Controllo dinamico degli accessi: Panoramica dello scenario

In Windows Server 2012 è possibile applicare la governance dei dati nei file server per controllare chi può accedere e chi ha avuto accesso alle informazioni. Controllo dinamico degli accessi consente di eseguire le operazioni seguenti:

• Identificare i dati utilizzando la classificazione automatica e manuale per i file. È ad esempio possibile contrassegnare i dati nei file server nell'organizzazione.

• Controllare l'accesso ai file applicando criteri di sicurezza di rete da cui vengono utilizzati criteri di accesso centrale. È ad esempio possibile definire gli utenti che possono accedere alle informazioni sull'integrità nell'organizzazione.

• Controllare l'accesso ai file utilizzando criteri di controllo centrale per la creazione di rapporti di conformità e le analisi forensi. È ad esempio possibile identificare gli utenti che hanno effettuato l'accesso a informazioni riservate.

• Applicare la protezione RMS (Rights Management Services) utilizzando la crittografia RMS automatica per i documenti di Microsoft Office riservati. È ad esempio possibile configurare RMS per crittografare tutti i documenti contenenti informazioni sulla legge HIPPA (Health Insurance Portability and Accountability Act).

Il set di funzionalità di Controllo dinamico degli accessi è basato sugli investimenti nell'infrastruttura che possono essere ulteriormente utilizzati da partner e applicazioni line-of-business. Le funzionalità possono offrire un grande valore per le organizzazioni che utilizzano Active Directory. L'infrastruttura include i componenti seguenti:

• Un nuovo motore di controllo e autorizzazione per Windows in grado di elaborare espressioni condizionali e criteri centrali.

• Supporto dell'autenticazione Kerberos per attestazioni utente e richieste diritti da dispositivo.

• Miglioramenti all'Infrastruttura di classificazione file.

• Supporto dell'estendibilità RMS per consentire ai partner di fornire soluzioni per la crittografia di file non Microsoft.

In questo scenario

Nel presente set di contenuti sono inclusi gli scenari e le informazioni aggiuntive seguenti:

Roadmap dei contenuti di Controllo dinamico degli accessi

Scenario	Evaluate	Plan	Deploy	Operate
Scenario: Criteri di accesso centrale La creazione di criteri di accesso centrale per i file consente alle organizzazioni di distribuire e gestire da una posizione centrale criteri di autorizzazione che includono espressioni condizionali utilizzando attestazioni utente, richieste diritti da dispositivo e proprietà delle risorse. Questi criteri sono basati su requisiti normativi aziendali e di conformità. I criteri vengono creati e ospitati in Active Directory, pertanto sono più semplici da gestire e distribuire. Distribuzione di attestazioni tra foreste In Windows Server 2012, AD DS mantiene un "dizionario delle attestazioni" in ogni foresta e tutti i tipi di attestazione usati nella foresta sono definiti a livello di foresta di Active Directory. Vi sono numerosi scenari in cui per un'entità può essere necessario attraversare un limite di trust. In questo scenario viene descritto in che modo un'attestazione attraversa un limite di trust.	Controllo dinamico degli accessi: Panoramica dello scenario Distribuire dichiarazioni tra foreste	Piano: distribuzione dei criteri di accesso centrale - Processo per eseguire il mapping di una richiesta aziendale a un criterio di accesso centrale - Delega dell'amministrazione per il controllo dinamico degli accessi - Meccanismi di eccezione per la pianificazione dei criteri di accesso centrale Procedure consigliate per l'utilizzo delle attestazioni - Scelta della configurazione corretta per abilitare le attestazioni nel dominio utente - Operazioni per attivare i reclami utente - Considerazioni sull'uso delle attestazioni utente negli ACL discrezionali del file server senza usare i criteri di accesso centrale Uso delle dichiarazioni dei dispositivi e dei gruppi di sicurezza dei dispositivi - Considerazioni sull'uso di attestazioni dei dispositivi statici - Operazioni per abilitare le attestazioni dei dispositivi Strumenti per la distribuzione -	Distribuire criteri di accesso centrale (passaggi dimostrativi) Distribuire attestazioni tra foreste (passaggi dimostrativi)	- Modellazione di criteri di accesso centrale
Scenario: Controllo dell'accesso ai file I controlli di sicurezza sono tra gli strumenti più potenti per garantire la sicurezza di un'organizzazione. Uno degli obiettivi principali dei controlli di sicurezza è la conformità ai requisiti. In base a standard di settore come Sarbanes Oxley, HIPAA (Health Insurance Portability and Accountability Act) e PCI (Payment Card Industry), le organizzazioni sono ad esempio tenute a seguire una serie di regole precise in materia di sicurezza dei dati e privacy. I controlli di sicurezza aiutano a stabilire la presenza o l'assenza di tali criteri e pertanto a dimostrare la conformità o meno a questi standard. I controlli di sicurezza contribuiscono inoltre a rilevare comportamenti anomali e a identificare e ridurre eventuali lacune nei criteri di sicurezza e svolgono un'azione deterrente nei confronti di comportamenti irresponsabili tramite la creazione di una registrazione delle attività dell'utente che può essere utilizzata in un'analisi forense.	Scenario: Controllo dell'accesso ai file	Pianificare il controllo dell'accesso ai file	Distribuire il controllo della sicurezza con i criteri di controllo centrale (passaggi dimostrativi)	- Monitorare i criteri di accesso centrale che si applicano a un file server - Monitorare i criteri di accesso centrale associati a file e cartelle - Monitorare gli attributi delle risorse in file e cartelle - Monitorare i tipi di richieste - Monitorare le dichiarazioni utente e dispositivo durante il processo di accesso - Monitorare i criteri di accesso centrale e le definizioni delle regole - Monitorare le definizioni degli attributi delle risorse - Monitorare l'uso di dispositivi di archiviazione rimovibili.
Scenario: Access-Denied Assistenza Attualmente, quando gli utenti provano ad accedere a un file remoto nel file server, l'unica indicazione ottenuta riguarda l'accesso negato. Questa situazione genera richieste all'helpdesk o agli amministratori IT che devono capire quale sia il problema e spesso per gli amministratori è difficile comprendere dagli utenti quale sia il contesto appropriato e, di conseguenza, risolvere il problema. In Windows Server 2012 l'obiettivo è aiutare gli Information Worker e i proprietari aziendali dei dati a risolvere il problema di accesso negato prima di coinvolgere il personale IT e, quando il personale IT viene coinvolto, fornire le informazioni appropriate per consentire una soluzione rapida. Una delle sfide da superare per raggiungere questo obiettivo è l'assenza di uno strumento centrale per la gestione del problema di accesso negato, che viene affrontata in modo diverso per ogni applicazione. Pertanto, uno degli obiettivi di Windows Server 2012 è migliorare l'esperienza in caso di accesso negato in Esplora risorse.	Scenario: Access-Denied Assistenza	Pianificare l'assistenza Access-Denied - Determinare il modello di assistenza per l'accesso negato - Determinare chi deve gestire le richieste di accesso - Personalizzare il messaggio di assistenza di accesso negato - Pianificare le eccezioni - Determinare come viene fornita l'assistenza per accesso negato	Distribuire assistenza Access-Denied (passaggi dimostrativi)
Scenario: crittografia Classification-Based per i documenti di Office La protezione delle informazioni riservate consiste prima di tutto nel ridurre i rischi per l'organizzazione. Diverse normative di conformità, come HIPAA o PCI-DSS (Payment Card Industry Data Security Standard), richiedono la crittografia delle informazioni e vi sono inoltre numerosi motivi aziendali per crittografare le informazioni aziendali riservate. La crittografia delle informazioni è tuttavia costosa e potrebbe influire negativamente sulla produttività aziendale. Le organizzazioni tendono pertanto ad adottare priorità e approcci diversi per la crittografia delle informazioni. Per supportare questo scenario, Windows Server 2012 offre la possibilità di crittografare automaticamente i file riservati di Office in base alla relativa classificazione. Questo risultato viene ottenuto tramite attività di gestione dei file da cui viene richiamata la protezione di AD RMS (Active Directory Rights Management Server) per i documenti riservati pochi secondi dopo che il file è stato identificato come riservato nel file server.	Scenario: crittografia Classification-Based per i documenti di Office	Pianificare la distribuzione per la crittografia basata sulla classificazione dei documenti	Distribuire la crittografia dei file di Office (passaggi dimostrativi)
Scenario: ottenere informazioni dettagliate sui dati usando la classificazione L'affidabilità delle risorse di archiviazione e dei dati continua ad acquisire sempre maggiore importanza per la maggior parte delle organizzazioni. Gli amministratori IT affrontano la sfida legata alla supervisione di infrastrutture di archiviazione sempre più grandi e complesse e, contemporaneamente, la responsabilità di garantire che il costo totale di proprietà rimanga entro limiti accettabili. La gestione delle risorse di archiviazione non riguarda più solo il volume o la disponibilità dei dati, ma implica anche l'applicazione dei criteri aziendali e la conoscenza delle modalità di utilizzo dello spazio di archiviazione, per consentire un utilizzo efficace e garantire la conformità, mitigando i rischi. L'Infrastruttura di classificazione file offre una comprensione dei dati automatizzando il processo di classificazione in modo da consentire una gestione più efficace dei dati stessi. Nell'Infrastruttura di classificazione file sono disponibili i metodi di classificazione manuale, automatico e a livello di programmazione. Questo scenario è incentrato sul metodo di classificazione dei file automatico.	Scenario: ottenere informazioni dettagliate sui dati usando la classificazione	Pianificare la classificazione automatica dei file	Distribuire la classificazione automatica dei file (passaggi dimostrativi)
Scenario: Implementare la conservazione delle informazioni nei file server Un periodo di memorizzazione è la quantità di tempo per cui un documento deve essere conservato prima di scadere. A seconda dell'organizzazione, il periodo di memorizzazione può variare. È possibile classificare i file in una cartella in base al periodo di memorizzazione breve, medio o a lungo termine e quindi assegnare l'intervallo di tempo per ogni periodo. È possibile conservare un file per un tempo indefinito tramite la funzionalità di conservazione per controversia legale. Nell'Infrastruttura di classificazione file e in Gestione risorse file server vengono usate le attività di gestione dei file e la classificazione dei file per applicare i periodi di conservazione per un set di file. È possibile assegnare un periodo di memorizzazione a una cartella e quindi utilizzare un'attività di gestione dei file per configurare la durata di un periodo di memorizzazione assegnato. Quando i file nella cartella stanno per scadere, il proprietario del file riceve una notifica tramite posta elettronica. È anche possibile classificare un file per la conservazione per controversia legale, in modo che non scada mai.	Scenario: Implementare la conservazione delle informazioni nei file server	Pianificare la conservazione delle informazioni nei file server	Distribuire l'implementazione della conservazione delle informazioni nei file server (passaggi dimostrativi)

Note

La funzionalità Controllo dinamico degli accessi non è supportata in ReFS (Resilient File System).

Vedere anche

Tipo di contenuto	References
Valutazione del prodotto	- Guida ai revisori del controllo di accesso dinamico - Linee guida per sviluppatori per il controllo dinamico degli accessi
Planning	- Pianificazione di una distribuzione dei criteri di accesso centrale - Pianificare il controllo dell'accesso ai file
Deployment	- Distribuzione di Active Directory - Distribuzione di Servizi File e Archiviazione
Operations	Informazioni di riferimento su PowerShell per il controllo dinamico degli accessi

| Risorse| della communityForum di Servizi directory|