Controllo dinamico degli accessi: Panoramica dello scenario

  • Articolo

 

Si applica a: Windows Server 2012

In Windows Server 2012 è possibile applicare la governance dei dati nei file server per definire gli utenti che possono accedere alle informazioni di controllo sugli accessi ai dati. Controllo dinamico degli accessi consente di eseguire le operazioni seguenti:

  • Identificare i dati utilizzando la classificazione automatica e manuale per i file. È ad esempio possibile contrassegnare i dati nei file server nell'organizzazione.

  • Controllare l'accesso ai file applicando criteri di sicurezza di rete da cui vengono utilizzati criteri di accesso centrale. È ad esempio possibile definire gli utenti che possono accedere alle informazioni sull'integrità nell'organizzazione.

  • Controllare l'accesso ai file utilizzando criteri di controllo centrale per la creazione di rapporti di conformità e le analisi forensi. È ad esempio possibile identificare gli utenti che hanno effettuato l'accesso a informazioni riservate.

  • Applicare la protezione RMS (Rights Management Services) utilizzando la crittografia RMS automatica per i documenti di Microsoft Office riservati. È ad esempio possibile configurare RMS per crittografare tutti i documenti contenenti informazioni sulla legge HIPPA (Health Insurance Portability and Accountability Act).

Il set di funzionalità di Controllo dinamico degli accessi è basato sugli investimenti nell'infrastruttura che possono essere ulteriormente utilizzati da partner e applicazioni line-of-business. Le funzionalità possono offrire un grande valore per le organizzazioni che utilizzano Active Directory. L'infrastruttura include i componenti seguenti:

  • Un nuovo motore di controllo e autorizzazione per Windows in grado di elaborare espressioni condizionali e criteri centrali.

  • Supporto dell'autenticazione Kerberos per attestazioni utente e richieste diritti da dispositivo.

  • Miglioramenti all'Infrastruttura di classificazione file.

  • Supporto dell'estendibilità RMS per consentire ai partner di fornire soluzioni per la crittografia di file non Microsoft.

In questo scenario

Nel presente set di contenuti sono inclusi gli scenari e le informazioni aggiuntive seguenti:

Roadmap dei contenuti di Controllo dinamico degli accessi

Scenario

Valutazione

Pianificazione

Distribuire

Funzionamento

Scenario: Criteri di accesso centrale

La creazione di criteri di accesso centrale per i file consente alle organizzazioni di distribuire e gestire da una posizione centrale criteri di autorizzazione che includono espressioni condizionali utilizzando attestazioni utente, richieste diritti da dispositivo e proprietà delle risorse. Questi criteri sono basati su requisiti normativi aziendali e di conformità. I criteri vengono creati e ospitati in Active Directory, pertanto sono più semplici da gestire e distribuire.

Distribuzione di attestazioni tra foreste

In Windows Server 2012 tramite Servizi di dominio Active Directory viene gestito un "dizionario delle attestazioni" in ogni foresta e tutti i tipi di attestazioni utilizzati nella foresta sono definiti a livello di foresta di Active Directory. Vi sono numerosi scenari in cui per un'entità può essere necessario attraversare un limite di trust. In questo scenario viene descritto in che modo un'attestazione attraversa un limite di trust.

Dynamic Access Control: scenario overview

Distribuire attestazioni nelle foreste

Pianificare la distribuzione di criteri di accesso centrale

Procedure consigliate per l'utilizzo delle attestazioni

Utilizzo di richieste diritti da dispositivo e gruppi di sicurezza dispositivo

Strumenti per la distribuzione

Distribuire i criteri di accesso centrale (procedura dimostrativa)

Distribuzione di attestazioni tra foreste (procedura dimostrativa)

  • Modellazione di criteri di accesso centrale

Scenario: Controllo di accesso ai file

I controlli di sicurezza sono tra gli strumenti più potenti per garantire la sicurezza di un'organizzazione. Uno degli obiettivi principali dei controlli di sicurezza è la conformità ai requisiti. In base a standard di settore come Sarbanes Oxley, HIPAA (Health Insurance Portability and Accountability Act) e PCI (Payment Card Industry), le organizzazioni sono ad esempio tenute a seguire una serie di regole precise in materia di sicurezza dei dati e privacy. I controlli di sicurezza aiutano a stabilire la presenza o l'assenza di tali criteri e pertanto a dimostrare la conformità o meno a questi standard. I controlli di sicurezza contribuiscono inoltre a rilevare comportamenti anomali e a identificare e ridurre eventuali lacune nei criteri di sicurezza e svolgono un'azione deterrente nei confronti di comportamenti irresponsabili tramite la creazione di una registrazione delle attività dell'utente che può essere utilizzata in un'analisi forense.

Scenario: File Access Auditing

Pianificazione del controllo dell'accesso ai file

Distribuzione dei controlli di sicurezza con criteri di accesso centrale (procedura dimostrativa)

Scenario: Assistenza per accesso negato

Attualmente, quando gli utenti provano ad accedere a un file remoto nel file server, l'unica indicazione ottenuta riguarda l'accesso negato. Questa situazione genera richieste all'helpdesk o agli amministratori IT che devono capire quale sia il problema e spesso per gli amministratori è difficile comprendere dagli utenti quale sia il contesto appropriato e, di conseguenza, risolvere il problema.
In Windows Server 2012 l'obiettivo è di aiutare gli Information Worker e i proprietari aziendali dei dati a risolvere il problema di accesso negato prima di coinvolgere il personale IT e, quando il personale IT viene coinvolto, fornire le informazioni appropriate per consentire una soluzione rapida. Una delle sfide da superare per raggiungere questo obiettivo è l'assenza di uno strumento centrale per la gestione del problema di accesso negato. Questa situazione viene gestita in modo diverso in ogni applicazione e pertanto in Windows Server 2012 uno degli obiettivi è quello di migliorare l'esperienza in caso di accesso negato in Esplora risorse.

Scenario: Assistenza per accesso negato

Pianificare l'assistenza per accesso negato

Deploy Access-Denied Assistance (Demonstration Steps)

Scenario: crittografia basata sulla classificazione per i documenti di Office

La protezione delle informazioni riservate consiste innanzitutto nel ridurre i rischi per l'organizzazione. Diverse normative di conformità, come HIPAA o PCI-DSS (Payment Card Industry Data Security Standard), richiedono la crittografia delle informazioni e vi sono inoltre numerosi motivi aziendali per crittografare le informazioni aziendali riservate. La crittografia delle informazioni è tuttavia costosa e potrebbe influire negativamente sulla produttività aziendale. Le organizzazioni tendono pertanto ad adottare priorità e approcci diversi per la crittografia delle informazioni.
Per supportare questo scenario, Windows Server 2012 consente di crittografare automaticamente i file riservati di Office in Windows in base alla relativa classificazione. Questo risultato viene ottenuto tramite attività di gestione dei file da cui viene richiamata la protezione di AD RMS (Active Directory Rights Management Server) per i documenti riservati pochi secondi dopo che il file è stato identificato come riservato nel file server.

Scenario: Classification-Based Encryption for Office Documents

Considerazioni sulla pianificazione della crittografia dei documenti di Office

Distribuire la crittografia dei file di Office (procedura dimostrativa)

Scenario: comprendere i dati mediante la classificazione

L'affidabilità delle risorse di archiviazione e dei dati continua ad acquisire sempre maggiore importanza per la maggior parte delle organizzazioni. Gli amministratori IT affrontano la sfida legata alla supervisione di infrastrutture di archiviazione sempre più grandi e complesse e, contemporaneamente, la responsabilità di garantire che il costo totale di proprietà rimanga entro limiti accettabili. La gestione delle risorse di archiviazione non riguarda più solo il volume o la disponibilità dei dati, ma implica anche l'applicazione dei criteri aziendali e la conoscenza delle modalità di utilizzo dello spazio di archiviazione, per consentire un utilizzo efficace e garantire la conformità, mitigando i rischi. L'Infrastruttura di classificazione file offre una comprensione dei dati automatizzando il processo di classificazione in modo da consentire una gestione più efficace dei dati stessi. Nell'Infrastruttura di classificazione file sono disponibili i metodi di classificazione manuale, automatico e a livello di programmazione. Questo scenario è incentrato sul metodo di classificazione dei file automatico.

Scenario: Get Insight into Your Data by Using Classification

Pianificare la classificazione automatica dei file

Distribuzione della classificazione file automatica (passaggi dimostrativi)

Scenario: Implement Retention of Information on File Servers

Un periodo di memorizzazione è la quantità di tempo per cui un documento deve essere conservato prima di scadere. A seconda dell'organizzazione, il periodo di memorizzazione può variare. È possibile classificare i file in una cartella in base al periodo di memorizzazione breve, medio o a lungo termine e quindi assegnare l'intervallo di tempo per ogni periodo. È possibile conservare un file per un tempo indefinito tramite la funzionalità di conservazione per controversia legale.
Nell'Infrastruttura di classificazione file e in Gestione risorse file server vengono usate le attività di gestione dei file e la classificazione dei file per applicare i periodi di conservazione per un set di file. È possibile assegnare un periodo di memorizzazione a una cartella e quindi utilizzare un'attività di gestione dei file per configurare la durata di un periodo di memorizzazione assegnato. Quando i file nella cartella stanno per scadere, il proprietario del file riceve una notifica tramite posta elettronica. È anche possibile classificare un file per la conservazione per controversia legale, in modo che non scada mai.

Scenario: Implement Retention of Information on File Servers

Pianificare la conservazione delle informazioni nei file server

Distribuire l'implementazione della conservazione delle informazioni nei file server (passaggi dimostrativi)

Nota

La funzionalità Controllo dinamico degli accessi non è supportata in ReFS (Resilient File System).

Vedere anche

Tipo di contenuto

Riferimenti

Valutazione del prodotto

Pianificazione

Distribuzione

Operazioni

Riferimenti a PowerShell per Controllo dinamico degli accessi

Strumenti e impostazioni

Data Classification Toolkit

Risorse della community

Forum di Servizi directory