. Upgrade to a TechNet Plus subscription and add all this: 1. Full-version evaluation software, including Microsoft Office System and Windows Server System™ products, without time restrictions. 2. Free support — two complimentary incidents, plus a discount on other support calls. 3. Unlimited, next-business-day access to reliable answers from the IT community and Microsoft Support Professionals through Managed Newsgroups (English only). 3. Assisted Incident Support E-mail Support Get online incident help via e-mail from a Microsoft Support Professional. Phone Support Get incident help over the phone from a Microsoft Support Professional. Phone Support Contract Save with a discounted 5-Pack Phone Support contract. Advisory Services Add remotely delivered consultation options from Microsoft Advisory Services for proactive support that goes far beyond routine product maintenance. 4. Contract-Based Support Premier Support Get the flexibility to match support options to your organization and enjoy direct access to Microsoft technical experts at any time, day or night. Premier Support delivers customized options for businesses with complex needs, including dedicated technical professionals to oversee your support, 24x7 problem resolution, and training and workshops that keep your IT staff up to date. Essential Support Essential Support offers prepackaged options specifically designed to meet the fundamental support requirements of any business, large or small. Includes account management, problem resolution, and information services.

Where Else Can I Get Help? Free chats and webcasts List of newsgroups Microsoft community sites Community events and columns www.microsoft.com/technet/community

52