Delen via

Dynamisch toegangsbeheer: scenariooverzicht

In Windows Server 2012 kunt u gegevensbeheer toepassen op uw bestandsservers om te bepalen wie toegang heeft tot informatie en om te controleren wie er toegang heeft tot gegevens. Met dynamisch toegangsbeheer kunt u:

  • Identificeer gegevens met behulp van automatische en handmatige classificatie van bestanden. U kunt bijvoorbeeld gegevens taggen op bestandsservers in de hele organisatie.

  • Beheer de toegang tot bestanden door safety-net-beleidsregels toe te passen die gebruikmaken van centraal toegangsbeleid. U kunt bijvoorbeeld definiëren wie toegang heeft tot statusgegevens binnen de organisatie.

  • Toegang tot bestanden controleren met behulp van centraal controlebeleid voor nalevingsrapportage en forensische analyse. U kunt bijvoorbeeld bepalen wie toegang heeft tot zeer gevoelige informatie.

  • Rights Management Services-beveiliging (RMS) toepassen met behulp van automatische RMS-versleuteling voor gevoelige Microsoft Office-documenten. U kunt RMS bijvoorbeeld configureren voor het versleutelen van alle documenten die HIPAA-gegevens (Health Insurance Portability and Accountability Act) bevatten.

De functieset Dynamisch toegangsbeheer is gebaseerd op infrastructuurinvesteringen die verder kunnen worden gebruikt door partners en line-of-business-toepassingen en de functies kunnen organisaties die Gebruikmaken van Active Directory zeer veel waarde bieden. Deze infrastructuur omvat:

  • Een nieuwe autorisatie- en controle-engine voor Windows die voorwaardelijke expressies en centraal beleid kan verwerken.

  • Kerberos-verificatieondersteuning voor gebruikersclaims en apparaatclaims.

  • Verbeteringen in de infrastructuur voor bestandsclassificatie (FCI).

  • Ondersteuning voor RMS-uitbreidbaarheid zodat partners oplossingen kunnen bieden die niet-Microsoft-bestanden versleutelen.

In dit scenario

De volgende scenario's en richtlijnen zijn opgenomen als onderdeel van deze inhoudsset:

Roadmap voor inhoud voor dynamisch toegangsbeheer

Scenariobeschrijving Evalueren Plannen Implementeren Opereren
Scenario: Centraal toegangsbeleid

Door centraal toegangsbeleid voor bestanden te maken, kunnen organisaties autorisatiebeleid centraal implementeren en beheren met voorwaardelijke expressies met behulp van gebruikersclaims, apparaatclaims en resource-eigenschappen. Deze beleidsregels zijn gebaseerd op nalevings- en bedrijfsvoorschriften. Deze beleidsregels worden gemaakt en gehost in Active Directory, waardoor het eenvoudiger te beheren en te implementeren is.

Claims implementeren in forests

In Windows Server 2012 onderhoudt de AD DS een 'claimswoordenlijst' in elk forest en worden alle claimtypen die in het forest worden gebruikt, gedefinieerd op het niveau van het Active Directory-forest. Er zijn veel scenario's waarin een principal mogelijk een vertrouwensgrens moet doorlopen. In dit scenario wordt beschreven hoe een claim een vertrouwensgrens doorkruist.

 Dynamisch toegangsbeheer: scenariooverzicht

Claims implementeren in forests

 Plan: Een implementatie van centraal toegangsbeleid

- Proces voor het toewijzen van een zakelijke aanvraag aan een centraal toegangsbeleid
- Beheer delegeren voor dynamisch toegangsbeheer
- Uitzonderingsmechanismen voor het plannen van centraal toegangsbeleid

Aanbevolen procedures voor het gebruik van gebruikersclaims

- De juiste configuratie kiezen om claims in te schakelen in uw gebruikersdomein
- Bewerkingen voor het inschakelen van gebruikersclaims
- Overwegingen voor het gebruik van gebruikersclaims in de discretionaire ACL's van de bestandsserver zonder centraal toegangsbeleid

Apparaatclaims en apparaatbeveiligingsgroepen gebruiken

- Overwegingen voor het gebruik van statische apparaatclaims
- Handelingen om apparaatclaims mogelijk te maken

Hulpprogramma's voor implementatie

-

Een centraal toegangsbeleid implementeren (demonstratiestappen)

Claims implementeren in forests (demonstratiestappen)

 - Modelleren van een centraal toegangsbeleid
Scenario: Controle van bestandstoegang

Beveiligingscontrole is een van de krachtigste hulpprogramma's waarmee u de beveiliging van een onderneming kunt behouden. Een van de belangrijkste doelstellingen van beveiligingscontroles is naleving van regelgeving. Voor industriestandaarden zoals Sarbanes Oxley, HIPAA en Payment Card Industry (PCI) moeten ondernemingen bijvoorbeeld een strikte set regels met betrekking tot gegevensbeveiliging en privacy volgen. Beveiligingscontroles helpen bij het vaststellen van de aanwezigheid of afwezigheid van dergelijke beleidsregels; daarmee bewijzen zij naleving of niet-naleving van deze standaarden. Daarnaast helpen beveiligingscontroles bij het detecteren van afwijkend gedrag, het identificeren en beperken van hiaten in het beveiligingsbeleid en het ontmoedigen van onverantwoordelijk gedrag door een record te maken van gebruikersactiviteit die kan worden gebruikt voor forensische analyse.

 Scenario: Controle van bestandstoegang Controle van bestandstoegang plannen Beveiligingscontrole implementeren met centraal controlebeleid (demonstratiestappen) - Het centrale toegangsbeleid bewaken dat van toepassing is op een bestandsserver
- Het centrale toegangsbeleid bewaken dat is gekoppeld aan bestanden en mappen
- De resourcekenmerken in bestanden en mappen bewaken
- Claimtypen bewaken
- Gebruikers- en apparaatclaims bewaken tijdens aanmelding
- Centraal toegangsbeleid en -regeldefinities bewaken
- Definities van resourcekenmerken monitoren
- Bewaak het gebruik van verwisselbare opslagapparaten.
Scenario: Access-Denied Hulp

Wanneer gebruikers vandaag toegang proberen te krijgen tot een extern bestand op de bestandsserver, is de enige indicatie dat ze zouden krijgen dat de toegang wordt geweigerd. Hiermee worden aanvragen gegenereerd voor helpdesk- of IT-beheerders die moeten achterhalen wat het probleem is en vaak hebben de beheerders een moeilijke tijd om de juiste context van gebruikers te krijgen, waardoor het moeilijker wordt om het probleem op te lossen.
In Windows Server 2012 is het doel om de informatiemedewerker en de bedrijfseigenaar van de gegevens te helpen om het probleem met geweigerde toegang af te handelen voordat IT betrokken wordt en wanneer IT betrokken wordt, alle juiste informatie te verstrekken voor een snelle oplossing. Een van de uitdagingen bij het bereiken van dit doel is dat er geen centrale manier is om met geweigerde toegang om te gaan, en dat elke toepassing daar anders mee omgaat. Daarom is een van de doelstellingen in Windows Server 2012 het verbeteren van de omgang met toegangsweigeringen in Windows Verkenner.

 Scenario: Access-Denied Hulp Plannen voor Access-Denied hulp

- Het ondersteuningsmodel voor geweigerde toegang bepalen
- Bepalen wie toegangsaanvragen moet verwerken
- Het ondersteuningsbericht voor geweigerde toegang aanpassen
- Uitzonderingen plannen
- Bepalen hoe ondersteuning bij geweigerde toegang wordt ingezet

 Hulp bij Access-Denied implementeren (demonstratiestappen)
Scenario: Classification-Based versleuteling voor Office-documenten

Bescherming van gevoelige informatie gaat voornamelijk over het beperken van risico's voor de organisatie. Verschillende nalevingsregels, zoals HIPAA of Payment Card Industry Data Security Standard (PCI-DSS), dicteren versleuteling van informatie en er zijn talloze zakelijke redenen om gevoelige bedrijfsgegevens te versleutelen. Het versleutelen van gegevens is echter duur en kan de bedrijfsproductiviteit nadelig beïnvloeden. Organisaties hebben dus vaak verschillende benaderingen en prioriteiten voor het versleutelen van hun gegevens.
Ter ondersteuning van dit scenario biedt Windows Server 2012 de mogelijkheid om automatisch gevoelige Windows Office-bestanden te versleutelen op basis van hun classificatie. Dit wordt gedaan via bestandsbeheertaken die Ad RMS-beveiliging (Active Directory Rights Management Server) aanroepen voor gevoelige documenten een paar seconden nadat het bestand is geïdentificeerd als een gevoelig bestand op de bestandsserver.

 Scenario: Classification-Based versleuteling voor Office-documenten Plannen om te implementeren voor op classificatie gebaseerde versleuteling van documenten Versleuteling van Office-bestanden implementeren (demonstratiestappen)
Scenario: Inzicht krijgen in uw gegevens met behulp van classificatie

De afhankelijkheid van gegevens- en opslagresources is steeds belangrijker geworden voor de meeste organisaties. IT-beheerders hebben te maken met de groeiende uitdaging van het toezicht op grotere en complexere opslaginfrastructuren, terwijl tegelijkertijd de verantwoordelijkheid wordt genomen om ervoor te zorgen dat de totale eigendomskosten op redelijke niveaus worden gehandhaafd. Het beheren van opslagresources gaat niet alleen over het volume of de beschikbaarheid van gegevens, maar ook over het afdwingen van bedrijfsbeleid en het weten hoe opslag wordt verbruikt om efficiënt gebruik en naleving mogelijk te maken om risico's te beperken. Infrastructuur voor bestandsclassificatie biedt inzicht in uw gegevens door classificatieprocessen te automatiseren, zodat u uw gegevens effectiever kunt beheren. De volgende classificatiemethoden zijn beschikbaar met infrastructuur voor bestandsclassificatie: handmatig, programmatisch en automatisch. Dit scenario is gericht op de methode voor automatische bestandsclassificatie.

 Scenario: Inzicht krijgen in uw gegevens met behulp van classificatie Automatische bestandsclassificatie plannen Automatische bestandsclassificatie implementeren (demonstratiestappen)
Scenario: Bewaren van informatie op bestandsservers implementeren

Een bewaarperiode is de hoeveelheid tijd die een document moet worden bewaard voordat het verloopt. Afhankelijk van de organisatie kan de bewaarperiode verschillen. U kunt bestanden in een map classificeren als een korte, middellange of langetermijnretentieperiode en vervolgens de periode voor elke periode toewijzen. U kunt een bestand voor onbepaalde tijd bewaren door het in juridische bewaring te plaatsen.
Infrastructuur voor bestandsclassificatie en Bestandsserverbronbeheer maakt gebruik van bestandsbeheertaken en bestandsclassificatie om bewaarperioden toe te passen voor een set bestanden. U kunt een bewaarperiode toewijzen aan een map en vervolgens een bestandsbeheertaak gebruiken om te configureren hoe lang een toegewezen bewaarperiode moet duren. Wanneer de bestanden in de map bijna verlopen, ontvangt de eigenaar van het bestand een e-mailmelding. U kunt een bestand ook classificeren als onder juridische bewaring, zodat de bestandsbeheertaak het bestand niet verwijdert.

 Scenario: Bewaren van informatie op bestandsservers implementeren Retentie van gegevens op bestandsservers plannen Implementatie van retentie van informatie op bestandsservers implementeren (demonstratiestappen)

Opmerking

Dynamisch toegangsbeheer wordt niet ondersteund op ReFS (Resilient File System).

Zie ook

Inhoudstype Referenties
Productevaluatie - Handleiding voor revisoren voor dynamisch toegangsbeheer
- Richtlijnen voor ontwikkelaars voor dynamisch toegangsbeheer
Planning - Een implementatie van centraal toegangsbeleid plannen
- Controle van bestandstoegang plannen
Implementatie - Active Directory-implementatie
- Implementatie van bestands- en opslagservices
Bedrijfsvoering PowerShell-verwijzing voor dynamisch toegangsbeheer

| Communitybronnen|Directory Services Forum|