Динамический контроль доступа. Обзор сценария
Область применения: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012
В Windows Server 2012 вы можете применить управление данными на файловом сервере, чтобы контролировать, кто может получать доступ к информации и проверять, кто имеет доступ к данным. Динамический контроль доступа позволяет следующее.
Идентифицировать данные с помощью автоматизированной и ручной классификации файлов. Например, можно снабдить тегами данные на файловых серверах по всей организации.
Управлять доступом к файлам, применяя политики "сетки безопасности" с использованием централизованных политик доступа. Например, можно определить, кто в организации получит доступ к информации о здоровье.
Проводить аудит доступа к файлам, используя централизованные политики аудита для создания отчетов о соответствии и криминалистического анализа. Например, можно определить, кто обращался к самой конфиденциальной информации.
Применять защиту служб управления правами (RMS), используя автоматическое шифрование RMS для конфиденциальных документов Microsoft Office. Например, можно настроить службы RMS на шифрование всех документов, содержащих информацию по акту США о передаче и защите данных учреждений здравоохранения HIPAA (HIPAA).
Набор компонентов динамического контроля доступа основан на инвестициях в инфраструктуру, которую в дальнейшем могут использовать партнеры и приложения для ведения бизнеса, а компоненты могут обеспечить значительные преимущества организациям, использующим Active Directory. Эта инфраструктура включает в себя следующее.
Новый механизм авторизации и аудита для Windows, способный обрабатывать условные выражения и централизованные политики.
Поддержка проверки подлинности Kerberos для заявок на доступ пользователей и устройств.
Улучшения инфраструктуры классификации файлов (FCI).
Поддержка расширяемости RMS для того, чтобы партнеры могли предоставлять решения, шифрующие файлы форматов, отличных от Майкрософт.
Содержание сценария
В этот набор содержимого включены следующие сценарии и руководство.
План содержимого по динамическому контролю доступа
Сценарий | Вычислить | Планирование | Развернуть | Работа |
---|---|---|---|---|
Сценарий: центральная политика доступа Создание централизованных политик доступа для файлов позволяет организациям централизованно развертывать политики авторизации, содержащие условные выражения с использованием заявок на доступ пользователей и устройств и свойств ресурсов, а также управлять этими политиками. Эти политики основаны на соответствии регулятивным требованиям бизнеса. Эти политики создаются и размещаются в Active Directory, что облегчает управление ими и их развертывание. Развертывание утверждений в лесах В Windows Server 2012 AD DS поддерживает словарь утверждений в каждом лесу и все типы утверждений, используемых в лесу, определяются на уровне леса Active Directory. Существует множество сценариев, где субъекту может понадобиться обход границы доверия. В этом сценарии описывается, как заявка на доступ обходит границу доверия. |
Динамические контроль доступа: обзор сценария | План. Развертывание центральной политики доступа - Процесс сопоставления бизнес-запроса с централизованной политикой доступа Лучшие методики использования заявок на доступ пользователей - Выбор правильной конфигурации для включения утверждений в домене пользователя Использование групп безопасности устройств и утверждений устройств - Рекомендации по использованию утверждений статических устройств Средства для развертывания - |
Развертывание централизованной политики доступа (обучающий пример) | — моделирование централизованной политики доступа |
Сценарий: аудит доступа к файлам Аудит безопасности является одним из самых мощных инструментов, помогающих поддерживать безопасность на предприятии. Одна из основных целей аудита безопасности — обеспечение соответствия нормативным требованиям. Например, согласно отраслевым стандартам, таким как закон Сарбейнса — Оксли, а также акт HIPAA и PCI, предприятия должны следовать строгому набору правил в области безопасности и конфиденциальности данных. Аудит безопасности помогает установить наличие или отсутствие этих политик, подтверждая таким образом соответствие или несоответствие стандартам. Кроме того, аудиты безопасности помогают обнаруживать аномальное поведение, выявлять и устранять уязвимости в политике безопасности, а также предотвращать безответственное поведение путем ведения протокола действий пользователей, который может быть использован при криминалистическом анализе. |
Сценарий: аудит доступа к файлам | Планирование для аудита доступа к файлам | Развертывание аудита безопасности с помощью централизованных политик аудита (обучающий пример) | - Мониторинг центральных политик доступа, применяемых на файловом сервере - Мониторинг центральных политик доступа, связанных с файлами и папками - Мониторинг атрибутов ресурсов в файлах и папках - Мониторинг типов утверждений - Мониторинг утверждений пользователей и устройств во время входа - Мониторинг определений центральной политики доступа и правил - Мониторинг определений атрибутов ресурсов - Monitor the Use of Removable Storage Devices. |
Сценарий: помощь с отказом в доступе Сегодня при попытке получить доступ к удаленному файлу на файловом сервере пользователи получат единственный ответ, что в доступе отказано. Это является источником запросов в службы поддержки или к ИТ-администраторам, которым требуется определить суть проблемы, и зачастую администраторам нелегко узнать у пользователя соответствующий контекст, что затрудняет ее решение. |
Сценарий: помощь с отказом в доступе | Планирование помощи с отказом в доступе - Определение модели помощи с отказом в доступе |
Развертывание помощи при отказе в доступе (обучающий пример) | |
Сценарий. Шифрование на основе классификации для документов Office Защита конфиденциальной информации в основном заключается в смягчении риска для организации. Различные правила соответствия, например HIPAA или стандарт Payment Card Industry Data Security Standard (PCI-DSS), требуют шифровать информацию, и в бизнесе существует множество причин для шифрования конфиденциальных деловых данных. Однако шифрование информации стоит дорого и может снизить производительность бизнеса. Поэтому организации склонны применять разные подходы и приоритеты в отношении шифрования своей информации. |
Сценарий. Шифрование на основе классификации для документов Office | Планирование развертывания шифрования документов на основе классификации | Развертывание шифрования файлов Office (обучающий пример) | |
Сценарий. Получение сведений о данных с помощью классификации Значение данных и ресурсов их хранения продолжает увеличиваться для большинства организаций. ИТ-администраторы сталкиваются с растущей проблемой надзора за все более крупными и сложными инфраструктурами хранения данных, получая в то же время задачу с ответственностью за поддержку общей стоимости владения на разумном уровне. Управление ресурсами хранения данных больше касается не только объема или доступности данных, но и предусматривает применение политик компании и знание того, как потребляются ресурсы хранения для обеспечения их эффективного использования и соответствия требованиям с целью смягчения риска. Инфраструктура классификации файлов помогает получить представление об имеющихся данных, автоматизируя процессы классификации и тем самым повышая эффективность управления данными. В инфраструктуре классификации файлов доступны следующие методы классификации: ручной, программный и автоматический. Данный сценарий фокусируется на автоматическом методе классификации файлов. |
Сценарий. Получение сведений о данных с помощью классификации | Планирование автоматической классификации файлов | Развертывание автоматической классификации файлов (обучающий пример) | |
Сценарий. Реализация хранения информации на файловых серверах Период хранения — это время, в течение которого следует хранить документ, прежде чем он будет просрочен. В зависимости от организации период хранения может быть разным. Файлы в папке можно классифицировать как подлежащие кратко-, средне- и долгосрочному хранению, а затем назначить для каждого периода свои временные рамки. Возможно, какой-либо файл вам понадобится хранить неограниченно долго, поместив его на удержание по юридическим причинам. |
Сценарий. Реализация хранения информации на файловых серверах | Планирование хранения информации на файловых серверах | Развертывание реализации хранения информации на файловых серверах (демонстрационные шаги) |
Примечание.
Динамический контроль доступа не поддерживается в файловой системе ReFS (Resilient File System).
См. также
Content type | Ссылки |
---|---|
Оценка продукта | - Руководство по рецензентам динамических контроль доступа - Руководство разработчика по динамическому контроль доступа |
Планирование | - Планирование развертывания центральной политики доступа - Планирование для аудита доступа к файлам |
Развертывание | - Развертывание Active Directory - Развертывание служб файлов и служба хранилища |
Операции | Справочник по Динамической контроль доступа PowerShell |
|Форум служб каталогов ресурсов|сообщества|