Dinamik Erişim Denetimi: Senaryoya Genel Bakış

 

Uygulama Alanı: Windows Server 2012

Windows Server 2012’de, kimlerin bilgilere erişebileceğini denetlemek ve bilgilere kimin eriştiğini denetlemek için, dosya sunucularınızda veri yönetimi uygulayabilirsiniz. Dinamik Erişim Denetimi şunları yapmanıza izin verir:

• Dosyaların otomatik ve el ile sınıflandırılmasını kullanarak verileri tanımlamak. Örneğin, kuruluş içindeki dosya sunucularında verileri etiketleyebilirsiniz.

• Merkezi erişim ilkeleri kullanan güvenlik ağı ilkeleri uygulayarak dosyalara erişimi denetlemek. Örneğin, kuruluş içinde sağlık bilgilerine kimlerin erişebileceğini tanımlayabilirsiniz.

• Uyumluluk raporlama ve adli çözümleme için merkezi denetim ilkelerini kullanarak dosyalara erişimi denetleyin. Örneğin, yüksek düzeyde hassas bilgilere kimlerin eriştiğini tanımlayabilirsiniz.

• Hassas Microsoft Office belgeleri için otomatik RMS şifrelemesi kullanarak Rights Management Services (RMS) koruması uygulamak. Örneğin, Sağlık Sigortası Taşınabilirlik ve Sorumluluk Yasası (HIPAA) bilgileri içeren tüm belgeleri şifrelemek için RMS'yi yapılandırabilirsiniz.

Dinamik Erişim Denetimi özelliği kümesi, iş ortakları ve iş kolu uygulamaları tarafından ayrıca kullanılabilecek altyapı yatırımlarına dayalıdır ve özellikler Active Directory kullanan kuruluşlar için mükemmel bir değer sağlayabilir. Bu altyapı aşağıdakileri içerir:

• Windows için, koşullu ifadeleri ve merkezi ilkeleri işleyebilecek yeni bir yetkilendirme ve denetim motoru.

• Kullanıcı talepleri ve cihaz talepleri için Kerberos kimlik doğrulama desteği.

• Dosya Sınıflandırma Altyapısı'ndaki (FCI) iyileştirmeler.

• İş ortaklarının Microsoft dışı dosyaları şifreleyen çözümler sağlayabilmesi için RMS genişletilebilirlik desteği.

Bu senaryoda bulunanlar

Aşağıdaki senaryolar ve rehberlik, bu içerik kümesinin parçası olarak eklenir:

Dinamik Erişim Denetimi İçerik Yol Haritası

Senaryo	Değerlendir	Plan	Dağıt	Çalıştırma
Senaryo: Merkezi Erişim İlkesi Dosyalar için merkezi erişim ilkeleri oluşturulması, kuruluşların, kullanıcı talepleri, cihaz talepleri ve kaynak özellikleri kullanarak koşullu ifadeler içeren yetkilendirme ilkelerini merkezi olarak dağıtmalarına ve yönetmelerine olanak tanır. Bu ilkeler, uyumluluk ve iş yönetmelik gereksinimlerine dayalıdır. Bu ilkeler, Active Directory'de oluşturulup barındırıldığından, yönetmeyi ve dağıtmayı kolaylaştırır. Ormanlar Arasında Talepleri Dağıtma Windows Server 2012'de, AD DS her bir orman içinde bir ‘talep sözlüğü’ bulundurur ve orman içinde kullanımda olan tüm talep türleri Active Directory orman düzeyinde tanımlanır. Bir sorumlunun bir güven sınırını geçmesini gerektirebilecek birçok senaryo vardır. Bu senaryo, bir talebin bir güven sınırını nasıl geçtiğini açıklar.	Dynamic Access Control: scenario overview Talepleri Ormanlar Arasında Dağıtma	Merkezi Erişim İlkesi Dağıtımı Planlaması Bir iş isteğini bir merkezi erişim ilkesiyle eşleştirme işlemi Dinamik Erişim Denetimi için yönetim temsilcisi seçme Merkezi Erişim İlkelerini Planlamaya Yönelik Özel Durum Mekanizmaları Kullanıcı Taleplerini Kullanmak için En İyi Uygulamalar Merkezi erişim ilkesini farklı seçeneklerle yapılandırma Kullanıcı taleplerini etkinleştirme işlemleri Merkezi Erişim İlkeleri kullanmadan dosya sunucusu isteğe bağlı ACL'lerde kullanıcı taleplerini kullanmak için dikkat edilecekler Cihaz Taleplerini ve Cihaz Güvenlik Gruplarını Kullanma Statik cihaz taleplerini kullanmak için dikkat edilecekler Cihaz taleplerini etkinleştirmek için işlemler Dağıtım Araçları Veri Sınıflandırması Araç Seti	Merkezi Erişim İlkesi Dağıtma (Gösterme Adımları) Talep (sunum adımlar) ormanlar arasında dağıtma	Merkezi erişim ilkesi modellendirme
Senaryo: Dosya Erişimi Denetimi Güvenlik denetimi, bir kuruluşun güvenliğinin korunmasına yardımcı olacak en güçlü araçlardan birisidir. Güvenlik denetimlerinin ana amaçlarından birisi, yönetmeliklere uymaktır Örneğin, Sarbanes Oxley, HIPAA ve Ödeme Kartı Endüstrisi (PCI) gibi endüstri standartları kuruluşların veri güvenliği ve gizlilikle ilgili sıkı bir kural kümesine uymalarını gerektirir. Güvenlik denetimleri bu tür ilkelerin varlığının veya yokluğunun belirlenmesine yardımcı olur; böylelikle, bu standartlarla uyumluluğu veya uyumsuzluğu kanıtlarlar. Ek olarak, güvenlik denetimleri uygunsuz davranışların algılanmasına, güvenlik ilkesindeki boşlukların tanımlanmasına ve giderilmesine ve adli analiz için kullanılabilecek bir kullanıcı etkinliği kaydı oluşturarak sorumsuz davranışların engellenmesine yardımcı olur.	Senaryo: Dosya Erişimi Denetimi	Dosya Erişimi Denetimi için Planlama	Merkezi Denetim İlkeleri ile Güvenlik Denetimini Dağıtma (Gösterim Adımları)	Geçerli bir dosya sunucusunda Merkezi erişim ilkeleri izleme Dosyalar ve Klasörlerle İlişkili Merkezi Erişim İlkelerini İzleme Dosyalar ve Klasörlerle İlgili Kaynak Özniteliklerini İzleme Talep Türlerini İzleme Oturum Açma Sırasında Kullanıcı ve Cihaz Taleplerini İzleme Merkezi Erişim İlke ve Kural Tanılarını İzleme Kaynak Özniteliği Tanımlarını İzleme Çıkarılabilir depolama aygıtlarının kullanımını izleyin.
Senaryo: Erişim Reddi Yardımı Bugün, kullanıcılar dosya sunucusu üzerindeki uzak bir dosyaya erişmeyi denediğinde, elde edecekleri tek belirti erişimin reddedilmesidir. Bu durum, yardım masasının veya BT yöneticilerinin sorunun ne olduğunu anlamalarını gerektirecek istekler üretir ve genellikle yöneticiler uygun bağlamı kullanıcıdan öğrenme konusunda güçlük yaşadıklarından, sorunun çözülmesi daha da güçleşir. Windows Server 2012'de amaç, bilgi çalışanlarına ve verilerin şirketteki sahibine, erişimin reddedilmesiyle ilgili sorunu BT devreye girmeden çözmelerinde yardımcı olmak ve BT devreye girdiğinde hızlı bir çözüm için tüm doğru bilgileri sağlamaktır. Bu amaca ulaşmada karşılaşılan güçlüklerden birisi, erişimin reddedilmesi sorunuyla ilgilenmenin merkezi bir yolu olmaması ve her uygulamanın bu sorunu farklı bir şekilde ele almasıdır ve bu nedenle, Windows Server 2012'de amaçlardan biri de, Windows Gezgini için erişimin reddedilmesi deneyiminin iyileştirilmesidir.	Senaryo: Erişim Reddi Yardımı	Erişim Reddi Yardımı Planı 1.1 Erişim reddedildi yardım modelini belirleme 1.2. Erişim isteklerini kimin işleyeceğini belirleme 1.3. Erişim reddedildi yardımı iletisini özelleştirme 1.4. Özel durumları planlama 1.5. Erişim reddedildi yardımının nasıl dağıtılacağını belirleme	Erişimin Reddedilmesiyle İlgili Desteği Dağıtma (Gösterim Adımları)
Senaryo: Office Belgeleri için Sınıflandırmaya Dayalı Şifreleme Hassas bilgilerin korunması esas olarak kuruluş için riskin azaltılmasıyla ilgilidir. HIPAA veya Ödeme Kartı Endüstrisi Veri Güvenliği Standardı (PCI-DSS) gibi çeşitli uyumluluk düzenlemeleri bilgilerin şifrelenmesini gerektirir ve hassas iş bilgilerini şifrelemek için çeşitli iş nedenleri vardır. Bununla birlikte, bilgilerin şifrelenmesi pahalıdır ve iş üretkenliğini engelleyebilir. Bu nedenle, kuruluşlar, bilgilerini şifrelemek için farklı yaklaşımlara ve önceliklere sahip olma eğilimi gösterir. Bu senaryoyu desteklemek için, Windows Server 2012 hassas Windows Office dosyalarını sınıflandırmalarına göre otomatik olarak şifreleme yeteneği sağlar. Bu, dosyanın dosya sunucusunda hassas bir dosya olarak tanımlanmasından birkaç saniye sonra hassas dosyalar için Active Directory Rights Management Server (AD RMS) korumasını çağıran dosya yönetim görevleri yoluyla yapılır.	Senaryo: Office Belgeleri için Sınıflandırmaya Dayalı Şifreleme	Office Belgelerinin Şifrelenmesini Planlamayla İlgili Önemli Noktalar	Office Dosyalarının Şifrelemesini Dağıtma (Gösterme Adımları)
Senaryo: Sınıflandırmayı Kullanarak Verileriniz Hakkında Bilgi Edinme Verilere ve depolama alanı kaynaklarına bağımlılık, çoğu kuruluş için daha da önem kazanmaya devam etti. BT yöneticileri, bir yandan toplam sahip olma maliyetinin makul düzeylerde tutulmasını sağlama görevini üstlenirken, daha büyük ve daha karmaşık depolama alanı altyapılarını yönetme konusunda artan bir güçlükle karşı karşıya kalıyor. Verimli kullanımı ve riski azaltmak için uyumluluğu sağlamak için, depolama kaynaklarını yönetmek artık yalnızca verilerin hacmi ve kullanılabilirliğiyle ilgili değil, aynı zamanda şirket ilkelerinin uygulanması ve depolama alanının nasıl tüketildiğinin bilinmesiyle de ilgilidir. Dosya Sınıflandırma Altyapısı, verileri daha verimli şekilde yönetebilmeniz için sınıflandırma işlemlerini otomatikleştirerek verilerinizin iç yüzünü kavramayı sağlar. Dosya Sınıflandırma Altyapısı ile aşağıdaki sınıflandırma yöntemleri kullanılabilir: el ile, programlama yoluyla ve otomatik. Bu senaryo, otomatik dosya sınıflandırma yöntemine odaklanır.	Senaryo: Sınıflandırmayı Kullanarak Verileriniz Hakkında Bilgi Edinme	Otomatik Dosya Sınıflandırması için Planlama	Otomatik Dosya Sınıflandırması Dağıtma (Gösterme Adımları)
Senaryo: Dosya Sunucularında Bilgilerin Bekletilmesini Uygulama Bir bekletme dönemi, bir belgenin geçerlilik süresi doluncaya kadar bekletilmesi gereken süredir. Kuruluşa bağlı olarak, bekletme dönemi farklı olabilir. Bir klasördeki dosyaları kısa, orta veya uzun dönemli bekletme dönemi olarak sınıflandırabilir ve sonra her bir dönem için zaman dilimini atayabilirsiniz. Bir dosyayı yasal bekletme durumuna alarak belirsiz bir süre saklamak isteyebilirsiniz. Dosya Sınıflandırma Altyapısı ve Dosya Sunucusu Kaynak Yöneticisi, bir dosya kümesine bekletme dönemleri uygulamak için dosya yönetimi görevlerini ve dosya sınıflandırmayı kullanır. Bir klasöre bir bekletme dönemi atayabilir ve sonra atanan bir bekletme döneminin ne kadar uzun süreceğini yapılandırmak için bir dosya yönetimi görevini kullanabilirsiniz. Klasördeki dosyaların geçerlilik süresinin sona ermesi yaklaştığında, dosyanın sahibi bir bildirim e-postası alır. Ayrıca, dosya yönetimi görevinin dosyasının geçerlilik süresini sona erdirmemesi için, bir dosyayı yasal olarak bekletme durumunda olacak şekilde sınıflandırabilirsiniz.	Senaryo: Dosya Sunucularında Bilgilerin Bekletilmesini Uygulama	Dosya Sunucularındaki Bilgilerin Bekletilmesi için Planlama	Dosya Sunucularında Bilgilerin Saklanmasını Uygulamayı Dağıtma (Tanıtım Adımları)

Not

Dinamik Erişim Denetimi ReFS'de (Esnek Dosya Sistemi) desteklenmez.

Ayrıca bkz.

İçerik türü	Başvurular
Ürün değerlendirmesi	Dinamik Erişim Denetimi Gözden Geçiren Kılavuzu Dinamik Erişim Denetimi Geliştirici Kılavuzu
Planlama	Merkezi Erişim İlkesi Dağıtımı Planlaması Dosya Erişimi Denetimi için Planlama
Dağıtım	Active Directory Dağıtımı Dosya ve Depolama Hizmetleri Dağıtımı
İşlemler	Dinamik Erişim Denetimi PowerShell Başvurusu
Araçlar ve ayarlar	Veri Sınıflandırması Araç Seti
Topluluk kaynakları	Dizin Hizmetleri Forumu