AD RMS 加密模式 2 和 Exchange 2010 信息权限管理
原文发布于 2012 年 4 月 10 日(星期二)
在 Exchange 2010 中,我们将 Exchange 2007 中引入的 Active Directory Rights Management Services (AD RMS) 集成功能内置到一套称为信息权限管理 (IRM) 的信息保护功能中。IRM 要求您在内部部署组织中部署 AD RMS 服务器。有关更多详细信息,请参阅了解信息权限管理,包括不同的 IRM 功能的使用以及每种功能的要求。您还可以在 Exchange Online 组织或混合部署中使用 IRM 功能。
安装 AD RMS 时,它处于加密模式 1。加密模式 1 支持 RSA 加密的 1024 位密钥和 SHA-1 哈希算法的 160 位密钥。若要了解有关 AD RMS 中加密的更多信息,请参阅 RMS 加密和密钥。
去年年底,Windows Server 团队发布了 AD RMS 的重要更新,该更新支持一种新的加密模式,称为加密模式 2。模式 2 通过允许您使用 RSA 的 2048 位密钥和 SHA-1 的 256 位密钥来提供更强的加密功能。此外,模式 2 还允许您使用 SHA-2 哈希算法。有关 AD RMS 中加密模式的详细信息,请参阅 Active Directory Rights Management Services 加密模式(该链接可能指向英文页面)。
国家标准和技术协会 (NIST) 推荐的加密模式 2 符合美国联邦政府机构的要求。有关详细信息,请参阅 NIST 出版物 SP 800-57(该链接可能指向英文页面)。世界上许多其他政府和私营组织也遵循 NIST 的建议。在 Windows Server "8" Beta 中,加密模式 2 是默认的 AD RMS 加密模式。
在客户端和服务器上启用加密模式 2 是单向升级。一旦启用了更高级别的加密模式,则没有支持的方法可回到之前的加密模式。
目前,Exchange 2010 IRM 功能与加密模式 2 不兼容。切换到这种模式可能会导致丧失 IRM 功能。如果 Exchange 2010 的 IRM 功能对于您的组织非常重要,那么我们建议不要将您的 AD RMS 群集切换到加密模式 2。
我们正在开发 Exchange 2010 的更新,以便允许在 AD RMS 上使用加密模式 2。
订阅 EHLO RSS 源(该链接可能指向英文页面)并在 Twitter 上关注我们(该链接可能指向英文页面)以获得 Exchange 软件更新的最新通知。
这是一篇本地化的博客文章。请访问 AD RMS Cryptographic Mode 2 and Exchange 2010 Information Rights Management 以查看原文