Controllo dinamico degli accessi: Panoramica dello scenario

 

Si applica a: Windows Server 2012

In Windows Server 2012 è possibile applicare la governance dei dati nei file server per definire gli utenti che possono accedere alle informazioni di controllo sugli accessi ai dati. Controllo dinamico degli accessi consente di eseguire le operazioni seguenti:

• Identificare i dati utilizzando la classificazione automatica e manuale per i file. È ad esempio possibile contrassegnare i dati nei file server nell'organizzazione.

• Controllare l'accesso ai file applicando criteri di sicurezza di rete da cui vengono utilizzati criteri di accesso centrale. È ad esempio possibile definire gli utenti che possono accedere alle informazioni sull'integrità nell'organizzazione.

• Controllare l'accesso ai file utilizzando criteri di controllo centrale per la creazione di rapporti di conformità e le analisi forensi. È ad esempio possibile identificare gli utenti che hanno effettuato l'accesso a informazioni riservate.

• Applicare la protezione RMS (Rights Management Services) utilizzando la crittografia RMS automatica per i documenti di Microsoft Office riservati. È ad esempio possibile configurare RMS per crittografare tutti i documenti contenenti informazioni sulla legge HIPPA (Health Insurance Portability and Accountability Act).

Il set di funzionalità di Controllo dinamico degli accessi è basato sugli investimenti nell'infrastruttura che possono essere ulteriormente utilizzati da partner e applicazioni line-of-business. Le funzionalità possono offrire un grande valore per le organizzazioni che utilizzano Active Directory. L'infrastruttura include i componenti seguenti:

• Un nuovo motore di controllo e autorizzazione per Windows in grado di elaborare espressioni condizionali e criteri centrali.

• Supporto dell'autenticazione Kerberos per attestazioni utente e richieste diritti da dispositivo.

• Miglioramenti all'Infrastruttura di classificazione file.

• Supporto dell'estendibilità RMS per consentire ai partner di fornire soluzioni per la crittografia di file non Microsoft.

In questo scenario

Nel presente set di contenuti sono inclusi gli scenari e le informazioni aggiuntive seguenti:

Roadmap dei contenuti di Controllo dinamico degli accessi

Scenario	Valutazione	Pianificazione	Distribuire	Funzionamento
Scenario: Criteri di accesso centrale La creazione di criteri di accesso centrale per i file consente alle organizzazioni di distribuire e gestire da una posizione centrale criteri di autorizzazione che includono espressioni condizionali utilizzando attestazioni utente, richieste diritti da dispositivo e proprietà delle risorse. Questi criteri sono basati su requisiti normativi aziendali e di conformità. I criteri vengono creati e ospitati in Active Directory, pertanto sono più semplici da gestire e distribuire. Distribuzione di attestazioni tra foreste In Windows Server 2012 tramite Servizi di dominio Active Directory viene gestito un "dizionario delle attestazioni" in ogni foresta e tutti i tipi di attestazioni utilizzati nella foresta sono definiti a livello di foresta di Active Directory. Vi sono numerosi scenari in cui per un'entità può essere necessario attraversare un limite di trust. In questo scenario viene descritto in che modo un'attestazione attraversa un limite di trust.	Dynamic Access Control: scenario overview Distribuire attestazioni nelle foreste	Pianificare la distribuzione di criteri di accesso centrale Processo di mapping di una richiesta aziendale a criteri di accesso centrale Delega dell'amministrazione di Controllo dinamico degli accessi Meccanismi di eccezione per la pianificazione di criteri di accesso centrale Procedure consigliate per l'utilizzo delle attestazioni Configurazione dei criteri di accesso centrale con diverse opzioni Operazioni per abilitare le attestazioni utente Considerazioni per l'utilizzo di attestazioni utente negli elenchi di controllo di accesso (ACL) discrezionali del file server senza utilizzare criteri di accesso centrale Utilizzo di richieste diritti da dispositivo e gruppi di sicurezza dispositivo Considerazioni relative all'utilizzo delle richieste diritti da dispositivo statiche Operazioni per abilitare le richieste diritti da dispositivo Strumenti per la distribuzione Data Classification Toolkit	Distribuire i criteri di accesso centrale (procedura dimostrativa) Distribuzione di attestazioni tra foreste (procedura dimostrativa)	Modellazione di criteri di accesso centrale
Scenario: Controllo di accesso ai file I controlli di sicurezza sono tra gli strumenti più potenti per garantire la sicurezza di un'organizzazione. Uno degli obiettivi principali dei controlli di sicurezza è la conformità ai requisiti. In base a standard di settore come Sarbanes Oxley, HIPAA (Health Insurance Portability and Accountability Act) e PCI (Payment Card Industry), le organizzazioni sono ad esempio tenute a seguire una serie di regole precise in materia di sicurezza dei dati e privacy. I controlli di sicurezza aiutano a stabilire la presenza o l'assenza di tali criteri e pertanto a dimostrare la conformità o meno a questi standard. I controlli di sicurezza contribuiscono inoltre a rilevare comportamenti anomali e a identificare e ridurre eventuali lacune nei criteri di sicurezza e svolgono un'azione deterrente nei confronti di comportamenti irresponsabili tramite la creazione di una registrazione delle attività dell'utente che può essere utilizzata in un'analisi forense.	Scenario: File Access Auditing	Pianificazione del controllo dell'accesso ai file	Distribuzione dei controlli di sicurezza con criteri di accesso centrale (procedura dimostrativa)	Monitorare i criteri di accesso centrale che si applicano in un File Server Monitorare i criteri di accesso centrale associati a file e cartelle Monitorare gli attributi delle risorse in file e cartelle Monitorare i tipi di attestazioni Monitorare le attestazioni utente e le richieste diritti da dispositivo durante l'accesso Monitorare i criteri di accesso centrale e le definizioni delle regole Monitorare le definizioni degli attributi delle risorse Monitorare l'utilizzo di dispositivi di archiviazione rimovibili.
Scenario: Assistenza per accesso negato Attualmente, quando gli utenti provano ad accedere a un file remoto nel file server, l'unica indicazione ottenuta riguarda l'accesso negato. Questa situazione genera richieste all'helpdesk o agli amministratori IT che devono capire quale sia il problema e spesso per gli amministratori è difficile comprendere dagli utenti quale sia il contesto appropriato e, di conseguenza, risolvere il problema. In Windows Server 2012 l'obiettivo è di aiutare gli Information Worker e i proprietari aziendali dei dati a risolvere il problema di accesso negato prima di coinvolgere il personale IT e, quando il personale IT viene coinvolto, fornire le informazioni appropriate per consentire una soluzione rapida. Una delle sfide da superare per raggiungere questo obiettivo è l'assenza di uno strumento centrale per la gestione del problema di accesso negato. Questa situazione viene gestita in modo diverso in ogni applicazione e pertanto in Windows Server 2012 uno degli obiettivi è quello di migliorare l'esperienza in caso di accesso negato in Esplora risorse.	Scenario: Assistenza per accesso negato	Pianificare l'assistenza per accesso negato 1.1 Determinare il modello di assistenza per accesso negato 1.2. Determinare chi gestirà le richieste di accesso 1.3. Personalizzare il messaggio di assistenza per accesso negato 1.4. Pianificare le eccezioni 1.5. Determinare le modalità di distribuzione dell'assistenza per accesso negato	Deploy Access-Denied Assistance (Demonstration Steps)
Scenario: crittografia basata sulla classificazione per i documenti di Office La protezione delle informazioni riservate consiste innanzitutto nel ridurre i rischi per l'organizzazione. Diverse normative di conformità, come HIPAA o PCI-DSS (Payment Card Industry Data Security Standard), richiedono la crittografia delle informazioni e vi sono inoltre numerosi motivi aziendali per crittografare le informazioni aziendali riservate. La crittografia delle informazioni è tuttavia costosa e potrebbe influire negativamente sulla produttività aziendale. Le organizzazioni tendono pertanto ad adottare priorità e approcci diversi per la crittografia delle informazioni. Per supportare questo scenario, Windows Server 2012 consente di crittografare automaticamente i file riservati di Office in Windows in base alla relativa classificazione. Questo risultato viene ottenuto tramite attività di gestione dei file da cui viene richiamata la protezione di AD RMS (Active Directory Rights Management Server) per i documenti riservati pochi secondi dopo che il file è stato identificato come riservato nel file server.	Scenario: Classification-Based Encryption for Office Documents	Considerazioni sulla pianificazione della crittografia dei documenti di Office	Distribuire la crittografia dei file di Office (procedura dimostrativa)
Scenario: comprendere i dati mediante la classificazione L'affidabilità delle risorse di archiviazione e dei dati continua ad acquisire sempre maggiore importanza per la maggior parte delle organizzazioni. Gli amministratori IT affrontano la sfida legata alla supervisione di infrastrutture di archiviazione sempre più grandi e complesse e, contemporaneamente, la responsabilità di garantire che il costo totale di proprietà rimanga entro limiti accettabili. La gestione delle risorse di archiviazione non riguarda più solo il volume o la disponibilità dei dati, ma implica anche l'applicazione dei criteri aziendali e la conoscenza delle modalità di utilizzo dello spazio di archiviazione, per consentire un utilizzo efficace e garantire la conformità, mitigando i rischi. L'Infrastruttura di classificazione file offre una comprensione dei dati automatizzando il processo di classificazione in modo da consentire una gestione più efficace dei dati stessi. Nell'Infrastruttura di classificazione file sono disponibili i metodi di classificazione manuale, automatico e a livello di programmazione. Questo scenario è incentrato sul metodo di classificazione dei file automatico.	Scenario: Get Insight into Your Data by Using Classification	Pianificare la classificazione automatica dei file	Distribuzione della classificazione file automatica (passaggi dimostrativi)
Scenario: Implement Retention of Information on File Servers Un periodo di memorizzazione è la quantità di tempo per cui un documento deve essere conservato prima di scadere. A seconda dell'organizzazione, il periodo di memorizzazione può variare. È possibile classificare i file in una cartella in base al periodo di memorizzazione breve, medio o a lungo termine e quindi assegnare l'intervallo di tempo per ogni periodo. È possibile conservare un file per un tempo indefinito tramite la funzionalità di conservazione per controversia legale. Nell'Infrastruttura di classificazione file e in Gestione risorse file server vengono usate le attività di gestione dei file e la classificazione dei file per applicare i periodi di conservazione per un set di file. È possibile assegnare un periodo di memorizzazione a una cartella e quindi utilizzare un'attività di gestione dei file per configurare la durata di un periodo di memorizzazione assegnato. Quando i file nella cartella stanno per scadere, il proprietario del file riceve una notifica tramite posta elettronica. È anche possibile classificare un file per la conservazione per controversia legale, in modo che non scada mai.	Scenario: Implement Retention of Information on File Servers	Pianificare la conservazione delle informazioni nei file server	Distribuire l'implementazione della conservazione delle informazioni nei file server (passaggi dimostrativi)

Nota

La funzionalità Controllo dinamico degli accessi non è supportata in ReFS (Resilient File System).

Vedere anche

Tipo di contenuto	Riferimenti
Valutazione del prodotto	Guida per revisori di Controllo dinamico degli accessi Indicazioni per sviluppatori di Controllo dinamico degli accessi
Pianificazione	Pianificare la distribuzione di criteri di accesso centrale Pianificazione del controllo dell'accesso ai file
Distribuzione	Distribuzione di Active Directory Distribuzione di Servizi file e archiviazione
Operazioni	Riferimenti a PowerShell per Controllo dinamico degli accessi
Strumenti e impostazioni	Data Classification Toolkit
Risorse della community	Forum di Servizi directory