Control de acceso dinámico: Información general sobre el escenario
Se aplica a: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2 y Windows Server 2012.
En Windows Server 2012 se puede usar la gobernanza de datos en todos los servidores de archivos para controlar quién puede obtener acceso a la información y supervisar quién lo ha hecho. El control de acceso dinámico permite:
Identificar los datos mediante la clasificación automática y manual de archivos. Por ejemplo, podría etiquetar datos en servidores de archivos en toda la organización.
Controlar el acceso a los archivos mediante la aplicación de directivas de red de seguridad que utilicen directivas de acceso central. Por ejemplo, podría definir quién puede acceder a la información de mantenimiento en la organización.
Auditar el acceso a los archivos por medio de directivas de auditoría centrales de informes de cumplimiento y análisis forenses. Por ejemplo, podría identificar quién ha obtenido acceso a información muy confidencial.
Aplicar la protección de Rights Management Services (RMS) mediante cifrado RMS automático para documentos de Microsoft Office confidenciales. Por ejemplo, podría configurar RMS para cifrar todos los documentos que contengan información de la Ley de transferencia y responsabilidad de seguros de salud (HIPAA).
El conjunto de características Control de acceso dinámico se basa en inversiones en infraestructura que pueden usar también asociados y aplicaciones de línea de negocio, y las características pueden proporcionar un gran valor a las organizaciones que usan Active Directory. Esta infraestructura incluye:
Un nuevo motor de autorización y auditoría para Windows que puede procesar expresiones condicionales y directivas centrales.
Compatibilidad con la autenticación Kerberos para notificaciones de usuario y notificaciones de dispositivo.
Mejoras en la infraestructura de clasificación de archivos (FCI).
Compatibilidad con la extensibilidad RMS para que los asociados puedan proporcionar soluciones para cifrar archivos que no sean de Microsoft.
En este escenario
Este conjunto de contenido incluye los siguientes escenarios y orientación:
Guía básica de contenido de control de acceso dinámico
| Escenario | Evaluate | Plan | Implementación | Funcionamiento |
|---|---|---|---|---|
| Escenario: Directiva de acceso central La creación de directivas de acceso central para los archivos permite a las organizaciones implementar y administrar de manera centralizada las directivas de autorización que incluyen expresiones condicionales mediante notificaciones de usuario, notificaciones de dispositivo y propiedades de recursos. Estas directivas se basan en requisitos de regulación empresarial y de cumplimiento. Estas directivas se crean y se hospedan en Active Directory, lo que facilita su administración e implementación. Implementación de notificaciones en bosques En Windows Server 2012, AD DS mantiene un "diccionario de notificaciones" en cada bosque y todos los tipos de notificaciones que se usan en el bosque se definen en el nivel de bosque de Active Directory. Hay numerosos escenarios en los que es necesario que una entidad de seguridad atraviese un límite de confianza. En este escenario se describe el modo en que una notificación atraviesa un límite de confianza. |
Control de acceso dinámico: Información general sobre el escenario | Plan: Una implementación de directiva de acceso central - Proceso de asignación de una solicitud empresarial a una directiva de acceso central Procedimientos recomendados para usar notificaciones de usuario - Elección de la configuración correcta para habilitar notificaciones en el dominio de usuario Uso de notificaciones de dispositivo y grupos de seguridad de dispositivos - Consideraciones acerca del uso de notificaciones de dispositivo estáticas Herramientas de implementación - |
Implementar una directiva de acceso central (pasos de demostración) Implementación de notificaciones entre bosques (pasos de demostración) |
- Modelado de una directiva de acceso central |
| Escenario: Auditoría de acceso a archivos La auditoría de seguridad es una de las herramientas más eficaces para mantener la seguridad de una empresa. Uno de los principales objetivos de las auditorías de seguridad es el cumplimiento de las normas. Por ejemplo, los estándares de la industria como Sarbanes Oxley, HIPPA y Payment Card Industry (PCI) exigen que las empresas sigan un estricto conjunto de reglas relacionadas con la seguridad y la privacidad de los datos. Las auditorías de seguridad ayudan a establecer la presencia o la ausencia de dichas directivas y prueban el cumplimiento o incumplimiento de estos estándares. Además, las auditorías de seguridad ayudan a detectar comportamientos anómalos, a identificar y mitigar brechas en la directiva de seguridad y a impedir el comportamiento irresponsable al crear un registro de la actividad del usuario que puede utilizarse para un análisis forense. |
Escenario: Auditoría de acceso a archivos | Planear la auditoría de acceso a archivos | Implementar la auditoría de seguridad con directivas de auditoría central (pasos de demostración) | - Supervisión de las directivas de acceso central aplicables en un servidor de archivos - Supervisión de las directivas de acceso central asociadas a archivos y carpetas - Supervisión de los atributos de recurso en archivos y carpetas - Supervisión de los tipos de notificaciones - Supervisión de las notificaciones de usuario y dispositivo durante el inicio de sesión - Supervisión de las definiciones de regla y directiva de acceso central - Supervisión de las definiciones de atributo de recurso - Supervisión del uso de dispositivos de almacenamiento extraíbles. |
| Escenario: Asistencia de acceso denegado En la actualidad, cuando los usuarios intentan acceder a un archivo remoto en el servidor de archivos, la única indicación que obtendrán es que tienen el acceso denegado. Como consecuencia, se generan solicitudes al departamento de soporte técnico o a los administradores de TI para que solucionen el problema y, a menudo, los administradores tienen dificultades para obtener el contexto adecuado de los usuarios, lo que complica incluso más la solución del problema. |
Escenario: Asistencia de acceso denegado | Planear la asistencia para acceso denegado - Determinar el modelo de asistencia para acceso denegado |
Deploy Access-Denied Assistance (Demonstration Steps) | |
| Escenario: Cifrado de documentos de Office basado en la clasificación La protección de la información confidencial se centra principalmente en mitigar el riesgo para la organización. Diversas normas de cumplimiento, como la HIPAA o el estándar de seguridad de datos para la industria de tarjetas de pago (PCI-DSS), dictan el cifrado de la información y hay numerosos motivos empresariales para cifrar la información empresarial confidencial. Sin embargo, cifrar la información resulta costoso y podría afectar a la productividad empresarial. Por lo tanto, las organizaciones tienden a adoptar distintos enfoques y prioridades para cifrar su información. |
Escenario: Cifrado de documentos de Office basado en la clasificación | Planear la implementación del cifrado de documentos basado en la clasificación | Deploy Encryption of Office Files (Demonstration Steps) | |
| Escenario: Comprender los datos mediante la clasificación En la mayoría de las organizaciones ha ido aumentando la dependencia de los datos y los recursos de almacenamiento. Los administradores de TI se enfrentan al creciente desafío que supone la supervisión de infraestructuras de almacenamiento cada vez más grandes y más complejas, al mismo tiempo que se les asigna la responsabilidad de garantizar que el costo total de propiedad se mantenga en un nivel razonable. La administración de recursos de almacenamiento ya no se limita al volumen o la disponibilidad de datos, sino que implica además cumplir las directivas de la compañía y saber cómo se consume el almacenamiento para permitir un uso y un cumplimiento eficaces que mitiguen el riesgo. La infraestructura de clasificación de archivos permite obtener una idea clara de los datos mediante la automatización de los procesos de clasificación con el fin de poder administrar los datos de manera más eficaz. La infraestructura de clasificación de archivos proporciona los siguientes métodos de clasificación: manual, mediante programación y automática. Este escenario se centra en el método de clasificación automática de archivos. |
Escenario: Comprender los datos mediante la clasificación | Planear la clasificación automática de archivos | Deploy Automatic File Classification (Demonstration Steps) | |
| Escenario: Implementar la retención de información en servidores de archivos Un período de retención es la cantidad de tiempo que un documento debería conservarse antes de que expire. El período de retención puede ser distinto en función de la organización. Puede clasificar archivos en una carpeta según tengan un período de retención a corto, medio o largo plazo y, a continuación, asignar el período de tiempo para cada tipo. Quizás desee conservar un archivo indefinidamente mediante una retención legal. |
Escenario: Implementar la retención de información en servidores de archivos | Planificación de la retención de información en servidores de archivos | Implementación de la retención de información en servidores de archivos (pasos de demostración) |
Nota
No se admite el control de acceso dinámico en ReFS (Sistema de archivos resistente).
Consulte también
| Tipo de contenido | Referencias |
|---|---|
| Evaluación del producto | - Guía para revisores de Control de acceso dinámico - Instrucciones para el desarrollador de Control de acceso dinámico |
| Planeamiento | - Planeamiento de una implementación de directiva de acceso central - Planeamiento de la auditoría de acceso a archivos |
| Implementación | - Implementación de Active Directory - Implementación de los servicios de archivos y almacenamiento |
| Operaciones | Referencia de PowerShell para el control de acceso dinámico |
|Recursos de la comunidad|Foro de servicios de directorio|