AD RMS 系統(tǒng)包括基于 Windows Server 2008 的服務(wù)器（運行用于處理證書和授權(quán)的 Active Directory 權(quán)限管理服務(wù) (AD RMS) 服務(wù)器角色）、數(shù)據(jù)庫服務(wù)器以及 AD RMS 客戶端。AD RMS 系統(tǒng)的部署為組織提供以下優(yōu)勢：

1)    保護敏感信息。如字處理器、電子郵件客戶端和行業(yè)應(yīng)用程序等應(yīng)用程序可以啟用 AD RMS，從而幫助保護敏感信息。用戶可以定義打開、修改、打印、轉(zhuǎn)發(fā)該信息或?qū)υ撔畔?zhí)行其他操作的人員。組織可以創(chuàng)建子自定義的使用策略模板（如"機密 – 只讀"），這些模板可直接應(yīng)用于上述信息。

2)    永久性保護。AD RMS 可以增強現(xiàn)有的基于外圍的安全解決方案（如防火墻和訪問控制列表 (ACL)），通過在文檔本身內(nèi)部鎖定使用權(quán)限、控制如何使用信息（即使在目標(biāo)收件人打開信息后）來更好地保護信息。

3)    靈活且可自定義的技術(shù)。獨立軟件供應(yīng)商 (ISV) 和開發(fā)人員可以使用啟用了 AD RMS 的任何應(yīng)用程序或啟用其他服務(wù)器（如在 Windows 或其他操作系統(tǒng)上運行的內(nèi)容管理系統(tǒng)或門戶服務(wù)器），與 AD RMS 結(jié)合使用來幫助保護敏感信息。啟用 ISV 的目的是為了將信息保護集成到基于服務(wù)器的解決方案（如文檔和記錄管理、電子郵件網(wǎng)關(guān)和存檔系統(tǒng)、自動工作流以及內(nèi)容檢查）中。

AD RMS 中的功能：
在Windows Server 2008中，通過使用 服務(wù)器管理器，可以設(shè)置 AD RMS 的以下組件：
－ Active Directory Rights Management Services。Active Directory 權(quán)限管理服務(wù) (AD RMS) 角色服務(wù)是一項必需的角色服務(wù)，用于安裝發(fā)布和使用受權(quán)限保護的內(nèi)容所用的 AD RMS 組件。
－ 聯(lián)合身份驗證支持。聯(lián)合身份驗證支持角色服務(wù)是一項可選的角色服務(wù)，允許聯(lián)合身份借助 Active Directory 聯(lián)合身份驗證服務(wù)來使用受權(quán)限保護的內(nèi)容。

簡要部署AD RMS

(一)硬件和軟件注意事項

安裝 AD RMS 服務(wù)器角色時，系統(tǒng)會同時安裝必需的服務(wù)，其中的一項就是 Internet 信息服務(wù) (IIS)。AD RMS 還需要一個數(shù)據(jù)庫（如 Microsoft SQL Server），該數(shù)據(jù)庫可與 AD RMS 在同一服務(wù)器上運行，也可以在遠(yuǎn)程服務(wù)器和 Active Directory 域服務(wù)林中運行。

下表介紹了運行具有 AD RMS 服務(wù)器角色的基于 Windows Server 2008 服務(wù)器的最低硬件要求和建議。

下表介紹了運行具有 AD RMS 服務(wù)器角色的基于 Windows Server 2008 服務(wù)器的軟件要求。對于通過啟用操作系統(tǒng)上的功能可以滿足的要求，可通過安裝 AD RMS 服務(wù)器角色根據(jù)需要配置這些功能。



(二)正式部署AD RMS

接下來，開始正式配置安裝AD RMS服務(wù)器。

1. 安裝一臺Windows Server 2008，計算機名稱為”WS2008-ADRMS”。

2. 配置TCP/IP屬性登錄系統(tǒng)后，單擊”開始”，單擊”控制面板”，雙擊”網(wǎng)絡(luò)和共享中心”，單擊”查看狀態(tài)”。單擊”屬性”。在”本地連接 屬性”窗口中雙擊”Internet協(xié)議版本4（TCP/IPv4）”。輸入相關(guān)信息。

3. 將WS2008-ADRMS加入到域。單擊”開始”，右鍵點擊”我的電腦”，單擊”屬性”。單擊”改變設(shè)置”。在”系統(tǒng)屬性”窗口中單擊”更改”。輸入要加入的域名，單擊”確定”。輸入一個有權(quán)限加入域的用戶和密碼。最后進行確認(rèn)并重啟計算機即可。

4. 將用戶”ADRMS-admin”添加到本地Administrators（管理員）組中。

5. 添加 AD RMS Server 角色使用” ADRMS-admin “登錄到”ADRMS”服務(wù)器上。單擊”開始”，點擊”管理工具”，單擊”服務(wù)器管理器”。在”用戶帳戶控制”窗口單擊”繼續(xù)”。單擊”添加角色”；在”添加角色向?qū)?#8221;中單擊”下一步”；

6．勾選”Active Directory Rights Management Services”后單擊”添加必需的角色服務(wù)”。系統(tǒng)自動勾選相關(guān)的服務(wù)，單擊”下一步”，出現(xiàn)”Active Directory Rights Management Services簡介”，單擊”下一步”。選擇安裝的角色服務(wù)，默認(rèn)為”Active Directory僅限管理服務(wù)器”，單擊”下一步”。選擇”新建AD RMS群集”，單擊”下一步”。

7. 在”配置數(shù)據(jù)庫”頁面，選擇”使用其他數(shù)據(jù)庫服務(wù)器”，單擊”選擇”，輸入數(shù)據(jù)庫服務(wù)器名稱后單擊”確定”。在”數(shù)據(jù)庫實例”中選擇”默認(rèn)”，并單擊”驗證”。最后單擊”下一步”。在”服務(wù)帳戶”頁面中，單擊”指定”。在”添加角色向?qū)?#8221;窗口輸入前面創(chuàng)建的用戶和密碼。單擊”確定”。

8.在”群集鍵存儲”頁面，保持默認(rèn)選擇”使用AD RMS集中管理的密鑰存儲”，單擊”下一步”。在”群集密鑰密碼”頁面輸入一個密碼。在”群集網(wǎng)站”頁面，選擇”默認(rèn)網(wǎng)站”，單擊”下一步”。在”群集地址”頁面，選中”使用未加密的連接（https://）”， “端口”采用默認(rèn)的”80″，單擊”驗證”。最后單擊”下一步”。

9.在”許可證證書名稱”頁面輸入一個名稱。在”SCP注冊”頁面，保持默認(rèn)的”立即注冊AD RMS服務(wù)連接點”。出現(xiàn)”Web服務(wù)器簡介（IIS）”頁面，單擊”下一步”。系統(tǒng)列出相關(guān)的web服務(wù)器的角色服務(wù)。單擊”下一步”。在”確認(rèn)”頁面對相關(guān)信息進行總覽，沒問題的話就單擊”安裝”。系統(tǒng)會顯示正在進行安裝的過程。成功后會顯示一個信息頁面，其中要求必須注銷后再重新登錄才可以管理AD RMS。單擊”關(guān)閉”并注銷系統(tǒng)。

重新登錄后，單擊”開始”，單擊”管理工具”，單擊”Active Directory Rights Management Services”。在”用戶帳戶控制”窗口單擊”繼續(xù)”。打開AD RMS管理器。在此可對AD RMS進行相關(guān)的管理操作。

管理 AD RMS

在Windows Server 2008中，由于有了服務(wù)器管理器的存在，眾多任務(wù)的管理已經(jīng)變得相當(dāng)簡單。服務(wù)器角色使用 Microsoft 管理控制臺 (MMC) 管理單元來進行管理。使用 Active Directory Rights Management Services 控制臺可以管理 AD RMS。具體打開方式為：單擊”開始”，指向”管理工具”，然后單擊”Active Directory Rights Management Services”即可。

二、 防火墻
與以前Windows版本中的防火墻相比，Windows Server 2008中的高級安全防火墻(WFAS)有了較大的改進，首先它支持雙向保護，可以對出站、入站通信進行過濾。

其次它將Windows防火墻功能和Internet 協(xié)議安全(IPSec)集成到一個控制臺中。使用這些高級選項可以按照環(huán)境所需的方式配置密鑰交換、數(shù)據(jù)保護(完整性和加密)以及身份驗證設(shè)置。而且WFAS還可以實現(xiàn)更高級的規(guī)則配置，你可以針對Windows Server上的各種對象創(chuàng)建防火墻規(guī)則，配置防火墻規(guī)則以確定阻止還是允許流量通過具有高級安全性的Windows防火墻。

傳入數(shù)據(jù)包到達(dá)計算機時，具有高級安全性的Windows防火墻檢查該數(shù)據(jù)包，并確定它是否符合防火墻規(guī)則中指定的標(biāo)準(zhǔn)。如果數(shù)據(jù)包與規(guī)則中的標(biāo)準(zhǔn)匹配，則具有高級安全性的Windows防火墻執(zhí)行規(guī)則中指定的操作，即阻止連接或允許連接。如果數(shù)據(jù)包與規(guī)則中的標(biāo)準(zhǔn)不匹配，則具有高級安全性的Windows防火墻丟棄該數(shù)據(jù)包，并在防火墻日志文件中創(chuàng)建條目(如果啟用了日志記錄)。

對規(guī)則進行配置時，可以從各種標(biāo)準(zhǔn)中進行選擇：例如應(yīng)用程序名稱、系統(tǒng)服務(wù)名稱、TCP端口、UDP端口、本地IP地址、遠(yuǎn)程IP地址、配置文件、接口類型(如網(wǎng)絡(luò)適配器)、用戶、用戶組、計算機、計算機組、協(xié)議、ICMP類型等。規(guī)則中的標(biāo)準(zhǔn)添加在一起;添加的標(biāo)準(zhǔn)越多，具有高級安全性的Windows防火墻匹配傳入流量就越精細(xì)。

下面我們一起來了解一下如何來配置Window Server 2008的防火墻。

利用MMC單元進行管理

這種方式可以讓你在一個界面中同時配置防火墻設(shè)置和IPSec設(shè)置，還可以在監(jiān)視節(jié)點中查看當(dāng)前應(yīng)用的策略、規(guī)則和其它信息。

從啟動菜單的管理工具中找到高級安全Windows防火墻，點擊打開MMC管理單元。Windows 2008的高級安全Windows防火墻使用出站和入站兩組規(guī)則來配置其如何響應(yīng)傳入和傳出的流量;通過連接安全規(guī)則來確定如何保護計算機和其它計算機之間的流量，而且可以監(jiān)視防火墻活動和規(guī)則。

下面我們來通過實際例子查看一下如何配置這幾個規(guī)則。

首先從入站規(guī)則開始，假如我們在Windows Server 2008上安裝了一個Apache Web服務(wù)器，默認(rèn)情況下，從遠(yuǎn)端是無法訪問這個服務(wù)器的，因為在入站規(guī)則中沒有配置來確認(rèn)對這些流量“放行”，下面我們就為它增加一條規(guī)則。

打開高級安全Windows防火墻，點擊入站規(guī)則后從右邊的入站規(guī)則列表中我們可以看到Windows Server 2008自帶的一些安全規(guī)則，在這兒可以看到，我們可以基于具體的程序、端口、預(yù)定義或自定義來創(chuàng)建入站規(guī)則，其中每個類型的步驟會有細(xì)微的差別。第三步指定對符合條件的流量進行什么操作，接下來選擇應(yīng)用規(guī)則的配置文件和為規(guī)則指定名稱后，規(guī)則就創(chuàng)建好了。

連接安全包括在兩臺計算機開始通信之前對它們進行身份驗證，并確保在兩臺計算機之間正在發(fā)送的信息的安全性。具有高級安全性的 Windows 防火墻包含了 Internet 協(xié)議安全 (IPSec) 技術(shù)，通過使用密鑰交換、身份驗證、數(shù)據(jù)完整性和數(shù)據(jù)加密(可選)來實現(xiàn)連接安全。

對于單個服務(wù)器來說，可以使用高級安全Windows防火墻管理控制單元來對防火墻進行設(shè)置，以上的方法還算適用。但是如果在你的企業(yè)網(wǎng)絡(luò)中有大量計算機需要設(shè)置，就應(yīng)該使用下面這種更高效的方法?！　?/p>

在一個使用活動目錄(AD)的企業(yè)網(wǎng)絡(luò)中，為了實現(xiàn)對大量計算機的集中管理，你可以使用組策略來應(yīng)用高級安全Windows防火墻的配置。組策略提供了高級安全Windows防火墻的完全功能的訪問，包括配置文件、防火墻規(guī)則和計算機安全連接規(guī)則。

實際上，在組策略管理控制臺中為高級安全Windows防火墻配置組策略的時候是打開的同一個控制單元。值得注意的是，如果你使用組策略來在一個企業(yè)網(wǎng)絡(luò)中配置高級安全Windows防火墻的話，本地系統(tǒng)管理員是無法修改這個規(guī)則的屬性的。通過創(chuàng)建組策略對象，可以配置一個域中所有計算機使用相同的防火墻設(shè)置。

使用Netsh advfirewall命令行工具，雖然圖形化配置界面比較簡單直觀，但是對于一些有經(jīng)驗的系統(tǒng)管理員來說，則往往更喜歡使用命令行方式來完成它們的配置工作，因為后者一旦熟練掌握的話，可以更靈活更準(zhǔn)確更迅速的實現(xiàn)配置任務(wù)。

Netsh是可以用于配置網(wǎng)絡(luò)組件設(shè)置的命令行工具。具有高級安全性的Windows防火墻提供netsh advfirewall工具，可以使用它配置具有高級安全性的Windows防火墻設(shè)置。使用netsh advfirewall可以創(chuàng)建腳本，以便自動同時為IPv4和IPv6流量配置一組具有高級安全性的Windows 防火墻設(shè)置。還可以使用netsh advfirewall命令顯示具有高級安全性的Windows防火墻的配置和狀態(tài)。

通過以上Windows Server 2008功能及管理工具，能夠方便為企業(yè)信息的安全與信息管理，為企業(yè)高速發(fā)展保駕護航。

hanrui