Microsoft Windows Media - Freeme 软件修订

向内容所有者和内容服务提供商介绍 Freeme.exe 修订

背景信息
Microsoft 评估了于 2001 年 10 月 19 日在 The Register 网站上发布的 Freeme.exe 软件，并已确认以下事实：对于购买了受 Microsoft Windows Media 数字权限管理版本 7（包括 7.1）保护的内容或获得其许可证的用户来说，可使用 Freeme 软件来破解数字权限管理 (DRM) 对该内容的保护。请注意，其中很重要的一点是：这种破解并不会危及用户存储在计算机上的个人信息的安全，它仅对用 Windows Media 权限管理器版本 7 软件开发工具包 (SDK)（而非版本 1）保护的内容起作用。

Microsoft 还确认，这种破解的前提是获得有效的许可证，这意味着您不能破解尚未购买或获得许可证的内容，其原因是：如果内容受 Microsoft Windows Media DRM 的保护，其许可证是另行提供给用户的（即不随内容一同提供）。

Microsoft 对 DRM 的每一次破解都非常重视。无论是现在还是将来，Microsoft 都将确保其产品免遭黑客攻击当做首要任务来抓。由于所有 DRM 系统都可能被攻破，因此 Microsoft 设计了 Windows Media DRM 系统来支持动态更新，以防出现上述安全问题。这种更新机制（称作安全续订）不需要使用新版本的 Windows Media Player 或 Windows Media Format 软件开发工具包。

Microsoft 已发布了对 Freeme 软件的修订，并新增了一些其他的安全保护功能。今后，攻击者将更难于利用已发布的信息。

修订摘要
实施细节
用户体验
最佳经验

修订摘要
上述 Windows Media DRM 破解问题的解决办法是续订功能，即利用更新、更安全的安全组件来替换已失去安全性的 Windows Media 安全组件（具体来说就是受 DRM 子系统保护的内容模块，又称黑匣）。对于消费者来说，这意味着他们需要先更新安全组件，之后才能播放从内容所有者或分发者处下载的受保护内容。但是，此过程不会发送任何个人身份信息或有关内容使用情况的信息。

针对 Freeme 破解的修订涉及以下过程：

打包新内容或重新打包已加密的内容时要求使用续订的安全组件
更新许可证服务器，以触发续订过程，并向续订的组件颁发许可证
当用户获取受保护的内容时，续订 Media Player 中的安全组件

要对 Windows Media DRM 系统执行此更新，必须完成以下三个步骤：

更新内容标题打包新内容或重新打包现有内容时，添加或修改内容标题中的安全组件版本标识符（专业术语为“个性化版本号”），以触发安全组件的更新。
更新许可证服务器更新许可证服务器上的许可证，使许可证服务器能够向新的安全组件颁发许可证。
触发续订当客户端向许可证服务器发出请求时，触发对安全组件的更新。

返回页首

实施细节：
必须执行以下步骤才能消除 Freeme 软件被非法破解的威胁。内容所有者或许可证颁发者可执行第一步来更新内容标题，但许可证颁发者还必须执行第二步和第三步。强烈建议内容所有者用最高版本的安全组件（2.2 版）来重新打包所有的内容，以确保其内容的安全。

1. 更新内容标题
此步骤由负责对内容进行打包的组织机构执行。在此步骤中，内容打包者将为 Windows Media 所保护文件的标题添加属性，或更改其属性（如果它已经使用“个性化”属性）。请注意，这不同于对内容重新加密。

要更新标题，请按照以下说明操作：
将受保护内容的标题中的 WMRMHeader.IndividualizedVersion 设置为“2.2”。属性 WMRMHeader.IndividualizedVersion 指示播放此内容所需的 Windows Media DRM 安全组件的最低版本。如果将此属性设置为 2.2，客户端将调用 DRM 子系统来检查其中的安全组件的版本是否正确。如果该子系统所具有的个性化安全组件的版本为 2.2，则许可证服务器可以颁发一个绑定到新安全组件的公钥上的许可证。

2. 更新许可证服务器
每个许可证颁发者必须更新其许可证服务器配置，以确保：

如果用户 PC 上的安全组件存在安全威胁，则不会向该用户颁发许可证
如果用户 PC 上的安全组件已更新，则可向其颁发许可证

可对配置进行如下更新：

从许可证服务器计算机上转到以下网址：http://licenseserver.windowsmedia.com/
单击此页上用于下载最新许可证服务器信息的链接，以便自动更新您的许可证服务器的配置

或者，也可以采用以下步骤手动更新许可证服务器配置：

在以下注册表位置 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WM Rights Manager\LicenseServer\VerificationKeys 创建名为“2.2.0.1”的新注册表项
将该新创建的注册表项的值设置为“WRZPSd6hM7Q9ZakF9NO3ydZA7UN888SR*!j!cH!wrd18zsbXVdR4fw==”
将 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WM Rights Manager\LicenseServer\VerificationKeys 下的注册表项“2.1.0.0”的值改为“WRZPSd6hM7Q9ZakF9NO3ydZA7UN888SR*!j!cH!wrd18zsbXVdR4fy==”
将 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WM Rights Manager\LicenseServer\VerificationKeys 下的注册表项“2.1.0.1”的值改为“WRZPSd6hM7Q9ZakF9NO3ydZA7UN888SR*!j!cH!wrd18zsbXVdR4fy==”

注意：这将防止许可证服务器向旧的安全组件颁发许可证。

注意：如果许可证服务器未（按上述步骤）更新，而某个已更新的客户端（已采用新安全组件的客户端）向该许可证服务器发出请求，则许可证服务器将失败，并向该客户端显示错误。您自己（或指定人员）更新您的许可证服务器非常重要，这样才能确保已更新的客户端能够接收许可证。

3. 触发对服务器的安全组件更新
此步骤将更新许可证服务器，以便它可以检测向其发出许可证请求的 DRM 安全组件的版本号；如果安全组件的版本号低于“2.2.0.1”，则将它重定向到升级网页。

当 Media Player 发出内容许可证请求时，它会向许可证服务器发送有关的硬件信息。它不会发送任何个人身份信息或者有关内容使用情况的信息。所发出的信息中包含了 ClientAttribute 属性 (WMRMChallenge.ClientAttribute)，称作 SECURITYVERSION。此属性指定了 DRM 安全组件的安全版本。如果 SECURITYVERSION 属性的值低于“2.2.0.1”，许可证服务器会将客户端重定向到 Microsoft 所维护的网页 (

http://drmlicense.one.microsoft.com/Indivsite/indivit2.htm) ，通过该网页可更新用户计算机上的 DRM 安全组件。

注意：即使受保护的内容要求进行无提示许可证传送，获取许可证的用户仍将得到通知，告诉他们需要安装新安全组件，而且安装新安全组件之前必须先征得他们的同意。

注意：WMRM SDK v7.1 中提供了一些示例脚本，它们可用新个性化版本号更新内容并将内容许可证从 v1 升级到 v7.1。

返回页首

用户体验
如果内容标题中指定的安全组件版本号高于计算机上受保护内容模块的安全组件版本号，则许可证服务器将把用户重定向到 Microsoft 个性化服务，让其用新的安全组件更新 DRM 子系统。如果用户正在使用 Windows Media Player，则将看到以下个性化对话框。用户可以选择是否进行升级。

免费修订

如果用户单击更多信息，将看到以下网页：

http://www.microsoft.com/windows/windowsmedia/software/v8/privacy.asp，在该网页上用户可以更详细地了解 Microsoft 的隐私策略。

如果用户选择不进行升级，则无法获取或播放需要使用更高安全组件版本的新内容。
如果用户选择升级，个性化服务将把新的受保护内容模块（包含大小约 110K 的修订）下载到用户计算机上。之后，许可证服务器就可以颁发许可证，该许可证将绑定到新下载的受保护内容模块的公钥上。

返回页首

最佳经验
除了上述步骤之外，我们建议您采用 Windows Media 权限管理器软件开发工具包中介绍的最佳经验。具体说来，这些经验包括：

对每一段媒体内容都用其专用的密钥进行加密。
定期更改种子。
只颁发 Windows Media DRM v7.1 许可证。
对内容使用动态标题，以便今后能够快速更新内容。

返回页首

个人信息中心