Scenario: Bestandstoegangscontrole
Van toepassing op: Windows Server 2012
Beveiligingscontrole is een van de meest krachtige hulpprogramma's om de beveiliging van een onderneming intact te helpen houden. Een van de belangrijkste doelstellingen van beveiligingscontrole is naleving van voorschriften. Branchenormen zoals Sarbanes Oxley, HIPAA (Health Insurance Portability and Accountability Act) en PCI (Payment Card Industry) stellen verplicht dat ondernemingen een strikte reeks regels voor gegevensbeveiliging en privacy hanteren. Met behulp van beveiligingscontroles kunt u nagaan of dergelijk beleid is ingesteld en kunt u aantonen dat u de normen naleeft. Bovendien helpen beveiligingscontroles bij het detecteren van afwijkend gedrag, het identificeren en beperken van tekortkomingen in beveiligingsbeleid en het weren van onverantwoordelijk gedrag door een spoor bij te houden van gebruikersactiviteiten, dat kan worden gebruikt voor forensische analyse.
Bij de vereisten voor controlebeleid gaat het meestal om de volgende niveaus:
Informatiebeveiliging. Audittrails voor bestandstoegang worden vaak gebruikt voor forensische analyse en inbraakdetectie. Door de generatie van gerichte gebeurtenissen over de toegang tot essentiële informatie kunnen organisaties hun reactietijd verkorten en hun onderzoek nauwkeuriger maken.
Organisatorisch beleid. Bijvoorbeeld: organisaties die worden gereguleerd door PCI-normen kunnen een centraal beleid hebben om de toegang te bewaken tot alle bestanden waarvan is vastgesteld dat deze creditcardinformatie en persoonsgegevens bevatten.
Afdelingsbeleid. Bijvoorbeeld: de financiële afdeling kan vereisen dat alleen de afdeling zelf bepaalde financiële documenten (zoals het rapport met de kwartaalomzet) kan wijzigen en daarom zou de afdeling alle andere pogingen tot het wijzigen van deze documenten willen kunnen bewaken.
Bedrijfsbeleid. Bijvoorbeeld: bedrijfseigenaren willen mogelijk dat ze alle pogingen door onbevoegden tot het inzien van gegevens met betrekking tot hun projecten kunnen bewaken.
Daarnaast wil de nalevingsafdeling mogelijk dat alle wijzigingen in het centrale autorisatiebeleid en beleidsconstructs, zoals gebruikers-, computer- en bronkenmerken, worden bewaakt.
Een van de grootste overwegingen van beveiligingscontrole bestaat uit de kosten voor het verzamelen, opslaan en analyseren van controlegebeurtenissen. Als het controlebeleid te ruim is, neemt de hoeveelheid controlegebeurtenissen toe, wat tot extra kosten leidt. Als het controlebeleid te beperkt is, bestaat de kans dat u belangrijke gebeurtenissen misloopt.
Met Windows Server 2012 kunt u een controlebeleid samenstellen op basis van claims en broneigenschappen. Dit leidt tot uitgebreidere, beter gerichte en eenvoudiger te beheren controlebeleid. Er worden scenario's mogelijk die tot op heden onmogelijk of te moeilijk om uit te voeren waren. Hier volgen enkele voorbeelden van controlebeleidsregels die beheerders kunnen schrijven:
Iedereen controleren die geen hoge beveiligingsmachtigingen heeft en een bedrijfskritisch document probeert te gebruiken. Bijvoorbeeld: Audit | Everyone | All-Access | Resource.BusinessImpact=HBI AND User.SecurityClearance!=High.
Alle leveranciers controleren die documenten willen gebruiken met betrekking tot projecten waaraan ze niet werken. Bijvoorbeeld: Audit | Everyone | All-Access | User.EmploymentStatus=Vendor AND User.Project Not_AnyOf Resource.Project.
Met behulp van deze beleidsregels kunt u het aantal controlegebeurtenissen reguleren en beperken tot alleen de meest relevante gegevens of gebruikers.
Nadat beheerders het controlebeleid hebben gemaakt en toegepast, bestaat de volgende overweging uit het afleiden van betekenisvolle informatie uit de verzamelde controlegebeurtenissen. Via controlegebeurtenissen op basis van expressies kunt u het aantal audits helpen verminderen.. Gebruikers moeten deze gebeurtenissen wel op nuttige informatie kunnen doorzoeken en vragen kunnen stellen als: "Wie heeft er toegang tot mijn bedrijfskritische gegevens?" of "Was er een niet-geautoriseerde toegangspoging tot gevoelige gegevens?"
In Windows Server 2012 worden bestaande gebeurtenissen met gegevenstoegang verbeterd met gebruikers-, computer- en bronclaims. Deze gebeurtenissen worden gegenereerd per server. Microsoft werkt samen met partners om een volledige weergave van gebeurtenissen in de gehele organisatie te bieden, zoals services voor het verzamelen van controles in System Center Operation Manager.
In afbeelding 4 ziet u een overzicht van een centraal toegangsbeleid.
.jpeg "Afbeelding 4")
Afbeelding 4 Centrale audits
Het instellen en toepassen van beveiligingscontroles omvat meestal de volgende algemene stappen:
Bepalen van de juiste set gegevens en gebruikers die moeten worden bewaakt
Maken en toepassen van het juiste controlebeleid
Verzamelen en analyseren van controlegebeurtenissen
Beheren en bewaken van het gemaakte beleid
In dit scenario
De volgende onderwerpen bieden extra hulp voor dit scenario:
Rollen en functies binnen dit scenario
De volgende tabel vermeldt de rollen en functies die deel van dit scenario uitmaken en beschrijft hoe ze die ondersteunen.
Rol/functie |
Ondersteuning voor dit scenario |
|---|---|
Rol Active Directory Domain Services |
Met AD DS in Windows Server 2012 wordt een op claims gebaseerd autorisatieplatform geïntroduceerd waarmee gebruikersclaims en apparaatclaims, samengestelde identiteiten (gebruikersclaim plus apparaatclaim), een nieuw model voor centraal toegangsbeleid en het gebruik van bestandsclassificatie-informatie kunnen worden gemaakt voor het nemen van autorisatiebeslissingen. |
Functie voor bestands- en opslagservices |
Bestandsservers in Windows Server 2012 bieden een gebruikersinterface waarmee beheerders de effectieve machtigingen van gebruikers kunnen weergeven voor een bestand of map en toegangsproblemen kunnen oplossen en waar nodig toegang kunnen verlenen. |