Динамический контроль доступа. Обзор сценария
Применимо к:Windows Server 2012
В Windows Server 2012 можно управлять данными на файловых серверах, контролируя то, какие пользователи могут осуществлять доступ к информации, и кто обращался к информации. Динамический контроль доступа позволяет следующее.
Идентифицировать данные с помощью автоматизированной и ручной классификации файлов. Например, можно снабдить тегами данные на файловых серверах по всей организации.
Управлять доступом к файлам, применяя политики "сетки безопасности" с использованием централизованных политик доступа. Например, можно определить, кто в организации получит доступ к информации о здоровье.
Проводить аудит доступа к файлам, используя централизованные политики аудита для создания отчетов о соответствии и криминалистического анализа. Например, можно определить, кто обращался к самой конфиденциальной информации.
Применять защиту служб управления правами (RMS), используя автоматическое шифрование RMS для конфиденциальных документов Microsoft Office. Например, можно настроить службы RMS на шифрование всех документов, содержащих информацию по акту США о передаче и защите данных учреждений здравоохранения HIPAA (HIPAA).
Набор компонентов динамического контроля доступа основан на инвестициях в инфраструктуру, которую в дальнейшем могут использовать партнеры и приложения для ведения бизнеса, а компоненты могут обеспечить значительные преимущества организациям, использующим Active Directory. Эта инфраструктура включает в себя следующее.
Новый механизм авторизации и аудита для Windows, способный обрабатывать условные выражения и централизованные политики.
Поддержка проверки подлинности Kerberos для заявок на доступ пользователей и устройств.
Улучшения инфраструктуры классификации файлов (FCI).
Поддержка расширяемости RMS для того, чтобы партнеры могли предоставлять решения, шифрующие файлы форматов, отличных от Майкрософт.
Содержание сценария
В этот набор содержимого включены следующие сценарии и руководство.
План содержимого по динамическому контролю доступа
Сценарий |
Оценка |
Планирование |
Развертывание |
Эксплуатация |
---|---|---|---|---|
Сценарий: Централизованная политика доступа Создание централизованных политик доступа для файлов позволяет организациям централизованно развертывать политики авторизации, содержащие условные выражения с использованием заявок на доступ пользователей и устройств и свойств ресурсов, а также управлять этими политиками. Эти политики основаны на соответствии регулятивным требованиям бизнеса. Эти политики создаются и размещаются в Active Directory, что облегчает управление ими и их развертывание. Развертывание заявок на доступ между лесами В Windows Server 2012 службы AD DS поддерживают "словарь заявок" в каждом лесу, и все используемые в лесу типы заявок на доступ определяются на уровне леса Active Directory. Существует множество сценариев, где субъекту может понадобиться обход границы доверия. В этом сценарии описывается, как заявка на доступ обходит границу доверия. |
Планирование развертывания централизованной политики доступа
Лучшие методики использования заявок на доступ пользователей Использование заявок на доступ устройств и групп безопасности устройств Средства для развертывания |
Развертывание централизованной политики доступа (демонстрация последовательности действий) Развертывание утверждений между лесами (Поэтапная Демонстрация) |
|
|
Сценарий: Аудит доступа к файлам Аудит безопасности является одним из самых мощных инструментов, помогающих поддерживать безопасность на предприятии. Одна из основных целей аудита безопасности — обеспечение соответствия нормативным требованиям. Например, согласно отраслевым стандартам, таким как закон Сарбейнса — Оксли, а также акт HIPAA и PCI, предприятия должны следовать строгому набору правил в области безопасности и конфиденциальности данных. Аудит безопасности помогает установить наличие или отсутствие этих политик, подтверждая таким образом соответствие или несоответствие стандартам. Кроме того, аудиты безопасности помогают обнаруживать аномальное поведение, выявлять и устранять уязвимости в политике безопасности, а также предотвращать безответственное поведение путем ведения протокола действий пользователей, который может быть использован при криминалистическом анализе. |
||||
Сценарий: помощь при отказе в доступе Сегодня при попытке получить доступ к удаленному файлу на файловом сервере пользователи получат единственный ответ, что в доступе отказано. Это является источником запросов в службы поддержки или к ИТ-администраторам, которым требуется определить суть проблемы, и зачастую администраторам нелегко узнать у пользователя соответствующий контекст, что затрудняет ее решение. |
||||
Сценарий: шифрование на основе классификации для документов Office Защита конфиденциальной информации в основном заключается в смягчении риска для организации. Различные правила соответствия, например HIPAA или стандарт Payment Card Industry Data Security Standard (PCI-DSS), требуют шифровать информацию, и в бизнесе существует множество причин для шифрования конфиденциальных деловых данных. Однако шифрование информации стоит дорого и может снизить производительность бизнеса. Поэтому организации склонны применять разные подходы и приоритеты в отношении шифрования своей информации. |
Scenario: Classification-Based Encryption for Office Documents |
Развертывание шифрования файлов Office (демонстрация последовательности действий) |
||
Сценарий: получите четкое представление о ваших данных с помощью классификации Значение данных и ресурсов их хранения продолжает увеличиваться для большинства организаций. ИТ-администраторы сталкиваются с растущей проблемой надзора за все более крупными и сложными инфраструктурами хранения данных, получая в то же время задачу с ответственностью за поддержку общей стоимости владения на разумном уровне. Управление ресурсами хранения данных больше касается не только объема или доступности данных, но и предусматривает применение политик компании и знание того, как потребляются ресурсы хранения для обеспечения их эффективного использования и соответствия требованиям с целью смягчения риска. Инфраструктура классификации файлов помогает получить представление об имеющихся данных, автоматизируя процессы классификации и тем самым повышая эффективность управления данными. В инфраструктуре классификации файлов доступны следующие методы классификации: ручной, программный и автоматический. Данный сценарий фокусируется на автоматическом методе классификации файлов. |
Scenario: Get Insight into Your Data by Using Classification |
Развертывание автоматической классификации файлов (демонстрация последовательности действий) |
||
Scenario: Implement Retention of Information on File Servers Период хранения — это время, в течение которого следует хранить документ, прежде чем он будет просрочен. В зависимости от организации период хранения может быть разным. Файлы в папке можно классифицировать как подлежащие кратко-, средне- и долгосрочному хранению, а затем назначить для каждого периода свои временные рамки. Возможно, какой-либо файл вам понадобится хранить неограниченно долго, поместив его на удержание по юридическим причинам. |
Scenario: Implement Retention of Information on File Servers |
Развертывание реализации хранения информации на файловых серверах (обучающий пример) |
Примечание
Динамический контроль доступа не поддерживается в файловой системе ReFS (Resilient File System).
См. также:
Тип содержимого |
Ссылок |
---|---|
Оценка продукта |
|
Планирование |
|
Развертывание |
|
Операции |
|
Средства и параметры |
|
Ресурсы сообщества |