Controllo dinamico degli accessi: Panoramica dello scenario
Si applica a: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012
In Windows Server 2012 è possibile applicare la governance dei dati nei file server per controllare chi può accedere e chi ha avuto accesso alle informazioni. Controllo dinamico degli accessi consente di eseguire le operazioni seguenti:
Identificare i dati utilizzando la classificazione automatica e manuale per i file. È ad esempio possibile contrassegnare i dati nei file server nell'organizzazione.
Controllare l'accesso ai file applicando criteri di sicurezza di rete da cui vengono utilizzati criteri di accesso centrale. È ad esempio possibile definire gli utenti che possono accedere alle informazioni sull'integrità nell'organizzazione.
Controllare l'accesso ai file utilizzando criteri di controllo centrale per la creazione di rapporti di conformità e le analisi forensi. È ad esempio possibile identificare gli utenti che hanno effettuato l'accesso a informazioni riservate.
Applicare la protezione RMS (Rights Management Services) utilizzando la crittografia RMS automatica per i documenti di Microsoft Office riservati. È ad esempio possibile configurare RMS per crittografare tutti i documenti contenenti informazioni sulla legge HIPPA (Health Insurance Portability and Accountability Act).
Il set di funzionalità di Controllo dinamico degli accessi è basato sugli investimenti nell'infrastruttura che possono essere ulteriormente utilizzati da partner e applicazioni line-of-business. Le funzionalità possono offrire un grande valore per le organizzazioni che utilizzano Active Directory. L'infrastruttura include i componenti seguenti:
Un nuovo motore di controllo e autorizzazione per Windows in grado di elaborare espressioni condizionali e criteri centrali.
Supporto dell'autenticazione Kerberos per attestazioni utente e richieste diritti da dispositivo.
Miglioramenti all'Infrastruttura di classificazione file.
Supporto dell'estendibilità RMS per consentire ai partner di fornire soluzioni per la crittografia di file non Microsoft.
In questo scenario
Nel presente set di contenuti sono inclusi gli scenari e le informazioni aggiuntive seguenti:
Roadmap dei contenuti di Controllo dinamico degli accessi
| Scenario | Evaluate | Piano | Distribuzione | Funzionamento |
|---|---|---|---|---|
| Scenario: Criteri di accesso centrale La creazione di criteri di accesso centrale per i file consente alle organizzazioni di distribuire e gestire da una posizione centrale criteri di autorizzazione che includono espressioni condizionali utilizzando attestazioni utente, richieste diritti da dispositivo e proprietà delle risorse. Questi criteri sono basati su requisiti normativi aziendali e di conformità. I criteri vengono creati e ospitati in Active Directory, pertanto sono più semplici da gestire e distribuire. Distribuzione di attestazioni tra foreste In Windows Server 2012, AD DS mantiene un "dizionario delle attestazioni" in ogni foresta e tutti i tipi di attestazione usati nella foresta sono definiti a livello di foresta di Active Directory. Vi sono numerosi scenari in cui per un'entità può essere necessario attraversare un limite di trust. In questo scenario viene descritto in che modo un'attestazione attraversa un limite di trust. |
Controllo dinamico degli accessi: Panoramica dello scenario | Pianificare: una distribuzione di criteri di accesso centrale - Processo di mapping di una richiesta aziendale a criteri di accesso centrale Procedure consigliate per l'utilizzo delle attestazioni - Scelta della configurazione appropriata per abilitare le attestazioni nel dominio utente Utilizzo di richieste diritti da dispositivo e gruppi di sicurezza dispositivo - Considerazioni relative all'utilizzo delle richieste diritti da dispositivo statiche Strumenti per la distribuzione - |
Distribuire i criteri di accesso centrale (passaggi dimostrativi) Distribuire attestazioni nelle foreste (passaggi dimostrativi) |
- Modellazione di criteri di accesso centrale |
| Scenario: Controllo di accesso ai file I controlli di sicurezza sono tra gli strumenti più potenti per garantire la sicurezza di un'organizzazione. Uno degli obiettivi principali dei controlli di sicurezza è la conformità ai requisiti. In base a standard di settore come Sarbanes Oxley, HIPAA (Health Insurance Portability and Accountability Act) e PCI (Payment Card Industry), le organizzazioni sono ad esempio tenute a seguire una serie di regole precise in materia di sicurezza dei dati e privacy. I controlli di sicurezza aiutano a stabilire la presenza o l'assenza di tali criteri e pertanto a dimostrare la conformità o meno a questi standard. I controlli di sicurezza contribuiscono inoltre a rilevare comportamenti anomali e a identificare e ridurre eventuali lacune nei criteri di sicurezza e svolgono un'azione deterrente nei confronti di comportamenti irresponsabili tramite la creazione di una registrazione delle attività dell'utente che può essere utilizzata in un'analisi forense. |
Scenario: Controllo di accesso ai file | Pianificare il controllo dell'accesso ai file | Distribuire i controlli di sicurezza con criteri di controllo centrale (passaggi dimostrativi) | - Monitorare i criteri di accesso centrale che si applicano a un file server - Monitorare i criteri di accesso centrale associati a file e cartelle - Monitorare gli attributi delle risorse in file e cartelle - Monitorare i tipi di attestazioni - Monitorare le attestazioni utente e le richieste diritti da dispositivo durante l'accesso - Monitorare i criteri di accesso centrale e le definizioni delle regole - Monitorare le definizioni degli attributi delle risorse - Monitor the Use of Removable Storage Devices. |
| Scenario: Assistenza per accesso negato Attualmente, quando gli utenti provano ad accedere a un file remoto nel file server, l'unica indicazione ottenuta riguarda l'accesso negato. Questa situazione genera richieste all'helpdesk o agli amministratori IT che devono capire quale sia il problema e spesso per gli amministratori è difficile comprendere dagli utenti quale sia il contesto appropriato e, di conseguenza, risolvere il problema. |
Scenario: Assistenza per accesso negato | Pianificare l'assistenza per accesso negato - Determinare il modello di assistenza per accesso negato |
Distribuire l'assistenza per accesso negato (passaggi dimostrativi) | |
| Scenario: Crittografia basata sulla classificazione per i documenti Office La protezione delle informazioni riservate consiste prima di tutto nel ridurre i rischi per l'organizzazione. Diverse normative di conformità, come HIPAA o PCI-DSS (Payment Card Industry Data Security Standard), richiedono la crittografia delle informazioni e vi sono inoltre numerosi motivi aziendali per crittografare le informazioni aziendali riservate. La crittografia delle informazioni è tuttavia costosa e potrebbe influire negativamente sulla produttività aziendale. Le organizzazioni tendono pertanto ad adottare priorità e approcci diversi per la crittografia delle informazioni. |
Scenario: Crittografia basata sulla classificazione dei documenti di Office | Pianificare la distribuzione della crittografia basata sulla classificazione dei documenti | Distribuire la crittografia dei file di Office (passaggi dimostrativi) | |
| Scenario: Comprendere i dati mediante la classificazione L'affidabilità delle risorse di archiviazione e dei dati continua ad acquisire sempre maggiore importanza per la maggior parte delle organizzazioni. Gli amministratori IT affrontano la sfida legata alla supervisione di infrastrutture di archiviazione sempre più grandi e complesse e, contemporaneamente, la responsabilità di garantire che il costo totale di proprietà rimanga entro limiti accettabili. La gestione delle risorse di archiviazione non riguarda più solo il volume o la disponibilità dei dati, ma implica anche l'applicazione dei criteri aziendali e la conoscenza delle modalità di utilizzo dello spazio di archiviazione, per consentire un utilizzo efficace e garantire la conformità, mitigando i rischi. L'Infrastruttura di classificazione file offre una comprensione dei dati automatizzando il processo di classificazione in modo da consentire una gestione più efficace dei dati stessi. Nell'Infrastruttura di classificazione file sono disponibili i metodi di classificazione manuale, automatico e a livello di programmazione. Questo scenario è incentrato sul metodo di classificazione dei file automatico. |
Scenario: Comprendere i dati mediante la classificazione | Pianificare la classificazione automatica dei file | Distribuire la classificazione automatica dei file (passaggi dimostrativi) | |
| Scenario: Implementare la conservazione delle informazioni nei file server Un periodo di memorizzazione è la quantità di tempo per cui un documento deve essere conservato prima di scadere. A seconda dell'organizzazione, il periodo di memorizzazione può variare. È possibile classificare i file in una cartella in base al periodo di memorizzazione breve, medio o a lungo termine e quindi assegnare l'intervallo di tempo per ogni periodo. È possibile conservare un file per un tempo indefinito tramite la funzionalità di conservazione per controversia legale. |
Scenario: Implementare la conservazione delle informazioni nei file server | Pianificare la conservazione delle informazioni nei file server | Distribuire l'implementazione della conservazione delle informazioni nei file server (passaggi dimostrativi) |
Nota
La funzionalità Controllo dinamico degli accessi non è supportata in ReFS (Resilient File System).
Vedi anche
| Content type | Riferimenti |
|---|---|
| Valutazione del prodotto | - Guida per revisori di Controllo dinamico degli accessi - Indicazioni per sviluppatori di Controllo dinamico degli accessi |
| Pianificazione | - Pianificare una distribuzione di criteri di accesso centrale - Pianificare il controllo dell'accesso ai file |
| Distribuzione | - Distribuzione di Active Directory - Distribuzione di Servizi file e archiviazione |
| Operazioni | Riferimenti a PowerShell per Controllo dinamico degli accessi |
|Risorse della community|Forum servizi directory|