Table of contents
TOC
Fechar a tabela de conteúdos
Expandir a tabela de conteúdos

Cenário: Política de acesso Central

Bill Mathers|Última Atualização: 10/03/2017
|
1 Contribuinte

Aplica-se a: Windows Server de 2016, Windows Server 2012 R2, Windows Server 2012

As políticas de acesso central para ficheiros permitem organizações para implementar e gerir as políticas de autorização que incluem expressões condicionais que utilizam os grupos de utilizador, reclamações de utilizador, reclamações de dispositivo e propriedades dos recursos de forma centralizada. (Reclamações são afirmações sobre os atributos do objeto com o qual estão associados). Por exemplo, para aceder a dados do alta-business-impacto (AIN), um utilizador deve ser um colaborador integral, obter acesso a partir de um dispositivo gerido e inicie sessão com um smart card. Estas políticas são definidas e alojadas nos serviços de domínio do Active Directory (AD DS).

Políticas de acesso organizacional são controladas pela conformidade e requisitos de regulamentação de negócio. Por exemplo, se a organização tem um requisito de negócio para restringir o acesso a informações pessoais identificativas (informações de identificação Pessoal) nos ficheiros de apenas o proprietário do ficheiro e os membros do departamento de recursos humanos (h) que podem ver informações de informações de identificação Pessoal, esta política é aplicável aos ficheiros de informações de identificação Pessoal para onde quer que estão localizados nos servidores de ficheiros em toda a organização. Neste exemplo, tem de ser capaz de:

  • Identificar e marcar os ficheiros que contenham informações de identificação Pessoal.

  • Identifica o grupo de membros h que podem ver informações de informações de identificação Pessoal.

  • Crie uma política de acesso central que se aplica a todos os ficheiros que contenham informações de identificação Pessoal para onde quer que estão localizados nos servidores de ficheiros em toda a organização.

A iniciativa de implementar e aplicar uma política de autorização pode são fornecidos por vários motivos e aplicar a vários níveis de organização. Seguem-se alguns tipos de política de exemplo:

  • Política de autorização de toda a organização. Maior frequência iniciado a partir do office de segurança de informações, esta política de autorização é impulsionada pela conformidade ou um requisitos de alto nível de organização e é relevante em toda a organização. Por exemplo, ficheiros AIN estão acessíveis para apenas os empregados integral.

  • Política de autorização departamentos. Cada departamento de TI numa organização tem algumas requisitos tratamento de dados especiais que quer fazer cumprir. Por exemplo, o departamento de finanças poderá pretender limitar o acesso a servidores de finanças para os funcionários Finanças.

  • Política de gestão de dados específicos. Esta política relaciona-se normalmente a conformidade e os requisitos de negócios e ele é direcionado para proteger o acesso às informações de que estão a ser geridas correto. Por exemplo, instituições financeiras poderão implementar paredes informações para que os analistas não acesso às informações de corretagem e agentes não aceder às informações de análise.

  • É preciso-para-saber política. Este tipo de política de autorização é normalmente utilizado em conjunto com os tipos de política anterior. Por exemplo, os fornecedores devem ser capazes de acesso e a edição apenas os ficheiros que referem-se a um projeto que estamos a trabalhar numa.

Ambientes de ciclo de vida real também nos ensinam que política de autorização de cada tem de ter exceções para que as organizações rapidamente podem reagir quando surgem as necessidades de negócios importantes. Por exemplo, executivos que não é possível encontrar os seus cartões inteligentes e ter acesso rápido a informações AIN podem chamar o suporte técnico para obter uma exceção temporária para aceder a essas informações.

Políticas de acesso central atuam como chapéus de chuva de segurança que uma organização aplica-se em todos os servidores. Estas políticas melhoram (mas não substituir) as políticas de acesso local ou listas de controlo de acesso discricionários (DACL) que são aplicadas aos ficheiros e pastas. Por exemplo, se uma DACL num ficheiro permite o acesso a um utilizador específico, mas uma política central que é aplicada ao ficheiro de restringe o acesso ao utilizador mesmo, o utilizador não poderá obter acesso ao ficheiro. Se a política de acesso central permite o acesso, mas a DACL não permitir o acesso, o utilizador não pode obter acesso ao ficheiro.

Uma regra de política de acesso central tem as seguintes partes lógicas:

  • Aplicabilidade. Uma condição que define os dados que a política de aplica-se, por exemplo, Resource.BusinessImpact=High.

  • Condições de acesso. Uma lista de uma ou mais controlo entradas acesso (ACE) que definir quem pode aceder aos dados, tais como permitir | Controle total | User.EmployeeType=FTE.

  • Exceções. Uma lista adicional de uma ou mais ACEs que definir uma exceção para a política, por exemplo, MemberOf(HBIExceptionGroup).

As seguintes duas figuras mostram o fluxo de trabalho no acesso central e políticas de auditoria.

Guias de soluções

Figura 1 conceitos de política de acesso e auditoria Central

Guias de soluções

Figura 2 fluxo de trabalho de política de acesso Central

A política de autorização central combina os seguintes componentes:

  • Uma lista de regras de forma centralizada definidos acesso direcionados para tipos de informações, tais como AIN ou informações de identificação Pessoal específicos.

  • Uma política de forma centralizada definida que contém uma lista das regras.

  • Um identificador de política que é atribuído a cada dos ficheiros nos servidores do ficheiro para apontar para uma política específica acesso central que deve ser aplicada durante a autorização de acesso.

A seguinte figura demonstra como pode combinar as políticas listas de política de forma centralizada controlar o acesso aos ficheiros.

Guias de soluções

Figura 3 combinação de políticas

Neste cenário

As seguintes diretrizes estão disponível para si para políticas de acesso central:

Funções e funcionalidades incluídas neste cenário

A tabela seguinte lista as funções e funcionalidades que fazem parte neste cenário e descreve como oferecem suporte.

Função/funcionalidadeComo ele suporta este cenário
Função de serviços de domínio do diretório ativaAD DS no Windows Server 2012 introduz uma plataforma com base em declarações de autorização que permite a criação de reclamações de utilizador e reclamações de dispositivo, identidade composta, (utilizador para além de reclamações de dispositivo), novos modelos de política (CAP) central de acesso e a utilização de informações de ficheiro-classificação em decisões de autorização.
Função de servidor de serviços de armazenamento e de ficheiroFicheiro e os serviços de armazenamento fornece tecnologias que ajudarão-lo a configurar e gerir um ou mais servidores de ficheiro que fornecem localizações central na sua rede local onde pode armazenar ficheiros e partilhe-os com os utilizadores. Se os utilizadores de rede têm acesso aos mesmos ficheiros e aplicações, ou se gestão centralizada de cópia de segurança e ficheiro é importante para a sua organização, deve configurar um ou mais computadores como um servidor de ficheiros ao adicionar a função de ficheiros e os serviços de armazenamento e os serviços de função adequadas para os computadores.
Computador cliente do WindowsOs utilizadores podem aceder aos ficheiros e pastas na rede através do computador ao cliente.
© 2017 Microsoft