Dynamisch toegangsbeheer: overzicht van scenario's
Van toepassing op: Windows Server 2012
In Windows Server 2012 kunt u data governance toepassen voor uw bestandsservers om te bepalen wie toegang heeft tot gegevens en om bij te houden wie gegevens heeft geraadpleegd. Met dynamisch toegangsbeheer kunt u:
Gegevens identificeren door middel van automatische en handmatige classificatie van bestanden. U kunt bijvoorbeeld gegevens labelen op bestandsservers in de gehele organisatie.
Toegang tot bestanden beheren door toepassing van een opvangnetbeleid waarin gebruik wordt gemaakt van een centraal toegangsbeleid. U kunt bijvoorbeeld bepalen wie toegang heeft tot de gezondheidsinformatie binnen de organisatie.
Toegang tot bestanden bijhouden door middel van een centraal controlebeleid voor nalevingsrapportage en forensische analyse. U kan bijvoorbeeld bepalen wie zeer gevoelige informatie heeft geraadpleegd.
Rights Management Services-beveiliging (RMS-beveiliging) toepassen door middel van automatische RMS-versleuteling gevoelige Microsoft Office-documenten. U kunt RMS bijvoorbeeld configureren om alle documenten te versleutelen waarin informatie is opgenomen die valt onder de Wet bescherming persoonsgegevens.
De verzameling functies voor dynamisch toegangsbeheer is gebaseerd op investeringen in infrastructuur die verder kunnen worden gebruikt door partners en line-of-business-toepassingen. Deze functies kunnen grote waarde hebben voor organisaties die gebruikmaken van Active Directory. Deze infrastructuur omvat:
Een nieuwe autorisatie- en controle-engine voor Windows waarmee voorwaardelijke expressies en centraal beleid kan worden verwerkt.
Ondersteuning voor Kerberos-verificatie voor gebruikersclaims en apparaatclaims.
Verbetering van de infrastructuur voor bestandsclassificatie (FCI).
Ondersteuning voor uitbreiding van RMS zodat partners oplossingen kunnen leveren voor het versleutelen van niet-Microsoft-bestanden.
In dit scenario
De volgende scenario's en richtlijnen maken deel uit van deze inhoudsset:
Roadmap voor inhoud voor dynamisch toegangsbeheer
Scenario |
Evalueren |
Plannen |
Implementeer |
Gebruiken |
---|---|---|---|---|
Scenario: centraal toegangsbeleid Het opstellen van een centraal toegangsbeleid maakt het mogelijk voor een organisatie om een centraal autorisatiebeleid te implementeren en te beheren waarin voorwaardelijke expressies zijn opgenomen waarin gebruikersclaims, apparaatclaims en broneigenschappen worden gebruikt. Dit beleid is gebaseerd op nalevingsvereisten en zakelijke voorschriften. Deze beleidsregels zijn opgesteld en worden gehost in Active Directory, waardoor u ze eenvoudiger kunt beheren en implementeren. claims implementeren in verschillende forests In Windows Server 2012 houdt de AD DS in elk forest een 'claimwoordenlijst' bij en worden alle claimtypen die in het forest worden gebruikt beschreven op forestniveau in Active Directory. Er zijn vele scenario's waarin een principal mogelijk de grens van een vertrouwensrelatie moet overschrijden. In dit scenario wordt beschreven hoe een claim de grens van een vertrouwensrelatie overschrijdt. |
Implementatie van een centraal toegangsbeleid plannen
Aanbevolen procedures voor het gebruik van gebruikersclaims Apparaatclaims en apparaatbeveiligingsgroepen gebruiken Hulpprogramma's voor implementatie |
Een centraal toegangsbeleid implementeren (demonstratiestappen) |
|
|
Scenario: bestandstoegang bijhouden Beveiligingscontrole is een van de meest krachtige hulpprogramma's om te helpen de beveiliging van een onderneming op peil te houden. Een van de belangrijkste doelstellingen van beveiligingscontrole is naleving van voorschriften. Industrienormen zoals Sarbanes Oxley HIPAA en Payment Card Industry (PCI) vereisen bijvoorbeeld dat ondernemingen zich houden aan een strikte set regels die betrekking hebben op de beveiliging van gegevens en privacy. Beveiligingscontrole helpt bij het vaststellen van de aan- of afwezigheid van dergelijk beleid, en hiermee wordt aangetoond of wel of niet aan deze normen wordt voldaan. Bovendien helpen beveiligingscontroles bij het detecteren van afwijkend gedrag, het herkennen en verhelpen van lacunes in het beveiligingsbeleid en het afschrikken van onverantwoordelijk gedrag door een administratie bij te houden van de handelingen van gebruikers die kan worden gebruikt voor forensische analyse. |
Beveiligingscontroles implementeren met centrale controlebeleidsregels (demonstratiestappen) |
|||
Scenario: ondersteuning bij geweigerde toegang Op dit moment is de enige indicatie die een gebruiker krijgt wanneer deze een extern bestand op de bestandsserver probeert te openen, de melding dat de toegang is geweigerd. In dit geval wordt een verzoek aan de helpdesk gegenereerd of moeten IT-beheerders uitzoeken wat de oorzaak van het probleem is. Vaak is het lastig voor de beheerders om de juiste context van de gebruikers te verkrijgen. Dit bemoeilijkt de oplossing van het probleem. |
Ondersteuning bij geweigerde toegang implementeren (demonstratiestappen) |
|||
Scenario: op classificatie gebaseerde versleuteling van Office-documenten Bij beveiliging van gevoelige informatie draait het met name om het verlagen van het risico voor de organisatie. Diverse nalevingsvoorschriften, zoals HIPAA of de Payment Card Industry Data Security Standard (PCI-DSS) schrijven codering van gegevens voor, en er zijn talloze zakelijke redenen om gevoelige bedrijfsgegevens te versleutelen. Het versleutelen van gegevens is echter kostbaar en kan de zakelijke productiviteit belemmeren. Organisaties hebben daarom vaak verschillende benaderingen en prioriteiten voor het versleutelen van hun gegevens. |
Scenario: op classificatie gebaseerde versleuteling van Office-documenten |
Overwegingen bij de planning voor versleuteling van Office-documenten |
Versleuteling van Office-bestanden implementeren (demonstratiestappen) |
|
Scenario: inzicht verkrijgen in uw gegevens door middel van classificatie De afhankelijkheid van gegevens en opslagbronnen wordt steeds groter binnen de meeste organisaties. IT-beheerders hebben te maken met de steeds groter wordende uitdaging van het in de hand houden van grotere en complexere opslaginfrastructuren, en zijn tegelijkertijd verantwoordelijkheid om ervoor te zorgen dat de totale eigendomskosten binnen de perken blijven. Bij het beheren van opslagbronnen gaat het niet meer alleen om het volume of de beschikbaarheid van gegevens, maar ook om de uitvoering van het bedrijfsbeleid en inzicht in het gebruik van de opslag, om toe te zien op efficiënte benutting van de beschikbare middelen en naleving van de voorschriften en zodoende de risico's zo laag mogelijk te houden. Infrastructuur voor bestandsclassificatie verschaft inzicht in uw gegevens door automatisering van de classificatieprocessen zodat u uw gegevens effectiever kunt beheren. De volgende classificatiemethoden zijn beschikbaar bij Infrastructuur voor bestandsclassificatie: handmatig, programmatisch en automatisch. In dit scenario ligt de nadruk op de automatische bestandsclassificatiemethode. |
Scenario: inzicht verkrijgen in uw gegevens door middel van classificatie |
Automatische bestandsclassificatie implementeren (demonstratiestappen) |
||
Scenario: bewaren van gegevens op bestandsservers implementeren Een bewaarperiode is de hoeveelheid tijd die een document moet worden bewaard voordat het is verlopen. De bewaarperiode kan per organisatie verschillen. U kunt bestanden in een map classificeren als bestanden met een korte, gemiddelde of lange bewaarperiode en vervolgens een tijdsduur instellen voor elke categorie. Het kan gewenst zijn een bestand voor onbepaalde tijd te behouden door de gegevens in de wettelijke bewaring te plaatsen. |
Scenario: bewaren van gegevens op bestandsservers implementeren |
Bewaren van gegevens op bestandsservers implementeren (demonstratiestappen) |
Notitie
Dynamisch toegangsbeheer wordt niet ondersteund in ReFS (Resilient File System).
Zie ook
Inhoudstype |
Verwijzingen |
---|---|
Productevaluatie |
|
Planning |
|
Implementatie |
|
Bewerkingen |
Dynamisch toegangsbeheer - referentiemateriaal voor PowerShell |
Hulpprogramma's en instellingen |
|
Communitybronnen. |