Windows Server 2008白皮书(四)

windows的联邦版权管理
windows服务器2008
概况

在当今，协作，特别是与同事和值得信赖的商业伙伴跨越组织界线进行信息共享，是很重要的管理商业的部分。然而，在电子通讯中的敏感资料及文档，易于复制和转发，增加了未经许可浏览和散布的风险。传统的周边安全方法不能提供单点的保护，保护公司之间相互协作的关键数据和资料。为此，组织寻求扩大安全策略的方法，在数据离开公司网络以后仍能提供单点和持久的保护。

微软身份识别和进入平台提供如此全面的信息保护，除了未经授权的使用，无论信息在何处往来都可以提供持久保护。当能够遵守和不间断协作时，这有助于减轻风险。

活动目录权限管理服务

windows服务器2008的活动目录权限管理服务（AD RMS）（从前的windows的RMS）是一个关键，以保护敏感信息。之前发布的windows服务器2008，与用户之外的企业网络共享的一个受RMS保护的文档，要求接受者的组织里有一个兼容的RMS服务器。或者，外面的用户可以在企业网络内给一个活动目录帐户，这个过程提出了具有挑战性的行政和安全等问题。微软的协作平台，在用户活动目录介绍基础上，共享点服务器2007也有能力对文档进行动态申请RMS保护。但是，这也需要一个本地活动目录帐户。

windows服务器2008能使用一种更全面和更易于管理的新方法保护敏感资料。由于在windows 服务器2003中，活动目录联邦服务（AD FS），能使一个组织与另一个组织建立起联邦信任。用户一旦登录到他们本地域，通过身份识别和进入联邦可以进入伙伴的域。因为在windows服务器2008，AD RMS已与AD FS整合，现在联邦信任，允许AD RMS认可适合的至外部用户RMS许可，而不需要在当地登录或者拥有他们自己的AD RMS服务器。

这种情况就是所谓的"安全联邦协作"。从本质上讲，一家公司内部的管理员需要分享RMS保护信息，对外部用户不再需要维持独立的用户名和密码。外部户用需要一个单独的登录（SSO），使他们能够合适地获得RMS保护内容，而不需要保留多重身份。总之，安全分享机密信息-无论是和合作伙伴、供应商或顾客，已经变得更加容易。当外部用户认证，RMS将自动提供所有适当的许可，允许外部用户工作和分享组织的内部敏感内容。管理员获得单点控制，控制如何使外部用户与保护内容交互，包括定义模块能力，使之可以应用于成倍增加的伙伴关系。

在windows服务器2008，AD FS与AD RMS共同工作，在联邦识别基础上，使用户在不同领域安全共享文档，而不是本地活动目录层面。这可以AD FS要求鉴别用户，并控制他们进入内容。当外部用户登录到他们本地AD领域，提供他们联邦要求，这要求包含应当予以认同的信任书和进入权利。

这创建立一个强大的新内容共享 — 联邦文档协作 — 对外部用户消除维护影子账户需要，并提供给这些用户单独登录进入RMS保护内容。一旦两个实体已经建立了联邦信任，用户可以分享和利用保护的内容几乎一样，如果他们在同一个域。在资源提供者 — 管理员可以控制一些优良点 — 他们有某种方法进入其他某种内容，而对个人用户无需管理身份。

持久性信息保护

在windows服务器2008，AD RMS可以与很多应用工作和进行跨平台的工作，且无论在哪里运行，它都将提供紧密集成的使用权和加密后续内容。它可以用来保护文档，电子数据表，内联网网站和电子邮件。它也为开发整合RMS功能与非RMS应用提供了必要的工具。而且，组织可以创建定自定义使用权利模块，可以即时使用。

AD RMS服务器和客户端系统处理过程，第一步：开始发行用户许可申请AD RMS内容许可。一旦有个用户通过rms服务器已经发出一份账户证书，用户可以保护内容。这使文档的RMS保护变得简单；RMS特点是内置到微软的应用产品，例如微软office® word和微软office ®Excel®。RMS服务器绑定的权利的信息内容和加密内容，以防止未经授权的访问。当用户试图查看或以其他方式使用受保护文档时，RMS服务器发出声响，并检查用户的权限，发出解密和使用许可，这是恰当的。

在windows服务器2008之前，一个外部用户需要进入RMS保护的内容必须有一个本地用户帐户。在简化外部帐户管理后，这不再必要。

情况：安全和方便协作

与微软联邦权利管理解决方案，安全协作共用内容是比较容易管理和增加了保护本组织的关键数据。共同协作的情况涉及公司需要分享的机密资料与另一组织的雇员。例如，Contoso，设计一种新产品，并希望有工程师在fabrikam，检验产品规格和为生产拟定一项计划。规格内容保密，Contoso希望工程师能够看懂他们，但并不会改变，复制，打印或转发它们。

在Office Word 2007，综合利用RMS特点，在Contoso，该产品管理器可以轻易申请适当许可。如果这两家公司正在使用windows服务器2008的AD FS，并分享联邦信任。 Contoso同以前一样应用RMS许可，但有一点是没有必要提供fabrikam雇员本地AD身份识别。当他们登录fabrikam域，一旦被授权作为联邦用户，提供他们由Contoso的AD RMS服务器解释的AD FS要求。

在sharepoint服务器2007的联邦协作

微软office sharepoint服务器2007也可以配置为使用身份识别和访问联邦申请RMS许可，而不需要一个当地活动目录账户。在sharepoint库，RMS许可不能直接对文档进行操作。相反，当用户要求时，sharepoint动态应用RMS保护储存文档。在先前的sharepoint版本，需要通过使用windows NT记号获得用户的AD得到。一般情况，如前几版的RMS，这需要系统管理员为外部用户维持AD账户，如果组织想要通过防火墙分享内容，对安全性、管理与sso启动提出同样的挑战。

情况：安全内容共享与sharepoint服务器2007

其他管理情况大大简化了与windows服务器2008联邦权限管理，能轻松地管理接入多种外部用户，他们需要获得内部的内容或数据。

下一代加密技术（CNG）

下一代加密技术（CNG）提供了一个灵活的加密开发平台，让IT专才在加密技术有关的应用领域，创造、更新并使用自定义加密算法，例如：活动目录服务证书（AD CS），安全套接层（SSL）和网络安全协议（IPSec）。CNG执行美国政府的B套加密算法，其中包括算法的加密，数字签名，密钥交换，散列法。

CNG提供了一套应用程序接口，用来执行基本加密操作，如创建，存储和恢复加密钥匙。同时它也支持安装和使用补充的的加密供应商。CNG使组织和开发商能使用自己的加密算法，或实施的标准加密算法。

• CNG，可被windows服务器2008和windows vista支持，有下列能力：
•CNG允许客户使用自己的加密算法或使用标准加密算法。客户还可以增添新的算法。
•CNG支持在内核模式的加密技术。在内核模式和用户模式可使用同样的应用程序接口，完全支持加密功能。安全套接层/传输层安全（SSL/TLS）和IPSec，除了启动过程中使用CNG，以内核模式运行。
•CNG计划，包括获取联邦信息处理标准（FIPS）140-2第2级认证加上共同的标准评价。
•CNG遵守在一个安全的过程中使用和贮存寿命长的钥匙的共同准则要求。
•CNG支持目前的一套CryptoAPI 1.0算法。
•CNG提供支持椭圆曲线密码系统（ECC）算法。若干ECC的算法都需要按美国政府B套方案进行。
•任何电脑与可信赖平台模块（TPM），将可提供在TPM的密钥隔离和存储。