Scenario: Granskning av filåtkomst

 

Gäller för: Windows Server 2012

Säkerhetsgranskningar är ett av de viktigaste verktygen för att upprätthålla säkerheten på ett företag. Granskningar används framför allt för att upprätthålla företagets regelefterlevnad. Branschstandarder som Sarbanes Oxley, HIPAA (Health Insurance Portability and Accountability Act) och PCI (Payment Card Industry) kräver att företagen följer strikta regler gällande datasäkerhet och sekretess. Säkerhetsgranskningar bidrar till att göra gällande dessa principer på företaget samt bekräftar efterlevnaden av relevanta normer. Granskningarna gör det också lättare att upptäcka avvikande beteende, att identifiera och åtgärda brister i säkerhetsprinciper och kan även avskräcka från oansvarigt beteende genom att skapa spår efter användaraktivitet som kan användas vid kriminaltekniska analyser.

Krav på granskningsprinciper är vanliga på följande nivåer:

• Informationssäkerhet. Granskningsspår från filåtkomstförsök används ofta i kriminaltekniska analyser och för intrångsidentifiering. Med riktade händelser för åtkomst till viktig information kan organisationerna kraftigt förbättra sina svarstider och effektivisera interna utredningar.

• Organisationsprincip. Organisationer som regleras av PCI-standarder kan exempelvis implementera en central princip för att övervaka åtkomsten till alla filer som är märkta som filer med kreditkortsuppgifter och personligt identifierbar information.

• Avdelningsprincip. Om ekonomiavdelningen exempelvis vill begränsa möjligheten att ändra vissa ekonomiska dokument (t.ex. kvartalsbaserade resultatrapporter) till den egna avdelningen, vill man antagligen övervaka alla andra försök att ändra dokumenten.

• Företagsprincip. Projektägare kanske exempelvis vill övervaka alla obehöriga försök att visa data som hör till deras projekt.

Dessutom kanske efterlevnadsavdelningen vill övervaka alla ändringar av centrala auktoriseringsprinciper och principkonstruktioner, t.ex. användar-, dator- och resursattribut.

En av de viktigaste aspekterna i samband med säkerhetsgranskningar är kostnaden för att samla in, förvara och analysera granskningshändelser. Om granskningsprinciperna är för breda ökar mängden insamlade granskningshändelser och därmed även kostnaderna. Om granskningsprinciperna är för restriktiva riskerar du att missa viktiga händelser.

Med Windows Server 2012, kan du skapa granskningspolicys genom att använda anspråks- och resursegenskaper. Detta resulterar i bättre och mer specifika granskningsprinciper som är enklare att hantera. Metoden stöder scenarier som hittills var omöjliga eller för komplicerade att genomföra. Här följer några exempel på granskningsprinciper som administratörerna kan skapa:

• Granska användare utan nödvändig behörighet som försöker komma åt affärskritiska dokument. Exempel: Audit | Everyone | All-Access | Resource.BusinessImpact=HBI AND User.SecurityClearance!=High.

• Granska alla konsulter som försöker komma åt dokument relaterade till projekt som de inte arbetar med. Exempel: Audit | Everyone | All-Access | User.EmploymentStatus=Vendor AND User.Project Not_AnyOf Resource.Project.

Med hjälp av dessa principer kan företagen reglera mängden granskningshändelser och begränsa dem till de mest relevanta användarna eller företagets viktigaste data.

När administratörerna har skapat och tillämpat granskningsprinciperna är nästa steg att få fram meningsfull information från de insamlade granskningshändelserna. Uttrycksbaserade granskningshändelser kan minska mängden granskningar. Användare behöver dock ett sätt att få fram meningsfull information från dessa händelser och kunna ställa frågor som, ”Vem har försökt komma åt min HBI-data?” eller "Har det skett ett obehörigt försök att komma åt känsliga data?"

Windows Server 2012 förbättrar befintliga dataåtkomsthändelser med användar-, dator- och resursanspråk. Dessa händelser genereras på en server i taget. För att kunna erbjuda en heltäckande bild av händelser över hela organisationen så samarbetar Microsoft med partners för att kunna erbjuda verktyg för insamling och analys av händelser såsom Gransknings- och insamlingstjänster i System Center Operation Manager.

Bild  4 visar en översikt över en central granskningsprincip.

Bild 4 Central granskning i praktiken

Konfigurationen och tillämpningen av säkerhetsgranskningar involverar vanligtvis följande allmänna steg:

1. Identifiera vilka data och användare som ska övervakas

2. Skapa och tillämpa relevanta granskningsprinciper

3. Samla in och analysera granskningshändelser

4. Hantera och övervaka principerna som skapats

I detta scenario

Följande avsnitt innehåller ytterligare vägledning för det här scenariot:

• Planera för filåtkomstgranskning

• Distribuera säkerhetsgranskning med principer för central granskning (demonstrationssteg)

Roller och funktioner som ingår i det här scenariot

Följande tabell listar de roller och funktioner som ingår i det här scenariot samt en beskrivning av hur de stöder det.

Roll/funktion	Hur den stöds i detta scenario
Rollen Active Directory Doman Services	AD DS i Windows Server 2012 introducerar en anspråksbaserad auktoriseringsplattform som möjliggör skapandet av användaranspråk och enhetsanspråk, sammanfogade identiteter (användar- plus enhetsanspråk), en ny modell för centrala åtkomstpolicyer (CAP) samt användandet av klassificeringsinformation för filer i auktoriseringsbeslut.
Rollen Fil- och lagringstjänster	Filservrar i Windows Server 2012 ger ett användargränssnitt där administratörer kan se användares fil- och mappbehörigheter samt felsöka åtkomstproblem och ge åtkomst vid behov.