Поделиться через


Динамический контроль доступа. Обзор сценария

Область применения: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

В Windows Server 2012 вы можете применить управление данными на файловом сервере, чтобы контролировать, кто может получать доступ к информации и проверять, кто имеет доступ к данным. Динамический контроль доступа позволяет следующее.

  • Идентифицировать данные с помощью автоматизированной и ручной классификации файлов. Например, можно снабдить тегами данные на файловых серверах по всей организации.

  • Управлять доступом к файлам, применяя политики "сетки безопасности" с использованием централизованных политик доступа. Например, можно определить, кто в организации получит доступ к информации о здоровье.

  • Проводить аудит доступа к файлам, используя централизованные политики аудита для создания отчетов о соответствии и криминалистического анализа. Например, можно определить, кто обращался к самой конфиденциальной информации.

  • Применять защиту служб управления правами (RMS), используя автоматическое шифрование RMS для конфиденциальных документов Microsoft Office. Например, можно настроить службы RMS на шифрование всех документов, содержащих информацию по акту США о передаче и защите данных учреждений здравоохранения HIPAA (HIPAA).

Набор компонентов динамического контроля доступа основан на инвестициях в инфраструктуру, которую в дальнейшем могут использовать партнеры и приложения для ведения бизнеса, а компоненты могут обеспечить значительные преимущества организациям, использующим Active Directory. Эта инфраструктура включает в себя следующее.

  • Новый механизм авторизации и аудита для Windows, способный обрабатывать условные выражения и централизованные политики.

  • Поддержка проверки подлинности Kerberos для заявок на доступ пользователей и устройств.

  • Улучшения инфраструктуры классификации файлов (FCI).

  • Поддержка расширяемости RMS для того, чтобы партнеры могли предоставлять решения, шифрующие файлы форматов, отличных от Майкрософт.

Содержание сценария

В этот набор содержимого включены следующие сценарии и руководство.

План содержимого по динамическому контролю доступа

Сценарий Вычислить Планирование Развернуть Работа
Сценарий: центральная политика доступа

Создание централизованных политик доступа для файлов позволяет организациям централизованно развертывать политики авторизации, содержащие условные выражения с использованием заявок на доступ пользователей и устройств и свойств ресурсов, а также управлять этими политиками. Эти политики основаны на соответствии регулятивным требованиям бизнеса. Эти политики создаются и размещаются в Active Directory, что облегчает управление ими и их развертывание.

Развертывание утверждений в лесах

В Windows Server 2012 AD DS поддерживает словарь утверждений в каждом лесу и все типы утверждений, используемых в лесу, определяются на уровне леса Active Directory. Существует множество сценариев, где субъекту может понадобиться обход границы доверия. В этом сценарии описывается, как заявка на доступ обходит границу доверия.

Динамические контроль доступа: обзор сценария

Развертывание утверждений в лесах

План. Развертывание центральной политики доступа

- Процесс сопоставления бизнес-запроса с централизованной политикой доступа
- Делегирование администрирования для dynamic контроль доступа
- Механизмы исключений для планирования центральных политик доступа

Лучшие методики использования заявок на доступ пользователей

- Выбор правильной конфигурации для включения утверждений в домене пользователя
- Операции для включения утверждений пользователей
- Рекомендации по использованию утверждений пользователей в дискреционных списках управления доступом на файловом сервере без использования центральных политик доступа

Использование групп безопасности устройств и утверждений устройств

- Рекомендации по использованию утверждений статических устройств
- Операции для включения утверждений устройства

Средства для развертывания

-

Развертывание централизованной политики доступа (обучающий пример)

Развертывание утверждений в лесах (демонстрационные шаги)

— моделирование централизованной политики доступа
Сценарий: аудит доступа к файлам

Аудит безопасности является одним из самых мощных инструментов, помогающих поддерживать безопасность на предприятии. Одна из основных целей аудита безопасности — обеспечение соответствия нормативным требованиям. Например, согласно отраслевым стандартам, таким как закон Сарбейнса — Оксли, а также акт HIPAA и PCI, предприятия должны следовать строгому набору правил в области безопасности и конфиденциальности данных. Аудит безопасности помогает установить наличие или отсутствие этих политик, подтверждая таким образом соответствие или несоответствие стандартам. Кроме того, аудиты безопасности помогают обнаруживать аномальное поведение, выявлять и устранять уязвимости в политике безопасности, а также предотвращать безответственное поведение путем ведения протокола действий пользователей, который может быть использован при криминалистическом анализе.

Сценарий: аудит доступа к файлам Планирование для аудита доступа к файлам Развертывание аудита безопасности с помощью централизованных политик аудита (обучающий пример) - Мониторинг центральных политик доступа, применяемых на файловом сервере
- Мониторинг центральных политик доступа, связанных с файлами и папками
- Мониторинг атрибутов ресурсов в файлах и папках
- Мониторинг типов утверждений
- Мониторинг утверждений пользователей и устройств во время входа
- Мониторинг определений центральной политики доступа и правил
- Мониторинг определений атрибутов ресурсов
- Monitor the Use of Removable Storage Devices.
Сценарий: помощь с отказом в доступе

Сегодня при попытке получить доступ к удаленному файлу на файловом сервере пользователи получат единственный ответ, что в доступе отказано. Это является источником запросов в службы поддержки или к ИТ-администраторам, которым требуется определить суть проблемы, и зачастую администраторам нелегко узнать у пользователя соответствующий контекст, что затрудняет ее решение.
В Windows Server 2012 цель состоит в том, чтобы попытаться и помочь информационным рабочим и бизнес-владельцам данных справиться с проблемой отказа в доступе, прежде чем ИТ-сотрудник получает участие, и когда ИТ-сотрудник получает участие, предоставить все правильные сведения для быстрого разрешения. Одна из проблем в достижении этой цели заключается в том, что нет центрального способа справиться с отказом в доступе, и каждое приложение имеет дело с ним по-разному, и таким образом в Windows Server 2012, одна из целей заключается в улучшении возможностей, отказано в доступе для Windows Обозреватель.

Сценарий: помощь с отказом в доступе Планирование помощи с отказом в доступе

- Определение модели помощи с отказом в доступе
- Определение того, кто должен обрабатывать запросы на доступ
- Настройка сообщения о помощи с отказом в доступе
- Планирование исключений
- Определение того, как развертывается помощь с отказом в доступе

Развертывание помощи при отказе в доступе (обучающий пример)
Сценарий. Шифрование на основе классификации для документов Office

Защита конфиденциальной информации в основном заключается в смягчении риска для организации. Различные правила соответствия, например HIPAA или стандарт Payment Card Industry Data Security Standard (PCI-DSS), требуют шифровать информацию, и в бизнесе существует множество причин для шифрования конфиденциальных деловых данных. Однако шифрование информации стоит дорого и может снизить производительность бизнеса. Поэтому организации склонны применять разные подходы и приоритеты в отношении шифрования своей информации.
Для поддержки этого сценария Windows Server 2012 предоставляет возможность автоматического шифрования конфиденциальных файлов Windows Office на основе их классификации. Это осуществляется посредством задач управления файлами, задействующих защиту сервера управления правами Active Directory (AD RMS) для конфиденциальных документов через несколько секунд после определения файла как конфиденциального на файловом сервере.

Сценарий. Шифрование на основе классификации для документов Office Планирование развертывания шифрования документов на основе классификации Развертывание шифрования файлов Office (обучающий пример)
Сценарий. Получение сведений о данных с помощью классификации

Значение данных и ресурсов их хранения продолжает увеличиваться для большинства организаций. ИТ-администраторы сталкиваются с растущей проблемой надзора за все более крупными и сложными инфраструктурами хранения данных, получая в то же время задачу с ответственностью за поддержку общей стоимости владения на разумном уровне. Управление ресурсами хранения данных больше касается не только объема или доступности данных, но и предусматривает применение политик компании и знание того, как потребляются ресурсы хранения для обеспечения их эффективного использования и соответствия требованиям с целью смягчения риска. Инфраструктура классификации файлов помогает получить представление об имеющихся данных, автоматизируя процессы классификации и тем самым повышая эффективность управления данными. В инфраструктуре классификации файлов доступны следующие методы классификации: ручной, программный и автоматический. Данный сценарий фокусируется на автоматическом методе классификации файлов.

Сценарий. Получение сведений о данных с помощью классификации Планирование автоматической классификации файлов Развертывание автоматической классификации файлов (обучающий пример)
Сценарий. Реализация хранения информации на файловых серверах

Период хранения — это время, в течение которого следует хранить документ, прежде чем он будет просрочен. В зависимости от организации период хранения может быть разным. Файлы в папке можно классифицировать как подлежащие кратко-, средне- и долгосрочному хранению, а затем назначить для каждого периода свои временные рамки. Возможно, какой-либо файл вам понадобится хранить неограниченно долго, поместив его на удержание по юридическим причинам.
Инфраструктура классификации файлов и диспетчер ресурсов файлового сервера используют задачи управления файлами и классификацию файлов для применения периодов хранения к набору файлов. Вы можете назначить период хранения для папки, а затем с помощью задачи управления файлами настроить, сколько должен длиться назначенный период. Когда срок хранения файлов в папке подходит к концу, их владелец получает уведомление по электронной почте. Также файл можно классифицировать как находящийся на удержании по юридическим причинам, благодаря чему задача управления файлами не завершит срок хранения этого файла.

Сценарий. Реализация хранения информации на файловых серверах Планирование хранения информации на файловых серверах Развертывание реализации хранения информации на файловых серверах (демонстрационные шаги)

Примечание.

Динамический контроль доступа не поддерживается в файловой системе ReFS (Resilient File System).

См. также

Content type Ссылки
Оценка продукта - Руководство по рецензентам динамических контроль доступа
- Руководство разработчика по динамическому контроль доступа
Планирование - Планирование развертывания центральной политики доступа
- Планирование для аудита доступа к файлам
Развертывание - Развертывание Active Directory
- Развертывание служб файлов и служба хранилища
Операции Справочник по Динамической контроль доступа PowerShell

|Форум служб каталогов ресурсов|сообщества|