配置AD RMS服务器-4
在AD RMS控制台窗口中选择"排除策略"选项,显示如图17-43所示的"排除策略"窗口,在其中可以设置用户、应用程序、密码箱及Windows版本排除。
(点击查看大图)图17-43 "排除策略"窗口 |
建议不要从排除策略中删除实体,除非可以确定在创建排除策略前颁发的所有证书都已到期;否则新旧证书都将允许对内容解密,留下非常严重的安全隐患。
用户排除可用于排除已经存在安全隐患的信任用户,如某用户账户原本是可信的。但其AD RMS凭证不慎泄露,其他非授权用户则可能通过此凭证使用受RMS保护的文档,此时就可以通过排除该用户的权限账户证书的公钥来排除该证书。排除权限账户证书后,下次该用户试图获得新内容的用户许可证时,其请求将被拒绝。要获得用户许可证,该用户必须使用新的密钥对来检索新的权限账户证书。
要排除根认证服务器或群集上的权限账户证书,可以在根认证服务器的"排除策略"中指定用户的域账户,并且应当在通过注册子过程注册的所有服务器上同时排除其权限账户证书。
(1)在AD RMS的左窗格中展开"排除策略"选项,选择"用户"选项,显示如图17-44所示的"用户排除信息"窗口。默认状态下,用户排除为禁用状态。
(2)在右窗格的"操作"栏中单击"启用用户排除"超级链接,即可启用用户排除策略,如图17-45所示。
(点击查看大图)图17-44 "用户排除信息"窗口 |
(点击查看大图)图17-45 启用用户排除策略 |
(3)单击"操作"栏中的"排除用户"超级链接,显示如图17-46所示的"添加要排除的用户"对话框,可以通过用户名或者用户账户证书的公钥字符串排除。
(点击查看大图)图17-46 "添加要排除的用户"对话框 |
(4)单击"完成"按钮,用户排除成功。
排除应用程序的主要依据是应用程序的类型及版本号范围,一旦配置应用程序排除策略,则将在每个用户许可证中添加一个条件限制。即如果请求该许可证的应用程序不在已排除列表中,那么该许可证只能绑定到它所针对的受AD RMS保护的内容。应用程序排除在很多情况下都是非常实用的,通常情况下应用程序版本越低,其安全性也越差。通过应用程序排除,就可以限制AD RMS服务器为运行较低版本应用程序的客户端提供许可证,以保证文档内容的安全。
(1)在"排除策略"窗口中选择"应用程序"选项,显示如图17-47所示的"应用程序排除"窗口。单击"已启用应用程序排除"超级链接,即可启用应用程序排除。
(点击查看大图)图17-47 "应用程序排除"窗口 |
(点击查看大图)图17-48 "添加要排除的应用程序"对话框 |
转载于:https://blog.51cto.com/eneted/374158