Динамический контроль доступа. Обзор сценария

Область применения: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

В Windows Server 2012 вы можете применить управление данными на файловом сервере для управления доступом к информации и аудита доступа к информации. Динамический контроль доступа позволяет следующее.

  • Идентифицировать данные с помощью автоматизированной и ручной классификации файлов. Например, можно снабдить тегами данные на файловых серверах по всей организации.

  • Управлять доступом к файлам, применяя политики "сетки безопасности" с использованием централизованных политик доступа. Например, можно определить, кто в организации получит доступ к информации о здоровье.

  • Проводить аудит доступа к файлам, используя централизованные политики аудита для создания отчетов о соответствии и криминалистического анализа. Например, можно определить, кто обращался к самой конфиденциальной информации.

  • Применять защиту служб управления правами (RMS), используя автоматическое шифрование RMS для конфиденциальных документов Microsoft Office. Например, можно настроить службы RMS на шифрование всех документов, содержащих информацию по акту США о передаче и защите данных учреждений здравоохранения HIPAA (HIPAA).

Набор компонентов динамического контроля доступа основан на инвестициях в инфраструктуру, которую в дальнейшем могут использовать партнеры и приложения для ведения бизнеса, а компоненты могут обеспечить значительные преимущества организациям, использующим Active Directory. Эта инфраструктура включает в себя следующее.

  • Новый механизм авторизации и аудита для Windows, способный обрабатывать условные выражения и централизованные политики.

  • Поддержка проверки подлинности Kerberos для заявок на доступ пользователей и устройств.

  • Улучшения инфраструктуры классификации файлов (FCI).

  • Поддержка расширяемости RMS для того, чтобы партнеры могли предоставлять решения, шифрующие файлы форматов, отличных от Майкрософт.

Содержание сценария

В этот набор содержимого включены следующие сценарии и руководство.

План содержимого по динамическому контролю доступа

Сценарий Оценка Планирование Развернуть Работа
Сценарий. Централизованная политика доступа

Создание централизованных политик доступа для файлов позволяет организациям централизованно развертывать политики авторизации, содержащие условные выражения с использованием заявок на доступ пользователей и устройств и свойств ресурсов, а также управлять этими политиками. Эти политики основаны на соответствии регулятивным требованиям бизнеса. Эти политики создаются и размещаются в Active Directory, что облегчает управление ими и их развертывание.

Развертывание заявок на доступ между лесами

В Windows Server 2012 AD DS поддерживает словарь утверждений в каждом лесу, а все типы утверждений, используемые в лесу, определяются на уровне леса Active Directory. Существует множество сценариев, где субъекту может понадобиться обход границы доверия. В этом сценарии описывается, как заявка на доступ обходит границу доверия.

Динамический контроль доступа. Обзор сценария

Развертывание утверждений в лесах

План: развертывание централизованной политики доступа

- Процесс сопоставления бизнес-запроса с централизованной политикой доступа
- Делегирование администрирования для Dynamic контроль доступа
- Механизмы исключений для планирования центральных политик доступа

Лучшие методики использования заявок на доступ пользователей

- Выбор правильной конфигурации для включения утверждений в домене пользователя
- Операции для включения утверждений пользователей
- Рекомендации по использованию утверждений пользователей в списках управления доступом на файловом сервере без использования центральных политик доступа

Использование заявок на доступ устройств и групп безопасности устройств

- Рекомендации по использованию утверждений статических устройств
- Операции для включения утверждений устройств

Средства для развертывания

- Классификация данных набор средств

Развертывание централизованной политики доступа (обучающий пример)

Развертывание утверждений в лесах (демонстрационные шаги)

— Моделирование централизованной политики доступа
Сценарий. Аудит доступа к файлам

Аудит безопасности является одним из самых мощных инструментов, помогающих поддерживать безопасность на предприятии. Одна из основных целей аудита безопасности — обеспечение соответствия нормативным требованиям. Например, согласно отраслевым стандартам, таким как закон Сарбейнса — Оксли, а также акт HIPAA и PCI, предприятия должны следовать строгому набору правил в области безопасности и конфиденциальности данных. Аудит безопасности помогает установить наличие или отсутствие этих политик, подтверждая таким образом соответствие или несоответствие стандартам. Кроме того, аудиты безопасности помогают обнаруживать аномальное поведение, выявлять и устранять уязвимости в политике безопасности, а также предотвращать безответственное поведение путем ведения протокола действий пользователей, который может быть использован при криминалистическом анализе.

Сценарий. Аудит доступа к файлам Планирование для аудита доступа к файлам Развертывание аудита безопасности с помощью централизованных политик аудита (обучающий пример) - Мониторинг центральных политик доступа, применяемых на файловом сервере
- Мониторинг центральных политик доступа, связанных с файлами и папками
- Мониторинг атрибутов ресурсов в файлах и папках
- Мониторинг типов утверждений
- Мониторинг утверждений пользователей и устройств во время входа
- Мониторинг определений централизованной политики доступа и правил
- Мониторинг определений атрибутов ресурсов
- Отслеживайте использование съемных служба хранилища устройств.
Сценарий. Помощь при отказе в доступе

Сегодня при попытке получить доступ к удаленному файлу на файловом сервере пользователи получат единственный ответ, что в доступе отказано. Это является источником запросов в службы поддержки или к ИТ-администраторам, которым требуется определить суть проблемы, и зачастую администраторам нелегко узнать у пользователя соответствующий контекст, что затрудняет ее решение.
В Windows Server 2012 цель состоит в том, чтобы попытаться помочь информационным работником и бизнес-владельцу данных справиться с проблемой отказа в доступе до того, как ИТ-служба будет вовлечена, и когда ИТ-подразделение участвует, предоставьте всю правильную информацию для быстрого разрешения. Одна из проблем в достижении этой цели заключается в том, что нет центрального способа справиться с отказом в доступе, и каждое приложение имеет дело с ним по-разному, и, таким образом, в Windows Server 2012, одна из целей заключается в улучшении доступа отказано в доступе для Windows Explorer.

Сценарий. Помощь при отказе в доступе План помощи при отказе в доступе

- Определение модели помощи с отказом в доступе
- Определение того, кто должен обрабатывать запросы на доступ
- Настройка сообщения о помощи с отказом в доступе
- Планирование исключений
- Определение способа развертывания помощи с отказом в доступе

Развертывание помощи при отказе в доступе (обучающий пример)
Сценарий. Шифрование на основе классификации для документов Office

Защита конфиденциальной информации в основном заключается в смягчении риска для организации. Различные правила соответствия, например HIPAA или стандарт Payment Card Industry Data Security Standard (PCI-DSS), требуют шифровать информацию, и в бизнесе существует множество причин для шифрования конфиденциальных деловых данных. Однако шифрование информации стоит дорого и может снизить производительность бизнеса. Поэтому организации склонны применять разные подходы и приоритеты в отношении шифрования своей информации.
Для поддержки этого сценария Windows Server 2012 позволяет автоматически шифровать конфиденциальные Windows Office файлы на основе их классификации. Это осуществляется посредством задач управления файлами, задействующих защиту сервера управления правами Active Directory (AD RMS) для конфиденциальных документов через несколько секунд после определения файла как конфиденциального на файловом сервере.

Сценарий. Шифрование на основе классификации для документов Office Планирование развертывания шифрования документов на основе классификации Развертывание шифрования файлов Office (обучающий пример)
Сценарий. Получение четкого представления о данных с помощью классификации

Значение данных и ресурсов их хранения продолжает увеличиваться для большинства организаций. ИТ-администраторы сталкиваются с растущей проблемой надзора за все более крупными и сложными инфраструктурами хранения данных, получая в то же время задачу с ответственностью за поддержку общей стоимости владения на разумном уровне. Управление ресурсами хранения данных больше касается не только объема или доступности данных, но и предусматривает применение политик компании и знание того, как потребляются ресурсы хранения для обеспечения их эффективного использования и соответствия требованиям с целью смягчения риска. Инфраструктура классификации файлов помогает получить представление об имеющихся данных, автоматизируя процессы классификации и тем самым повышая эффективность управления данными. В инфраструктуре классификации файлов доступны следующие методы классификации: ручной, программный и автоматический. Данный сценарий фокусируется на автоматическом методе классификации файлов.

Сценарий. Получение четкого представления о данных с помощью классификации План автоматической классификации файлов Развертывание автоматической классификации файлов (обучающий пример)
Сценарий. Реализация хранения информации на файловых серверах

Период хранения — это время, в течение которого следует хранить документ, прежде чем он будет просрочен. В зависимости от организации период хранения может быть разным. Файлы в папке можно классифицировать как подлежащие кратко-, средне- и долгосрочному хранению, а затем назначить для каждого периода свои временные рамки. Возможно, какой-либо файл вам понадобится хранить неограниченно долго, поместив его на удержание по юридическим причинам.
Инфраструктура классификации файлов и диспетчер ресурсов файлового сервера используют задачи управления файлами и классификацию файлов для применения периодов хранения к набору файлов. Вы можете назначить период хранения для папки, а затем с помощью задачи управления файлами настроить, сколько должен длиться назначенный период. Когда срок хранения файлов в папке подходит к концу, их владелец получает уведомление по электронной почте. Также файл можно классифицировать как находящийся на удержании по юридическим причинам, благодаря чему задача управления файлами не завершит срок хранения этого файла.

Сценарий. Реализация хранения информации на файловых серверах Планирование хранения сведений на файловых серверах Развертывание реализации хранения сведений на файловых серверах (демонстрационные шаги)

Примечание

Динамический контроль доступа не поддерживается в файловой системе ReFS (Resilient File System).

См. также

Тип содержимого Ссылки
Оценка продукта - Руководство по динамическим рецензентам контроль доступа
- Руководство разработчика по динамическому контроль доступа
Planning - Планирование развертывания централизованной политики доступа
- Планирование аудита доступа к файлам
Deployment - Развертывание Active Directory
- Развертывание служб файлов и служба хранилища
Операции Справка по PowerShell для динамического контроля доступа
Средства и параметры Набор средств классификации данных
Ресурсы сообщества Форум по службам каталогов