Dinamikus hozzáférés-vezérlés: Forgatókönyv áttekintése

 

Érvényes: Windows Server 2012

A Windows Server 2012-ben a fájlkiszolgálókra adatszabályozást alkalmazhat annak vezérléséhez, hogy ki érheti el az adatokat, illetve annak vizsgálatához, hogy ki érte el az adatokat. A Dinamikus hozzáférés-vezérléssel:

• Fájlok automatikus és manuális besorolásával azonosíthatja az adatokat. Például felcímkézheti a szervezet fájlkiszolgálóin található adatokat.

• A fájlokhoz való hozzáférést központi hozzáférési házirendeket használó biztonsági szabályzatokkal felügyelheti. Meghatározhatja például, hogy a szervezeten belül ki érje el az egészségügyi adatokat.

• A fájlokhoz való hozzáférést központi naplózási házirendekkel naplózhatja. Erre például jelentéskészítéshez vagy igazságügyi elemzésekhez lehet szükség. Ellenőrizheti például, hogy ki fért hozzá különösen bizalmas információhoz.

• Tartalomvédelmi szolgáltatások (RMS) által nyújtott védelmet vehet igénybe a bizalmas Microsoft Office-dokumentumok automatikus RMS-titkosításával. A tartalomvédelmi szolgáltatásokat beállíthatja például úgy, hogy automatikusan titkosítsa azokat a dokumentumokat, amelyek az egészségbiztosítási adatok hordozhatóságára és felelős kezelésére vonatkozó törvény (HIPAA) hatálya alá eső információt tartalmaznak.

A Dinamikus hozzáférés-vezérlés szolgáltatáskészlete olyan infrastruktúra-befektetéseken alapul, amelyeket a partnerek és az üzletági alkalmazások is használhatnak, funkciói pedig jelentős értéket jelenthetnek az Active Directory címtárszolgáltatást használó szervezeteknek. Ez az infrastruktúra az alábbiakat tartalmazza:

• Új engedélyezési és naplózási motor a Windows-hoz, amely képes a feltételes kifejezések és a központi házirendek kezelésére.

• Kerberos-hitelesítési támogatás a felhasználói és eszközjogcímekhez.

• Továbbfejlesztett fájlbesorolási infrastruktúra (FCI).

• A tartalomvédelmi szolgáltatások kiterjeszthetősége, melynek révén a partnerek a nem a Microsofttól származó fájlokhoz is nyújthatnak titkosító megoldásokat.

Ebben a forgatókönyvben

Ez a rész a következő forgatókönyveket és útmutatókat tartalmazza:

Dinamikus hozzáférés-vezérlés tartalmi terv

Forgatókönyv	Értékelés	Tervezés	telepítése Telepítse a	Működtetés
Forgatókönyv: Központi hozzáférési házirend Fájlokra vonatkozó központi hozzáférési házirendek létrehozásával a szervezetek központilag telepíthetnek és kezelhetnek olyan engedélyezési házirendeket, amelyek felhasználói jogcímeket, eszközjogcímeket és erőforrás-tulajdonságokat használó feltételes kifejezéseket tartalmaznak. Ezek a házirendek megfelelőségi és üzletszabályzati követelményeken alapulnak, és a rendszer az Active Directory címtárszolgáltatásban hozza létre és tárolja őket, ezáltal könnyítve meg kezelésüket és központi telepítésüket. Jogcímek erdőszintű központi telepítése A Windows Server 2012-ben az AD DS mindegyik erdőben fenntart egy „jogcímszótárt”, és az adott erdőben használt összes jogcímtípus az Active Directory-erdő szintjén van meghatározva. Számos olyan szituáció fordulhat elő, ahol a rendszerbiztonsági tag át kell, hogy lépje a megbízhatósági kapcsolat határát. Ez a forgatókönyv azt írja le, hogy egy adott jogcím hogyan lép át a megbízhatósági kapcsolat határán.	Dynamic Access Control: scenario overview Jogcímek erdőszintű központi telepítése	Központi hozzáférési házirend telepítésének megtervezése Üzleti igények leképezése központi hozzáférési házirendhez Dinamikus hozzáférés-vezérlés felügyeletének delegálása Kivételképzési eljárások központi hozzáférési házirend tervezéséhez Gyakorlati példák felhasználói jogcímek használatára Központi hozzáférési házirendek konfigurálása különböző beállításokkal Felhasználói jogcímek engedélyezésének műveletei Szempontok felhasználói jogcímeknek a fájlkiszolgáló tulajdonosi hozzáférés-szabályozási listáiban való használatához központi hozzáférési házirendek nélkül Eszközjogcímek és eszközök biztonsági csoportjainak használata A statikus eszközjogcímek használatának szempontjai Eszközjogcímek engedélyezésének műveletei Telepítőeszközök Adatbesorolási eszközkészlet	Központi hozzáférési házirend telepítése (bemutatólépések) Jogcím telepítése (bemutató lépéseket) erdőkön keresztül	Központi hozzáférési házirend modellezése
Forgatókönyv: Fájlhozzáférés naplózása A biztonsági naplózás a céges biztonság fenntartásának egyik leghatékonyabb eszköze, egyik legfőbb célja pedig a jogszabályoknak való megfelelés. A különféle ipari szabványok – például a Sarbanes-Oxley, a HIPAA vagy a fizetőkártyákra vonatkozó PCI szabvány – szigorú szabálykövetést várnak el a vállalatoktól az adatbiztonság és az adatvédelem biztosítása érdekében. A biztonsági naplózással felderíthető e szabályzatok megléte vagy hiánya, vagyis az, hogy a rendszer megfelel-e vagy sem ezeknek a szabványoknak. A biztonsági naplózás emellett segít a rendellenes működés észlelésében, a biztonsági házirend réseinek azonosításában és kiküszöbölésében, valamint a felelőtlen viselkedés megelőzésében azáltal, hogy igazságügyi elemzéshez használható nyilvántartást vezet a felhasználói tevékenységekről.	Forgatókönyv: Fájlhozzáférés naplózása	Fájlhozzáférés naplózásának megtervezése	Biztonsági naplózás telepítése központi naplórendekkel (bemutatólépések)	A figyelő a központi hozzáférési házirendeket, amelyek érvényesek a fájlkiszolgálón Fájlokhoz és mappákhoz kapcsolódó központi hozzáférési házirendek figyelése Fájlok és mappák erőforrás-attribútumainak figyelése Jogcímtípusok figyelése Felhasználói és eszközjogcímek figyelése bejelentkezéskor Központi hozzáférési házirend és szabálydefiníciók figyelése Erőforrás-attribútumok definícióinak figyelése A figyelő a cserélhető tárolóeszközök használatát.
Forgatókönyv: Segítségkérés hozzáférés-megtagadás esetén Manapság jellemző módon csak egy hozzáférés megtagadásáról szóló visszajelzést kap a felhasználó, amikor egy távoli fájlt próbál meg elérni a fájlkiszolgálón. Ezt követően az ügyfélszolgálathoz vagy a rendszergazdákhoz olyan kérelmek futnak be, amelyek kapcsán ki kell deríteni, hogy mi is valójában a probléma – melynek megoldását ráadásul hátráltathatja az is, hogy a felhasználótól gyakran nehéz megszerezni a hiba körülményeire vonatkozó információt. A Windows Server 2012-ben az volt a cél, hogy a rendszer segítse a munkatársat és az adat vállalati tulajdonosát a megtagadott hozzáféréssel kapcsolatos ügyek megoldásában az informatikai részleg bevonása nélkül, az informatikai részleg bevonása esetén pedig biztosítson minden szükséges megfelelő információt a probléma mielőbbi rendezése érdekében. Az egyik kihívás ennek a célnak az elérésében az, hogy nincs egy központi módszer a megtagadott hozzáférésekkel kapcsolatos ügyek kezelésére, és ezt minden alkalmazás másként kezeli – így a Windows Server 2012-ben az egyik fő cél a megtagadott hozzáférések felhasználóbarátabb kezelésének biztosítása a Windows Intézőben.	Forgatókönyv: hozzáférés-megtagadás esetén történő segítségkérés	A Segítségkérés hozzáférés-megtagadás esetén szolgáltatás megtervezése 1.1 A hozzáférés-megtagadás segítségkérési modelljének meghatározása 1.2. A hozzáférési kérelmek kezelésének delegálása 1.3. A hozzáférés-megtagadással kapcsolatos segítségkérési üzenetek testreszabása 1.4. Kivételkezelés tervezése 1.5. A hozzáférés-megtagadási segítségkérés alkalmazási módjának meghatározása	Segítségkérés hozzáférés-megtagadás esetén – telepítési útmutató
Forgatókönyv: Az Office-dokumentumok besorolásalapú titkosítása A bizalmas adatok védelmének elsődleges célja a szervezet veszélyeztetettségének csökkentése. A különböző megfelelőségi szabványok – például a HIPAA vagy a fizetőkártyákra vonatkozó adatvédelmi szabvány (PCI DSS) – előírják az információtitkosítást, és számos üzleti érv is szól a bizalmas céges adatok titkosítása mellett. Az információ titkosítása ugyanakkor drága, és gyengítheti az üzleti hatékonyságot. Az egyes szervezetek így különböző szempontok és prioritások alapján titkosítják adataikat. A Windows Server 2012 egy olyan szolgáltatással támogatja ezt a forgatókönyvet, amely titkosítani tudja a bizalmas Windows Office-fájlokat a besorolásuk alapján. Ez fájlkezelési feladatok révén történik, amelyek aktiválják az Active Directory tartalomvédelmi szolgáltatások bizalmas dokumentumokra vonatkozó védelmét, néhány másodperccel azután, hogy a fájlkiszolgálón bizalmas besorolást kap a fájl.	Forgatókönyv: Az Office-dokumentumok besorolásalapú titkosítása	Tervezési szempontok az Office-dokumentumok titkosításához	Office-fájlok titkosításának központi telepítése (bemutatólépések)
Forgatókönyv: A besorolási funkció segítségével könnyebben nyerhet betekintést adataiba Az adat- és tárerőforrások megbízhatósága egyre fontosabb szempont a legtöbb szervezet számára. A rendszergazdáknak növekvő kihívást jelent az egyre nagyobb és összetettebb tárhely-infrastruktúrák felügyelete, és az ezzel párhuzamos elvárás, hogy a teljes birtoklási költséget ésszerű keretek között tartsák. Az tárerőforrások kezelése többé már nem csak az adatok mennyiségéről és elérhetőségéről szól, hanem a céges házirendek érvényesítéséről és arról is, hogy a tárhelyhasználat ismeretében biztosítani lehessen a hatékony működést és a kockázatot csökkentő megfelelőséget. A Fájlbesorolási infrastruktúra a besorolási folyamatok automatizálása révén nyújt betekintést az adatokba, hogy azokat hatékonyabban lehessen kezelni. A Fájlbesorolási infrastruktúra a következő besorolási módokat teszi lehetővé: manuális, programozott és automatikus. Ez a forgatókönyv az automatikus fájlbesorolással foglalkozik.	Forgatókönyv: A besorolási funkció segítségével könnyebben nyerhet betekintést adataiba	Automatikus fájlbesorolás megtervezése	Automatikus fájlbesorolás központi telepítése (bemutatólépések)
Forgatókönyv: Információmegőrzés megvalósítása a fájlkiszolgálókon A megőrzési időtartam azt adja meg, hogy egy adott dokumentumot mennyi ideig kell megtartani, mielőtt lejár. A megőrzési időtartam szervezetenként változó lehet. Egy mappa fájljait rövid, közepes vagy hosszú megőrzési időtartamúként lehet besorolni, majd az egyes időtartamokhoz időkeretet rendelni. Adott fájlokat akár örökre is megtarthat, ha jogilag előirt megőrzést alkalmaz. A fájlbesorolási infrastruktúra és a fájlkiszolgálói erőforrás-kezelő a fájlkezelési feladatok és a fájlbesorolás használatával alkalmaz megőrzési időszakokat a fájlokra. Mappákhoz is rendelhet megőrzési időtartamot, majd fájlkezelési feladattal beállíthatja, hogy az adott időtartam milyen hosszú legyen. A mappában szereplő fájlok lejárati idejének közeledtével a tulajdonos e-mailben értesítést kap. Ha egy fájlhoz jogilag előírt megőrzést rendel, akkor a fájlkezelési feladat nem fogja lejártnak minősíteni.	Forgatókönyv: Információmegőrzés megvalósítása a fájlkiszolgálókon	Információmegőrzés megtervezése fájlkiszolgálókon	Információmegőrzés megvalósításának telepítése a fájlkiszolgálókon (bemutatólépések)

Megjegyzés

A Dinamikus hozzáférés-vezérlést az ReFS fájlrendszer nem támogatja.

Lásd még:

Tartalom típusa	Hivatkozások
Termékértékelés	Dinamikus hozzáférés-vezérlés – Felülvizsgálati útmutató Dinamikus hozzáférés-vezérlés – Fejlesztői útmutatás
Tervezés	Központi hozzáférési házirend telepítésének megtervezése Fájlhozzáférés naplózásának megtervezése
Telepítés	Active Directory központi telepítése Fájl- és tárolási szolgáltatások központi telepítése
Műveletek	Dinamikus hozzáférés-vezérlés – PowerShell-referencia
Eszközök és beállítások	Adatbesorolási eszközkészlet
Közösségi források	Directory szolgáltatások fóruma