Exporteren (0) Afdrukken
Alles uitvouwen

Dynamisch toegangsbeheer: scenario-overzicht

Gepubliceerd: februari 2012

Bijgewerkt: december 2012

Van toepassing op: Windows Server 2012



In Windows Server 2012 kunt u data governance toepassen voor uw bestandsservers om te bepalen wie toegang heeft tot gegevens en om bij te houden wie gegevens heeft geraadpleegd. Met dynamisch toegangsbeheer kunt u:

  • Gegevens identificeren door middel van automatische en handmatige classificatie van bestanden. U kunt bijvoorbeeld gegevens labelen op bestandsservers in de gehele organisatie.

  • Toegang tot bestanden beheren door toepassing van een opvangnetbeleid waarin gebruik wordt gemaakt van een centraal toegangsbeleid. U kunt bijvoorbeeld bepalen wie toegang heeft tot de gezondheidsinformatie binnen de organisatie.

  • Toegang tot bestanden bijhouden door middel van een centraal controlebeleid voor nalevingsrapportage en forensische analyse. U kan bijvoorbeeld bepalen wie zeer gevoelige informatie heeft geraadpleegd.

  • Rights Management Services-beveiliging (RMS-beveiliging) toepassen door middel van automatische RMS-codering gevoelige Microsoft Office-documenten. U kunt RMS bijvoorbeeld configureren om alle documenten te coderen waarin informatie is opgenomen die valt onder de Wet bescherming persoonsgegevens.

De verzameling functies voor dynamisch toegangsbeheer is gebaseerd op investeringen in infrastructuur die verder kunnen worden gebruikt door partners en line-of-business-toepassingen. Deze functies kunnen grote waarde hebben voor organisaties die gebruikmaken van Active Directory. Deze infrastructuur omvat:

  • Een nieuwe autorisatie- en controle-engine voor Windows waarmee voorwaardelijke expressies en centraal beleid kan worden verwerkt.

  • Ondersteuning voor Kerberos-verificatie voor gebruikersclaims en apparaatclaims.

  • Verbetering van de infrastructuur voor bestandsclassificatie (FCI).

  • Ondersteuning voor uitbreiding van RMS zodat partners oplossingen kunnen leveren voor het coderen van non-Microsoft-bestanden.

De volgende scenario's en richtlijnen maken deel uit van deze inhoudsset:

 

Scenario Evalueren Plannen Implementeren Gebruiken

Scenario: Centraal toegangsbeleid

Het opstellen van een centraal toegangsbeleid maakt het mogelijk voor een organisatie om een centraal autorisatiebeleid te implementeren en te beheren waarin voorwaardelijke expressies zijn opgenomen waarin gebruikersclaims, apparaatclaims en broneigenschappen worden gebruikt. Dit beleid is gebaseerd op nalevingsvereisten en zakelijke voorschriften. Deze beleidsregels zijn opgesteld en worden gehost in Active Directory, waardoor u ze eenvoudiger kunt beheren en implementeren.

Claims implementeren in verschillende forests

In Windows Server 2012 houdt de AD DS in elk forest een 'claimswoordenlijst' bij en worden alle claimtypen die in het forest worden gebruikt beschreven op forestniveau in Active Directory. Er zijn vele scenario's waarin een principal mogelijk de grens van een vertrouwensrelatie moet overschrijden. In dit scenario wordt beschreven hoe een claim de grens van een vertrouwensrelatie overschrijdt.

Dynamisch toegangsbeheer: scenario-overzicht

Deploy Claims Across Forests

Implementatie van een centraal toegangsbeleid plannen

Aanbevolen procedures voor het gebruik van gebruikersclaims

Apparaatclaims en apparaatbeveiligingsgroepen gebruiken

Hulpprogramma's voor implementatie

Een centraal toegangsbeleid implementeren (demonstratiestappen)

Deploy Claims Across Forests (Demonstration Steps)

  • Vormgeven aan een centraal toegangsbeleid

Scenario: Bestandstoegang bijhouden

Beveiligingscontrole is een van de meest krachtige hulpprogramma's om te helpen de beveiliging van een onderneming op peil te houden. Een van de belangrijkste doelstellingen van beveiligingscontrole is naleving van voorschriften. Industrienormen zoals Sarbanes Oxley HIPAA en Payment Card Industry (PCI) vereisen bijvoorbeeld dat ondernemingen zich houden aan een strikte set regels die betrekking hebben op de beveiliging van gegevens en privacy. Beveiligingscontrole helpt bij het vaststellen van de aan- of afwezigheid van dergelijk beleid, en hiermee wordt aangetoond of wel of niet aan deze normen wordt voldaan. Bovendien helpen beveiligingscontroles bij het detecteren van afwijkend gedrag, het herkennen en verhelpen van lacunes in het beveiligingsbeleid en het afschrikken van onverantwoordelijk gedrag door een administratie bij te houden van de handelingen van gebruikers die kan worden gebruikt voor forensische analyse.

Scenario: Bestandstoegangscontrole

Bestandstoegangscontrole plannen

Beveiligingscontroles implementeren met centrale controlebeleidsregels (demonstratiestappen)

Scenario: Hulp bij geweigerde toegang

Op dit moment is de enige indicatie die een gebruiker krijgt wanneer deze een extern bestand op de bestandsserver probeert te openen, de melding dat de toegang is geweigerd. In dit geval wordt een verzoek aan de helpdesk gegenereerd of moeten IT-beheerders uitzoeken wat de oorzaak van het probleem is. Vaak is het lastig voor de beheerders om de juiste context van de gebruikers te verkrijgen. Dit bemoeilijkt de oplossing van het probleem.
In Windows Server 2012 is het doel te proberen de informatiemedewerker en de zakelijke eigenaar van de gegevens te helpen met de geweigerde toegang om te gaan voordat IT bij het probleem wordt betrokken, en om de juiste informatie te verstrekken voor een snelle oplossing op het moment dat IT bij het probleem wordt betrokken. Een van de uitdagingen bij het bereiken van dit doel is dat er geen centrale methode is om om te gaan met toegangsweigering. Elke toepassing gaat hier anders mee om, en daarom is een van de doelstellingen in Windows Server 2012 het verbeteren van de verwerking van toegangsweigering in Windows Verkenner.

Scenario: Ondersteuning bij geweigerde toegang

Ondersteuning bij geweigerde toegang plannen

Ondersteuning bij geweigerde toegang implementeren (demonstratiestappen)

Scenario: op classificatie gebaseerde codering van Office-documenten

Bij beveiliging van gevoelige informatie draait het met name om het verlagen van het risico voor de organisatie. Diverse nalevingsvoorschriften, zoals HIPAA of de Payment Card Industry Data Security Standard (PCI-DSS) schrijven codering van gegevens voor, en er zijn talloze zakelijke redenen om gevoelige bedrijfsgegevens te coderen. Het coderen van gegevens is echter kostbaar en kan de zakelijke productiviteit belemmeren. Organisaties hebben daarom vaak verschillende benaderingen en prioriteiten voor het coderen van hun gegevens.
Ter ondersteuning van dit scenario, biedt Windows Server 2012 de mogelijkheid om gevoelige Windows Office-bestanden automatisch te coderen op basis van hun classificatie. Dit wordt gedaan door middel van bestandsbeheertaken die gebruikmaken van Active Directory Rights Management Server (AD RMS) voor de beveiliging van gevoelige documenten, enkele seconden nadat het bestand is geïdentificeerd als een bestand met gevoelige informatie op de server.

Scenario: Versleuteling van Office-documenten op basis van classificatie

Overwegingen bij de planning voor versleuteling van Office-documenten

Versleuteling van Office-bestanden implementeren (demonstratiestappen)

Scenario: Inzicht verkrijgen in uw gegevens door middel van classificatie

De afhankelijkheid van gegevens en opslagbronnen wordt steeds groter binnen de meeste organisaties. IT-beheerders hebben te maken met de steeds groter wordende uitdaging van het in de hand houden van grotere en complexere opslaginfrastructuren, en zijn tegelijkertijd verantwoordelijkheid om ervoor te zorgen dat de totale eigendomskosten binnen de perken blijven. Bij het beheren van opslagbronnen gaat het niet meer alleen om het volume of de beschikbaarheid van gegevens, maar ook om de uitvoering van het bedrijfsbeleid en inzicht in het gebruik van de opslag, om toe te zien op efficiënte benutting van de beschikbare middelen en naleving van de voorschriften en zodoende de risico's zo laag mogelijk te houden. Infrastructuur voor bestandsclassificatie verschaft inzicht in uw gegevens door automatisering van de classificatieprocessen zodat u uw gegevens effectiever kunt beheren. De volgende classificatiemethoden zijn beschikbaar bij Infrastructuur voor bestandsclassificatie: handmatig, programmatisch en automatisch. In dit scenario ligt de nadruk op de automatische bestandsclassificatiemethode.

Scenario: Inzicht in uw gegevens krijgen met behulp van classificatie

Automatische bestandsclassificatie plannen

Automatische bestandsclassificatie implementeren (demonstratiestappen)

Scenario: bewaren van gegevens implementeren op bestandsservers

Een bewaarperiode is de hoeveelheid tijd die een document moet worden bewaard voordat het is verlopen. De bewaarperiode kan per organisatie verschillen. U kunt bestanden in een map classificeren als bestanden met een korte, gemiddelde of lange bewaarperiode en vervolgens een tijdsduur instellen voor elke categorie. Het kan gewenst zijn een bestand voor onbepaalde tijd te behouden door de gegevens in de wettelijke bewaring te plaatsen.
Infrastructuur voor bestandsclassificatie en Bestandsserverbronbeheer maken gebruik van bestandsbeheertaken en bestandsclassificatie voor het bepalen van een bewaarperiode voor een groep bestanden. U kunt een bewaarperiode toewijzen aan een map toewijzen en vervolgens een bestandsbeheertaak gebruiken om te bepalen hoe lang een toegewezen bewaarperiode moet duren. Wanneer de bestanden in de map op het punt staan te verlopen, krijgt de eigenaar van het bestand een kennisgevings-e-mail. U kunt een bestand ook classificeren als bestand in wettelijke bewaring zodat de bestandsbeheertaak het bestand niet laat verlopen.

Scenario: Bewaren van gegevens op bestandsservers implementeren

Bewaren van informatie op bestandsservers plannen

Bewaren van gegevens op bestandsservers implementeren (demonstratiestappen)

noteOpmerking
Dynamisch toegangsbeheer wordt niet ondersteund in ReFS (Resilient File System).

Vindt u dit nuttig?
(1500 tekens resterend)
Bedankt voor uw feedback

Community-inhoud

Toevoegen
Weergeven:
© 2014 Microsoft