Dynamisch toegangsbeheer: overzicht van scenario's

Artikel
08/03/2016

Van toepassing op: Windows Server 2012

In Windows Server 2012 kunt u data governance toepassen voor uw bestandsservers om te bepalen wie toegang heeft tot gegevens en om bij te houden wie gegevens heeft geraadpleegd. Met dynamisch toegangsbeheer kunt u:

Gegevens identificeren door middel van automatische en handmatige classificatie van bestanden. U kunt bijvoorbeeld gegevens labelen op bestandsservers in de gehele organisatie.
Toegang tot bestanden beheren door toepassing van een opvangnetbeleid waarin gebruik wordt gemaakt van een centraal toegangsbeleid. U kunt bijvoorbeeld bepalen wie toegang heeft tot de gezondheidsinformatie binnen de organisatie.
Toegang tot bestanden bijhouden door middel van een centraal controlebeleid voor nalevingsrapportage en forensische analyse. U kan bijvoorbeeld bepalen wie zeer gevoelige informatie heeft geraadpleegd.
Rights Management Services-beveiliging (RMS-beveiliging) toepassen door middel van automatische RMS-versleuteling gevoelige Microsoft Office-documenten. U kunt RMS bijvoorbeeld configureren om alle documenten te versleutelen waarin informatie is opgenomen die valt onder de Wet bescherming persoonsgegevens.

De verzameling functies voor dynamisch toegangsbeheer is gebaseerd op investeringen in infrastructuur die verder kunnen worden gebruikt door partners en line-of-business-toepassingen. Deze functies kunnen grote waarde hebben voor organisaties die gebruikmaken van Active Directory. Deze infrastructuur omvat:

Een nieuwe autorisatie- en controle-engine voor Windows waarmee voorwaardelijke expressies en centraal beleid kan worden verwerkt.
Ondersteuning voor Kerberos-verificatie voor gebruikersclaims en apparaatclaims.
Verbetering van de infrastructuur voor bestandsclassificatie (FCI).
Ondersteuning voor uitbreiding van RMS zodat partners oplossingen kunnen leveren voor het versleutelen van niet-Microsoft-bestanden.

In dit scenario

De volgende scenario's en richtlijnen maken deel uit van deze inhoudsset:

Roadmap voor inhoud voor dynamisch toegangsbeheer

Scenario	Evalueren	Plannen	Implementeer	Gebruiken
Scenario: centraal toegangsbeleid Het opstellen van een centraal toegangsbeleid maakt het mogelijk voor een organisatie om een centraal autorisatiebeleid te implementeren en te beheren waarin voorwaardelijke expressies zijn opgenomen waarin gebruikersclaims, apparaatclaims en broneigenschappen worden gebruikt. Dit beleid is gebaseerd op nalevingsvereisten en zakelijke voorschriften. Deze beleidsregels zijn opgesteld en worden gehost in Active Directory, waardoor u ze eenvoudiger kunt beheren en implementeren. claims implementeren in verschillende forests In Windows Server 2012 houdt de AD DS in elk forest een 'claimwoordenlijst' bij en worden alle claimtypen die in het forest worden gebruikt beschreven op forestniveau in Active Directory. Er zijn vele scenario's waarin een principal mogelijk de grens van een vertrouwensrelatie moet overschrijden. In dit scenario wordt beschreven hoe een claim de grens van een vertrouwensrelatie overschrijdt.	Dynamic Access Control: scenario overview Claims in forests implementeren	Implementatie van een centraal toegangsbeleid plannen Proces om een bedrijfsaanvraag toe te wijzen aan een centraal toegangsbeleid Beheer voor Dynamisch toegangsbeheer overdragen Uitzonderingsmechanismen voor het plannen van centraal toegangsbeleid Aanbevolen procedures voor het gebruik van gebruikersclaims Centraal toegangsbeleid met verschillende opties configureren Bewerkingen om gebruikersclaims in te schakelen Overwegingen bij het gebruik van gebruikersclaims in de discretionaire ACL's van een bestandsserver zonder gebruik van centraal toegangsbeleid Apparaatclaims en apparaatbeveiligingsgroepen gebruiken Overwegingen bij het gebruik van statische apparaatclaims Bewerkingen om apparaatclaims in te schakelen Hulpprogramma's voor implementatie Gegevensclassificatietoolkit	Een centraal toegangsbeleid implementeren (demonstratiestappen) Claims tussen Forests (demonstratie stappen) implementeren	Vormgeven aan een centraal toegangsbeleid
Scenario: bestandstoegang bijhouden Beveiligingscontrole is een van de meest krachtige hulpprogramma's om te helpen de beveiliging van een onderneming op peil te houden. Een van de belangrijkste doelstellingen van beveiligingscontrole is naleving van voorschriften. Industrienormen zoals Sarbanes Oxley HIPAA en Payment Card Industry (PCI) vereisen bijvoorbeeld dat ondernemingen zich houden aan een strikte set regels die betrekking hebben op de beveiliging van gegevens en privacy. Beveiligingscontrole helpt bij het vaststellen van de aan- of afwezigheid van dergelijk beleid, en hiermee wordt aangetoond of wel of niet aan deze normen wordt voldaan. Bovendien helpen beveiligingscontroles bij het detecteren van afwijkend gedrag, het herkennen en verhelpen van lacunes in het beveiligingsbeleid en het afschrikken van onverantwoordelijk gedrag door een administratie bij te houden van de handelingen van gebruikers die kan worden gebruikt voor forensische analyse.	Scenario: bestandstoegang bijhouden	Bestandstoegangscontrole plannen	Beveiligingscontroles implementeren met centrale controlebeleidsregels (demonstratiestappen)	Monitor voor de centraal toegangsbeleid die van toepassing zijn op een bestandsserver Het centraal toegangsbeleid dat is geassocieerd met bestanden en mappen bewaken De bronkenmerken van bestanden en mappen bewaken Claimtypen bewaken Gebruikers- en apparaatclaims bewaken tijdens het aanmelden Centraal toegangsbeleid en regeldefinities bewaken Definities van bronkenmerken bewaken Monitor voor het gebruik van verwisselbare opslagapparaten.
Scenario: ondersteuning bij geweigerde toegang Op dit moment is de enige indicatie die een gebruiker krijgt wanneer deze een extern bestand op de bestandsserver probeert te openen, de melding dat de toegang is geweigerd. In dit geval wordt een verzoek aan de helpdesk gegenereerd of moeten IT-beheerders uitzoeken wat de oorzaak van het probleem is. Vaak is het lastig voor de beheerders om de juiste context van de gebruikers te verkrijgen. Dit bemoeilijkt de oplossing van het probleem. In Windows Server 2012 is het doel te proberen de informatiemedewerker en de zakelijke eigenaar van de gegevens te helpen met de geweigerde toegang om te gaan voordat IT bij het probleem wordt betrokken, en om de juiste informatie te verstrekken voor een snelle oplossing op het moment dat IT bij het probleem wordt betrokken. Een van de uitdagingen bij het bereiken van dit doel is dat er geen centrale methode is om om te gaan met toegangsweigering. Elke toepassing gaat hier anders mee om, en daarom is een van de doelstellingen in Windows Server 2012 het verbeteren van de verwerking van toegangsweigering in Windows Verkenner.	Scenario: ondersteuning bij geweigerde toegang	Ondersteuning bij geweigerde toegang plannen 1.1. Het model voor ondersteuning bij geweigerde toegang bepalen 1.2. Bepalen wie toegangsverzoeken afhandelt 1.3. Het bericht bij geweigerde toegang aanpassen 1.4. Uitzonderingen plannen 1.5. Bepalen hoe ondersteuning bij geweigerde toegang wordt geïmplementeerd	Ondersteuning bij geweigerde toegang implementeren (demonstratiestappen)
Scenario: op classificatie gebaseerde versleuteling van Office-documenten Bij beveiliging van gevoelige informatie draait het met name om het verlagen van het risico voor de organisatie. Diverse nalevingsvoorschriften, zoals HIPAA of de Payment Card Industry Data Security Standard (PCI-DSS) schrijven codering van gegevens voor, en er zijn talloze zakelijke redenen om gevoelige bedrijfsgegevens te versleutelen. Het versleutelen van gegevens is echter kostbaar en kan de zakelijke productiviteit belemmeren. Organisaties hebben daarom vaak verschillende benaderingen en prioriteiten voor het versleutelen van hun gegevens. Ter ondersteuning van dit scenario, biedt Windows Server 2012 de mogelijkheid om gevoelige Windows Office-bestanden automatisch te versleutelen op basis van hun classificatie. Dit wordt gedaan door middel van bestandsbeheertaken die gebruikmaken van Active Directory Rights Management Server (AD RMS) voor de beveiliging van gevoelige documenten, enkele seconden nadat het bestand is geïdentificeerd als een bestand met gevoelige informatie op de server.	Scenario: op classificatie gebaseerde versleuteling van Office-documenten	Overwegingen bij de planning voor versleuteling van Office-documenten	Versleuteling van Office-bestanden implementeren (demonstratiestappen)
Scenario: inzicht verkrijgen in uw gegevens door middel van classificatie De afhankelijkheid van gegevens en opslagbronnen wordt steeds groter binnen de meeste organisaties. IT-beheerders hebben te maken met de steeds groter wordende uitdaging van het in de hand houden van grotere en complexere opslaginfrastructuren, en zijn tegelijkertijd verantwoordelijkheid om ervoor te zorgen dat de totale eigendomskosten binnen de perken blijven. Bij het beheren van opslagbronnen gaat het niet meer alleen om het volume of de beschikbaarheid van gegevens, maar ook om de uitvoering van het bedrijfsbeleid en inzicht in het gebruik van de opslag, om toe te zien op efficiënte benutting van de beschikbare middelen en naleving van de voorschriften en zodoende de risico's zo laag mogelijk te houden. Infrastructuur voor bestandsclassificatie verschaft inzicht in uw gegevens door automatisering van de classificatieprocessen zodat u uw gegevens effectiever kunt beheren. De volgende classificatiemethoden zijn beschikbaar bij Infrastructuur voor bestandsclassificatie: handmatig, programmatisch en automatisch. In dit scenario ligt de nadruk op de automatische bestandsclassificatiemethode.	Scenario: inzicht verkrijgen in uw gegevens door middel van classificatie	Automatische bestandsclassificatie plannen	Automatische bestandsclassificatie implementeren (demonstratiestappen)
Scenario: bewaren van gegevens op bestandsservers implementeren Een bewaarperiode is de hoeveelheid tijd die een document moet worden bewaard voordat het is verlopen. De bewaarperiode kan per organisatie verschillen. U kunt bestanden in een map classificeren als bestanden met een korte, gemiddelde of lange bewaarperiode en vervolgens een tijdsduur instellen voor elke categorie. Het kan gewenst zijn een bestand voor onbepaalde tijd te behouden door de gegevens in de wettelijke bewaring te plaatsen. Infrastructuur voor bestandsclassificatie en Bestandsserverbronbeheer maken gebruik van bestandsbeheertaken en bestandsclassificatie voor het bepalen van een bewaarperiode voor een groep bestanden. U kunt een bewaarperiode toewijzen aan een map toewijzen en vervolgens een bestandsbeheertaak gebruiken om te bepalen hoe lang een toegewezen bewaarperiode moet duren. Wanneer de bestanden in de map op het punt staan te verlopen, krijgt de eigenaar van het bestand een kennisgevings-e-mail. U kunt een bestand ook classificeren als bestand in wettelijke bewaring zodat de bestandsbeheertaak het bestand niet laat verlopen.	Scenario: bewaren van gegevens op bestandsservers implementeren	Bewaren van informatie op bestandsservers plannen	Bewaren van gegevens op bestandsservers implementeren (demonstratiestappen)

Notitie

Dynamisch toegangsbeheer wordt niet ondersteund in ReFS (Resilient File System).

Zie ook

Inhoudstype	Verwijzingen
Productevaluatie	Dynamisch toegangsbeheer - handleiding voor revisoren Dynamisch toegangsbeheer - handleiding voor ontwikkelaars
Planning	Implementatie van een centraal toegangsbeleid plannen Bestandstoegangscontrole plannen
Implementatie	Implementatie van Active Directory Implementatie van Bestands- en opslagservices
Bewerkingen	Dynamisch toegangsbeheer - referentiemateriaal voor PowerShell
Hulpprogramma's en instellingen	Gegevensclassificatietoolkit
Communitybronnen.	Directory Services-forum

Dynamisch toegangsbeheer: overzicht van scenario's

In dit scenario

Roadmap voor inhoud voor dynamisch toegangsbeheer

Zie ook

Aanvullende resources