Contrôle d'accès dynamique : Vue d’ensemble du scénario
Dans Windows Server 2012, vous pouvez appliquer la gouvernance de données sur vos serveurs de fichiers pour contrôler les personnes qui ont accès à vos informations et auditer celles qui ont accédé à des informations. Le contrôle d’accès dynamique vous permet d’effectuer les tâches suivantes :
Identifier des données grâce à une classification automatique et manuelle des fichiers. Par exemple, vous pouvez baliser des données sur des serveurs de fichiers dans toute l’organisation.
Contrôler l’accès aux fichiers en appliquant des stratégies sécurisées qui utilisent des stratégies d’accès centralisées. Vous pouvez notamment définir qui a accès aux informations d’intégrité au sein de l’organisation.
Contrôler par audit l’accès aux fichiers à l’aide de stratégies d’audit centralisées pour établir des rapports de conformité et mener des analyses d’investigation. Vous pouvez par exemple identifier les personnes qui ont accès à des informations hautement confidentielles.
Appliquez la technologie de protection RMS (Rights Management Services) avec un chiffrement RMS automatique des documents Microsoft Office confidentiels. Par exemple, vous pouvez configurer RMS afin de chiffrer tous les documents qui contiennent des informations issues d’organismes de la santé et de l’assurance maladie.
Les fonctionnalités de contrôle d’accès dynamique sont fondées sur des investissements d’infrastructure qui peuvent être utilisés par des partenaires et des applications métier. Ces fonctionnalités peuvent s’avérer très précieuses pour les organisations qui travaillent avec Active Directory. Cette infrastructure inclut les éléments suivants :
Un nouveau moteur d’autorisation et d’audit pour Windows capable de traiter des expressions conditionnelles et des stratégies centralisées.
Prise en charge de l’authentification Kerberos pour les revendications d’utilisateur et de périphérique.
Améliorations apportées à l’infrastructure de classification des fichiers (ICF).
Prise en charge de l’extensibilité RMS pour permettre aux partenaires d’élaborer des solutions capables de chiffrer des fichiers non Microsoft.
Dans ce scénario
Les scénarios et les conseils fournis dans le tableau qui suit sont inclus dans ce contenu :
Feuille de route du contenu du contrôle d’accès dynamique
| Scénario | Évaluer | Plan | Déployer | Opérer |
|---|---|---|---|---|
| Scénario : Stratégie d’accès centralisée En créant des stratégies d’accès centralisées pour leurs fichiers, les organisations peuvent déployer et gérer de manière centrale des stratégies d’autorisation qui comprennent des expressions conditionnelles à l’aide de revendications d’utilisateur, de revendications de périphérique et de propriétés de ressource. Ces stratégies sont fondées sur des exigences de conformité et professionnelles réglementaires. Elles sont créées et hébergées dans Active Directory, ce qui facilite leur gestion et leur déploiement. Déploiement de revendications dans les forêts Dans Windows Server 2012, les services de domaine Active Directory (AD DS) conservent un « dictionnaire de revendications » au sein de chaque forêt et tous les types de revendications appliqués dans la forêt sont définis au niveau de la forêt Active Directory. Il existe plusieurs scénarios où un principal a besoin de franchir une limite d’approbation. Ce scénario décrit comment une revendication franchit une limite d’approbation. |
Contrôle d’accès dynamique : Vue d’ensemble du scénario | Planifier : un déploiement de stratégies d’accès centralisées - Processus de mappage d’une demande de gestion à une stratégie d’accès centralisée Méthodes recommandées pour l’utilisation des revendications d’utilisateur - Choix de la configuration adaptée à l’activation des revendications dans votre domaine utilisateur Utilisation des revendications de périphérique et des groupes de sécurité de périphérique - Éléments à considérer lors de l’utilisation de revendications de périphérique statiques Outils de déploiement - |
Déployer une stratégie d’accès centralisée (étapes de démonstration) Déployer des revendications dans les forêts (étapes de démonstration) |
- Modélisation d’une stratégie d’accès centralisée |
| Scénario : audit d’accès aux fichiers L’audit de sécurité est l’un des outils les plus puissants auxquels peut recourir une entreprise pour mieux gérer sa sécurité. La conformité aux normes fait notamment partie de ses objectifs clés. Par exemple, des normes industrielles telles que Sarbanes Oxley, HIPAA et PCI (Payment Card Industry) exigent que les entreprises suivent un ensemble strict de règles liées à la sécurité et à la confidentialité des données. Les audits de sécurité aident à déterminer la présence ou l’absence de telles stratégies, et prouvent donc la conformité ou le défaut de conformité à ces normes. De plus, les audits de sécurité permettent de détecter un comportement anormal, d’identifier et d’atténuer les lacunes dans la stratégie de sécurité, ainsi que de dissuader tout comportement irresponsable en créant un enregistrement de l’activité utilisateur qui peut être utilisé pour une analyse d’investigation. |
Scénario : audit d’accès aux fichiers | Planifier l’audit d’accès aux fichiers | Déployer l’audit de sécurité avec les stratégies d’audit centralisées (étapes de démonstration) | - Gérer les stratégies d’accès centralisées qui s’appliquent à un serveur de fichiers - Gérer les stratégies d’accès centralisées associées à des fichiers et des dossiers - Gérer les attributs de ressources dans les fichiers et les dossiers - Gérer les types de revendications - Gérer les revendications utilisateur et de périphérique lors de la connexion - Gérer les définitions des stratégies et des règles d’accès centralisées - Gérer les définitions des attributs de ressources - Gérer l’utilisation des périphériques de stockage amovibles. |
| Scénario : assistance en cas d’accès refusé Aujourd’hui, lorsque les utilisateurs tentent d’accéder à un fichier distant sur le serveur de fichiers, le seul message qui leur revient est que l’accès est refusé. Ceci génère de multiples demandes au support technique ou aux administrateurs informatiques qui doivent identifier le problème. Souvent, les administrateurs ont du mal à recueillir des informations de contexte exactes auprès des utilisateurs, ce qui complique davantage la résolution du problème. |
Scénario : assistance en cas d’accès refusé | Planifier l’assistance en cas d’accès refusé - Déterminer le modèle d’assistance en cas d’accès refusé |
Déployer l’assistance en cas d’accès refusé (étapes de démonstration) | |
| Scénario : chiffrement des documents Office d’après leur classification La protection des informations confidentielles a principalement pour but de minimiser les risques pour une organisation. Diverses normes de conformité, telles que la norme HIPAA ou la norme PCI-DSS (Payment Card Industry Data Security Standard), imposent le chiffrement des informations et de nombreuses raisons professionnelles motivent le chiffrement des données professionnelles à caractère confidentiel. Cependant, le chiffrement des informations est coûteux et il peut nuire à la productivité de l’entreprise. C’est pourquoi les organisations ont souvent des approches et des priorités différentes en matière de chiffrement des données. |
Scénario : chiffrement des documents Office d’après leur classification | Planifier le déploiement du chiffrement des documents en fonction de leur classification | Déployer le chiffrement des fichiers Office (étapes de démonstration) | |
| Scénario : classification des données pour mieux les comprendre Le recours à des données et des ressources de stockage prend une importance croissante dans la plupart des organisations. Les administrateurs informatiques sont confrontés à un défi sans cesse grandissant : contrôler des infrastructures de stockage toujours plus volumineuses et complexes et, simultanément, assumer le coût total de possession et le maintenir à des niveaux raisonnables. La gestion des ressources de stockage n’est plus seulement une affaire de volume ou de disponibilité des données. Il s’agit aussi de mettre en place des stratégies d’entreprise et de savoir comment le stockage est exploité pour favoriser une utilisation et une conformité efficaces avec des risques réduits. L’infrastructure de classification des fichiers aide à mieux appréhender vos données en automatisant des processus de classification qui vous permettront de les gérer avec plus d’efficacité. Les méthodes de classification disponibles dans l’infrastructure de classification des fichiers sont les suivantes : manuelle, par programme et automatique. Ce scénario se concentre sur la méthode de classification automatique des fichiers. |
Scénario : classification des données pour mieux les comprendre | Planifier la classification automatique des fichiers | Déployer la classification automatique des fichiers (étapes de démonstration) | |
| Scénario : implémenter la rétention des informations sur les serveurs de fichiers La période de rétention désigne le temps pendant lequel un document doit être conservé avant qu’il n’expire. La période de rétention peut varier en fonction de l’organisation. Vous pouvez classer des fichiers dans un dossier avec une période de rétention à court, moyen ou long terme, puis définir la durée de chaque période. Vous pouvez conserver un fichier indéfiniment en proclamant sa mise en suspens pour raisons juridiques. |
Scénario : implémenter la rétention des informations sur les serveurs de fichiers | Planifier la rétention des informations sur les serveurs de fichiers | Déployer l’implémentation de la conservation des informations sur les serveurs de fichiers (étapes de démonstration) |
Notes
Le contrôle d’accès dynamique n’est pas pris en charge dans le système ReFS (Resilient File System).
Voir aussi
| Type de contenu | Références |
|---|---|
| Évaluation du produit | - Guide de révision du contrôle d’accès dynamique - Conseils aux développeurs pour le contrôle d’accès dynamique |
| Planification | - Planification du déploiement des stratégies d’accès centralisées - Planifier l’audit d’accès aux fichiers |
| Déploiement | - Déploiement Active Directory - Déploiement des services de fichiers et de stockage |
| Opérations | Référence Windows PowerShell du contrôle d’accès dynamique |
|Ressources de la communauté|Forum des services d’annuaire|