Dynamisk åtkomstkontroll: Scenarioöversikt

 

Gäller för: Windows Server 2012

I Windows Server 2012, kan du implementera datastyrning över dina filservrar, för att styra vem som har åtkomst till information samt hur du granskar vem som haft åtkomst till information. Med dynamisk åtkomstkontroll kan du:

• Identifiera data med hjälp av automatisk och manuell klassificering av filer. Du kan till exempel markera data i fil-och utskriftsservrar över delar av organisationen.

• Kontrollera åtkomst till filer genom att använda säkerhetsnät principer som använder centrala åtkomstprinciper. Du kan t ex definiera vem som kan komma åt information om hälsa inom organisationen.

• Granska åtkomst till filer med hjälp av centrala granskningsprinciper för regelefterlevnadsrapportering och utvärderande analys. Du kan till exempel identifiera vem som har åtkomst till känslig information.

• Använd Rights Management Services (RMS)-skydd genom att använda automatisk RMS-kryptering för känsliga Microsoft Office-dokument. Du kan till exempel konfigurera RMS om du vill kryptera alla dokument som innehåller information om ett specifikt försäkringsregelverk.

Funktionsuppsättningen dynamisk åtkomstkontroll baseras på investeringar i infrastrukturen som kan används ytterligare av partners och av branschspecifika program. Funktionerna kan ge bra avkastning för organisationer som använder Active Directory. Infrastrukturen omfattar:

• En ny auktoriserings- och granskningsmotor för Windows som kan bearbeta centrala principer och villkorsuttryck.

• Stöd för Kerberos-autentisering för användar- och enhetsanspråk.

• Förbättringar av filklassificeringsinfrastrukturen (FCI).

• Stöd för RMS-utökningsbarhet så att partners kan erbjuda lösningar som krypterar filer som inte kommer från Microsoft.

I detta scenario

Följande scenarier och guider ingår som en del av här innehållspaketet:

Innehållsöversikt för Dynamic Access Control

Scenario	Utvärdera	Planera	Distribuera	Driftsätt
Scenario: Central åtkomstpolicy Centrala åtkomstprinciper för filer innebär att organisationer kan distribuera och hantera auktoriseringsprinciper med villkorsuttryck som använder användar- och enhetsanspråk, samt resursegenskaper. Dessa principer är baserade på efterlevnads- och industrikrav. Dessa principer skapas och hanteras i Active Directory, vilket gör dem lättare att hantera och distribuera. Distribuera anspråk över skogar I Windows Server 2012, har AD DS en ‘anspråks-ordlista’ i varje skog och alla anspråkstyper som används i skogen finns definierad på Active Directory-skogsnivå. Det finns många situationer där en huvudansvarig kan behöva korsa en förtroendegräns. Det här scenariot beskrivs hur anspråk kan korsa förtroendegränser.	Dynamic Access Control: scenario overview Distribuera anspråk över skogar	Planera en distribution av principen för central åtkomst Mappa en affärsförfrågan till en princip för central åtkomst (process) Delegera administrativa uppgifter för dynamisk åtkomstkontroll Undantag i principer för central åtkomst Metodtips för användaranspråk Konfigurera principer för central åtkomst med olika alternativ Aktivera användaranspråk Att tänka på när användaranspråk används i godtyckliga åtkomstkontrollistor (DACL) på filservern utan principer för central åtkomst Använda enhetsanspråk och säkerhetsgrupper för enheter Att tänka på när statiska enhetsanspråk används Aktivera enhetsanspråk Distributionsverktyg Verktyg för dataklassificering	Distribuera en princip för central åtkomst (demonstrationssteg) Distribuera anspråk i skogar (Demonstration steg)	Modellera en central åtkomstprincip
Scenario: Granskning av filåtkomst Säkerhetsgranskningar är ett av de viktigaste verktygen för att upprätthålla säkerheten på ett företag. Granskningar används framför allt för att upprätthålla företagets regelefterlevnad. Exempelvis kräver branschstandarder som Sarbanes Oxley, HIPAA och betalkortsbranschen att företag följer en strikt uppsättning regler som avser datasäkerhet och sekretess. Sådana säkerhetsgranskningarna fastställer förekomsten eller frånvaron av sådana principer och avslöjar om dessa förskrifter efterlevs. Dessutom bidrar säkerhetsgranskning till att identifiera avvikande beteende, identifiera och minska luckor i säkerhetsprincipen och hindra oansvarigt beteende genom att skapa en post för användare som kan användas för utredande analys.	Scenario: Granskning av filåtkomst	Planera för filåtkomstgranskning	Distribuera säkerhetsgranskning med principer för central granskning (demonstrationssteg)	Övervaka centrala åtkomst principerna som tillämpas på en filserver Övervaka centrala principer som är associerade med filer och mappar Övervaka resursattribut för filer och mappar Övervaka anspråkstyper Övervaka användar- och enhetsanspråk under inloggning Övervaka central åtkomstprincip och regeldefinitioner Övervaka resursattributdefinitioner Övervaka användningen av flyttbara lagringsenheter.
Scenario: Hjälp med åtkomst nekad Idag, när användare försöker komma åt en fjärrfil på filservern får de endast meddelandet att åtkomsten är nekad. Detta leder till ärenden hos helpdesk eller IT-administratörer som behöver ta reda på vad problemet är och administratörerna har ofta svårt att få rätt kontext från användare, vilket gör det svårare att lösa problemet. I Windows Server 2012, är målet att försöka hjälpa informationsarbetaren och ägaren av datan att hantera åtkomst nekad-problemet innan IT-avdelningen blir inblandad och när IT-avdelningen blivit inblandad, att delge dem all information för att snabbt kunna lösa problemet. En av utmaningarna med att uppnå det här målet är att det inte finns något centralt sätt att hantera åtkomst nekad och varje program hanterar det olika. Därmed är ett av målen i Windows Server 2012, att förbättra åtkomst nekad-upplevelsen i utforskaren.	Scenario: Hjälp med åtkomst nekad	Planera för hjälp vid nekad åtkomst 1.1 Bestämma modell för hjälp vid nekad åtkomst 1.2. Bestämma vem som ska hantera åtkomstbegäranden 1.3. Anpassa hjälpmeddelandet åtkomst nekad 1.4. Plan för undantag 1.5. Ta reda på hur hjälp vid nekad åtkomst distribueras	Distribuera hjälp vid nekad åtkomst (steg i demonstration)
Scenario: Klassificeringsbaserad kryptering för Office-dokument Att skydda känslig information handlar främst om att minimera risk för organisationen. Olika regler om överensstämmelse, till exempel HIPAA eller betalkortsbranschens datasäkerhetsstandard (PCI-DSS) dikterar hur information ska krypteras och det finns många anledningar för företag att kryptera känslig affärsinformation. Informationskryptering är dock dyrt och kan försämra företagsproduktiviteten. Därför tenderar organisationer att ha olika strategier och prioriteringar för att kryptera informationen. För att stödja det här scenariot ger Windows Server 2012 möjlighet att automatiskt kryptera känsliga Windows Office-filer baserat på deras klassificering. Detta görs via filhanteringsaktiviteter som anropar Active Directory Rights Management Server (AD RMS)-skydd för känsliga handlingar några sekunder efter filen identifieras som en känslig fil på servern.	Scenario: Klassificeringsbaserad kryptering för Office-dokument	Planeringsfrågor för kryptering av Office-dokument	Distribuera kryptering av Office-filer (demonstrationssteg)
Scenario: Få bättre överblick på din data med hjälp av klassificering Beroendet av data- och lagringsresurser har blivit allt större för de flesta organisationer. IT-administratörer står inför den växande utmaningen i att få överblick över lagringen av större och mer komplexa infrastrukturer parallellt med ansvar för att garantera att den totala ägandekostnaden hålls på rimlig nivå. Att hantera lagringsresurser handlar inte längre bara om volymen eller data tillgänglighet, men även om verkställandet av företagets riktlinjer ochkunskap om hur lagringsutrymmet används för att maximera effektiviteten, efterleva riktlinjer och minimera risker. Filklassificeringsinfrastrukturen ger inblick i dina data genom att automatisera klassificeringsprocesser, så att du kan hantera dina data mer effektivt. Följande metoder för klassificering finns för filklassificeringsinfrastrukturen: manuell, programbaserad och automatisk. Det här scenariot fokuserar på automatisk filklassificeringsmetod.	Scenario: Få bättre överblick på din data med hjälp av klassificering	Planera för automatisk filklassificering	Distribuera automatisk filklassificering (demonstrationssteg)
Scenario: Implementera informationsbevaring på filservrar En bevarandeperiod är den tid som ett dokument ska sparas innan det upphör att gälla. Bevarandeperioden kan skilja sig åt beroende på organisation. Du kan klassificera filer i en mapp med en kortsiktig, medelfristig eller långsiktig kvarhållningsperiod och sedan tilldela tidsramen för varje period. Du kanske vill behålla en fil under obestämd tid genom att lägga till juridiskt bevarande. Infrastruktur för filklassificering och hanteraren för filserverresurser använder filhanteringsåtgärder och filklassificering för att applicera bevarandeperioder för en uppsättning filer. Du kan tilldela en bevarandeperiod på en mapp och sedan använda en filhanteringsuppgift för att konfigurera hur länge en tilldelad bevarandeperiod ska vara. När filer i mappen ska upphöra att gälla, får filägaren ett e-postmeddelande. Du kan också klassificera en fil som juridiskt bevarad så att filhanteringsaktiviteten inte daterar ut filen.	Scenario: Implementera informationsbevaring på filservrar	Plan för informationsbevarande på filservrar	Distribuera implementera informationsbevarande på filservrar (demonstrationssteg)

Information
ReFS (flexibelt filsystem) stöder inte dynamisk åtkomstkontroll.

Se även

Innehållstyp	Referenser
Produktutvärdering	Guide för granskare av dynamisk åtkomstkontroll Guide för utvecklare i dynamisk åtkomstkontroll
Planering	Planera en distribution av principen för central åtkomst Planera för filåtkomstgranskning
Distribution	Active Directory-distribution Distribution av fil- och lagringstjänster
Åtgärder	PowerShell-referens för dynamisk åtkomstkontroll
Verktyg och inställningar	Verktyg för dataklassificering
Gruppresurser	Directory Services Forum