Table of contents
TOC
Zwiń spis treści
Rozwiń spis treści

Dynamiczna kontrola dostępu: Omówienie scenariusza

Bill Mathers|Ostatnia aktualizacja: 10.03.2017
|
1 Współautor

Dotyczy: Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

W systemie Windows Server 2012 można stosować funkcje do zarządzania danymi na serwerach plików umożliwia kontrolowania, kto ma dostęp do informacji i kto ma dostęp do informacji. Dynamiczna kontrola dostępu umożliwia:

  • Identyfikowanie danych przy użyciu automatycznej i ręcznej klasyfikacji plików. Na przykład znakować dane na serwerach plików w całej organizacji.

  • Kontrolowanie dostępu do plików za pomocą zasad bezpieczeństwa sieci, które używają centralnych zasad dostępu. Na przykład można zdefiniować, kto ma dostęp do informacji medycznych w organizacji.

  • Inspekcja dostępu do plików przy użyciu zasad inspekcji centralnej do zgodności raportowania i analizy sądowej. Na przykład ustalać, kto uzyskał dostęp do bardzo poufnych informacji.

  • Stosowanie ochrony usług zarządzania prawami (RMS) przy użyciu automatycznego szyfrowania RMS poufnych dokumentów Microsoft Office. Na przykład można skonfigurować usługi RMS, aby szyfrować wszystkie dokumenty zawierające informacje Health Insurance Portability and Accountability Act (HIPAA).

Zestaw funkcji dynamicznej kontroli dostępu jest oparty na inwestycjach, które może być używana również przez partnerów i biznesowych aplikacje i funkcje mogą być cenne dla organizacji korzystających z usługi Active Directory. Ta infrastruktura obejmuje:

  • Nowy aparat autoryzacji i inspekcji dla systemu Windows, który może przetwarzać wyrażenia warunkowe i zasady centralne.

  • Obsługę uwierzytelniania Kerberos dla oświadczeń użytkowników i urządzeń.

  • Ulepszenia infrastruktury klasyfikacji plików (FCI).

  • Obsługę rozszerzeń usług RMS, umożliwiającą partnerom dostarczanie rozwiązań do szyfrowania plików firm innych niż Microsoft.

W tym scenariuszu

Następujące scenariusze i wskazówki są zawarte w ramach tego zestawu zawartości:

Plan zawartości kontroli dostępu dynamicznego

ScenariuszOceńPlanowanieWdrażanieDziałanie
Scenariusz: Centralne zasady dostępu

Tworząc centralne zasady dostępu dla plików pozwalają organizacjom centralne wdrażanie i zarządzanie nimi zasady autoryzacji, które zawierają wyrażenia warunkowe używające oświadczeń użytkowników, oświadczeń urządzeń i właściwości zasobów. Te zasady są oparte na zgodnością i przepisami wymaganiami biznesowymi. Te zasady są tworzone i przechowywane w usłudze Active Directory, w związku z tym co ułatwia zarządzanie i wdrażanie.

Wdrażanie oświadczeń w lasach

W systemie Windows Server 2012 usługi AD DS utrzymują "Słownik oświadczeń" w każdym lesie, a wszystkie oświadczeń typy używanych w obrębie lasu są definiowane na poziomie lasu usługi Active Directory. Istnieje wiele scenariuszy, w których podmiot zabezpieczeń musi przejść przez granicę zaufania. W tym scenariuszu opisano przechodzenie oświadczenia przez granicę zaufania.
Dynamiczna kontrola dostępu: Omówienie scenariusza

Wdrażanie oświadczeń w lasach
Planowanie: Wdrożenia centralnych zasad dostępu

- Proces przekształcania wymagań biznesowych w centralne zasady dostępu
- Delegowanie czynności administracyjnych dla dynamicznej kontroli dostępu
- Mechanizmy wyjątków w planowaniu centralnych zasad dostępu

Najlepsze rozwiązania dotyczące stosowania oświadczeń użytkowników

- Wybieranie odpowiedniej konfiguracji w celu włączenia oświadczeń w domenie użytkowników
- Procedura włączania oświadczeń użytkowników
- Kwestie związane ze stosowaniem oświadczeń użytkowników na serwerze plików poufne listy kontroli dostępu, bez korzystania z centralnych zasad dostępu

Stosowanie oświadczeń urządzeń i grup zabezpieczeń urządzeń

- Kwestie związane ze stosowaniem statycznych oświadczeń urządzeń
- Procedura włączania oświadczeń urządzeń

Narzędzia do wdrażania

- Zestaw narzędzi do klasyfikacji danych
Wdrażanie zasad dostępu centralnej & #40; kroki Pokaz & #41;

Wdrażanie oświadczeń w lasach & #40; kroki Pokaz & #41;
-Modelowanie centralnych zasad dostępu
Scenariusz: Przeprowadzanie inspekcji dostępu do plików

Inspekcja zabezpieczeń jest jednym z najbardziej zaawansowanych narzędzi pomagających zapewnić bezpieczeństwo przedsiębiorstwa. Jednym z podstawowych celów inspekcji zabezpieczeń jest zapewnienie zgodności z przepisami. Na przykład standardy branżowe, takie jak Sarbanes Oxley, HIPAA i Payment Card Industry (PCI) nakładają na przedsiębiorstwa obowiązek ścisłego przestrzegania reguł związanych z bezpieczeństwem danych i prywatności. Inspekcja zabezpieczeń pomaga ustalić, czy te zasady; Dzięki temu one można zweryfikować zgodność z tymi standardami. Ponadto inspekcja zabezpieczeń ułatwia wykrywanie nietypowych zachowań, identyfikowanie i usuwanie luk w zasadach zabezpieczeń oraz ograniczanie nieodpowiedzialnych zachowań, pozwalając tworzyć zapis aktywności użytkownika, który może służyć do analizy śledczej.
Scenariusz: Przeprowadzanie inspekcji dostępu do plikówPlanowanie dla pliku inspekcji dostępuWdrażanie zabezpieczeń inspekcji z centralne zasady przeprowadzania inspekcji & #40; kroki Pokaz & #41;- Monitorowanie centralnych zasad dostępu stosowanych na serwerze plików
- Monitorowanie centralnych zasad dostępu skojarzonych z plikami i folderami
- Monitorowanie atrybutów zasobów dla plików i folderów
- Monitorowanie typów oświadczeń
- Monitorowanie oświadczeń użytkowników i urządzeń podczas logowania
- Monitorowanie centralnych zasad dostępu i definicji reguł
- Monitorowanie definicji atrybutów zasobów
- Monitorowanie korzystania z wymiennych urządzeń magazynujących.
Scenariusz: Pomoc w przypadku odmowy dostępu

Obecnie gdy użytkownicy próbują uzyskać dostęp do zdalnego pliku na serwerze plików, jedyną reakcją, jaką uzyskują jest odmowa dostępu. Powoduje to zgłoszenia do działu pomocy technicznej lub do administratorów IT, którzy muszą ustalić przyczynę problemu jakie często trudności uzyskanie odpowiedniego kontekstu od użytkowników, co stanowi przeszkodę w rozwiązaniu problemu.
W systemie Windows Server 2012, celem jest spróbować Pracownik przetwarzający informacje i właściciel firmy danych radzenia sobie z problemem dostępu IT dotyczy i kiedy IT zostanie zaangażowany — udostępnienie wszystkich potrzebnych informacji przyspieszających rozwiązanie problemu. Jedną z trudności w osiągnięciu tego celu jest to, że nie ma scentralizowanej metody radzenia sobie z odmową dostępu i każda aplikacja obsługuje ją inaczej i w związku z tym w systemie Windows Server 2012, jednym z celów jest ulepszenie obsługi odmowy dostępu w Eksploratorze Windows.
Scenariusz: Pomoc w przypadku odmowy dostępuPlanowanie pomocy w przypadku odmowy dostępu

- Określanie modelu pomocy w przypadku odmowy dostępu
- Określić, kto ma obsługiwać żądania dostępu
- Dostosowywanie komunikatu pomocy w przypadku odmowy dostępu
- Planowanie wyjątków
- Określić pomoc jak odmowa dostępu jest wdrożony
Wdrażanie odmowa dostępu pomocy & #40; kroki Pokaz & #41;
Scenariusz: Szyfrowanie oparte na klasyfikacji dokumentów pakietu Office

Ochrona informacji poufnych dotyczy głównie zmniejszenia ryzyka dla organizacji. Szyfrowanie informacji Payment różne przepisy dotyczące zgodności, takie jak HIPAA i płatności Card Industry Data Security Standard (PCI-DSS), a ponadto istnieje wiele powodów biznesowych do szyfrowania informacji poufnych. Jednak szyfrowanie informacji jest kosztowne i go może pogarszać wydajność działań biznesowych. W związku z tym organizacje zazwyczaj mają różne podejścia i priorytety dotyczące szyfrowania informacji.
Do obsługi tego scenariusza, Windows Server 2012 zapewnia możliwość automatycznie szyfrowania poufnych plików pakietu Office w systemie Windows na podstawie ich klasyfikacji. Można to zrobić za pomocą zadań zarządzania plikami, które wywołują Active Directory Rights Management Server (AD RMS) w celu ochrony poufnych dokumentów kilka sekund po pliku jest identyfikowany jako poufnych plików na serwerze plików.
Scenariusz: Szyfrowanie oparte na klasyfikacji dokumentów pakietu OfficePlanowanie wdrożenia szyfrowania dokumentów na podstawie klasyfikacjiWdrażanie szyfrowania plików pakietu Office & #40; kroki Pokaz & #41;
Scenariusz: Uzyskiwanie wglądu w dane przy użyciu klasyfikacji

Zależność od danych i zasobów magazynowania jest kontynuowana zwiększa się znaczenie w przypadku większości organizacji. Administratorzy IT stają przed rosnącym wyzwaniem nadzorowania coraz większej i bardziej złożonej infrastruktury magazynowania jednoczesnej z konieczności utrzymania całkowitych kosztów użytkowania na rozsądnym poziomie. Zarządzanie zasobami magazynowania obejmuje nie tylko o woluminy i dostępność już danych, lecz również wymuszanie zasad firmy i informacja o sposobie używania magazynu, aby zapewnić jego efektywne wykorzystanie oraz zgodność w celu ograniczenia ryzyka. Infrastruktura klasyfikacji plików zapewnia wgląd w dane dzięki automatyzacji procesów klasyfikacji, aby efektywniej zarządzać danymi. Infrastruktura klasyfikacji plików udostępnia są następujące metody klasyfikacji: ręczne, programowe i automatyczne. W tym scenariuszu skupiono się na automatycznej metodzie klasyfikacji plików.
Scenariusz: Uzyskiwanie wglądu w dane przy użyciu klasyfikacjiPlanowanie automatycznej klasyfikacji plikówWdrażanie automatycznej klasyfikacji plików & #40; kroki Pokaz & #41;
Scenariusz: Implementowanie przechowywania informacji na serwerach plików

Okres przechowywania to czas, przez który dokument powinien być przechowywany przed wygaśnięciem. W zależności od organizacji okresy przechowywania mogą być różne. Można klasyfikować pliki w folderze jako mające krótki, średni i długi przechowywanie i następnie przypisać przedział czasu dla każdego okresu. Warto przechowywać plik w nieskończoność, ustawiając dla niego blokadę z przyczyn prawnych.
Infrastruktura klasyfikacji plików i Menedżera zasobów serwera plików używa zadań zarządzania plikami i klasyfikacji plików do stosowania okresów przechowywania dla zestawu plików. Można przypisać okresu przechowywania w folderze, a następnie użyć zadania zarządzania plikami do skonfigurowania długości przypisanego okresu przechowywania. Gdy wygaśnie pliki w folderze, właściciel pliku otrzymuje wiadomość e-mail z powiadomieniem. Można także sklasyfikować plik jako zablokowany z przyczyn prawnych, tak aby zadanie zarządzania plikami nie spowodowało wygaśnięcia pliku.
Scenariusz: Implementowanie przechowywania informacji na serwerach plikówPlanowanie przechowywania informacji na serwerach plikówWdrażanie implementacji przechowywania informacji na serwerach plików & #40; kroki Pokaz & #41;
Uwaga

Dynamiczna kontrola dostępu nie jest obsługiwana w systemie plików ReFS (Resilient File System).

Zobacz też

Typ zawartościOdwołania
Ocena produktu- Przewodnik dla oceniających kontroli dostępu dynamicznego
- Wskazówki dla deweloperów dotyczące kontroli dostępu dynamicznego
Planowanie- Planowanie wdrożenia centralnych zasad dostępu
- Planowanie dla pliku inspekcji dostępu
Wdrożenia- Wdrażanie usługi Active Directory
- Wdrażanie usług magazynowania i plików
OperacjeDokumentacja programu PowerShell dla kontroli dostępu dynamicznego
Narzędzia i ustawieniaZestaw narzędzi do klasyfikacji danych
Zasoby społecznościForum usług katalogowych
© 2017 Microsoft