AD RMS保護電子郵件安全<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />

???????? 我們已經(jīng)在之前的實驗中證實了RMS服務(wù)器可以有效對保護文件服務(wù)器的數(shù)據(jù)安全，今天我們要考察一下RMS服務(wù)器在電子郵件領(lǐng)域的表現(xiàn)。電子郵件對于一個商業(yè)公司的重要性是不言而喻的，而且電子郵件用于竊取數(shù)據(jù)安全也是便利得很。間諜們發(fā)現(xiàn)某一封郵件很重要，只要陰險地點擊一下轉(zhuǎn)發(fā)按鈕，就可以在片刻之間把公司的機密數(shù)據(jù)暴露在光天化日之下。而且這種泄密方式非常隱蔽，速度又快得難以察覺，因此安全工程師們切不可對此掉以輕心。 ???????? 好在我們還有RMS！RMS對付電子郵件的表現(xiàn)像文件服務(wù)器一樣優(yōu)秀。電子郵件的發(fā)送者對郵件內(nèi)容進行加密，然后把密鑰集成在RMS服務(wù)器上的訪問許可證中。郵件接收者收到郵件后，需要從RMS服務(wù)器下載訪問許可證，這樣才可以訪問被加密的郵件內(nèi)容。同時，訪問者也要收到RMS服務(wù)器的權(quán)限制約，例如不允許對郵件內(nèi)容進行復(fù)制，打印等。 ???????? 本文我們要通過一個實驗來驗證一下RMS服務(wù)器對電子郵件的保護能力，實驗拓撲如下圖所示，本次實驗中增加了一下Exchange服務(wù)器。我們利用Exchange服務(wù)器為域內(nèi)的兩個用戶administrator和Jack各自創(chuàng)建了一個郵箱，準(zhǔn)備讓administrator給Jack發(fā)一封電子郵件，然后對郵件的訪問權(quán)限進行限制，看看Jack收到郵件后RMS的限制是否能夠達到預(yù)期效果。XP作為測試郵件的客戶機，事先已經(jīng)安裝了Outlook2007。 <?xml:namespace prefix = v ns = "urn:schemas-microsoft-com:vml" />

?

???????? 首先，我們要確保administrator和Jack都已經(jīng)成功創(chuàng)建了郵箱。如圖1所示，我們檢查一下Jack的Exchange郵件屬性，確認(rèn)無誤后再進行后續(xù)操作。 圖1

?

???????? 確保administrator和Jack都已經(jīng)擁有了郵箱，接下來我們以administrator的身份在XP客戶機上登錄，如圖2所示，administrator正在登錄XP。 圖2

?

???????? 如圖3所示，administrator在XP客戶機上啟動Outlook2007。我們知道，第一次啟動Outlook時需要在Outlook上創(chuàng)建一個配置文件，用于記錄Outlook所訪問的郵件服務(wù)器的各項參數(shù)，我們在圖2所示界面中點擊“下一步”就可以開始創(chuàng)建配置文件了。 圖3 ???????? 如圖4所示，Outlook2007詢問是否需要配置電子郵件賬號，當(dāng)然要選擇“是”。 圖4

?

???????? 如圖5所示，接下來要選擇Outlook2007所連接的郵件服務(wù)器類型，我們選擇的郵件服務(wù)器類型是Exchange服務(wù)器。 圖5

?

???????? 如圖6所示，輸入administrator的電子郵件地址，Outlook2007可以在Active Directory自動查詢Exchange服務(wù)器，并且自動完成Exchange服務(wù)器的參數(shù)設(shè)置，這是Outlook2007比Outlook2003有改進的地方。 圖6

?

???????? 如圖7所示，Outlook2007已經(jīng)通過Active Directory查詢到了Exchange，點擊“完成”就可以結(jié)束Outlook2007的配置文件設(shè)置了。 圖7

?

???????? 如圖8所示，administrator登錄郵箱后準(zhǔn)備給Jack發(fā)送一封測試郵件，內(nèi)容是“RMS測試”。 圖8

?

???????? 點擊Outlook2007左上角的開始按鈕，如圖9所示，在“權(quán)限”的設(shè)置菜單中選擇“不可轉(zhuǎn)發(fā)”，顯然是不允許郵件接收者擅自把郵件內(nèi)容轉(zhuǎn)發(fā)給第三者。 圖9

?

???????? 如圖10所示，對郵件進行限制后，我們可以在Outlook2007中看到郵件被標(biāo)示為只能被讀取內(nèi)容，不允許轉(zhuǎn)發(fā)。復(fù)制和打印。點擊“發(fā)送”按鈕，把郵件發(fā)送Jack的郵箱，看看效果如果。 圖10

?

???????? 如圖11所示，我們在XP客戶機上注銷administrator，以Jack的身份登錄。 圖11

?

???????? Jack登錄XP后，啟動Outlook2007，完成Outlook2007的配置文件設(shè)置。登錄Jack郵箱后，如圖12所示，我們在郵箱中發(fā)現(xiàn)了administrator發(fā)來的測試郵件。打開測試郵件時，Outlook2007要求連接到RMS服務(wù)器進行身份驗證，我們輸入Jack的用戶名和口令完成身份驗證。 圖12

?

???????? 如圖13所示，Jack完成身份驗證后，被要求從RMS服務(wù)器下載訪問許可證，然后才可以利用訪問許可證訪問郵件內(nèi)容，點擊“確定”就可以自動從RMS服務(wù)器下載訪問許可證。 圖13

?

???????? 如圖14，下載了訪問許可證后，Jack看到了郵件的內(nèi)容。同時我們注意到郵件中的提示，Jack不能轉(zhuǎn)發(fā)郵件，也不能對郵件內(nèi)容進行復(fù)制和打印。 圖14

?

???????? 試試看RMS的限制是否有效，如圖15所示，右鍵單擊右鍵內(nèi)容，菜單中的復(fù)制果然變成了灰色，看來RMS限制復(fù)制還是很有用的啊。同時我們也觀察到，郵件菜單中的“轉(zhuǎn)發(fā)”也變成了灰色，看來想轉(zhuǎn)發(fā)郵件也是不可能的了。 圖15

?

???????? 繼續(xù)測試，如圖16所示，點擊Outlook2007左上角的開始按鈕，我們發(fā)現(xiàn)打印操作也是不支持的。呵呵，間諜遇到了RMS就算是倒霉了，要把郵件內(nèi)容偷出去看樣子要用筆把郵件給抄下來了….. 圖16

?

???????? 郵件的接收者到底有這封郵件有哪些具體權(quán)限呢？如圖17所示，我們在郵件中點擊“查看權(quán)限”，看看權(quán)限設(shè)置的具體情況。 圖17

?

???????? 如圖18所示，我們看到Jack可以對郵件進行查看，保存，回復(fù)等常規(guī)操作，但無法進行打印，復(fù)制。從這個實驗的測試結(jié)果來看，如果企業(yè)中要發(fā)送一些重要郵件，完全可以考慮使用RMS對郵件內(nèi)容進行保護。本文拋磚引玉，希望能為致力于提高內(nèi)網(wǎng)數(shù)據(jù)安全性的朋友們提供一個參考思路。 圖18

?

?

總結(jié)

以上是生活随笔為你收集整理的AD RMS保护电子邮件安全的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。