Dynamische Zugriffsteuerung: Szenarioübersicht

 

Betrifft: Windows Server 2012

In Windows Server 2012 können Sie Datenkontrollmechanismen dateiserverübergreifend anwenden, um zu steuern, wer auf Informationen zugreifen kann, und um zu überwachen, wer auf Informationen zugegriffen hat. Mit der dynamischen Zugriffssteuerung haben Sie folgende Möglichkeiten:

  • Identifizieren von Daten mittels automatischer und manueller Dateiklassifizierung. Beispielsweise können Sie Daten auf Dateiservern in der gesamten Organisation markieren.

  • Steuern des Zugriffs auf Dateien durch das Anwenden von Sicherheitsnetz-Richtlinien, die zentrale Zugriffsrichtlinien verwenden. Beispielsweise können Sie festlegen, wer innerhalb der Organisation auf Integritätsinformationen zugreifen kann.

  • Überwachen des Zugriffs auf Dateien mithilfe von zentralen Überwachungsrichtlinien für Kompatibilitätsberichte und forensischen Analysen. Beispielsweise können Sie identifizieren, wer auf streng vertrauliche Informationen zugegriffen hat.

  • Anwenden von RMS (Rights Management Services)-Schutz durch Verwendung der automatischen RMS-Verschlüsselung für vertrauliche Microsoft Office-Dokumente. Beispielsweise könnten Sie RMS so konfigurieren, dass alle Dokumente verschlüsselt werden, die HIPAA (Health Insurance Portability and Accountability Act)-Informationen enthalten.

Die Featuregruppe "Dynamische Zugriffssteuerung" basiert auf Infrastrukturinvestitionen, die von weiteren Partnern und Branchenanwendungen verwendet werden können, und die Features sind u. U. sehr nützlich für Organisationen, die Active Directory nutzen. Diese Infrastruktur umfasst:

  • Ein neues Autorisierungs- und Überwachungsmodul, das bedingte Ausdrücke und zentrale Richtlinien verarbeiten kann.

  • Unterstützung der Kerberos-Authentifizierung für Benutzer- und Geräteansprüche.

  • Verbesserungen der Dateiklassifizierungsinfrastruktur.

  • Unterstützung der RMS-Erweiterbarkeit, damit Partner Lösungen zum Verschlüsseln von Microsoft-fremden Dateien bereitstellen können.

Inhalt dieses Szenarios

Folgende Szenarien und Anweisungen sind in diesem Inhaltssatz enthalten:

Inhaltsroadmap die dynamische Zugriffssteuerung

Szenario

Bewerten

Planen

Stellen Sie

Ausführen

Szenario: Zentrale Zugriffsrichtlinie

Das Erstellen zentraler Zugriffsrichtlinien für Dateien ermöglicht Organisationen das zentrale Bereitstellen und Verwalten von Autorisierungsrichtlinien, die bedingte Ausdrücke mit Benutzeransprüchen, Geräteansprüchen und Ressourceneigenschaften. Diese Richtlinien basieren auf rechtlichen Bestimmungen zu Kompatibilitäts- und Geschäftsanforderungen. Diese Richtlinien werden in Active Directory erstellt und gehostet und sind daher einfacher zu verwalten und bereitzustellen.

Gesamtstrukturübergreifende Bereitstellung von Ansprüchen

In Windows Server 2012 ist in AD DS in jeder Gesamtstruktur ein "Anspruchswörterbuch" vorhanden, und alle in der Gesamtstruktur verwendeten Anspruchstypen sind auf der Ebene der Active Directory-Gesamtstrukturebene definiert. In vielen Szenarien muss ein Prinzipal u. U. eine Vertrauensstellungsgrenze durchlaufen. In diesem Szenario wird beschrieben, wie ein Anspruch eine Vertrauensstellungsgrenze durchläuft.

Dynamic Access Control: scenario overview

Gesamtstrukturübergreifende Bereitstellung von Ansprüchen

Planen der Bereitstellung einer zentralen Zugriffsrichtlinie

Bewährte Methoden für die Verwendung von Benutzeransprüchen

Verwenden von Geräteansprüchen und Gerätesicherheitsgruppen

Tools für die Bereitstellung

Bereitstellen einer zentralen Zugriffsrichtlinie (Demonstrationsschritte)

Bereitstellen von Ansprüchen in Gesamtstrukturen (Demonstrationsschritte)

  • Erstellen eines Modells für eine zentrale Zugriffsrichtlinie

Szenario: Dateizugriffsüberwachung

Die Sicherheitsüberwachung gehört zu den leistungsstärksten Tools zur Erhaltung der Sicherheit eines Unternehmens. Eines der wichtigsten Ziele von Sicherheitsüberwachungen ist die Einhaltung rechtlicher Bestimmungen. So müssen Unternehmen bei Industriestandards wie Sarbanes Oxley, HIPAA und Payment Card Industry (PCI) strenge Regeln zur Gewährleistung von Datensicherheit und Datenschutz befolgen. Sicherheitsüberwachungen helfen, das Vorhandensein oder Fehlen entsprechender Richtlinien festzustellen und geben dadurch Aufschluss über die Einhaltung oder Nichteinhaltung dieser Standards. Darüber hinaus helfen Sicherheitsüberwachungen, anormales Verhalten zu erkennen, Lücken in Sicherheitsrichtlinien zu identifizieren und auszugleichen und vor unverantwortlichem Verhalten abzuschrecken, indem ein Datensatz der Benutzeraktivität erstellt wird, der zur forensischen Analyse verwendet werden kann.

Scenario: File Access Auditing

Planen der Dateizugriffsüberwachung

Bereitstellen der Sicherheitsüberwachung mit zentralen Überwachungsrichtlinien (Demonstrationsschritte)

Szenario: Unterstützung nach "Zugriff verweigert"

Wenn Benutzer heutzutage versuchen, auf eine Remotedatei auf dem Dateiserver zuzugreifen, erhalten sie lediglich den Hinweis, dass der Zugriff verweigert wird. Dies führt zu Anfragen an das Helpdesk oder IT-Administratoren, die das Problem erörtern müssen. Dabei treten häufig Schwierigkeiten auf, den entsprechenden Kontext von Benutzern zu erhalten, was das Lösen des Problems noch schwieriger macht.
In Windows Server 2012 besteht das Ziel darin, den Information-Worker und den geschäftlichen Besitzer der Daten beim Behandeln des Problems „Zugriff verweigert“ zu unterstützen, bevor ein Eingreifen der IT-Abteilung erforderlich ist. Ist ein Eingreifen der IT-Abteilung erforderlich, werden alle benötigten Informationen für eine schnelle Lösung bereitgestellt. Eine der Herausforderungen beim Erreichen dieses Ziels besteht darin, dass keine allgemeine Methode für den Umgang mit verweigertem Zugriff vorhanden ist und jede Anwendung auf andere Art und Weise damit umgeht. Daher besteht eines der Ziele in Windows Server 2012 in der Verbesserung des Umgangs mit dem Problem %amp;quot;Zugriff verweigert" für Windows Explorer.

Szenario: Unterstützung nach "Zugriff verweigert"

Plan für die Unterstützung nach "Zugriff verweigert"

Deploy Access-Denied Assistance (Demonstration Steps)

Szenario: Auf Klassifizierung basierende Verschlüsselung für Office-Dokumente

Der Schutz vertraulicher Informationen besteht hauptsächlich aus dem Eindämmen von Risiken für das Unternehmen. Verschiedene Kompatibilitätsbestimmungen wie z. B. HIPAA oder Payment Card Industry Data Security Standard (PCI-DSS) schreiben die Verschlüsselung von Informationen vor, und vertrauliche Geschäftsinformationen sollten zu verschiedenen Geschäftszwecken verschlüsselt werden. Das Verschlüsseln von Informationen ist jedoch teuer und beeinträchtigt u. U. die Geschäftsproduktivität. Daher verwenden Organisationen oft unterschiedliche Ansätze und Prioritäten beim Verschlüsseln ihrer Informationen.
Zur Unterstützung dieses Szenarios bietet Windows Server 2012 die Möglichkeit, vertrauliche Windows Office-Dateien basierend auf deren Klassifizierung automatisch zu verschlüsseln. Dies erfolgt durch Dateiverwaltungsaufgaben, die den AD RMS (Active Directory Rights Management Server)-Schutz für vertrauliche Dokumente einige Sekunden nach der Identifizierung einer Datei als vertrauliche Datei auf dem Server aufrufen.

Scenario: Classification-Based Encryption for Office Documents

Planungshinweise für das Verschlüsseln von Office-Dokumenten

Bereitstellen der Verschlüsselung von Office-Dateien (Demonstrationsschritte)

Szenario: Erhalten von Einblicken in Ihre Daten mittels Klassifizierung

Die Abhängigkeit von Daten- und Speicherressourcen wird für die meisten Organisationen immer bedeutender. IT-Administratoren sind mit der wachsenden Herausforderung konfrontiert, immer größere und komplexere Speicherinfrastrukturen zu überwachen und sind gleichzeitig dafür verantwortlich, dass die Gesamtbetriebskosten ein vernünftiges Maß nicht überschreiten. Beim Verwalten von Speicherressourcen geht es nicht mehr nur um das Volumen oder die Verfügbarkeit von Daten, sondern auch um das Durchsetzen von Unternehmensrichtlinien und Informationen zum Speicherverbrauch, um eine effiziente Nutzung und Kompatibilität zu ermöglichen und dadurch wiederum Risiken einzudämmen. Die Dateiklassifizierungsinfrastruktur bietet Einsicht in Ihre Daten, indem Klassifizierungsvorgänge automatisiert werden, damit Sie Ihre Daten effektiver verwalten können. Mit der Dateiklassifizierungsinfrastruktur werden folgende Klassifizierungsmethoden bereitgestellt: manuell, programmgesteuert und automatisch. In diesem Szenario liegt der Schwerpunkt auf der automatischen Dateiklassifizierungsmethode.

Scenario: Get Insight into Your Data by Using Classification

Planen der automatischen Dateiklassifizierung

Bereitstellen der automatischen Dateiklassifizierung (Demonstrationsschritte)

Scenario: Implement Retention of Information on File Servers

Aufbewahrungsdauer bezeichnet den Zeitraum, den ein Dokument aufbewahrt werden sollte, bevor es als abgelaufen gilt. Die Aufbewahrungsdauer kann sich je nach Organisation unterscheiden. Sie können Dateien in einem Ordner nach kurzer, mittlerer oder langer Aufbewahrungsdauer klassifizieren und anschließend den Zeitraum für jede Dauer zuweisen. Sie können eine Datei unbegrenzt aufbewahren, in dem sie ihr eine rechtliche Aufbewahrungspflicht zuweisen.
Die Dateiklassifizierungsinfrastruktur und der Ressourcen-Manager für Dateiserver verwenden Dateiverwaltungsaufgaben und die Dateiklassifizierung, um eine Aufbewahrungsdauer auf einen Satz von Dateien anzuwenden. Sie können einem Ordner eine Aufbewahrungsdauer zuweisen und anschließend eine Dateiverwaltungsaufgabe verwenden, um die Dauer einer zugewiesenen Aufbewahrungsdauer zu konfigurieren. Wenn das Ablaufen der Dateien im Ordner bevorsteht, erhält der Besitzer der Dateien eine E-Mail-Benachrichtigung. Sie können einer Datei auch eine rechtliche Aufbewahrungspflicht zuweisen, damit die Dateiverwaltungsaufgabe das Ablaufen der Datei verhindert.

Scenario: Implement Retention of Information on File Servers

Planen der Aufbewahrung von Informationen auf Dateiservern

Bereitstellen der Implementierung der Aufbewahrung von Informationen auf Dateiservern (Schritte zur Veranschaulichung)

Hinweis

Die dynamische Zugriffssteuerung wird in einem robusten Dateisystem (Resilient File System, ReFS) nicht unterstützt.

Siehe auch

Inhaltstyp

Referenzen

Produktbewertung

Planen

Bereitstellung

Betrieb

PowerShell-Referenz für die dynamische Zugriffssteuerung

Tools und Einstellungen

Toolkit zur Datenklassifizierung

Communityressourcen

Forum zu Verzeichnisdiensten