Управление доступом к файлам
Download
Report
Transcript Управление доступом к файлам
||
Динамическое управление доступом (Dynamic
Access Control, DAC)
Доменные службы Active Directory
||
4
ПОТРЕБНОСТИ
Переход к облачным технологиям
Современный стиль работы с информацией
Стремительный рост объемов данных
и распространение информации
Соблюдение государственных и отраслевых
требований
ПРОБЛЕМЫ
Развертывание инфраструктуры для частного и
гибридного облаков
Обеспечение управляемости инфраструктуры
Обеспечение безопасности данных
Реализация удаленного доступа к информации с
различных устройств
||
5
ДИНАМИЧЕСКОЕ
УПРАВЛЕНИЕ
ДОСТУПОМ
Аудит доступа
к файлам
Централизованные
политики доступа
Интеграция
со службами
управления
правами
Active Directory
Централизованное
управление
доступом
с помощью
Active Directory
Быстрое
устранение
ошибок, связанных
с правами
пользователей
Инфраструктура
классификации
файлов
Предварительное
планирование
и моделирование
влияния изменений
на политику
доступа
Автоматическое
определение
и классификация
данных по
содержимому
||
6
ДИНАМИЧЕСКОЕ
УПРАВЛЕНИЕ
ДОСТУПОМ
Классификация
• Файлы наследуют теги
классификации от
родительской папки
• Владельцы файлов
вручную добавляют теги
к файлам
• Теги к файлам
добавляются
автоматически
• Теги к файлам
добавляются
приложениями
Управление
доступом
Аудит
Службы
управления
правами (RMS)
• Централизованные
политики доступа
основаны на
классификации
• Централизованные
политики аудита можно
применять к нескольким
файловым серверам
• Автоматическая защита с
помощью RMS для
документов Microsoft
Office
• Условия доступа для
утверждений
пользователей,
утверждений устройств
и тегов файлов основаны
на выражениях
• Аудит для утверждений
пользователей,
утверждений устройств
и тегов файлов основан
на выражениях
• Защита обеспечивается
практически в реальном
времени, когда файлу
присваивается тег
• Помощь в случае отказа
в доступе
• Аудит можно выполнять
поэтапно, чтобы
моделировать изменения
политик в реальной
среде
• Защита RMS
распространяется на
файлы, не созданные
в Microsoft Office
||
7
ДИНАМИЧЕСКОЕ
УПРАВЛЕНИЕ
ДОСТУПОМ
По
расположению
Создание или
редактирование файла
Встроенный
классификатор
содержимого
Вручную
По контексту
Приложением
Сохранение
классификации
Определение
классификации
Сторонний
подключаемый
модуль
классификации
||
8
ДИНАМИЧЕСКОЕ
УПРАВЛЕНИЕ
ДОСТУПОМ
Пользователь
redmond\jsmith / S-1-5-21-12345-12345-12345
Группы
MktgFTE / S-1-5-21-23456-23456-23456-23456-23456
RemoteAccess / S-1-5-21-34567-34567-34567-34567
High-PII / S-1-5-21-45678-45678-45678-45678
Извлекаются из значений
свойств и выпускаются как
часть маркера, полученного
при входе в систему
Используются в ходе
авторизации (если
включено)
Утверждения
«Подразделение» Dept_4329617375 Строка «Маркетинг»
«Страна»
Country_54927768 Строка «US»
||
9
ДИНАМИЧЕСКОЕ
УПРАВЛЕНИЕ
ДОСТУПОМ
Доменные службы
Active Directory
Утверждения
пользователей
User.Department = Finance
User.Clearance = High
Утверждения устройств
Device.Department = Finance
Device.Managed = True
Файловый
сервер
Свойства ресурсов
Resource.Department = Finance
Resource.Impact = High
Политика доступа
Чтобы получить доступ к финансовой информации, которая обладает большой значимостью для бизнеса,
пользователь должен работать в финансовом отделе, где проводится тщательная проверка на безопасность,
и должен использовать управляемое устройство, зарегистрированное в финансовом отделе.
||
10
ДИНАМИЧЕСКОЕ
УПРАВЛЕНИЕ
ДОСТУПОМ
Политика
«Значительное
влияние на бизнес»
Политика
«Персональная
информация»
Политика «Финансы»
Доменные службы
Active Directory
Корпоративные
файловые серверы
Организационные
политики
Характеристики политики
• Значительное
влияние на бизнес
• Персональная
информация
• Включает централизованные правила
доступа (central access rules)
• Применяется к файловым серверам
с помощью объектов групповых политик
Политики
финансового
отдела
• Значительное
влияние на бизнес
• Персональная
информация
• Финансы
• Дополняет (но не заменяет) встроенные
списки управления доступом к файлам
и папкам на базе файловой системы NTFS
Пользовательские
папки
Папки
финансового
отдела
||
11
ДИНАМИЧЕСКОЕ
УПРАВЛЕНИЕ
ДОСТУПОМ
Доменные службы
Active Directory
Создание определений
утверждений
Создание определений
свойств файлов
Создание
централизованной
политики доступа
Групповая
политика
Отправка
централизованных политик
доступа на файловые
серверы
Файловый сервер
Применение политики
доступа к общей папке
Идентификация
информации
Пользовательский
компьютер
Пользователь пытается
получить доступ
к информации
Доменные службы
Active Directory
Определения утверждений
Пользователь
Определения свойств
файлов
Политика аудита
Разрешить или
запретить
Файловый
сервер
||
12
ДИНАМИЧЕСКОЕ
УПРАВЛЕНИЕ
ДОСТУПОМ
Авторизация в рамках
всей организации
Управление
определенными
данными
Авторизация на уровне
отдела
Специфичный доступ
||
13
ДИНАМИЧЕСКОЕ
УПРАВЛЕНИЕ
ДОСТУПОМ
Доменные службы
Active Directory
3
Процесс, который позволяет
получить доступ к файлам
после отказа в доступе
1
2
Пользователь
2
1
Файловый
сервер
3
На компьютере с Windows 8 система
получает данные доступа из диспетчера
ресурсов файлового сервера
и отображает сообщение с вариантами
восстановления доступа
Если варианты восстановления включают
ссылку для запроса доступа, пользователь
может запросить доступ к файлу. Как
вариант, пользователь может запросить
справку по доступу, отправив сообщение
электронной почты
После того как пользователь выполнил
требования к доступу, утверждения
пользователя обновляются и пользователь
может получить доступ к файлу
||
14
ДИНАМИЧЕСКОЕ
УПРАВЛЕНИЕ
ДОСТУПОМ
Доменные службы
Active Directory
Групповая
политика
Файловый сервер
Пользовательский
компьютер
Создание типов
утверждений
Создание свойств ресурсов
Доменные службы
Active Directory
Создание глобальной
политики аудита
Определения утверждений
Выбор и применение
свойств ресурсов к общим
папкам
Определения свойств
файлов
Пользователь пытается
получить доступ
к информации
Политика аудита
Пользователь
Разрешить или
запретить
Файловый
сервер
||
15
ДИНАМИЧЕСКОЕ
УПРАВЛЕНИЕ
ДОСТУПОМ
Аудит каждого, кто не прошел
тщательную проверку на
безопасность и пытается получить
доступ к документу, имеющему
высокое значение для бизнеса
Аудит всех поставщиков, когда они
пытаются получить доступ к
документам, не связанным с их
текущими проектами
Audit | Everyone | All-Access |
Resource.BusinessImpact=HBI AND
User.SecurityClearance!=High
Audit | Everyone | All-Access |
User.EmploymentStatus=Vendor AND User.Project
Not_AnyOf Resource.Project.
||
16
Демонстрация
Настройка и применение
динамического
управления доступом
||
17
||
18
Демонстрация
Настройка и применение
динамического
управления доступом
||
19
ДИНАМИЧЕСКОЕ
УПРАВЛЕНИЕ
ДОСТУПОМ
1
Доменные службы
Active Directory
Пользователь
2
4
3
Шифрование файла на основе
классификации
1
На контроллере домена создаются определения
утверждений, определения свойств файлов и
политики доступа
2
Пользователь создает файл со словом
«конфиденциально» в тексте и сохраняет его.
Модуль классификации классифицирует файл
как «очень важный» в соответствии
с настроенными правилами
3
На файловом сервере правило автоматически
применяет защиту RMS ко всем файлам,
которые классифицируются как «очень
важные»
4
Шаблон и шифрование RMS применяются к
файлу на файловом сервере, и файл шифруется
Модуль Сервер RMS
классификации
Файловый
сервер
||
20
Демонстрация
Применение шаблона
RMS на основе
классификации файлов
||
21
ДИНАМИЧЕСКОЕ
УПРАВЛЕНИЕ
ДОСТУПОМ
Классификация
Управление
доступом
Аудит
Службы
управления
правами (RMS)
Идентификация
данных
Управление доступом
к файлам
Аудит доступа
к файлам
Применение
шифрования RMS
Классификация файлов
автоматически
и вручную
Поддержка
централизованных
политик доступа
в рамках общей
корпоративной системы
безопасности
Поддержка
централизованных
политик аудита для
составления отчетов
о соблюдении
требований и судебного
анализа
Уменьшение
информационных утечек
||
22
ДОМЕННЫЕ
СЛУЖБЫ
ACTIVE DIRECTORY
Поддержка
виртуальных
контроллеров
доменов
Клонирование
контроллеров
доменов
Полноценное
управление
Active Directory
с использованием
Windows PowerShell
Быстрое развертывание
новых контроллеров
доменов при изменении
потребностей
организации
Усовершенствованное
развертывание
контроллеров
доменов
Масштабируемое
управление
Active Directory
Усовершенствованный
центр
администрирования
Active Directory
Развертывание контроллеров
доменов Active Directory
в публичных и частных облаках
||
23
ДОМЕННЫЕ
СЛУЖБЫ
ACTIVE DIRECTORY
Обнаружение
отката
•
Виртуальные контроллеры доменов используют
уникальный атрибут GenerationID, чтобы распознавать
следующие события:
• Применение снимков
• Копирование виртуальной машины
•
GenerationID изменяется, когда происходит событие,
влияющее на положение виртуальной машины на оси
времени
•
Во время запуска виртуальный контроллер домена
сравнивает текущее значение GenerationID со значением,
которое хранится в каталоге
•
В случае несовпадения (событие отката) запускается
процедура безопасного согласования виртуального
контроллера домена
||
24
ДОМЕННЫЕ
СЛУЖБЫ
ACTIVE DIRECTORY
Виртуальный
контроллер домена
Клоны
1
Использование мастера для развертывания
отдельного виртуального контроллера домена
2
Настройка дополнительных параметров для
клона контроллера домена (например, имя
и IP-адрес)
3
Копирование исходной виртуальной машины
контроллера домена и перезапуск для
завершения операции клонирования
||
25
Демонстрация
Клонирование
контроллера
домена
||
26
ДОМЕННЫЕ
СЛУЖБЫ
ACTIVE DIRECTORY
Преимущества
• Оптимизированное повышение уровня
контроллера домена
• Поддержка удаленного развертывания
||
27
ДОМЕННЫЕ
СЛУЖБЫ
ACTIVE DIRECTORY
Интегрированная
проверка перед
развертыванием
Удаленный запуск на
нескольких серверах
Упрощенные
страницы
конфигурации
Проверка
необходимых
компонентов
Возможность экспорта
сценариев Windows
PowerShell
||
28
ДОМЕННЫЕ
СЛУЖБЫ
ACTIVE DIRECTORY
Преимущества
• Более быстрое обучение
• Более уверенная разработка сценариев
• Расширение поиска в Windows PowerShell
• Поддержка корзины Active Directory в
графическом интерфейсе
||
29
ДОМЕННЫЕ
СЛУЖБЫ
ACTIVE DIRECTORY
Активация клиентов
с использованием
существующей
инфраструктуры
Active Directory
Объект активации
поддерживается
в разделе конфигурации
Автоматическая активация
компьютеров под
управлением Windows 8
и Windows Server 2012
Никакие данные, кроме
необходимых для работы
службы, не записываются
в каталог
||
30
ДОМЕННЫЕ
СЛУЖБЫ
ACTIVE DIRECTORY
Управление
именами SPN
Автоматическое
управление
паролями
Делегирование
управления
||
31
Демонстрация
Мастер
развертывания
Active Directory
||
32
ДОМЕННЫЕ
СЛУЖБЫ
ACTIVE DIRECTORY
Развертывание
Виртуализация
Оптимизированное
развертывание
контроллеров
доменов
Защита виртуальных
контроллеров
доменов
Управление
Интуитивно
понятное,
согласованное
управление
Расширенный
функционал
Автоматическая
активация ПО
и управление
учетными записями
служб для групп
серверов
||
33
http://technet.microsoft.com/ru-ru/evalcenter/hh670538.aspx
http://technet.microsoft.com/ru-ru/evalcenter/hh505660
http://technet.microsoft.com/ru-ru/cloud/private-cloud
http://www.microsoftvirtualacademy.com
http://technet.microsoft.com/ru-ru/
||
34
[email protected]
http://blogs.technet.com/b/ashapo
||
35