Dynamiczna kontrola dostępu: omówienie scenariusza
Dotyczy: Windows Server 2012
W systemie Windows Server 2012 na serwerach plików można stosować funkcje do zarządzania danymi w celu kontrolowania, kto może uzyskiwać dostęp do danych, a także sprawdzania, kto uzyskiwał dostęp do informacji. Dynamiczna kontrola dostępu umożliwia:
Identyfikowanie danych przy użyciu automatycznej i ręcznej klasyfikacji plików. Można na przykład znakować dane na serwerach plików w całej organizacji.
Kontrolowanie dostępu do plików za pomocą zasad bezpieczeństwa sieci, które używają centralnych zasad dostępu. Można na przykład zdefiniować, kto ma dostęp do informacji medycznych w organizacji.
kontrolę dostępu do plików przy użyciu zasad inspekcji centralnej do raportowania zgodności i analizy sądowej. Można na przykład ustalać, kto uzyskiwał dostęp do wysoce poufnych informacji.
Stosowanie ochrony za pomocą usług zarządzania prawami dostępu (RMS) z użyciem automatycznego szyfrowania RMS poufnych dokumentów pakietu Microsoft Office. Można na przykład tak skonfigurować usługi RMS, aby szyfrować wszystkie dokumenty zawierające informacje objęte przepisami HIPAA (Health Insurance Portability and Accountability Act).
Zestaw funkcji dynamicznej kontroli dostępu jest oparty na inwestycjach w infrastrukturę, która może być używana również przez partnerów i aplikacje biznesowe, a funkcje te mogą mieć dużą wartość dla organizacji korzystających z usługi Active Directory. Ta infrastruktura obejmuje:
Nowy aparat autoryzacji i inspekcji dla systemu Windows, który może przetwarzać wyrażenia warunkowe i zasady centralne.
Obsługę uwierzytelniania Kerberos dla oświadczeń użytkowników i urządzeń.
Ulepszenia infrastruktury klasyfikacji plików (FCI, File Classification Infrastructure).
Obsługę rozszerzeń usług RMS, umożliwiającą partnerom dostarczanie rozwiązań do szyfrowania plików firm innych niż Microsoft.
W tym scenariuszu
W skład tego zestawu zawartości wchodzą poniższe scenariusze i wskazówki:
Przewodnik po zawartości dotyczącej dynamicznej kontroli dostępu
Scenariusz |
Oceń |
Planowanie |
Wdróż program |
Operacje |
---|---|---|---|---|
Scenariusz: centralne zasady dostępu Tworząc centralne zasady dostępu dla plików, organizacja może centralnie wdrożyć zasady autoryzacji, które zawierają wyrażenia warunkowe używające oświadczeń użytkowników, oświadczeń urządzeń i właściwości zasobów, a także zarządzać tymi zasadami. Te zasady są oparte na wymaganiach związanych ze zgodnością i przepisami dotyczącymi działalności biznesowej. Te zasady są tworzone i hostowane w usłudze Active Directory, co ułatwia zarządzanie nimi i ich wdrażanie. Wdrażanie oświadczeń w lasach W systemie Windows Server 2012 usługi AD DS utrzymują „słownik oświadczeń” w każdym lesie, a wszystkie typy oświadczeń używanych w obrębie lasu są definiowane na poziomie lasu usługi Active Directory. Istnieje wiele scenariuszy, w których podmiot zabezpieczeń może wymagać przechodzenia przez granice zaufania. W tym scenariuszu opisano przechodzenie oświadczenia przez granicę zaufania. |
Planowanie wdrożenia centralnych zasad dostępu
Najlepsze rozwiązania dotyczące stosowania oświadczeń użytkowników Stosowanie oświadczeń urządzeń i grup zabezpieczeń urządzeń Narzędzia do wdrażania |
|
||
Scenariusz: przeprowadzanie inspekcji dostępu do plików Inspekcja zabezpieczeń jest jednym z najbardziej zaawansowanych narzędzi pomagających zapewnić bezpieczeństwo przedsiębiorstwa. Jednym z podstawowych celów inspekcji zabezpieczeń jest zapewnienie zgodności z przepisami. Na przykład standardy branżowe, takie jak Sarbanes Oxley, HIPAA i PCI (Payment Card Industry), wymagają, aby przedsiębiorstwa postępowały ściśle według reguł związanych z bezpieczeństwem danych i prywatnością. Inspekcja zabezpieczeń pomaga ustalić, czy te zasady są stosowane, dzięki czemu można zweryfikować zgodność z tymi standardami. Ponadto inspekcja zabezpieczeń ułatwia wykrywanie nietypowych zachowań, identyfikowanie i usuwanie luk w zasadach zabezpieczeń oraz ograniczanie nieodpowiedzialnych zachowań, pozwalając tworzyć zapis aktywności użytkowników, którego można używać w ramach analizy śledczej. |
Wdrażanie inspekcji zabezpieczeń z użyciem centralnych zasad inspekcji (przykładowa procedura) |
|||
Scenariusz: pomoc w przypadku odmowy dostępu Obecnie, gdy użytkownicy próbują uzyskać dostęp do zdalnego pliku na serwerze plików, jedyną reakcją, jaką uzyskują, jest odmowa dostępu. Powoduje to zgłoszenia do działu pomocy technicznej lub do administratorów IT, którzy muszą ustalić przyczynę problemu, przy czym uzyskanie odpowiedniego kontekstu od użytkowników często jest trudne, co stanowi przeszkodę w rozwiązaniu problemu. |
Wdrażanie pomocy w przypadku odmowy dostępu (przykładowa procedura) |
|||
Scenariusz: szyfrowanie dokumentów pakietu Office oparte na klasyfikacji Ochrona informacji poufnych dotyczy głównie zmniejszenia ryzyka dla organizacji. Szyfrowanie informacji jest wymagane przez różne przepisy dotyczące zgodności, takie jak HIPAA i PCI-DSS (Payment Card Industry Data Security Standard), a ponadto istnieje wiele powodów biznesowych do szyfrowania informacji poufnych. Jednak szyfrowanie informacji jest kosztowne i może pogarszać wydajność działań biznesowych. W związku z tym organizacje zazwyczaj mają różne podejścia i priorytety dotyczące szyfrowania informacji. |
Scenariusz: szyfrowanie dokumentów pakietu Office oparte na klasyfikacji |
Zagadnienia dotyczące planowania szyfrowania dokumentów pakietu Office |
Wdrażanie szyfrowania plików pakietu Office (przykładowa procedura) |
|
Scenariusz: uzyskiwanie wglądu w dane przy użyciu klasyfikacji W większości organizacji zwiększa się znaczenie danych i zasobów magazynowania. Administratorzy IT stają przed rosnącym wyzwaniem nadzorowania coraz większej i bardziej złożonej infrastruktury magazynowania przy jednoczesnej konieczności utrzymania całkowitych kosztów użytkowania na rozsądnym poziomie. Zarządzanie zasobami magazynowania obejmuje już nie tylko woluminy i dostępność danych, lecz również wymuszanie zasad firmy i uzyskiwanie informacji o sposobie używania magazynu, aby zapewnić jego efektywne wykorzystanie oraz zgodność w celu ograniczenia ryzyka. Infrastruktura klasyfikacji plików zapewnia wgląd w dane dzięki automatyzacji procesów klasyfikacji, aby efektywniej zarządzać danymi. Infrastruktura klasyfikacji plików udostępnia następujące metody klasyfikacji: ręczne, programowe i automatyczne. W tym scenariuszu skupiono się na automatycznej metodzie klasyfikacji plików. |
Scenariusz: uzyskiwanie wglądu w dane przy użyciu klasyfikacji |
Wdrażanie automatycznej klasyfikacji plików (przykładowa procedura) |
||
Scenariusz: implementowanie przechowywania informacji na serwerach plików Okres przechowywania to czas, przez który dokument powinien być przechowywany przed wygaśnięciem. W zależności od organizacji okresy przechowywania mogą być różne. Pliki w folderze można sklasyfikować jako mające krótki, średni i długi okres przechowywania, a następnie przypisać przedział czasu dla każdego okresu. Plik można przechowywać w nieskończoność, ustawiając dla niego blokadę z przyczyn prawnych. |
Scenariusz: implementowanie przechowywania informacji na serwerach plików |
Wdrażanie implementacji przechowywania informacji na serwerach plików (przykładowa procedura) |
Uwaga
Dynamiczna kontrola dostępu nie jest obsługiwana w systemie plików ReFS (Resilient File System).
Zobacz też
Typ zawartości |
Odwołania |
---|---|
Ocena produktu |
|
Planowanie |
|
Wdrażanie |
|
Operacje |
Informacje dotyczące dynamicznej kontroli dostępu w programie PowerShell |
Narzędzia i ustawienia |
|
Zasoby społeczności |