Novidades no AD RMS (Active Directory Rights Management Services) 2012
Este documento fornece detalhes das novas melhorias de implantação para o Active Directory Rights Management Services (AD RMS) no Windows Server® 2012. Essas melhorias devem permitir que os profissionais de TI que trabalham com o AD RMS atendam às necessidades de suas empresas de maneira segura, confiável e flexível.
AD RMS é o servidor que fornece ferramentas de gerenciamento e desenvolvimento que trabalham com tecnologias de segurança do setor —incluindo criptografia, certificados e autenticação —para ajudar as organizações a criarem soluções de proteção de informações confiáveis.
Os novos recursos do AD RMS abordados neste tópico incluem:
- Alterações em requisitos do AD RMS e do Microsoft SQL Server.
- Alterações na implantação do AD RMS ao usar o Gerenciador do Servidor e o Windows PowerShell
Para o Windows Server 2012, os requisitos de configuração do Microsoft SQL Server para suporte ao AD RMS foram revisados ou alterados em resposta aos comentários dos clientes.
Qual o valor que esta alteração adiciona?
Foram feitas as seguintes alterações na Instalação do AD RMS para permitir um melhor suporte para a implantação remota do AD RMS e de servidores SQL e para responder aos comentários dos clientes que solicitavam opções de implantação mais flexíveis.
O que passou a funcionar de maneira diferente?
Em versões anteriores, a instalação do AD RMS exigia que a conta usada para instalar o AD RMS tivesse privilégios de administrador local em qualquer computador encarregado de hospedar uma instalação do SQL Server que fosse ser usado para dar suporte ao armazenamento de dados relacionados ao AD RMS. Isso acontecia porque a Instalação do AD RMS exigia a capacidade de leitura de configurações de bancos de dados SQL a partir do Registro do Windows. Com os comentários do cliente, isso foi alterado nesta versão.
Para o Windows Server 2012, o AD RMS apresenta agora os seguintes requisitos de acesso ao SQL Server.
- A conta do instalador do AD RMS deve ter permissões sysadmin na instalação do SQL Server.
- O serviço SQL Server Browser deve estar em execução para localizar instâncias do SQL disponíveis.
- Exceções de firewall devem ser habilitadas no computador com o SQL Server para as portas que serão usadas pela instalação do AD RMS. A porta TCP da instância SQL que hospedará os bancos de dados do AD RMS deve estar habilitada. A porta UDP para o serviço SQL Server Browser também deve ser habilitada. Por exemplo, as portas padrão são normalmente a porta TCP 1433 para a instância do SQL Server e a porta UDP 1434 para o serviço SQL Server Browser.
Além dos requisitos de acesso anteriores, para o Windows Server 2012, as seguintes versões do Microsoft SQL Server foram testadas e verificadas como compatíveis para uso com a implantação do AD RMS.
- SQL Server 2005 Service Pack 3
- SQL Server 2008 Service Pack 3
- SQL Server 2008 R2 Service Pack 1
Em versões anteriores, a Instalação do AD RMS somente oferecia suporte para implantação no mesmo computador servidor em que o AD RMS fosse ser instalado. Com base nos comentários dos clientes, isso foi alterado. Para o Windows Server 2012, o AD RMS agora oferece suporte para implantação remota em computadores servidor direcionados.
Qual o valor que esta alteração adiciona?
As alterações a seguir na Instalação do AD RMS foram feitas para possibilitar a melhor integração com o Gerenciador do Servidor recentemente revisado no Windows Server 2012, que agora oferece suporte aprimorado à implantação segura e flexível de servidores remotos para o AD RMS e outras tecnologias do Active Directory.
O que passou a funcionar de maneira diferente?
Como resultado dessa alteração, durante a implantação do AD RMS em servidores remotos, você deverá fornecer credenciais de usuário para garantir a segurança da sua implantação. Agora, a implantação também requer uma etapa adicional que pode ser concluída com o uso do Gerenciador do Servidor ou do Windows PowerShell.
Para o Windows Server 2012, o Gerenciador do Servidor foi reprojetado de forma a dar suporte para a implantação remota do AD RMS como parte de um processo de duas etapas que pode ser resumido da seguinte maneira:
- Inicie o Assistente para Adicionar Funções e Recursos no Gerenciador do Servidor para adicionar a função do AD RMS. Isso adicionará e instalará os arquivos necessários para o AD RMS.
- Depois de adicionar a função do AD RMS, inicie o assistente de Configuração do AD RMS para selecionar opções de implantação e configurar o cluster do AD RMS.
Quando o assistente de configuração do AD RMS é iniciado pela primeira vez, se você estiver instalando o AD RMS em um servidor remoto, deverá fornecer as credenciais necessárias para concluir a configuração do AD RMS.
Os requisitos para selecionar as credenciais que você inserir aqui são os seguintes:
- A conta usada para implantar o AD RMS deve ter uma associação no grupo de Administradores local do computador servidor no qual você está instalando e configurando o AD RMS.
- A conta usada deve ter permissões sysadmin no servidor que hospeda o banco de dados de configuração para o cluster do AD RMS.
ObservaçãoA solicitação de credenciais só ocorrerá no Gerenciador do Servidor se você estiver instalando o AD RMS em um servidor remoto. No entanto, os requisitos de credenciais são os mesmos para uma instalação local.
Além disso, se você quiser registrar o SCP (ponto de conexão de serviço) do AD RMS no Active Directory durante a configuração, a conta também precisará ser membro do grupo Administradores da Empresa da floresta. Como isso exige privilégio adicional, é possível escolher concluir essa tarefa posteriormente depois de ter concluído a configuração básica do servidor. Para isso, é necessário usar o console do AD RMS.
| Observação |
|---|
Se você for exibir relatórios relacionados a AD RMS, também deverá instalar o .NET Framework 3.5 usando o Gerenciador do Servidor (ou digitando Install-WindowsFeature NET-Framework-Core no prompt Windows PowerShell) antes de instalar o Microsoft Report Viewer 2008, que é usado para gerar relatórios de solução de problemas e integridade do sistema sobre AD RMS no Windows Server 2012. |
Para o Windows Server 2012, agora existe a opção de concluir o processo de implantação de duas partes do AD RMS, descrito na seção anterior, usando comandos Windows PowerShell. No Windows Server 2008 R2, o módulo ADRMS era fornecido como parte do sistema operacional básico, mas isso foi alterado para permitir maior flexibilidade e modularidade na instalação do produto. Para esta versão, é necessário usar comandos fornecidos com o novo módulo ServerManager para Windows PowerShell.
Por exemplo, para concluir a primeira parte do processo de implantação (copiar e instalar todos os arquivos necessários para o AD RMS), você usaria os seguintes exemplos de cmdlets do Gerenciador do Servidor em um prompt do Windows PowerShell.
| Exemplo | Descrição |
|---|---|
Add-WindowsFeature ADRMS –IncludeAllSubFeature -IncludeManagementTools |
Adiciona todas as ferramentas e serviços de função do AD RMS. Esse comando baixa e disponibiliza todos os arquivos de suporte necessários para funcionamento com o AD RMS. |
Add-WindowsFeature ADRMS-Server |
Adiciona somente a função de servidor do AD RMS. Esse comando baixa e disponibiliza os arquivos necessários para dar suporte a uma instalação de servidor do AD RMS. |
Add-WindowsFeature ADRMS-Identity |
Adiciona suporte à federação de identidades para o AD RMS. Esse comando baixa e disponibiliza os arquivos necessários para dar suporte ao AD RMS trabalhando com o AD FS. |
Em seguida, você pode instalar o AD RMS usando o cmdlet Install-ADRMS que é fornecido como parte do módulo de implantação do AD RMS para Windows PowerShell. Ao usar este cmdlet, use o novo parâmetro Credentials conforme indicado a seguir. Este parâmetro é necessário para dar suporte a implantações remotas e convém que ele seja incluído em todas as implantações com base no PowerShell.
Install-ADRMS –Path adrmsDrive: -Credential
Ao adicionar o parâmetro -Credential, você será solicitado a inserir as credenciais necessárias para implantar o AD RMS. Se a instalação estiver direcionada a um computador remoto, as credenciais deverão ser transmitidas e validadas no computador remoto para que a instalação do AD RMS possa continuar.
Para o Windows Server 2012, a desinstalação do AD RMS também pode ser feita via Windows PowerShell como um processo de duas etapas comparável ao inverso do processo descrito na seção anterior referente à implantação do AD RMS. Este processo pode ser resumido da seguinte forma:
- Desinstale a função do AD RMS.
Isso pode ser feito separadamente com o uso do Windows PowerShell e executando o cmdlet Uninstall-ADRMS no módulo do ADRMS.
- Remova as configurações do registro e os arquivos do AD RMS que foram anteriormente adicionados como suporte ao AD RMS.
Se você estiver usando o Windows PowerShell, use o cmdlet Remove-WindowsFeature ADRMS no módulo ServerManager para realizar essa etapa como uma ação separada.
| Observação |
|---|
| Se você usar o Assistente para Remover Funções e Recursos no Gerenciador do Servidor para remover a função do AD RMS, as duas etapas resumidas a seguir poderão ser concluídas com uma única ação. Além disso, essa mesma ação conjunta ocorrerá se você executar Remove-WindowsFeature ADRMS, que chama o cmdlet Uninstall-ADRMS. |
Além das novas alterações no Windows PowerShell que afetam a implantação da função do AD RMS e de seus serviços e componentes, foram adicionadas novas propriedades para o Windows Server 2012 que podem ser usadas na implantação de instalações do AD RMS. A tabela a seguir fornece detalhes e comentários sobre onde essas novas propriedades podem ser usadas para dar suporte a novas alterações, como o suporte para criptografia forte.
| Tipo de Instalação | contêiner | Propriedade | Valor padrão | Descrição |
|---|---|---|---|---|
| RootCluster | CryptoSupport | SupportCryptoMode2 | True | Este contêiner aparece por padrão e é definido para habilitar o suporte para a criptografia forte. |
| RootCluster | SSLCertificateSupport | — | — | Este contêiner aparece apenas quando a propriedade ClusterURL for definida como HTTPS. |
| RootCluster | SSLCertificateSupport | SSLCertificateOption | ChooseLater | O padrão para esta propriedade permite que você escolha um certificado depois de implantar o AD RMS. Outros valores alternativos incluem Create (permite a criação de um certificado autoassinado) ou Existing (permite o uso de um certificado existente). |
| RootCluster | SSLCertificateSupport | Thumbprint | [não definido] | Esta propriedade é usada para especificar a impressão digital para identificar um certificado. Ele aparece apenas quando a propriedade SSLCertificateOption for definida como Existing. |
| LicensingCluster | SSLCertificateSupport | — | — | Este contêiner aparece apenas quando a propriedade ClusterURL for definida como HTTPS. |
| LicensingCluster | SSLCertificateSupport | SSLCertificateOption | ChooseLater | O padrão para esta propriedade permite que você escolha um certificado depois de implantar o AD RMS. Outros valores alternativos incluem Create (permite a criação de um certificado autoassinado) ou Existing (permite o uso de um certificado existente). |
| LicensingCluster | SSLCertificateSupport | Thumbprint | [não definido] | Esta propriedade é usada para especificar a impressão digital para identificar um certificado. Ele aparece apenas quando a propriedade SSLCertificateOption for definida como Existing. |
| JoinCluster | SSLCertificateSupport | — | — | Este contêiner aparece quando a propriedade DatabaseName for definida como um banco de dados de cluster que esteja usando SSL. |
| JoinCluster | SSLCertificateSupport | SSLCertificateOption | ChooseLater | O padrão para essa propriedade permite que você escolha um certificado mais tarde, depois da implantação do AD RMS. Outros valores alternativos incluem Create (permite a criação de um certificado autoassinado) ou Existing (permite o uso de um certificado existente). |
| JoinCluster | SSLCertificateSupport | Thumbprint | [não definido] | Esta propriedade é usada para especificar a impressão digital para identificar um certificado. Ele aparece apenas quando a propriedade SSLCertificateOption for definida como Existing. |
| JoinCluster | ADFSSupport | — | — | Esse contêiner existe por padrão em todas as instalações do AD RMS em execução no Windows 2008 R2, ou versões posteriores, mas nó aparecerá no Windows Server 2012 se o serviço de função ADRMS-Identity estiver instalado. |
| JoinCluster | ADFSSupport | ADFSUrl | [não definido] | O valor desta propriedade deve ser um endereço Web (URL) para um servidor AD FS válido. Por exemplo, "http:// fs.corp.contoso.com" |
| Observação |
|---|
| Quando a propriedade SSLCertificateOption é configurada para usar um valor Existing, e a propriedade Thumbprint está vazia ou não foi definida, pode parecer incorretamente que a instalação do AD RMS falhou ao usar o cmdlet Install-ADRMS em uma sessão do Windows PowerShell. Por exemplo, sob essas condições, é exibida a seguinte mensagem de erro após uma instalação com base em PowerShell.
Se esse erro aparecer, ele indica apenas que o AD RMS não possui uma associação SSL esperada. Se isso acontecer, você pode considerar que o AD RMS está totalmente provisionado e operando conforme esperado. Para solucionar o problema, basta configurar certificados SSL no IIS antes de usar o servidor do AD RMS. |
Em versões anteriores do AD RMS incluídas com o Windows Server® 2008 e o Windows Server® 2008 R2, não era possível iniciar mais de uma única instância do assistente de Configuração do AD RMS para instalar ou atualizar várias implantações do AD RMS a partir do mesmo computador servidor. Devido a alterações de design no Gerenciador do Servidor para o Windows Server 2012, várias instâncias do Assistente para Adicionar Funções e Recursos podem agora ser executadas simultaneamente, permitindo que duas ou mais instâncias do assistente de Configuração do AD RMS sejam iniciadas.
Qual o valor que esta alteração adiciona?
As alterações no Gerenciador do Servidor no Windows Server 2012 permitem que tecnologias e funções de servidor no Windows Server 2012 sejam mais abertas, eficientes e flexíveis quando se trata de escolher opções de implantação de funções.
O que passou a funcionar de maneira diferente?
Como resultado das alterações no Gerenciador do Servidor para permitir que várias instâncias sejam implantadas e configuradas simultaneamente no Windows Server 2012, e como essa alteração não está de acordo com o melhor design para implantação do AD RMS, a instalação do AD RMS não consegue impedir que vários assistentes de configuração do AD RMS sejam iniciados para criar novos clusters ou para unir um cluster existente. Portanto, o assistente de Configuração do AD RMS aplica a seguinte detecção de processos e lógica para determinar como deve gerenciar a ocorrência de várias instâncias da instalação do AD RMS em execução ao mesmo tempo.
- Se várias instâncias forem iniciadas e usadas para unir um cluster do AD RMS existente, a instalação do AD RMS será bem-sucedida para todas as instâncias ativas.
- Se várias instâncias forem iniciadas e usadas para uma tentativa de criar o mesmo novo cluster do AD RMS, a instalação do AD RMS falhará para todas as instâncias ativas.
Esta seção descreve alguns problemas a serem levados em consideração durante a implantação do AD RMS em máquinas virtuais. Em geral, o AD RMS é adequado para virtualização, especialmente para fins de teste e avaliação. Porém, existem algumas práticas que você deve observar ao trabalhar com servidores do AD RMS virtualizados. A seção a seguir descreve essas considerações.
Qual o valor que esta alteração adiciona?
O uso de plataformas de virtualização, como o Hyper-V, para implantar o AD RMS para fins de avaliação oferece diversos recursos de conveniência capazes de facilitar o processo de testes. Por exemplo, a virtualização permite estabelecer facilmente uma configuração em rede virtual privada completa, separada do ambiente em rede de produção, na qual é possível testar e avaliar a implantação do AD RMS livremente, até você ficar satisfeito, antes de tentar uma implantação no ambiente de produção.
O que passou a funcionar de maneira diferente?
Durante o trabalho com servidores do AD RMS virtualizados, as práticas e os recursos de implantação a seguir precisam ser observados ou seguidos para possibilitar os melhores resultados.
- Para garantir um desempenho consistente entre servidores do AD RMS virtualizados operando em condições de teste para verificar o desempenho de um servidor do AD RMS físico comparável na implantação subseqüente do AD RMS em um ambiente de produção, siga os requisitos de orientação recomendados enquanto você cria suas máquinas virtuais e depois use-os também para a instalação do AD RMS em um computador servidor físico. Em particular, selecione a maior quantidade recomendada de RAM para servidores virtuais do AD RMS. Se você seguir as diretrizes de hardware recomendadas, não haverá uma diferença de desempenho perceptível entre implantações do AD RMS em servidores de teste virtualizados e qualquer instalação em servidor físico comparável que você possa vir a implantar mais tarde como conseqüência dos resultados do seu teste de laboratório virtual.
- Ao instalar o AD RMS em um servidor virtual, você não poderá usar um HSM (módulo de segurança de hardware) interno para o armazenamento de chaves do AD RMS. Porém, você pode usar todas as outras formas de armazenamento de chaves: armazenamento de chaves do HSM de rede, armazenamento de chaves centralmente gerenciado do AD RMS e armazenamento de chaves CSP de software.
- Se você tiver instalado o AD RMS anteriormente em um VHD (disco rígido virtual) e depois colocar esse VHD offline para desinstalar o AD RMS, a função do AD RMS não será completamente removida. Para garantir a remoção completa e adequada do AD RMS, você deve remover primeiro a função de servidor do AD RMS antes de desligar qualquer VHD associado à instalação original do AD RMS na sua máquina virtual.
Para o Windows Server 2012, agora o AD RMS une a lista de funções de servidor, como AD DS (Serviços de Domínio Active Directory) e AD CS (Serviços de Certificados do Active Directory), que têm suporte para a implantação Server Core. Server Core é uma opção de instalação que permite que você realize uma instalação mínima do sistema operacional do Windows Server que pode ser útil para reduzir o TCO (custo total de propriedade) na implantação e gerenciamento de servidores.
Qual o valor que esta alteração adiciona?
O uso do Server Core para implantar o AD RMS pode proporcionar gerenciamento simplificado, manutenção reduzida, menos requisitos de disco e memória e também uma superfície de ataque menor. Os servidores que são executados em Server Core podem ser mais simples e mais baratos para gerenciar e mais estáveis e seguros em implantações de produção.
O que passou a funcionar de maneira diferente?
No Windows Server 2012, a opção de instalação Server Core não é mais uma seleção definitiva que é feita durante a instalação. No Windows Server 2008 R2 e Windows Server 2008, se seus requisitos foram alterados, não havia uma maneira de converter entre uma instalação completa e uma instalação Server Core sem reinstalar completamente o sistema operacional. Agora, é possível converter administrativamente entre uma instalação completa do Windows Server e executar no Server Core conforme necessários.
Nas instalações do Server Core, o serviço de função opcional Suporte à Federação de Identidade para a função do servidor AD RMS não é suportada. Isso ocorre porque o Suporte à Federação de Identidade conta com um serviço da função do Servidor AD FS, o Agente de Reconhecimento de Declaração, que é desabilitado nas instalações de Server Core.
Se você tentar adicionar o Suporte à Federação de Identidade para AD RMS, ocorrerá o seguinte erro.
The request to add or remove features on the specified server failed. Installation of one or more roles, role services, or features failed. – The source files could not be downloaded. Use the /source option to specify the location of the files that are required to restore the feature. The file location should either be the root directory of a mounted image or a component store that has the Windows Side-by-Side directory as an immediate subfolder.
As instruções para resolver o problema baixando os arquivos de origem não se aplicam neste caso. O Suporte à Federação de Identidade não pode ser instalado, porque o Agente de Reconhecimento de Declaração está desabilitado no Server Core.
O Windows Server 2012 também inclui as seguintes atualizações do recurso, que foram adicionadas recentemente como atualizações para a função AD RMS no Windows Server 2008 R2.
- Delegação simples
- Criptografia forte
Como esses recursos ainda são relativamente novos para a maioria dos clientes, eles serão discutidos mais aqui para ajudar a aprimorar o reconhecimento deles e para fornecer um contexto adicional para aqueles que não estão familiarizados com sua aparência no conjunto de recursos do AD RMS.
A delegação simples para o AD RMS permite que você tenha os mesmos direitos de acesso a conteúdo protegido que são atribuídos a uma pessoa que representa outros indivíduos da organização.
Qual o valor que esta alteração adiciona?
A delegação simples fornece a capacidade de delegar os direitos de conteúdo atribuídos a executivos e gerentes de maneira fácil e efetiva a seus assistentes. Isso permite que os assistentes tenham o mesmo nível de permissão de acesso a conteúdo protegido por IRM (Gerenciamento de Direitos de Informações) que o executivo. Ao estender o esquema do Active Directory para dar suporte a dois novos atributos, a delegação de direitos pode ser facilmente ativada ou desativada conforme necessário para obter o nível adequado de privilégio ou restrição para aqueles que suportam a liderança e o gerenciamento de sua organização.
O que passou a funcionar de maneira diferente?
Os requisitos para habilitar o uso da delegação simples para AD RMS no Windows Server 2012 são semelhantes aos requisitos de uso desse recurso no Windows Server 2008 R2. Dois atributos,msRMSDelegator e msRMSDelegatorBL, devem ser adicionados ao esquema do Active Directory. Isso pode ser feito usando os arquivos de atualização executados com a ferramenta Difole.exe. Esses atributos de extensão devem ser aplicados a todas as florestas nas quais o licenciamento do AD RMS ocorre. Além disso, talvez seja necessário definir permissões adicionais para que o AD RMS possa ler esses atributos e atualizar sua instalação do SQL que oferece suporte para o AD RMS como parte da preparação da sua implantação para também dar suporte ao uso da delegação simples.
A única outra alteração nos requisitos para delegação simples no Windows Server 2012 que é diferente da maneira como essa delegação era habilitada no Windows Server 2008 R2 é um nova propriedade PowerShell do AD RMS que pode ser usada para habilitar e desabilitar a delegação simples. Por padrão, esse recurso está desabilitado. Porém, para habilitar a delegação simples, use a seguinte linha de comando em um prompt elevado do Windows PowerShell em uma unidade PowerShell fornecida pelo AD RMS:
PS w:SecurityPolicyDelegation> Set-ItemProperty -path . –Name IsEnabled –Value $true
A criptografia forte para AD RMS permite aumentar a intensidade criptográfica da sua implantação do AD RMS, por meio da execução em um modo avançado também conhecido como modo criptográfico 2.
Qual o valor que esta alteração adiciona?
A execução do AD RMS com criptografia forte fornece uma implementação criptográfica atualizada e aprimorada para dar suporte a uma criptografia e a chaves criptográficas muito mais fortes. Por exemplo, no modo de operação 2, a criptografia RSA é aprimorada a partir da criptografia de 1024 bits para a criptografia de 2048 bits. Além disso, as chaves criptográficas também são maiores (movidas de chaves de 160 bits para o uso de chaves de 256 bits) e a opção para usar padrões de algoritmo de rash SHA-2 (SHA-2/SHA-256).
O valor da criptografia forte no AD RMS é que ela pode fazer parte em permitir que a sua organização atenda à conformidade regulatória com os padrões de segurança atuais definidos pelo NIST (National Institute of Standards and Technology). A partir de 1 de janeiro de 2011, o NIST emitiu uma Publicação Especial 800-57 que recomenda o uso de chaves RSA de 2048 bits. As agências federais dos Estados Unidos precisam estar em conformidade com as recomendações do NIST e muitas empresas privadas e outros países podem escolher implementar esta recomendação.
O que passou a funcionar de maneira diferente?
Para permitir o uso da criptografia forte na sua implantação do AD RMS, todos os computadores que hospedam o software de cliente ou servidor do AD RMS devem ser atualizados e receber patches.
Para atualizar os servidores do AD RMS para o modo criptográfico 2, você pode usar o console de gerenciamento do AD RMS ou os cmdlets do AD RMS para Windows PowerShell.
Usando o console de gerenciamento do AD RMS, é possível optar por atualizar os servidores existentes do AD RMS a partir do modo criptográfico 1 para o modo criptográfico 2, fazendo o seguinte:
- No painel de navegação, selecione o servidor do AD RMS que você deseja atualizar.
- No menu Ação (ou no painel Ações), selecione a opção Atualizar para o Modo Criptográfico 2.
Se estiver usando o Windows PowerShell, você também poderá optar por atualizar um servidor existente do AD RMS a partir do modo criptográfico 1 para o modo criptográfico 2 usando o módulo ADRMS.
Para atualizar para o Modo Criptográfico 2 usando o Windows PowerShell, use a seguinte sintaxe:
Update-ADRMS –UpdateCryptographicModeOnly –ServiceAccount <PSCredential> -force –NewCSPName <”Mode2 Supported CSP”> -Regen
Os itens a seguir se aplicam aos parâmetros especificados como parte da sintaxe acima:
- UpdateCryptographicModeOnly é o parâmetro que indica que o modo criptográfico 2 deve ser habilitado. Esta é uma operação unidirecional. Depois de concluída, você não poderá retornar o servidor do AD RMS para o modo criptográfico 1.
- O parâmetro Force é uma opção facultativa que pode ser usada para anular o prompt que solicita a confirmação do usuário.
- O parâmetro NewCSPName indica os provedores criptográficos que você deseja usar para criptografia. Esta é uma definição opcional dependendo de suas definições de chave criptográfica atuais. Por padrão, este é o Provedor de Serviço Criptográfico Aprimorado da Microsoft RSA e AES, mas também pode ser outro provedor de modo criptográfico 2, como um do HSM (Módulo de Segurança de Hardware) que suporte pelo menos criptografia de 2048 bits.
Observação
O nome CSP não pode ser especificado para chaves centralmente gerenciadas. Se um cluster do AD RMS estiver usando uma chave centralmente gerenciada para o modo criptográfico 1, será necessário atualizá-lo para uma chave centralmente gerenciada para o modo criptográfico 2. Ele não pode ser atualizado para uma chave CSP.
Por exemplo, se a conta de serviço do AD RMS se chamasse ADRMSSvc, você abriria um prompt do Windows PowerShell e executaria o seguinte comando para atualizar o servidor do AD RMS para o modo criptográfico 2:
Update-ADRMS –UpdateCryptographicModeOnly –ServiceAccount ADRMSSvc –NewCSPName “Microsoft Enhanced RSA and AES Cryptographic Provider”
Fonte: http://technet.microsoft.com/pt-br/library/hh831554.aspx