Accueil Divers Systeme d'exploitation Contrôle d'accès dynamiques dans Windows Server 2012

Contrôle d'accès dynamiques dans Windows Server 2012

Dans ce cours nous allons apprendre comment gérer / configurer le contrôle d'accès dynamiques dans Windows Server 2012

Introduction

En octobre, j'ai posé un baratin publicitaire dans le Windows blog sur la sécurité concernant l'arrivée de nouveaux contrôles de sécurité dans Windows Server 2012, et spécifiquement le contrôle d'accès dynamique (DAC) qui permet aux administrateurs de créer plus de sécurité centralisée modèle pour l'accès aux fichiers et dossiers. Le CAD est un composant clé de Active Directory 8. Ce que’s différents, elle automatise l'étiquetage des données sensibles.

Nous savons tous que le fait d'automatiser la sécurité permet d'éliminer les risques d'erreur humaine que peut entraîner une violation de la sécurité, et le volume de données que stocker aujourd'hui dans les serveurs de l'entreprise fait qu'il est presque impossible de déterminer manuellement la sensibilité de chaque fichier et le niveau de protection qu'elle nécessite. Toutefois, les processus automatisés peuvent ne pas toujours attraper tous les fichiers sensibles, soit. Que’s pourquoi contrôle d'accès dynamique permet une combinaison de manuel et marquage automatique, ainsi que de l'application de marquage des données sensibles.

DAC est particulièrement utile pour la gestion des données que’s distribué sur de nombreux serveurs de fichiers et de sites, une situation qui est en train de devenir de plus en plus commun avec l'avènement de l'informatique dans les nuages. Avec le CAD, vous pouvez mettre en place des politiques pour contrôler l'accès au fichier que sont appliquées sur l'ensemble du domaine pour tous les serveurs de fichiers. C'est en outre à la traditionnelle les autorisations NTFS et les autorisations de partage que nous’ve utilisé depuis des années, avec les politiques centralisées qui l'emporte. Il ajoute une couche de sécurité supplémentaire pour les données.

Comment il fonctionne Contrôle d'accès dynamiques sous windows Server

DAC exploite Windows Server 2012 ’s améliorée au niveau des fichiers d'audit et d'authentification pour indexer des fichiers en fonction de critères tels que le contenu et le créateur. Types de données spécifiques peuvent être identifiés; par exemple, les numéros de sécurité sociale, les numéros de comptes bancaires ou numéros de cartes de crédit pourrait être étiqueté comme sensibles. Les administrateurs peuvent également désigner que les fichiers d'un certain type/extension tous les être étiquetées, ou seulement les documents qui contiennent les mots clés spécifiques pourraient être balisés. Le balisage et la catégorisation des données est déjà familier à partir de Windows Server 2008, mais Windows Server 2012 prend il pour le niveau suivant.

L'identification et le marquage des données est la première étape. Vous pouvez spécifier que toutes les données relatives au personnel sont marquées avec le Personnel variable, données financières être marquées avec les Finances, et ainsi de suite. Une fois que’s accompli, politiques centrales peuvent restreindre l'accès à ces fichiers en fonction de différents critères. Certains utilisateurs peuvent être restreints, ou à tous les utilisateurs au sein d'un groupe particulier ou d'un ministère peut être restreint. Vous pouvez, par exemple, spécifier que seuls les utilisateurs qui appartiennent au groupe des finances – et qui ont le NTFS adéquates et les autorisations de partage – ne sera en mesure d'accéder aux finances fichiers balisés. Vous pouvez également restreindre l'accès en fonction de l'équipement plutôt que des utilisateurs.

Les contrôles d'accès peuvent également travailler de concert avec d'autres technologies Microsoft telles que Services de gestion des droits (RMS). Tagged documents de bureau peuvent être protégées par RMS afin qu'après ils’ve été partagée avec d'autres, vous devez toujours garder le contrôle de ce que les autres peuvent en faire. DAC protège les documents alors qu'ils’re sur le Windows 8 server, et RMS protège lorsqu'ils’ve été envoyés en dehors de l'organisation.

Enfin, des stratégies d'audit peuvent être appliquées de la même façon dans tous les serveurs de votre organisation, qui travaillent avec les balises de fichiers et avec l'utilisateur et de l'appareil.

Implantation de vos réclamations

Le CAD est basée sur la nouvelle (pour Microsoft’s core server modèle d'authentification) notion de basé sur les revendications et contrôles d'accès, mis en place par Samuel Devasahayam et Nir Ben Zvi à construire 2011. Vous connaissez peut-être déjà des demandes d'authentification, qui a été utilisé dans la sécurité Internet depuis un certain temps et a été mis en place il y a quelques années dans SharePoint 2010, construit sur l'identité Windows Foundation (WIF) et Active Directory Federation Services.

Basé sur les revendications et l'authentification s'appuie sur une confiance fournisseur d'identité. Le fournisseur d'identité authentifie l'utilisateur, plutôt que chaque application. Le fournisseur d'identité questions un jeton de l'utilisateur, que l'utilisateur présente ensuite à l'application comme preuve d'identité. Identité est basée sur un ensemble d'informations qui, prises ensemble, identifie une entité particulière (par exemple, un utilisateur ou ordinateur). Chaque élément d'information est mentionnée comme une réclamation. Ces demandes sont contenues dans le jeton. Le jeton dans son ensemble a la signature numérique du fournisseur d'identité pour vérifier l'authenticité des informations qu'il contient.

Windows Server 2012 s'affirme en attributs Active Directory. Ces réclamations peuvent être attribués à des utilisateurs ou des périphériques, utilisez le Centre d'administration Active Directory (ADAC). Le fournisseur d'identité est le Service de jeton de sécurité (STS). Les demandes sont stockées dans le ticket Kerberos avec l'utilisateur’s identificateur de sécurité (SID) et l'appartenance aux groupes.

Une fois que les données ont été identifiées et marquées – soit automatiquement, manuellement ou par l'application – et les réclamations les jetons ont été émises, les politiques centralisées que vous’ve créé entrent en jeu.

Stratégies d'accès central

Un gros avantage de DAC’centrale s politiques d'accès est la flexibilité que vous avez pour définir les conditions d'une façon plus granulaire. Vous pouvez créer des stratégies à appliquer à chacune des classifications dans lequel vos fichiers sont divisés. Ces politiques peuvent être en fonction de l'utilisateur et du périphérique les réclamations et balises du fichier. Vous pouvez utiliser des expressions régulières de simplifier grandement le processus de, par exemple, en précisant que les utilisateurs doivent appartenir à deux groupes spécifiques pour accéder à ce fichier, à l'aide du et d'expression. NTFS dans Windows Server 2012 ont dû être modifiés pour faire ce travail avec le système de fichiers des listes de contrôle d'accès. C'est un énorme changement pour le système de fichiers Windows et le modèle de contrôle d'accès. Il devrait permettre d'atténuer quelque peu les problèmes que pose le fait d'avoir trop de groupes de sécurité et la confusion qui résulte d'utilisateurs dans plusieurs groupes.

L'inconvénient, c'est que, en raison de la modification du code qui ont été nécessaires pour faire ce travail, ce qui signifie l'accès central politiques ne peut être appliquée aux fichiers qui se trouvent sur Windows 8 serveurs. Le contrôle d'accès variables sont encore préservées lorsque des fichiers sont sur non-Windows 8 serveurs, mais la politique n'est plus appliquée.