想要做到這點,EFS可是辦不到了.那麼,當下微軟又有什麼主流的技術方案和手段提供給大家呢?
在介紹本文的主角之前,我想先問一下大家平時工作中處理文檔使用最多的辦公軟體是什麼?
毫無疑問,是Microsoft Office System!從Office XP, Office 2003到現在的Office 2007甚至已經推出beta測試版的Office 2010,我們早已經習慣了使用Word來寫工作文案,使用Excel來統計資料和做報表,使用Powerpoint來制作幻燈片,使用Outlook來收發郵件...等等等等.
那麼平時大家都用的什麼手段來保護這些Office文檔的安全呢?
有人說,加密啊,可以設定密碼的,地球人都知道.
呵呵,沒錯,那我們就先來一起複習一下如何對Office文檔加密吧.
以Microsoft Office Word 2007舉例
我們在點選"Office按鈕"以後,在彈出的菜單中選擇"準備",然後選擇"加密文檔".
<a href="http://mrfly.blog.51cto.com/attachment/200908/16/151750_1250444536fpd6.jpg"></a>
接着會彈出一個對話框,叫你輸入密碼
<a href="http://mrfly.blog.51cto.com/attachment/200908/16/151750_1250444540mKhe.jpg"></a>
這裡可以輸入最多255個字元的密碼
在背景,你看不到的是它其實是使用了AES 128位的進階加密标準.
這裡請使用大小寫字母,數字和符号,長度大于等于8的複雜密碼組合.
輸入一次後它會要求再輸入一遍确認
<a href="http://mrfly.blog.51cto.com/attachment/200908/16/151750_1250444542LD9V.jpg"></a>
加密完成後,當任何使用者需要檢視此檔案時都需要輸入密碼了.
<a href="http://mrfly.blog.51cto.com/attachment/200908/16/151750_12504445433U6q.jpg"></a>
OK,很簡單很實用,但此種措施仍有以下的問題:
1.跟域環境沒什麼關系,而且每要保護一個文檔都要單獨設定一個密碼,萬一使用者忘記了那麻煩可大了,上面截圖裡微軟也有鄭重提示.
2.因為Office産品的樹大招風,網上傳有不少破解加密的工具,我曾測試過其中一些,部分确實有效.
3.仍然沒有達到前面網友想要的預期效果."有心人"還是可以把這個檔案轉移(copy,mail等方式)到其他機器上甚至自己家裡慢慢嘗試各種破解工具.
好吧,
Information Rights Management (簡稱IRM),閃亮登場!
我們來看看IRM都能做些什麼?
IRM能夠讓你對每個文檔、每個使用者或每個群組設定許可(結合活動目錄環境).它與EFS加密,Office文檔加密相比,其真正的價值則是,你可以通過設定允許他人檢視,卻不讓他們做出以下操作:
◆拷貝檔案或檔案中的任意部分
◆将檔案另存到他們的硬碟或其它媒體中
◆編輯檔案
◆列印檔案
◆轉發郵件
◆将内容進行傳真
◆在檔案中進行剪切或粘貼操作
◆使用Print Screen鍵對内容進行抓圖式的拷貝
此外,IRM還支援檔案過期,就是在使使用者在指定的一段時間後不能再檢視檔案内容.
借用3G的廣告語,WO...
很好很強大,快一起來體驗一下吧.
想要在Office 2007中使用IRM,我們需要先在計算機上安裝Windows Rights Management Services (RMS) Service Pack 1 (SP1)用戶端.
在vista作業系統中此用戶端軟體是預設已經安裝好的,在XP上我們就需要動一下手了.這裡下載下傳此用戶端的位址我就不要貼出來了. (為什麼呢?... LR你就不能把連結發出來我們就不用搜了啊...衆網友喊道)
要使用IRM,位置就是在"加密文檔"的下方,點選"管理憑據"
<a href="http://mrfly.blog.51cto.com/attachment/200908/16/151750_1250444549edb5.jpg"></a>
呵呵,看到了吧,你點一下"是"就會自動開始下載下傳啦 .前提當然是電腦連入Internet了 .
<a href="http://mrfly.blog.51cto.com/attachment/200908/16/151750_1250444555GGWv.jpg"></a>
隻有2.31M,不是很大...
注意如果使用的是普通域使用者賬号要确定其是否有軟體安裝的權限
<a href="http://mrfly.blog.51cto.com/attachment/200908/16/151750_1250444558MMEA.jpg"></a>
<a href="http://mrfly.blog.51cto.com/attachment/200908/16/151750_1250444560Z1Yq.jpg"></a>
安裝過程略了,就點幾次Next而已,安裝完成.
我們再回來,選擇"限制通路"
<a href="http://mrfly.blog.51cto.com/attachment/200908/16/151750_1250444564phBI.jpg"></a>
出現了一個短暫的連接配接授權伺服器的畫面,一閃而過,我沒來及截上圖...
然後...
<a href="http://mrfly.blog.51cto.com/attachment/200908/16/151750_1250444568QXcs.jpg"></a>
可以看到詳細的文字說明
額,原來是微軟的免費試用服務,而且要使用Windows Live ID才能使用此服務
選擇"是",下一項
<a href="http://mrfly.blog.51cto.com/attachment/200908/16/151750_1250444572f0PY.jpg"></a>
還沒有注冊Live ID的兄弟去注冊個吧...(随着MSN的崛起,沒有這個的很少了吧...)
這個,俺真有的,接着下一步
<a href="http://mrfly.blog.51cto.com/attachment/200908/16/151750_1250444575ObBu.jpg"></a>
<a href="http://mrfly.blog.51cto.com/attachment/200908/16/151750_1250444579ZoqE.jpg"></a>
服務是有時間期限的,六個月...
我接受... 繼續
<a href="http://mrfly.blog.51cto.com/attachment/200908/16/151750_1250444583sBSN.jpg"></a>
連接配接到帳戶證書服務,此過程也是很快的.還好截到圖了...
<a href="http://mrfly.blog.51cto.com/attachment/200908/16/151750_1250444586na3c.jpg"></a>
最多可以在25台私人電腦上使用此服務...
<a href="http://mrfly.blog.51cto.com/attachment/200908/16/151750_1250444589P59W.jpg"></a>
可以開始授權了,可以輸入想要授權給的使用者的電子郵件位址或者從活動目錄中選擇.
點開"其他選項"看一下
<a href="http://mrfly.blog.51cto.com/attachment/200908/16/151750_1250444592nyP6.jpg"></a>
(額,忘記遮蓋ID了,呵呵,沒事,這個也是我的MSN号碼,有Windows server方面問題的朋友可以++,一起交流哈)
回到上上個截圖的界面,選擇将權要授給誰...
這裡我選擇從活動目錄中查找使用者
<a href="http://mrfly.blog.51cto.com/attachment/200908/16/151750_1250444597uFiZ.jpg"></a>
我選擇授權給這個系列頻繁出鏡的使用者cto
<a href="http://mrfly.blog.51cto.com/attachment/200908/16/151750_1250444600TcBx.jpg"></a>
點選确定以後會發現原來讀取的是使用者對應的電子郵件位址
說明一下:我的實驗環境還沒有搭起exchange,是以這裡寫外部郵件位址
後面文章裡就需要自己搭建exchange了
<a href="http://mrfly.blog.51cto.com/attachment/200908/16/151750_12504446021Fn3.jpg"></a>
如果你沒有為使用者設定郵件位址,會是下面這樣
<a href="http://mrfly.blog.51cto.com/attachment/200908/16/151750_1250444605LN6V.jpg"></a>
<a href="http://mrfly.blog.51cto.com/attachment/200908/16/151750_1250444608fjae.jpg"></a>
前面提到的IRM功能基本都是在這裡設定的.
可以選擇對使用者的授權的到期時間
隻是對他授予的權限到期,不是文檔到期不可用或者被删除,大家不要害怕
<a href="http://mrfly.blog.51cto.com/attachment/200908/16/151750_1250444611kWzv.jpg"></a>
還可以授權是否允許列印
可以設定是否允許有讀取權限的使用者在文檔裡複制内容
......
設定好授權項以後,會看到"限制通路"等字眼
<a href="http://mrfly.blog.51cto.com/attachment/200908/16/151750_1250444615Abkg.jpg"></a>
我們在另外一台電腦上(Windows server 2003系統)通路這個已經設定過權限的Word檔.
<a href="http://mrfly.blog.51cto.com/attachment/200908/16/151750_12504446171ElX.jpg"></a>
輕按兩下打開
<a href="http://mrfly.blog.51cto.com/attachment/200908/16/151750_1250444620oCY5.jpg"></a>
直接會提示安裝RMS用戶端.
安裝完成用戶端後會要求你取得IRM服務的憑據
<a href="http://mrfly.blog.51cto.com/attachment/200908/16/151750_1250444622DiMK.jpg"></a>
使用cto的live ID
<a href="http://mrfly.blog.51cto.com/attachment/200908/16/151750_1250444624Bv1R.jpg"></a>
提示這個文檔做過權限設定,要連接配接到微軟的許可伺服器上下載下傳權限
<a href="http://mrfly.blog.51cto.com/attachment/200908/16/151750_1250444627MhIW.jpg"></a>
通過了live ID的驗證後可以檢視文檔内容了
<a href="http://mrfly.blog.51cto.com/attachment/200908/16/151750_1250444629ukGI.jpg"></a>
無法修改,被限制了.
<a href="http://mrfly.blog.51cto.com/attachment/200908/16/151750_12504446318B7U.jpg"></a>
無法剪切複制内容,也被限制了(灰色按鍵不可用)
<a href="http://mrfly.blog.51cto.com/attachment/200908/16/151750_1250444631nh1D.jpg"></a>
無法列印,還是被限制了(灰色按鍵不可用)
<a href="http://mrfly.blog.51cto.com/attachment/200908/16/151750_12504446335zz7.jpg"></a>
不過,可以通過電子郵件聯系那頭的權限設定人請求放寬權限.
或者權限設定者直接在文檔上修改使用者權限.
<a href="http://mrfly.blog.51cto.com/attachment/200908/16/151750_1250444635Nuti.jpg"></a>
一點選"請求附權重限"自動就啟用Outlook發郵件了...
<a href="http://mrfly.blog.51cto.com/attachment/200908/16/151750_1250444637Nk2l.jpg"></a>
總結:
通過本文中的示範,我們可以看到使用IRM實作了令人歎服的對Office文檔的權限管理,其綜合安全性比較EFS,Office文檔加密等方法有了質的提高.但是麻煩的是我們要讓用戶端使用live ID連入Internet網絡去跟微軟的Lisences server去聯系,并且免費服務還是有時間期限的.
必須要這樣我們才能使用上這麼好的東西嗎?
呵呵,當然不是啦,其實我們可以在内網架設RMS伺服器來代替微軟放在公網上的認證伺服器的.
下篇文章就讓我們一起學習如何建置使用RMS實作Office文檔的資訊權限管理吧,敬請期待~
本文轉自 jrfly331 51CTO部落格,原文連結:http://blog.51cto.com/mrfly/192629,如需轉載請自行聯系原作者