【IT168 专稿】我们在无数的好莱坞影片中看到过商业间谍为了窃取企业的机密数据而斗智斗勇，绞尽脑汁的精彩镜头，但我们有没有想到过，如果这一幕就发生在我们身边，我们该如何加以防范呢?微软公司的RMS(Rights Management Services 版权管理服务)服务器就是为此应运而生的。RMS可以保护企业内的重要文件，授权只有特定用户才能访问这些文件。当然，有读者会指出，文件服务器的权限也可以做到这一点。不要着急，继续听我介绍，RMS还可以允许文件不能被复制，打印，转发，甚至离开了公司就无法打开这些文件。怎么样，这些功能靠文件服务器的权限就无法实现了吧，EFS也无能为力。

　　RMS设计的这些功能显然是为了防止一些用户把公司的机密文件利用U盘带出公司，或通过电子邮件转发出去，毕竟古人有言在先：千防万防，家贼难防啊!RMS要求用户每次打开文件，都要在RMS服务器上申请凭据，然后才能打开被加密的文件内容。一旦文件离开了公司环境，访问者就无法联系RMS服务器了，文件内容也就无法阅读了。即使在公司内，RMS也可以允许用户只能阅读，无法打印，复制，通过邮件转发，极大地提高了窃取机密内容的难度。当然，RMS不可能实现百分之百的安全，万一有个用户使用DV把屏幕上的文件内容都录制下来，或者直接用笔记录下来，那文件内容的泄露还是不可避免的。只是，间谍当到这个份上，杯具啊….

　　介绍了RMS的大致功能，我们要通过一个实例为大家实际演练一下。我们的实验拓扑如下图所示，RMSERVER的操作系统是Win 2008 R2，我们要在RMSERVER上实现RMS服务。DCSERVER的操作系统是Win2003，DCSERVER的角色是域控制器，DNS服务器，还是一个企业根CA。XP的操作系统是XP SP2，用于测试的客户机。
 

　　一 RMS部署前准备

　　RMS服务在部署之前要先做一些准备工作。首先，我们需要在域控制器上创建一个RMS管理员账号，这是因为RMS服务器安装时不允许使用域中的administrator账号。打开域控制器上的Active Directory用户和计算机，如图1所示，创建一个名为RMSADMIN的用户。这个用户也具有域管理员权限，我们要使用RMSADMIN用户在RMSERVER上登录。
 

　　图1

　　创建完用户后，我们还需要为RMS服务器申请一个服务器证书。我们以RMSADMIN的身份在RMSERVER上登录，通过MMC控制台定制出一个管理本地计算机证书的管理单元。然后通过申请证书任务为RMSERVER在企业根CA上申请证书，如图2所示，我们已经申请到了一个RMSERVER.CONTOSO.COM的计算机证书，这个证书可以用于服务器验证，也可以用于客户机验证，能够满足我们的实验需求。
　

图2