SBC 2012 - Dynamic Access Control in Windows Server 2012 (Nguyễn Ngọc Thuận)
DYNAMIC ACCESS CONTROL
description
Transcript of DYNAMIC ACCESS CONTROL
![Page 1: DYNAMIC ACCESS CONTROL](https://reader035.fdocuments.us/reader035/viewer/2022062315/56815ebb550346895dcd3e2c/html5/thumbnails/1.jpg)
DYNAMIC ACCESS CONTROL
Windows Server 2012
![Page 2: DYNAMIC ACCESS CONTROL](https://reader035.fdocuments.us/reader035/viewer/2022062315/56815ebb550346895dcd3e2c/html5/thumbnails/2.jpg)
Objetivos de la Sesión
Entender las capacidades de Dynamic Access Control y File Clasiffication en Server 2012
Conocer como preparar Windows para gestionar el acceso a la información y prevenir su fuga
Windows File Server Solution
Data Compliance Challenges
Windows Platform Investments
Putting it Together
![Page 3: DYNAMIC ACCESS CONTROL](https://reader035.fdocuments.us/reader035/viewer/2022062315/56815ebb550346895dcd3e2c/html5/thumbnails/3.jpg)
Realidad en la Gestion de Información
Crecimiento en Datos y Usuarios
?
Arquitecturas Distribuidas
Cumplimiento con
Regulaciones
?
Limitaciones de
Presupuesto
![Page 4: DYNAMIC ACCESS CONTROL](https://reader035.fdocuments.us/reader035/viewer/2022062315/56815ebb550346895dcd3e2c/html5/thumbnails/4.jpg)
Necesidades de Negocio→ Resultados
Retener la data por 10 años
Carpeta por proyecto
Prevenir que información corporativa se filtre
La complejidad incrementa la posibilidad de políticas poco efectivas
Las necesidades son muy simples al principio
Agregar políticas fragmenta la estructura
![Page 5: DYNAMIC ACCESS CONTROL](https://reader035.fdocuments.us/reader035/viewer/2022062315/56815ebb550346895dcd3e2c/html5/thumbnails/5.jpg)
¿Que gestionar?
![Page 6: DYNAMIC ACCESS CONTROL](https://reader035.fdocuments.us/reader035/viewer/2022062315/56815ebb550346895dcd3e2c/html5/thumbnails/6.jpg)
El Reto del Control de Acceso
• Gestionar quien accede a la información
• Administrar menos grupos de seguridad
• Proteger la información y garantizar cumplimiento
Data Compliance Challenges
![Page 7: DYNAMIC ACCESS CONTROL](https://reader035.fdocuments.us/reader035/viewer/2022062315/56815ebb550346895dcd3e2c/html5/thumbnails/7.jpg)
Clasificación de la Información
ACLs flexibles basadas en la clasificación de un documento u otras propiedades.
ACLs centralizadas
Auditoria dirigida basada en la clasificación de un documento y usuario.
Despliegue centralizado de políticas de auditoria vía Global Audit Policies.
Auditoria basada en Expresiones
Condiciones de Acceso basadas en Expresiones
Clasificar los documentos usando propiedades almacenadas en AD.
Clasificar documentos automáticamente en función de su contenido
Funcionalidades en WS 2012DATA CLASSIFICATION ACCESS CONTROL
![Page 8: DYNAMIC ACCESS CONTROL](https://reader035.fdocuments.us/reader035/viewer/2022062315/56815ebb550346895dcd3e2c/html5/thumbnails/8.jpg)
Clasificar la Información
Administrar Información en Función del Valor para el Negocio
Paso 1
Aplicar Políticas
según Clasificación
Paso 2
![Page 9: DYNAMIC ACCESS CONTROL](https://reader035.fdocuments.us/reader035/viewer/2022062315/56815ebb550346895dcd3e2c/html5/thumbnails/9.jpg)
DATA CLASSIFICATION
![Page 10: DYNAMIC ACCESS CONTROL](https://reader035.fdocuments.us/reader035/viewer/2022062315/56815ebb550346895dcd3e2c/html5/thumbnails/10.jpg)
¿Como se puede clasificar la información?
• En función de la carpeta donde se cree el archivo• Gestionado por el responsable de la información (carpeta)Ubicación
• Definida por el usuario• Plantillas pueden usarse para conservar configuraciones por
defectoManual
• Clasificación automática basada en contenido y características• Solución ideal para clasificar altos volúmenes de informaciónAutomática
• Aplicativos que almacenan información en servidores de fichero• Aplicaciones para gestión de información (DLP)Aplicación
![Page 11: DYNAMIC ACCESS CONTROL](https://reader035.fdocuments.us/reader035/viewer/2022062315/56815ebb550346895dcd3e2c/html5/thumbnails/11.jpg)
Las APIs existentes se han conservado y extendido
APIs para las funciones de clasificación Get/Set disponibles para roles no Administrador
Arquitectura de FCI
Set classification properties API for external applications
ClasificaciónAlmacén de
Propiedades de Clasificación
Windows ServerFile Classification Extensibility points
Aplica Política en Función de Clasificación
Descubrimiento
Extraen Propiedades
de Clasificación
Get classification properties API for external applications
![Page 12: DYNAMIC ACCESS CONTROL](https://reader035.fdocuments.us/reader035/viewer/2022062315/56815ebb550346895dcd3e2c/html5/thumbnails/12.jpg)
File Classification Infrastructure: ¿Que hay de nuevo?
Resource Property Definitions
FCI
Clasificador de
Contenido
VendorPlugin
Clasificación Continua
GuardaClasificación
Power Shell
• Clasificación Continua• Mejoras en el Clasificador• Nuevo Clasificador en Power-Shell• Dynamic namespace
• Global property definitions
• Cualquier usuario puede manualmente clasificar sus archivos• El responsable de una carpeta puede usar “Folder based classification with inheritance”
![Page 13: DYNAMIC ACCESS CONTROL](https://reader035.fdocuments.us/reader035/viewer/2022062315/56815ebb550346895dcd3e2c/html5/thumbnails/13.jpg)
Un Servidor de Archivos Windows 2012
Agregar el Rol de File Server
Instalar la Característica de FSRM
Requisitos para Clasificar Información
![Page 14: DYNAMIC ACCESS CONTROL](https://reader035.fdocuments.us/reader035/viewer/2022062315/56815ebb550346895dcd3e2c/html5/thumbnails/14.jpg)
DemoUsando File Clasification Infrastructure
![Page 15: DYNAMIC ACCESS CONTROL](https://reader035.fdocuments.us/reader035/viewer/2022062315/56815ebb550346895dcd3e2c/html5/thumbnails/15.jpg)
ACCESS CONTROL
![Page 16: DYNAMIC ACCESS CONTROL](https://reader035.fdocuments.us/reader035/viewer/2022062315/56815ebb550346895dcd3e2c/html5/thumbnails/16.jpg)
ACLs /ACEs BASADAS EN EXPRESIONES
PROPIEDADES Y REGLAS CENTRALIZADAS
CONTROL DE ACCESO BASADO EN CLAIMS (CBAC)
![Page 17: DYNAMIC ACCESS CONTROL](https://reader035.fdocuments.us/reader035/viewer/2022062315/56815ebb550346895dcd3e2c/html5/thumbnails/17.jpg)
Control de Acceso vía Expresiones
• Gestionar menos grupos de seguridad mediante expresiones condicionales
x 50País 50 GruposDepartamento
x 20 1000 GruposSecreto 2000 Grupos!
2000 grupos a solo 71 usando expresiones condicionalesMemberOf(PAIS_SG) AND MemberOf(Dep_SG) AND
MemberOf(Secreto_SG)
x 2
ACLs flexibles basadas en la clasificación de un documento u otras propiedades.
ACLs centralizadas
Condiciones de Acceso basadas en Expresiones
![Page 18: DYNAMIC ACCESS CONTROL](https://reader035.fdocuments.us/reader035/viewer/2022062315/56815ebb550346895dcd3e2c/html5/thumbnails/18.jpg)
Políticas de Acceso Central para
Archivos
• Habilitar a las organizaciones la definición de políticas de red que reflejen las intenciones de la empresa y permitan cumplir con regulaciones
Proteger Información
Sensible
• Identificar y proteger data critica mientras la información permanece en Windows Server 2012 pero también cuando deja este ambiente
Remediación para Acceso Denegado
• Mejorar la experiencia del usuario cuando se recibe un acceso denegado
Dynamic Access Control
![Page 19: DYNAMIC ACCESS CONTROL](https://reader035.fdocuments.us/reader035/viewer/2022062315/56815ebb550346895dcd3e2c/html5/thumbnails/19.jpg)
Uno o mas DCs en Windows Server 2012 (para los claims)
Un Servidor de Archivos Windows 2012
Clientes SMB
Requisitos de Dynamic Access Control
Access Denied Remediation solo soportado en clientes Win 8
![Page 20: DYNAMIC ACCESS CONTROL](https://reader035.fdocuments.us/reader035/viewer/2022062315/56815ebb550346895dcd3e2c/html5/thumbnails/20.jpg)
Tipos de Claims
Tipo de Claim Propiedades ExtensiónUser Claim • Usuario
• InetOrgPerson• Sobre 255 atributos
posibles • Atributos custom agregados
al esquema se pueden representar como claims
Device Claim • PC• MSA• gMSA
• Sobre 200 atributos posibles
• Atributos custom agregados al esquema se pueden representar como claims
Resource Property Claim
• Msds-resourceproperty
• Gestionado por AD y descargado por un servidor de ficheros
• Cada claim puede tener múltiples valores
• Globales para todos los recursos
• Cada claim existe como un objeto en AD y tiene múltiples posibles valores
Clientes Pre-Windows 8 no soportan Device Claims
![Page 21: DYNAMIC ACCESS CONTROL](https://reader035.fdocuments.us/reader035/viewer/2022062315/56815ebb550346895dcd3e2c/html5/thumbnails/21.jpg)
User claimsUser.Department = Finance
User.AccessLevel = High
Política de Acceso
Applies to: @File.Impact = HighAllow | Read, Write | if (@User.Department == @File.Department) AND
(@Device.Managed == True)
Device claimsDevice.Department =
FinanceDevice.Managed = True
Resource propertiesResource.Department =
FinanceResource.Impact = High
AD DS
21
Central Access Policies
File Server
![Page 22: DYNAMIC ACCESS CONTROL](https://reader035.fdocuments.us/reader035/viewer/2022062315/56815ebb550346895dcd3e2c/html5/thumbnails/22.jpg)
Applies to: Exists(File.Country)Allow | Read, Write | if (User.MemberOf(US_SG)) AND (File.Country==US)Allow | Read, Write | if (User.MemberOf(JP_SG)) AND (File.Country==JP)
22
Central Access PoliciesUsando grupos de seguridad
Applies to: Exists(File.Country)Allow | Read, Write | if (User.Country==File.Country)
Usando “user claims”
Applies to: Exists(File.Department)Allow | Read, Write | if (User.MemberOf(Finance_SG)) AND (File.Department==Finance)Allow | Read, Write | if (User.MemberOf(Operations_SG)) AND (File. Department==Operations)…
Applies to: Exists(File.Department)Allow | Read, Write | if (User.Department==File.Department)
![Page 23: DYNAMIC ACCESS CONTROL](https://reader035.fdocuments.us/reader035/viewer/2022062315/56815ebb550346895dcd3e2c/html5/thumbnails/23.jpg)
DemoCentral Policies & Claims
![Page 24: DYNAMIC ACCESS CONTROL](https://reader035.fdocuments.us/reader035/viewer/2022062315/56815ebb550346895dcd3e2c/html5/thumbnails/24.jpg)
En ResumenEn Active Directory:• Crear definición de propiedades para
los recursos• Configurar Políticas Centrales• Configurar Claims
En el Servidor de Archivos:• Clasificar Información• Asignar Política Central
Active Directory 2012
Servidor de Archivos Windows 2012
Usuario Final
Política de Acceso
Resource Property
Definitions
User Claims
![Page 25: DYNAMIC ACCESS CONTROL](https://reader035.fdocuments.us/reader035/viewer/2022062315/56815ebb550346895dcd3e2c/html5/thumbnails/25.jpg)
¿Preguntas?
![Page 26: DYNAMIC ACCESS CONTROL](https://reader035.fdocuments.us/reader035/viewer/2022062315/56815ebb550346895dcd3e2c/html5/thumbnails/26.jpg)
Webcasts grabadoshttp://technet.microsoft.com/es-es/ff721942.aspx
![Page 27: DYNAMIC ACCESS CONTROL](https://reader035.fdocuments.us/reader035/viewer/2022062315/56815ebb550346895dcd3e2c/html5/thumbnails/27.jpg)
Más TechNet• Webcasts grabados
http://technet.microsoft.com/es-es/ff721942.aspx
• Registro en futuros webcastshttp://technet.microsoft.com/es-es/bb291010.aspx
• Suscripción al boletín TechNet Flashhttp://www.microsoft.com/spain/technet/boletines/default.mspx
• TechCenters de TechNet (información de productos)http://technet.microsoft.com/es-es/bb421517.aspx
• Suscripciones TechNethttp://technet.microsoft.com/es-es/subscriptions/default.aspx
![Page 28: DYNAMIC ACCESS CONTROL](https://reader035.fdocuments.us/reader035/viewer/2022062315/56815ebb550346895dcd3e2c/html5/thumbnails/28.jpg)
Sigue a TechNet España
http://www.facebook.com/TechNet.Spain
http://www.twitter.com/TechNet_es