Control de acceso dinámico: Información general sobre el escenario

  • Artículo

 

Se aplica a: Windows Server 2012

En Windows Server 2012, puede aplicar la gestión de datos en todos los servidores de archivos para controlar quién puede acceder a la información y auditar quién ha accedido a ella. El control de acceso dinámico permite:

  • Identificar los datos mediante la clasificación automática y manual de archivos. Por ejemplo, podría etiquetar datos en servidores de archivos en toda la organización.

  • Controlar el acceso a los archivos mediante la aplicación de directivas de red de seguridad que utilicen directivas de acceso central. Por ejemplo, podría definir quién puede acceder a la información de mantenimiento en la organización.

  • Auditar el acceso a los archivos por medio de directivas de auditoría centrales de informes de cumplimiento y análisis forenses. Por ejemplo, podría identificar quién ha obtenido acceso a información muy confidencial.

  • Aplicar la protección de Rights Management Services (RMS) mediante cifrado RMS automático para documentos de Microsoft Office confidenciales. Por ejemplo, podría configurar RMS para cifrar todos los documentos que contengan información de la Ley de transferencia y responsabilidad de seguros de salud (HIPAA).

El conjunto de características Control de acceso dinámico se basa en inversiones en infraestructura que pueden usar también asociados y aplicaciones de línea de negocio, y las características pueden proporcionar un gran valor a las organizaciones que usan Active Directory. Esta infraestructura incluye:

  • Un nuevo motor de autorización y auditoría para Windows que puede procesar expresiones condicionales y directivas centrales.

  • Compatibilidad con la autenticación Kerberos para notificaciones de usuario y notificaciones de dispositivo.

  • Mejoras en la infraestructura de clasificación de archivos (FCI).

  • Compatibilidad con la extensibilidad RMS para que los asociados puedan proporcionar soluciones para cifrar archivos que no sean de Microsoft.

En este escenario

Este conjunto de contenido incluye los siguientes escenarios y orientación:

Guía básica de contenido de control de acceso dinámico

Escenario

Evaluar

Planear

Implementar

Operar

Escenario: Directiva de acceso central

La creación de directivas de acceso central para los archivos permite a las organizaciones implementar y administrar de manera centralizada las directivas de autorización que incluyen expresiones condicionales mediante notificaciones de usuario, notificaciones de dispositivo y propiedades de recursos. Estas directivas se basan en requisitos de regulación empresarial y de cumplimiento. Estas directivas se crean y se hospedan en Active Directory, lo que facilita su administración e implementación.

Implementación de notificaciones en bosques

En Windows Server 2012, AD DS mantiene un "diccionario de notificaciones" en cada bosque y todos los tipos de notificaciones que se usan en el bosque se definen en el nivel de bosque de Active Directory. Hay numerosos escenarios en los que es necesario que una entidad de seguridad atraviese un límite de confianza. En este escenario se describe el modo en que una notificación atraviesa un límite de confianza.

Dynamic Access Control: scenario overview

Implementar notificaciones en bosques

Planear una implementación de directiva de acceso central

Procedimientos recomendados para usar notificaciones de usuario

Uso de notificaciones de dispositivo y grupos de seguridad de dispositivos

Herramientas de implementación

Implementar una directiva de acceso central (pasos de demostración)

Implementar notificaciones entre bosques (pasos de demostración)

  • Modelado de una directiva de acceso central

Escenario: Auditoría de acceso a archivos

La auditoría de seguridad es una de las herramientas más eficaces para mantener la seguridad de una empresa. Uno de los principales objetivos de las auditorías de seguridad es el cumplimiento de las normas. Por ejemplo, los estándares de la industria como Sarbanes Oxley, HIPPA y Payment Card Industry (PCI) exigen que las empresas sigan un estricto conjunto de reglas relacionadas con la seguridad y la privacidad de los datos. Las auditorías de seguridad ayudan a establecer la presencia o la ausencia de dichas directivas y prueban el cumplimiento o incumplimiento de estos estándares. Además, las auditorías de seguridad ayudan a detectar comportamientos anómalos, a identificar y mitigar brechas en la directiva de seguridad y a impedir el comportamiento irresponsable al crear un registro de la actividad del usuario que puede utilizarse para un análisis forense.

Scenario: File Access Auditing

Planear la auditoría de acceso a archivos

Implementar la auditoría de seguridad con directivas de auditoría central (pasos de demostración)

Escenario: Asistencia de acceso denegado

En la actualidad, cuando los usuarios intentan acceder a un archivo remoto en el servidor de archivos, la única indicación que obtendrán es que tienen el acceso denegado. Como consecuencia, se generan solicitudes al departamento de soporte técnico o a los administradores de TI para que solucionen el problema y, a menudo, los administradores tienen dificultades para obtener el contexto adecuado de los usuarios, lo que complica incluso más la solución del problema.
En Windows Server 2012, el objetivo es intentar ayudar al que trabaja con la información y al propietario empresarial de los datos a solucionar el problema de acceso denegado antes de que intervenga el departamento de TI y, cuando este interviene, ayudarle a proporcionar toda la información correcta para obtener una rápida resolución. Uno de los desafíos para lograr este objetivo es que no existe un modo centralizado de solucionar el acceso denegado y que cada aplicación lo aborda de manera distinta; por ello, uno de los objetivos de Windows Server 2012 es mejorar la experiencia de acceso denegado en el Explorador de Windows.

Escenario: Asistencia de acceso denegado

Planificar la asistencia para acceso denegado

Deploy Access-Denied Assistance (Demonstration Steps)

Escenario: Cifrado de documentos de Office basado en la clasificación

La protección de la información confidencial se centra principalmente en mitigar el riesgo para la organización. Diversas normas de cumplimiento, como la HIPAA o el estándar de seguridad de datos para la industria de tarjetas de pago (PCI-DSS), dictan el cifrado de la información y hay numerosos motivos empresariales para cifrar la información empresarial confidencial. Sin embargo, cifrar la información resulta costoso y podría afectar a la productividad empresarial. Por lo tanto, las organizaciones tienden a adoptar distintos enfoques y prioridades para cifrar su información.
Para permitir este escenario, Windows Server 2012 proporciona la capacidad de cifrar automáticamente los archivos de Windows Office confidenciales según su clasificación. Esto se realiza a través de tareas de administración de archivos que invocan la protección del Servidor de Active Directory Rights Management Services (AD RMS) de los documentos confidenciales unos pocos segundos después de haber identificado el archivo como confidencial en el servidor de archivos.

Scenario: Classification-Based Encryption for Office Documents

Consideraciones de planificación para el cifrado de documentos de Office

Implementar el cifrado de archivos de Office (pasos de demostración)

Escenario: Comprender los datos mediante la clasificación

En la mayoría de las organizaciones ha ido aumentando la dependencia de los datos y los recursos de almacenamiento. Los administradores de TI se enfrentan al creciente desafío que supone la supervisión de infraestructuras de almacenamiento cada vez más grandes y más complejas, al mismo tiempo que se les asigna la responsabilidad de garantizar que el costo total de propiedad se mantenga en un nivel razonable. La administración de recursos de almacenamiento ya no se limita al volumen o la disponibilidad de datos, sino que implica además cumplir las directivas de la compañía y saber cómo se consume el almacenamiento para permitir un uso y un cumplimiento eficaces que mitiguen el riesgo. La infraestructura de clasificación de archivos permite obtener una idea clara de los datos mediante la automatización de los procesos de clasificación con el fin de poder administrar los datos de manera más eficaz. La infraestructura de clasificación de archivos proporciona los siguientes métodos de clasificación: manual, mediante programación y automática. Este escenario se centra en el método de clasificación automática de archivos.

Scenario: Get Insight into Your Data by Using Classification

Planificar la clasificación automática de archivos

Implementar la clasificación de archivos automática (pasos de demostración)

Scenario: Implement Retention of Information on File Servers

Un período de retención es la cantidad de tiempo que un documento debería conservarse antes de que expire. El período de retención puede ser distinto en función de la organización. Puede clasificar archivos en una carpeta según tengan un período de retención a corto, medio o largo plazo y, a continuación, asignar el período de tiempo para cada tipo. Quizás desee conservar un archivo indefinidamente mediante una retención legal.
La infraestructura de clasificación de archivos y el Administrador de recursos del servidor de archivos utilizan tareas de administración de archivos y la clasificación de archivos para aplicar períodos de retención para un conjunto de archivos. Puede asignar un período de retención en una carpeta y, a continuación, usar una tarea de administración de archivos para configurar la duración de un período de retención asignado. Cuando los archivos de la carpeta están a punto de expirar, el propietario del archivo recibe un correo electrónico de notificación. También puede clasificar un archivo con el estado de retención legal para que la tarea de administración de archivos no haga expirar el archivo.

Scenario: Implement Retention of Information on File Servers

Planificar la retención de información en servidores de archivos

Implementar la retención de información en servidores de archivos (pasos de demostración)

Nota

No se admite el control de acceso dinámico en ReFS (Sistema de archivos resistente).

Vea también

Tipo de contenido

Referencias

Evaluación del producto

Planificación

Implementación

Operaciones

Referencia de PowerShell para el control de acceso dinámico

Herramientas y configuración

Kit de herramientas de clasificación de datos

Recursos de la comunidad

Foro de Servicios de directorio