Contrôle d'accès dynamique : Vue d’ensemble du scénario

  • Article

 

S'applique à: Windows Server 2012

Dans Windows Server 2012, vous pouvez appliquer la gouvernance des données sur vos serveurs de fichiers pour contrôler les personnes autorisées à accéder à vos informations et soumettre à un audit celles qui ont eu accès à des informations. Le contrôle d’accès dynamique vous permet d’effectuer les tâches suivantes :

  • Identifier des données grâce à une classification automatique et manuelle des fichiers. Par exemple, vous pouvez baliser des données sur des serveurs de fichiers dans toute l’organisation.

  • Contrôler l’accès aux fichiers en appliquant des stratégies sécurisées qui utilisent des stratégies d’accès centralisées. Vous pouvez notamment définir qui a accès aux informations d’intégrité au sein de l’organisation.

  • Contrôler par audit l’accès aux fichiers à l’aide de stratégies d’audit centralisées pour établir des rapports de conformité et mener des analyses d’investigation. Vous pouvez par exemple identifier les personnes qui ont accès à des informations hautement confidentielles.

  • Appliquez la technologie de protection RMS (Rights Management Services) avec un chiffrement RMS automatique des documents Microsoft Office confidentiels. Par exemple, vous pouvez configurer RMS afin de chiffrer tous les documents qui contiennent des informations issues d’organismes de la santé et de l’assurance maladie.

Les fonctionnalités de contrôle d’accès dynamique sont fondées sur des investissements d’infrastructure qui peuvent être utilisés par des partenaires et des applications métier. Ces fonctionnalités peuvent s’avérer très précieuses pour les organisations qui travaillent avec Active Directory. Cette infrastructure inclut les éléments suivants :

  • Un nouveau moteur d’autorisation et d’audit pour Windows capable de traiter des expressions conditionnelles et des stratégies centralisées.

  • Prise en charge de l’authentification Kerberos pour les revendications d’utilisateur et de périphérique.

  • Améliorations apportées à l’infrastructure de classification des fichiers (ICF).

  • Prise en charge de l’extensibilité RMS pour permettre aux partenaires d’élaborer des solutions capables de chiffrer des fichiers non Microsoft.

Dans ce scénario

Les scénarios et les conseils fournis dans le tableau qui suit sont inclus dans ce contenu :

Feuille de route du contenu du contrôle d’accès dynamique

Scénario

Évaluation

Planifier

Déployez

Fonctionnement

Scénario : Stratégie d’accès centralisée

En créant des stratégies d’accès centralisées pour leurs fichiers, les organisations peuvent déployer et gérer de manière centrale des stratégies d’autorisation qui comprennent des expressions conditionnelles à l’aide de revendications d’utilisateur, de revendications de périphérique et de propriétés de ressource. Ces stratégies sont fondées sur des exigences de conformité et professionnelles réglementaires. Elles sont créées et hébergées dans Active Directory, ce qui facilite leur gestion et leur déploiement.

Déploiement de revendications dans les forêts

Dans Windows Server 2012, les services de domaine Active Directory (AD DS) conservent un « dictionnaire de revendications » au sein de chaque forêt et tous les types de revendications appliqués dans la forêt sont définis au niveau de la forêt Active Directory. Il existe plusieurs scénarios où un principal a besoin de franchir une limite d’approbation. Ce scénario décrit comment une revendication franchit une limite d’approbation.

Dynamic Access Control: scenario overview

Déployer des revendications dans les forêts

Planifier un déploiement de stratégies d'accès centralisées

Méthodes recommandées pour l’utilisation des revendications d’utilisateur

Utilisation des revendications de périphérique et des groupes de sécurité de périphérique

Outils de déploiement

Déployer une stratégie d'accès centralisée (Étapes de démonstration)

Déployer des revendications entre les forêts (étapes de démonstration)

  • Mise en forme d’une stratégie d’accès centralisée

Scénario : audit d’accès aux fichiers

L’audit de sécurité est l’un des outils les plus puissants auxquels peut recourir une entreprise pour mieux gérer sa sécurité. La conformité aux normes fait notamment partie de ses objectifs clés. Par exemple, des normes industrielles telles que Sarbanes Oxley, HIPAA et PCI (Payment Card Industry) exigent que les entreprises suivent un ensemble strict de règles liées à la sécurité et à la confidentialité des données. Les audits de sécurité aident à déterminer la présence ou l’absence de telles stratégies, et prouvent donc la conformité ou le défaut de conformité à ces normes. De plus, les audits de sécurité permettent de détecter un comportement anormal, d’identifier et d’atténuer les lacunes dans la stratégie de sécurité, ainsi que de dissuader tout comportement irresponsable en créant un enregistrement de l’activité utilisateur qui peut être utilisé pour une analyse d’investigation.

Scenario: File Access Auditing

Planifier l’audit d’accès aux fichiers

Déployer l’audit de sécurité avec les stratégies d’audit centralisées (Étapes de démonstration)

Scénario : assistance en cas d'accès refusé

Aujourd’hui, lorsque les utilisateurs tentent d’accéder à un fichier distant sur le serveur de fichiers, le seul message qui leur revient est que l’accès est refusé. Ceci génère de multiples demandes au support technique ou aux administrateurs informatiques qui doivent identifier le problème. Souvent, les administrateurs ont du mal à recueillir des informations de contexte exactes auprès des utilisateurs, ce qui complique davantage la résolution du problème.
Dans Windows Server 2012, l’objectif est de tenter d’aider le professionnel de l’information et le propriétaire des données à gérer le problème d’accès refusé avant que le service informatique n’intervienne et, au moment où celui-ci interviendra, à fournir toutes les informations indispensables à une résolution rapide du problème. L’un des défis à relever pour parvenir à cet objectif est qu’il n’existe aucun moyen centralisé de gérer les accès refusés et que chaque application les gère de manière différente. C’est pourquoi, dans Windows Server 2012, l’un des objectifs consiste à améliorer le traitement des accès refusés pour l’Explorateur Windows.

Scénario : assistance en cas d'accès refusé

Planifier l'assistance en cas d'accès refusé

Deploy Access-Denied Assistance (Demonstration Steps)

Scénario : chiffrement des documents Office d'après leur classification

La protection des informations confidentielles a principalement pour but de minimiser les risques pour une organisation. Diverses normes de conformité, telles que la norme HIPAA ou la norme PCI-DSS (Payment Card Industry Data Security Standard), imposent le chiffrement des informations et de nombreuses raisons professionnelles motivent le chiffrement des données professionnelles à caractère confidentiel. Cependant, le chiffrement des informations est coûteux et il peut nuire à la productivité de l’entreprise. C’est pourquoi les organisations ont souvent des approches et des priorités différentes en matière de chiffrement des données.
À l’appui de ce scénario, Windows Server 2012 offre la possibilité de chiffrer automatiquement des fichiers Windows Office confidentiels en fonction de leur classification. Cette opération se fait par le biais de tâches de gestion des fichiers. Ces tâches entraînent une protection AD RMS (Active Directory Rights Management Server) des documents confidentiels quelques secondes après que le fichier est identifié comme fichier confidentiel sur le serveur de fichiers.

Scenario: Classification-Based Encryption for Office Documents

Considérations relatives à la planification pour le chiffrement des documents Office

Déployer le chiffrement des fichiers Office (Étapes de démonstration)

Scénario : classification des données pour mieux les comprendre

Le recours à des données et des ressources de stockage prend une importance croissante dans la plupart des organisations. Les administrateurs informatiques sont confrontés à un défi sans cesse grandissant : contrôler des infrastructures de stockage toujours plus volumineuses et complexes et, simultanément, assumer le coût total de possession et le maintenir à des niveaux raisonnables. La gestion des ressources de stockage n’est plus seulement une affaire de volume ou de disponibilité des données. Il s’agit aussi de mettre en place des stratégies d’entreprise et de savoir comment le stockage est exploité pour favoriser une utilisation et une conformité efficaces avec des risques réduits. L’infrastructure de classification des fichiers aide à mieux appréhender vos données en automatisant des processus de classification qui vous permettront de les gérer avec plus d’efficacité. Les méthodes de classification disponibles dans l’infrastructure de classification des fichiers sont les suivantes : manuelle, par programme et automatique. Ce scénario se concentre sur la méthode de classification automatique des fichiers.

Scenario: Get Insight into Your Data by Using Classification

Planifier la classification automatique des fichiers

Déployer la classification automatique des fichiers (Étapes de démonstration)

Scenario: Implement Retention of Information on File Servers

La période de rétention désigne le temps pendant lequel un document doit être conservé avant qu’il n’expire. La période de rétention peut varier en fonction de l’organisation. Vous pouvez classer des fichiers dans un dossier avec une période de rétention à court, moyen ou long terme, puis définir la durée de chaque période. Vous pouvez conserver un fichier indéfiniment en proclamant sa mise en suspens pour raisons juridiques.
L’infrastructure de classification des fichiers et le Gestionnaire de ressources du serveur de fichiers se servent des tâches de gestion de fichiers et de la classification des fichiers pour appliquer des périodes de rétention pour un ensemble de fichiers. Vous pouvez attribuer une période de rétention dans un dossier, puis utiliser une tâche de gestion de fichiers pour configurer la durée d’une période de rétention. Lorsque les fichiers au sein du dossier sont sur le point d’expirer, le propriétaire du fichier reçoit un message de notification. Vous pouvez également classer un fichier en suspens pour raisons juridiques pour que la tâche de gestion de fichiers n’entraîne pas l’expiration du fichier.

Scenario: Implement Retention of Information on File Servers

Planifier la rétention des informations sur les serveurs de fichiers

Déployer l'implémentation de la rétention des informations sur les serveurs de fichiers (Étapes de démonstration)

Notes

Le contrôle d’accès dynamique n’est pas pris en charge dans le système ReFS (Resilient File System).

Voir aussi

Type de contenu

Références

Évaluation du produit

Planification

Déploiement

Opérations

Référence Windows PowerShell du contrôle d’accès dynamique

Outils et paramètres

Kit de ressources Data Classification Toolkit

Ressources de la communauté

Forum Directory Services