Dynamiczna kontrola dostępu: omówienie scenariusza

 

Dotyczy: Windows Server 2012

W systemie Windows Server 2012 na serwerach plików można stosować funkcje do zarządzania danymi w celu kontrolowania, kto może uzyskiwać dostęp do danych, a także sprawdzania, kto uzyskiwał dostęp do informacji. Dynamiczna kontrola dostępu umożliwia:

• Identyfikowanie danych przy użyciu automatycznej i ręcznej klasyfikacji plików. Można na przykład znakować dane na serwerach plików w całej organizacji.

• Kontrolowanie dostępu do plików za pomocą zasad bezpieczeństwa sieci, które używają centralnych zasad dostępu. Można na przykład zdefiniować, kto ma dostęp do informacji medycznych w organizacji.

• kontrolę dostępu do plików przy użyciu zasad inspekcji centralnej do raportowania zgodności i analizy sądowej. Można na przykład ustalać, kto uzyskiwał dostęp do wysoce poufnych informacji.

• Stosowanie ochrony za pomocą usług zarządzania prawami dostępu (RMS) z użyciem automatycznego szyfrowania RMS poufnych dokumentów pakietu Microsoft Office. Można na przykład tak skonfigurować usługi RMS, aby szyfrować wszystkie dokumenty zawierające informacje objęte przepisami HIPAA (Health Insurance Portability and Accountability Act).

Zestaw funkcji dynamicznej kontroli dostępu jest oparty na inwestycjach w infrastrukturę, która może być używana również przez partnerów i aplikacje biznesowe, a funkcje te mogą mieć dużą wartość dla organizacji korzystających z usługi Active Directory. Ta infrastruktura obejmuje:

• Nowy aparat autoryzacji i inspekcji dla systemu Windows, który może przetwarzać wyrażenia warunkowe i zasady centralne.

• Obsługę uwierzytelniania Kerberos dla oświadczeń użytkowników i urządzeń.

• Ulepszenia infrastruktury klasyfikacji plików (FCI, File Classification Infrastructure).

• Obsługę rozszerzeń usług RMS, umożliwiającą partnerom dostarczanie rozwiązań do szyfrowania plików firm innych niż Microsoft.

W tym scenariuszu

W skład tego zestawu zawartości wchodzą poniższe scenariusze i wskazówki:

Przewodnik po zawartości dotyczącej dynamicznej kontroli dostępu

Scenariusz	Oceń	Planowanie	Wdróż program	Operacje
Scenariusz: centralne zasady dostępu Tworząc centralne zasady dostępu dla plików, organizacja może centralnie wdrożyć zasady autoryzacji, które zawierają wyrażenia warunkowe używające oświadczeń użytkowników, oświadczeń urządzeń i właściwości zasobów, a także zarządzać tymi zasadami. Te zasady są oparte na wymaganiach związanych ze zgodnością i przepisami dotyczącymi działalności biznesowej. Te zasady są tworzone i hostowane w usłudze Active Directory, co ułatwia zarządzanie nimi i ich wdrażanie. Wdrażanie oświadczeń w lasach W systemie Windows Server 2012 usługi AD DS utrzymują „słownik oświadczeń” w każdym lesie, a wszystkie typy oświadczeń używanych w obrębie lasu są definiowane na poziomie lasu usługi Active Directory. Istnieje wiele scenariuszy, w których podmiot zabezpieczeń może wymagać przechodzenia przez granice zaufania. W tym scenariuszu opisano przechodzenie oświadczenia przez granicę zaufania.	Dynamic Access Control: scenario overview Wdrażanie oświadczeń w lasach	Planowanie wdrożenia centralnych zasad dostępu Proces przekształcania wymagań biznesowych w centralne zasady dostępu Delegowanie czynności administracyjnych dla dynamicznej kontroli dostępu Mechanizmy wyjątków w planowaniu centralnych zasad dostępu Najlepsze rozwiązania dotyczące stosowania oświadczeń użytkowników Konfigurowanie różnych opcji centralnych zasad dostępu Procedura włączania oświadczeń użytkowników Kwestie związane ze stosowaniem oświadczeń użytkowników na listach DACL serwerów plików bez centralnych zasad dostępu Stosowanie oświadczeń urządzeń i grup zabezpieczeń urządzeń Kwestie związane ze stosowaniem statycznych oświadczeń urządzeń Procedura włączania oświadczeń urządzeń Narzędzia do wdrażania Zestaw narzędzi do klasyfikacji danych	Wdrażanie centralnych zasad dostępu (przykładowa procedura) Wdrażanie oświadczenia w lasach (pokaz kroki)	Modelowanie centralnych zasad dostępu
Scenariusz: przeprowadzanie inspekcji dostępu do plików Inspekcja zabezpieczeń jest jednym z najbardziej zaawansowanych narzędzi pomagających zapewnić bezpieczeństwo przedsiębiorstwa. Jednym z podstawowych celów inspekcji zabezpieczeń jest zapewnienie zgodności z przepisami. Na przykład standardy branżowe, takie jak Sarbanes Oxley, HIPAA i PCI (Payment Card Industry), wymagają, aby przedsiębiorstwa postępowały ściśle według reguł związanych z bezpieczeństwem danych i prywatnością. Inspekcja zabezpieczeń pomaga ustalić, czy te zasady są stosowane, dzięki czemu można zweryfikować zgodność z tymi standardami. Ponadto inspekcja zabezpieczeń ułatwia wykrywanie nietypowych zachowań, identyfikowanie i usuwanie luk w zasadach zabezpieczeń oraz ograniczanie nieodpowiedzialnych zachowań, pozwalając tworzyć zapis aktywności użytkowników, którego można używać w ramach analizy śledczej.	Scenariusz: przeprowadzanie inspekcji dostępu do plików	Planowanie inspekcji dostępu do plików	Wdrażanie inspekcji zabezpieczeń z użyciem centralnych zasad inspekcji (przykładowa procedura)	Monitor zasad dostępu centralnej na serwerze plików Monitorowanie centralnych zasad dostępu skojarzonych z plikami i folderami Monitorowanie atrybutów zasobów dla plików i folderów Monitorowanie typów oświadczeń Monitorowanie oświadczeń użytkowników i urządzeń podczas logowania Monitorowanie centralnych zasad dostępu i definicji reguł Monitorowanie definicji atrybutów zasobów Monitorowanie wykorzystania wymiennych urządzeń magazynujących.
Scenariusz: pomoc w przypadku odmowy dostępu Obecnie, gdy użytkownicy próbują uzyskać dostęp do zdalnego pliku na serwerze plików, jedyną reakcją, jaką uzyskują, jest odmowa dostępu. Powoduje to zgłoszenia do działu pomocy technicznej lub do administratorów IT, którzy muszą ustalić przyczynę problemu, przy czym uzyskanie odpowiedniego kontekstu od użytkowników często jest trudne, co stanowi przeszkodę w rozwiązaniu problemu. W systemie Windows Server 2012 celem jest pomoc pracownikom przetwarzającym informacje i właścicielom danych biznesowych w radzeniu sobie z problemem odmowy dostępu bez angażowania działu IT, a gdy dział IT zostanie zaangażowany — udostępnienie wszystkich potrzebnych informacji przyspieszających rozwiązanie problemu. Jedną z trudności w osiągnięciu tego celu jest to, że nie ma scentralizowanej metody radzenia sobie z odmową dostępu i każda aplikacja obsługuje ją inaczej, dlatego w systemie Windows Server 2012 jednym z celów jest ulepszenie obsługi odmowy dostępu w Eksploratorze Windows.	Scenariusz: pomoc w przypadku odmowy dostępu	Planowanie pomocy w przypadku odmowy dostępu 1.1 Określenie modelu pomocy w przypadku odmowy dostępu 1.2. Określenie, kto ma obsługiwać żądania dostępu 1.3. Dostosowanie komunikatu pomocy w przypadku odmowy dostępu 1.4. Zaplanowanie wyjątków 1.5. Określenie sposobu wdrożenia pomocy w przypadku odmowy dostępu	Wdrażanie pomocy w przypadku odmowy dostępu (przykładowa procedura)
Scenariusz: szyfrowanie dokumentów pakietu Office oparte na klasyfikacji Ochrona informacji poufnych dotyczy głównie zmniejszenia ryzyka dla organizacji. Szyfrowanie informacji jest wymagane przez różne przepisy dotyczące zgodności, takie jak HIPAA i PCI-DSS (Payment Card Industry Data Security Standard), a ponadto istnieje wiele powodów biznesowych do szyfrowania informacji poufnych. Jednak szyfrowanie informacji jest kosztowne i może pogarszać wydajność działań biznesowych. W związku z tym organizacje zazwyczaj mają różne podejścia i priorytety dotyczące szyfrowania informacji. W tym celu system Windows Server 2012 umożliwia automatyczne szyfrowanie poufnych plików pakietu Office w systemie Windows na podstawie ich klasyfikacji. Jest to realizowane za pomocą zadań zarządzania plikami, które wywołują usługi zarządzania prawami dostępu w usłudze Active Directory (AD RMS) w celu ochrony poufnych dokumentów kilka sekund po identyfikacji pliku jako poufnego na serwerze plików.	Scenariusz: szyfrowanie dokumentów pakietu Office oparte na klasyfikacji	Zagadnienia dotyczące planowania szyfrowania dokumentów pakietu Office	Wdrażanie szyfrowania plików pakietu Office (przykładowa procedura)
Scenariusz: uzyskiwanie wglądu w dane przy użyciu klasyfikacji W większości organizacji zwiększa się znaczenie danych i zasobów magazynowania. Administratorzy IT stają przed rosnącym wyzwaniem nadzorowania coraz większej i bardziej złożonej infrastruktury magazynowania przy jednoczesnej konieczności utrzymania całkowitych kosztów użytkowania na rozsądnym poziomie. Zarządzanie zasobami magazynowania obejmuje już nie tylko woluminy i dostępność danych, lecz również wymuszanie zasad firmy i uzyskiwanie informacji o sposobie używania magazynu, aby zapewnić jego efektywne wykorzystanie oraz zgodność w celu ograniczenia ryzyka. Infrastruktura klasyfikacji plików zapewnia wgląd w dane dzięki automatyzacji procesów klasyfikacji, aby efektywniej zarządzać danymi. Infrastruktura klasyfikacji plików udostępnia następujące metody klasyfikacji: ręczne, programowe i automatyczne. W tym scenariuszu skupiono się na automatycznej metodzie klasyfikacji plików.	Scenariusz: uzyskiwanie wglądu w dane przy użyciu klasyfikacji	Planowanie automatycznej klasyfikacji plików	Wdrażanie automatycznej klasyfikacji plików (przykładowa procedura)
Scenariusz: implementowanie przechowywania informacji na serwerach plików Okres przechowywania to czas, przez który dokument powinien być przechowywany przed wygaśnięciem. W zależności od organizacji okresy przechowywania mogą być różne. Pliki w folderze można sklasyfikować jako mające krótki, średni i długi okres przechowywania, a następnie przypisać przedział czasu dla każdego okresu. Plik można przechowywać w nieskończoność, ustawiając dla niego blokadę z przyczyn prawnych. Infrastruktura klasyfikacji plików i Menedżer zasobów serwera plików używają zadań zarządzania plikami i klasyfikacji plików do stosowania okresów przechowywania dla zestawu plików. Okres przechowywania można przypisać do folderu, a następnie użyć zadania zarządzania plikami do skonfigurowania długości przypisanego okresu przechowywania. Gdy zbliża się termin wygaśnięcia plików w folderze, właściciel pliku otrzymuje wiadomość e-mail z powiadomieniem. Można także sklasyfikować plik jako zablokowany z przyczyn prawnych, tak aby zadanie zarządzania plikami nie spowodowało wygaśnięcia pliku.	Scenariusz: implementowanie przechowywania informacji na serwerach plików	Planowanie przechowywania informacji na serwerach plików	Wdrażanie implementacji przechowywania informacji na serwerach plików (przykładowa procedura)

Uwaga

Dynamiczna kontrola dostępu nie jest obsługiwana w systemie plików ReFS (Resilient File System).

Zobacz też

Typ zawartości	Odwołania
Ocena produktu	Dynamiczna kontrola dostępu — przewodnik dla oceniających Wskazówki dla deweloperów dotyczące dynamicznej kontroli dostępu
Planowanie	Planowanie wdrożenia centralnych zasad dostępu Planowanie inspekcji dostępu do plików
Wdrażanie	Wdrażanie usługi Active Directory Wdrażanie usług plików i magazynowania
Operacje	Informacje dotyczące dynamicznej kontroli dostępu w programie PowerShell
Narzędzia i ustawienia	Zestaw narzędzi do klasyfikacji danych
Zasoby społeczności	Forum usług katalogowych