||

4 Динамическое управление доступом (Dynamic Access Control, DAC) Доменные службы Active Directory

|| ПРОБЛЕМЫ Развертывание инфраструктуры для частного и гибридного облаков Обеспечение управляемости инфраструктуры Обеспечение безопасности данных Реализация удаленного доступа к информации с различных устройств Переход к облачным технологиям Современный стиль работы с информацией Стремительный рост объемов данных и распространение информации Соблюдение государственных и отраслевых требований ПОТРЕБНОСТИ 5

|| Централизованные политики доступа Аудит доступа к файлам Интеграция со службами управления правами Active Directory Предварительное планирование и моделирование влияния изменений на политику доступа Автоматическое определение и классификация данных по содержимому Централизованное управление доступом с помощью Active Directory Быстрое устранение ошибок, связанных с правами пользователей ДИНАМИЧЕСКОЕ УПРАВЛЕНИЕ ДОСТУПОМ Инфраструктура классификации файлов 6

|| Классификация Управление доступомАудит Службы управления правами (RMS) Файлы наследуют теги классификации от родительской папки Владельцы файлов вручную добавляют теги к файлам Теги к файлам добавляются автоматически Теги к файлам добавляются приложениями Централизованные политики доступа основаны на классификации Условия доступа для утверждений пользователей, утверждений устройств и тегов файлов основаны на выражениях Помощь в случае отказа в доступе Централизованные политики аудита можно применять к нескольким файловым серверам Аудит для утверждений пользователей, утверждений устройств и тегов файлов основан на выражениях Аудит можно выполнять поэтапно, чтобы моделировать изменения политик в реальной среде Автоматическая защита с помощью RMS для документов Microsoft Office Защита обеспечивается практически в реальном времени, когда файлу присваивается тег Защита RMS распространяется на файлы, не созданные в Microsoft Office ДИНАМИЧЕСКОЕ УПРАВЛЕНИЕ ДОСТУПОМ 7

|| Создание или редактирование файла Определение классификации Сохранение классификации Встроенный классификато р содержимого Сторонний подключаемы й модуль классификаци и По расположению Вручную По контексту Приложением ДИНАМИЧЕСКОЕ УПРАВЛЕНИЕ ДОСТУПОМ 8

|| Пользователь redmond\jsmith / S Группы MktgFTE / S RemoteAccess / S High-PII / S Утверждения «Подразделение»Dept_ Строка«Маркетинг» «Страна»Country_ Строка«US» Просматриваются с использованием whoami /claims из командной строки Извлекаются из значений свойств и выпускаются как часть маркера, полученного при входе в систему ДИНАМИЧЕСКОЕ УПРАВЛЕНИЕ ДОСТУПОМ Используются в ходе авторизации (если включено) 9

|| Утверждения пользователей User.Department = Finance User.Clearance = High Политика доступа Чтобы получить доступ к финансовой информации, которая обладает большой значимостью для бизнеса, пользователь должен работать в финансовом отделе, где проводится тщательная проверка на безопасность, и должен использовать управляемое устройство, зарегистрированное в финансовом отделе. Утверждения устройств Device.Department = Finance Device.Managed = True Свойства ресурсов Resource.Department = Finance Resource.Impact = High Доменные службы Active Directory ДИНАМИЧЕСКОЕ УПРАВЛЕНИЕ ДОСТУПОМ 10 Файловый сервер

|| Доменные службы Active Directory Характеристики политики Включает централизованные правила доступа (central access rules) Применяется к файловым серверам с помощью объектов групповых политик Дополняет (но не заменяет) встроенные списки управления доступом к файлам и папкам на базе файловой системы NTFS ДИНАМИЧЕСКОЕ УПРАВЛЕНИЕ ДОСТУПОМ 11 Корпоративные файловые серверы Политика «Персональная информация» Политика «Финансы» Пользовательские папки Папки финансового отдела Организационные политики Значительное влияние на бизнес Персональная информация Политика «Значительное влияние на бизнес» Политики финансового отдела Значительное влияние на бизнес Персональная информация Финансы

|| Доменные службы Active Directory Создание определений утверждений Создание определений свойств файлов Создание централизованной политики доступа Групповая политика Отправка централизованных политик доступа на файловые серверы Файловый сервер Применение политики доступа к общей папке Идентификация информации Пользовательски й компьютер Пользователь пытается получить доступ к информации ДИНАМИЧЕСКОЕ УПРАВЛЕНИЕ ДОСТУПОМ 12 Доменные службы Active Directory Пользователь Файловый сервер Разрешить или запретить Определения утверждений Политика аудита Определения свойств файлов

|| Авторизация в рамках всей организации Авторизация на уровне отдела Управление определенными данными Специфичный доступ ДИНАМИЧЕСКОЕ УПРАВЛЕНИЕ ДОСТУПОМ 13

|| Процесс, который позволяет получить доступ к файлам после отказа в доступе На компьютере с Windows 8 система получает данные доступа из диспетчера ресурсов файлового сервера и отображает сообщение с вариантами восстановления доступа Если варианты восстановления включают ссылку для запроса доступа, пользователь может запросить доступ к файлу. Как вариант, пользователь может запросить справку по доступу, отправив сообщение электронной почты После того как пользователь выполнил требования к доступу, утверждения пользователя обновляются и пользователь может получить доступ к файлу ДИНАМИЧЕСКОЕ УПРАВЛЕНИЕ ДОСТУПОМ Файловый сервер Пользователь Доменные службы Active Directory

|| ДИНАМИЧЕСКОЕ УПРАВЛЕНИЕ ДОСТУПОМ 15 Доменные службы Active Directory Создание типов утверждений Создание свойств ресурсов Групповая политика Создание глобальной политики аудита Файловый сервер Выбор и применение свойств ресурсов к общим папкам Пользовательски й компьютер Пользователь пытается получить доступ к информации Доменные службы Active Directory Пользователь Файловый сервер Разрешить или запретить Определения утверждений Политика аудита Определения свойств файлов

|| Аудит каждого, кто не прошел тщательную проверку на безопасность и пытается получить доступ к документу, имеющему высокое значение для бизнеса Аудит всех поставщиков, когда они пытаются получить доступ к документам, не связанным с их текущими проектами Audit | Everyone | All-Access | Resource.BusinessImpact=HBI AND User.SecurityClearance!=High Audit | Everyone | All-Access | User.EmploymentStatus=Vendor AND User.Project Not_AnyOf Resource.Project. ДИНАМИЧЕСКОЕ УПРАВЛЕНИЕ ДОСТУПОМ 16

|| Демонстрация Настройка и применение динамического управления доступом 17

|| 18

|| Демонстрация Настройка и применение динамического управления доступом 19

|| Шифрование файла на основе классификации На контроллере домена создаются определения утверждений, определения свойств файлов и политики доступа Пользователь создает файл со словом «конфиденциально» в тексте и сохраняет его. Модуль классификации классифицирует файл как «очень важный» в соответствии с настроенными правилами На файловом сервере правило автоматически применяет защиту RMS ко всем файлам, которые классифицируются как «очень важные» Шаблон и шифрование RMS применяются к файлу на файловом сервере, и файл шифруется ДИНАМИЧЕСКОЕ УПРАВЛЕНИЕ ДОСТУПОМ Файловый сервер Сервер RMS Модуль классификации 4 Пользователь Доменные службы Active Directory

|| Демонстрация Применение шаблона RMS на основе классификации файлов 21

|| Классификация Управление доступомАудит Службы управления правами (RMS) Идентификация данных Классификация файлов автоматически и вручную Управление доступом к файлам Поддержка централизованных политик доступа в рамках общей корпоративной системы безопасности Аудит доступа к файлам Поддержка централизованных политик аудита для составления отчетов о соблюдении требований и судебного анализа Применение шифрования RMS Уменьшение информационных утечек ДИНАМИЧЕСКОЕ УПРАВЛЕНИЕ ДОСТУПОМ 22

|| Развертывание контроллеров доменов Active Directory в публичных и частных облаках Масштабируемое управление Active Directory Быстрое развертывание новых контроллеров доменов при изменении потребностей организации Полноценное управление Active Directory с использованием Windows PowerShell Клонирование контроллеров доменов Поддержка виртуальных контроллеров доменов Усовершенствованное развертывание контроллеров доменов Усовершенствованный центр администрирования Active Directory ДОМЕННЫЕ СЛУЖБЫ ACTIVE DIRECTORY 23

|| 24 ДОМЕННЫЕ СЛУЖБЫ ACTIVE DIRECTORY Обнаружение отката Виртуальные контроллеры доменов используют уникальный атрибут GenerationID, чтобы распознавать следующие события: Применение снимков Копирование виртуальной машины GenerationID изменяется, когда происходит событие, влияющее на положение виртуальной машины на оси времени Во время запуска виртуальный контроллер домена сравнивает текущее значение GenerationID со значением, которое хранится в каталоге В случае несовпадения (событие отката) запускается процедура безопасного согласования виртуального контроллера домена

|| 25 ДОМЕННЫЕ СЛУЖБЫ ACTIVE DIRECTORY Использование мастера для развертывания отдельного виртуального контроллера домена Настройка дополнительных параметров для клона контроллера домена (например, имя и IP-адрес) Копирование исходной виртуальной машины контроллера домена и перезапуск для завершения операции клонирования 1 2 Виртуальный контроллер доменаКлоны 3

|| Демонстрация Клонирование контроллера домена 26

|| Преимущества Оптимизированное повышение уровняконтроллера домена Поддержка удаленного развертывания 27 ДОМЕННЫЕ СЛУЖБЫ ACTIVE DIRECTORY

|| Удаленный запуск на нескольких серверах Возможность экспорта сценариев Windows PowerShell 28 ДОМЕННЫЕ СЛУЖБЫ ACTIVE DIRECTORY Интегрированна я проверка перед развертыванием Упрощенные страницы конфигурации Проверка необходимых компонентов

|| Преимущества Более быстрое обучение Более уверенная разработка сценариев Расширение поиска в Windows PowerShell Поддержка корзины Active Directory вграфическом интерфейсе 29 ДОМЕННЫЕ СЛУЖБЫ ACTIVE DIRECTORY

|| Активация клиентов с использованием существующей инфраструктуры Active Directory Автоматическая активация компьютеров под управлением Windows 8 и Windows Server 2012 Объект активации поддерживается в разделе конфигурации Никакие данные, кроме необходимых для работы службы, не записываются в каталог 30 ДОМЕННЫЕ СЛУЖБЫ ACTIVE DIRECTORY

|| Управление именами SPN Автоматическо е управление паролями Делегирование управления 31 ДОМЕННЫЕ СЛУЖБЫ ACTIVE DIRECTORY

|| Демонстрация Мастер развертывания Active Directory 32

|| Оптимизированное развертывание контроллеров доменов Защита виртуальных контроллеров доменов Интуитивно понятное, согласованное управление Автоматическая активация ПО и управление учетными записями служб для групп серверов РазвертываниеВиртуализацияУправление Расширенный функционал 33 ДОМЕННЫЕ СЛУЖБЫ ACTIVE DIRECTORY

|| 34

|| 35