Динамический контроль доступа. Обзор сценария

  • Статья

 

Применимо к:Windows Server 2012

В Windows Server 2012 можно управлять данными на файловых серверах, контролируя то, какие пользователи могут осуществлять доступ к информации, и кто обращался к информации. Динамический контроль доступа позволяет следующее.

  • Идентифицировать данные с помощью автоматизированной и ручной классификации файлов. Например, можно снабдить тегами данные на файловых серверах по всей организации.

  • Управлять доступом к файлам, применяя политики "сетки безопасности" с использованием централизованных политик доступа. Например, можно определить, кто в организации получит доступ к информации о здоровье.

  • Проводить аудит доступа к файлам, используя централизованные политики аудита для создания отчетов о соответствии и криминалистического анализа. Например, можно определить, кто обращался к самой конфиденциальной информации.

  • Применять защиту служб управления правами (RMS), используя автоматическое шифрование RMS для конфиденциальных документов Microsoft Office. Например, можно настроить службы RMS на шифрование всех документов, содержащих информацию по акту США о передаче и защите данных учреждений здравоохранения HIPAA (HIPAA).

Набор компонентов динамического контроля доступа основан на инвестициях в инфраструктуру, которую в дальнейшем могут использовать партнеры и приложения для ведения бизнеса, а компоненты могут обеспечить значительные преимущества организациям, использующим Active Directory. Эта инфраструктура включает в себя следующее.

  • Новый механизм авторизации и аудита для Windows, способный обрабатывать условные выражения и централизованные политики.

  • Поддержка проверки подлинности Kerberos для заявок на доступ пользователей и устройств.

  • Улучшения инфраструктуры классификации файлов (FCI).

  • Поддержка расширяемости RMS для того, чтобы партнеры могли предоставлять решения, шифрующие файлы форматов, отличных от Майкрософт.

Содержание сценария

В этот набор содержимого включены следующие сценарии и руководство.

План содержимого по динамическому контролю доступа

Сценарий

Оценка

Планирование

Развертывание

Эксплуатация

Сценарий: Централизованная политика доступа

Создание централизованных политик доступа для файлов позволяет организациям централизованно развертывать политики авторизации, содержащие условные выражения с использованием заявок на доступ пользователей и устройств и свойств ресурсов, а также управлять этими политиками. Эти политики основаны на соответствии регулятивным требованиям бизнеса. Эти политики создаются и размещаются в Active Directory, что облегчает управление ими и их развертывание.

Развертывание заявок на доступ между лесами

В Windows Server 2012 службы AD DS поддерживают "словарь заявок" в каждом лесу, и все используемые в лесу типы заявок на доступ определяются на уровне леса Active Directory. Существует множество сценариев, где субъекту может понадобиться обход границы доверия. В этом сценарии описывается, как заявка на доступ обходит границу доверия.

Dynamic Access Control: scenario overview

Развертывание утверждений между лесами

Планирование развертывания централизованной политики доступа

Лучшие методики использования заявок на доступ пользователей

Использование заявок на доступ устройств и групп безопасности устройств

Средства для развертывания

Развертывание централизованной политики доступа (демонстрация последовательности действий)

Развертывание утверждений между лесами (Поэтапная Демонстрация)

  • Моделирование централизованной политики доступа

Сценарий: Аудит доступа к файлам

Аудит безопасности является одним из самых мощных инструментов, помогающих поддерживать безопасность на предприятии. Одна из основных целей аудита безопасности — обеспечение соответствия нормативным требованиям. Например, согласно отраслевым стандартам, таким как закон Сарбейнса — Оксли, а также акт HIPAA и PCI, предприятия должны следовать строгому набору правил в области безопасности и конфиденциальности данных. Аудит безопасности помогает установить наличие или отсутствие этих политик, подтверждая таким образом соответствие или несоответствие стандартам. Кроме того, аудиты безопасности помогают обнаруживать аномальное поведение, выявлять и устранять уязвимости в политике безопасности, а также предотвращать безответственное поведение путем ведения протокола действий пользователей, который может быть использован при криминалистическом анализе.

Scenario: File Access Auditing

План аудита доступа к файлам

Развертывание аудита безопасности при помощи централизованной политики аудита (поэтапная демонстрация)

Сценарий: помощь при отказе в доступе

Сегодня при попытке получить доступ к удаленному файлу на файловом сервере пользователи получат единственный ответ, что в доступе отказано. Это является источником запросов в службы поддержки или к ИТ-администраторам, которым требуется определить суть проблемы, и зачастую администраторам нелегко узнать у пользователя соответствующий контекст, что затрудняет ее решение.
В Windows Server 2012 целью является попробовать и помочь информационному работнику и бизнес-владельцу данных справиться с проблемой отказа в доступе до привлечения ИТ-службы, а после привлечения ИТ-службы — предоставить всю необходимую информацию для быстрого разрешения проблемы. Одна из сложностей при достижении этой цели состоит в том, что не существует централизованного способа справиться с отказом в доступе, каждое приложение реагирует на него по-разному. Поэтому в Windows Server 2012 одна из целей — улучшить процесс реакции на отказ в доступе для проводника.

Сценарий: помощь при отказе в доступе

План помощи при отказе в доступе

Deploy Access-Denied Assistance (Demonstration Steps)

Сценарий: шифрование на основе классификации для документов Office

Защита конфиденциальной информации в основном заключается в смягчении риска для организации. Различные правила соответствия, например HIPAA или стандарт Payment Card Industry Data Security Standard (PCI-DSS), требуют шифровать информацию, и в бизнесе существует множество причин для шифрования конфиденциальных деловых данных. Однако шифрование информации стоит дорого и может снизить производительность бизнеса. Поэтому организации склонны применять разные подходы и приоритеты в отношении шифрования своей информации.
Для поддержки этого сценария Windows Server 2012 предоставляет возможность автоматического шифрования конфиденциальных файлов Windows Office на основе их классификации. Это осуществляется посредством задач управления файлами, задействующих защиту сервера управления правами Active Directory (AD RMS) для конфиденциальных документов через несколько секунд после определения файла как конфиденциального на файловом сервере.

Scenario: Classification-Based Encryption for Office Documents

Рекомендации по планированию шифрования документов Office

Развертывание шифрования файлов Office (демонстрация последовательности действий)

Сценарий: получите четкое представление о ваших данных с помощью классификации

Значение данных и ресурсов их хранения продолжает увеличиваться для большинства организаций. ИТ-администраторы сталкиваются с растущей проблемой надзора за все более крупными и сложными инфраструктурами хранения данных, получая в то же время задачу с ответственностью за поддержку общей стоимости владения на разумном уровне. Управление ресурсами хранения данных больше касается не только объема или доступности данных, но и предусматривает применение политик компании и знание того, как потребляются ресурсы хранения для обеспечения их эффективного использования и соответствия требованиям с целью смягчения риска. Инфраструктура классификации файлов помогает получить представление об имеющихся данных, автоматизируя процессы классификации и тем самым повышая эффективность управления данными. В инфраструктуре классификации файлов доступны следующие методы классификации: ручной, программный и автоматический. Данный сценарий фокусируется на автоматическом методе классификации файлов.

Scenario: Get Insight into Your Data by Using Classification

План автоматической классификации файлов

Развертывание автоматической классификации файлов (демонстрация последовательности действий)

Scenario: Implement Retention of Information on File Servers

Период хранения — это время, в течение которого следует хранить документ, прежде чем он будет просрочен. В зависимости от организации период хранения может быть разным. Файлы в папке можно классифицировать как подлежащие кратко-, средне- и долгосрочному хранению, а затем назначить для каждого периода свои временные рамки. Возможно, какой-либо файл вам понадобится хранить неограниченно долго, поместив его на удержание по юридическим причинам.
Инфраструктура классификации файлов и диспетчер ресурсов файлового сервера используют задачи управления файлами и классификацию файлов для применения периодов хранения к набору файлов. Вы можете назначить период хранения для папки, а затем с помощью задачи управления файлами настроить, сколько должен длиться назначенный период. Когда срок хранения файлов в папке подходит к концу, их владелец получает уведомление по электронной почте. Также файл можно классифицировать как находящийся на удержании по юридическим причинам, благодаря чему задача управления файлами не завершит срок хранения этого файла.

Scenario: Implement Retention of Information on File Servers

План хранения информация на файловых серверах

Развертывание реализации хранения информации на файловых серверах (обучающий пример)

Примечание

Динамический контроль доступа не поддерживается в файловой системе ReFS (Resilient File System).

См. также:

Тип содержимого

Ссылок

Оценка продукта

Планирование

Развертывание

Операции

Справка по PowerShell для динамического контроля доступа

Средства и параметры

Набор средств классификации данных

Ресурсы сообщества

Форум по службам каталогов