Dynamiczna kontrola dostępu: omówienie scenariusza

Tworzenie centralnych zasad dostępu dla plików umożliwia organizacjom centralne wdrażanie zasad autoryzacji, które obejmują wyrażenia warunkowe przy użyciu oświadczeń użytkowników, oświadczeń urządzeń i właściwości zasobów. Zasady te są oparte na wymaganiach dotyczących zgodności i przepisów biznesowych. Te zasady są tworzone i hostowane w usłudze Active Directory, co ułatwia zarządzanie i wdrażanie.

Wdrażanie roszczeń po lasach

W systemie Windows Server 2012 usługi AD DS prowadzą "słownik roszczeń" w każdym lesie, a wszystkie typy roszczeń używanych w lesie są definiowane na poziomie lasu usługi Active Directory. Istnieje wiele scenariuszy, w których podmiot może potrzebować przejścia przez granicę zaufania. W tym scenariuszu opisano sposób przechodzenia oświadczenia przez granicę zaufania.

Rozmieszczanie roszczeń w różnych lasach

- Proces mapowania żądania biznesowego na centralną politykę dostępu
- Delegowanie administracji na potrzeby dynamicznej kontroli dostępu
- Mechanizmy wyjątków do planowania centralnych zasad dostępu

Najlepsze rozwiązania dotyczące używania oświadczeń użytkowników

- Wybieranie odpowiedniej konfiguracji w celu włączenia oświadczeń w domenie użytkownika
- Operacje umożliwiające roszczenia użytkowników
- Rozważania dotyczące używania roszczeń użytkownika w dyskrecjonalnych listach ACL serwera plików bez użycia centralnych zasad dostępu

Korzystanie z deklaracji urządzeń i grup zabezpieczeń urządzeń

- Rozważania dotyczące używania statycznych urządzeń
- Operacje umożliwiające roszczenia urządzeń

Narzędzia do wdrażania

-

Wdrażanie roszczeń w całych lasach (kroki demonstracyjne)

Inspekcja zabezpieczeń jest jednym z najbardziej zaawansowanych narzędzi ułatwiających utrzymanie bezpieczeństwa przedsiębiorstwa. Jednym z kluczowych celów inspekcji zabezpieczeń jest zgodność z przepisami. Na przykład standardy branżowe, takie jak Sarbanes Oxley, HIPAA i Payment Card Industry (PCI), wymagają, aby przedsiębiorstwa przestrzegały ścisłego zestawu zasad związanych z bezpieczeństwem i prywatnością danych. Inspekcje zabezpieczeń pomagają ustalić obecność lub brak takich zasad; w ten sposób udowodnią zgodność lub niezgodność z tymi standardami. Ponadto inspekcje zabezpieczeń pomagają wykrywać nietypowe zachowanie, identyfikować i ograniczać luki w zasadach zabezpieczeń oraz odstraszać nieodpowiedzialne zachowanie, tworząc rekord aktywności użytkownika, który może być używany do analizy śledczej.

Obecnie, gdy użytkownicy próbują uzyskać dostęp do pliku zdalnego na serwerze plików, jedynym wskazaniem, że uzyskaliby, jest odmowa dostępu. Generuje to prośby do działu pomocy technicznej lub administratorów IT, którzy muszą ustalić, co to jest problem, a często administratorzy mają trudności z uzyskaniem odpowiedniego kontekstu od użytkowników, co utrudnia rozwiązanie problemu.
W systemie Windows Server 2012 celem jest pomoc osobom pracującym z informacjami oraz właścicielom danych w rozwiązaniu problemu odmowy dostępu, zanim dział IT się zaangażuje, a gdy już się zaangażuje, dostarczenie wszystkich właściwych informacji na potrzeby szybkiego rozwiązania. Jednym z wyzwań związanych z osiągnięciem tego celu jest to, że nie ma centralnego sposobu radzenia sobie z odmową dostępu, a każda aplikacja zajmuje się nim inaczej, a zatem w systemie Windows Server 2012 jednym z celów jest ulepszenie środowiska odmowy dostępu dla Eksploratora Windows.

- Określanie modelu pomocy przy odmówionym dostępie
- Określanie, kto powinien obsługiwać żądania dostępu
- Dostosowywanie komunikatu pomocy dotyczącej odmowy dostępu
- Planowanie wyjątków
- Określanie sposobu wdrażania pomocy w przypadku odmowy dostępu

Ochrona poufnych informacji dotyczy głównie ograniczania ryzyka dla organizacji. Różne przepisy dotyczące zgodności, takie jak HIPAA lub Payment Card Industry Data Security Standard (PCI-DSS), dyktują szyfrowanie informacji i istnieje wiele powodów biznesowych do szyfrowania poufnych informacji biznesowych. Jednak szyfrowanie informacji jest kosztowne i może pogorszyć produktywność firmy. W związku z tym organizacje mają różne podejścia i priorytety dotyczące szyfrowania informacji.
W celu obsługi tego scenariusza system Windows Server 2012 zapewnia możliwość automatycznego szyfrowania poufnych plików pakietu Windows Office na podstawie ich klasyfikacji. Odbywa się to za pomocą zadań zarządzania plikami, które wywołują ochronę programu Active Directory Rights Management Server (AD RMS) dla poufnych dokumentów kilka sekund po zidentyfikowaniu pliku jako poufnego pliku na serwerze plików.

Zależność od danych i zasobów magazynu nadal ma coraz większe znaczenie dla większości organizacji. Administratorzy IT stoją przed rosnącym wyzwaniem nadzorowania większych i bardziej złożonych infrastruktur magazynowania, jednocześnie ponosząc odpowiedzialność za zapewnienie utrzymania całkowitego kosztu posiadania na rozsądnych poziomach. Zarządzanie zasobami magazynu nie dotyczy już tylko ilości lub dostępności danych, ale także wymuszania zasad firmy i znajomości sposobu wykorzystania magazynu w celu zapewnienia efektywnego wykorzystania i zgodności w celu ograniczenia ryzyka. Infrastruktura klasyfikacji plików zapewnia wgląd w dane, automatyzując procesy klasyfikacji, dzięki czemu można efektywniej zarządzać danymi. Następujące metody klasyfikacji są dostępne w infrastrukturze klasyfikacji plików: ręczne, programowe i automatyczne. Ten scenariusz koncentruje się na automatycznej metodzie klasyfikacji plików.

Okres przechowywania to czas przechowywania dokumentu, który powinien zostać zachowany przed wygaśnięciem. W zależności od organizacji okres przechowywania może być inny. Pliki w folderze można sklasyfikować jako krótki, średni lub długoterminowy okres przechowywania, a następnie przypisać przedział czasu dla każdego okresu. Możesz chcieć zachować plik na czas nieokreślony, umieszczając go w archiwizacji ze względów prawnych.
Infrastruktura klasyfikacji plików i Menedżer zasobów serwera plików używa zadań zarządzania plikami i klasyfikacji plików w celu zastosowania okresów przechowywania dla zestawu plików. Możesz przypisać okres przechowywania w folderze, a następnie użyć zadania zarządzania plikami, aby skonfigurować czas, przez jaki przypisano okres przechowywania. Gdy pliki w folderze wkrótce wygaśnie, właściciel pliku otrzyma wiadomość e-mail z powiadomieniem. Możesz również sklasyfikować plik jako wstrzymany ze względów prawnych, aby zadanie zarządzania plikami nie wygasało.