Le téléchargement de votre SlideShare est en cours. ×
0
Donnez votre avis !                   Depuis votre smartphone, sur :                    http://notes.mstechdays.fr    De n...
SEC 311 Dynamic Access                           Control       Protéger le patrimoine informationnel         de lentrepris...
Défis de la gestion des données                                                              Contraintes         Augmentat...
Besoins Métier → Résultat     stockage                                 Nécessité d’un                                 part...
Concepts          Expressions                                     Audit ciblé des                                 Marquage...
Classification manuelle et automatique        DEMODynamic Access Control
ACE* basés sur expressionsPre-2012: Uniquement ’OR’ entre groupes•Conduit à l’explosion des groupes•Considérant 500 projet...
Contrôle d’accès sur expressions conditionnelles (Groupes)        DEMODynamic Access Control
Revendications Utilisateur et Périphérique Pre-2012: Principaux de sécurité* uniquement •Les politiques de décision d’accè...
Propriétés de Classification standard     Domaine                      Propriétés                            Valeurs      ...
Politiques d’accès centrales                                  AD DS                                   File                ...
Politique centrale d’accès                                                           Windows                              ...
Quizz     •   Où sont stockées les revendications (claims) utilisateur et périphérique ?          – Réponse : Dans Active ...
Revendications utilisateur et propriété de ressources        DEMO ETAPE 1Dynamic Access Control
Central Access Rule/ Central Access Policy        GPO Central Access Policy        DEMO ETAPE 2Dynamic Access Control
Revendications utilisateur et propriété de ressources        DEMO ETAPE 3Dynamic Access Control
Kerberos et le nouveau jeton Dynamic Access Control s’appuie sur Kerberos  Extension Kerberos Windows 8  Identifiant co...
Classification automatique
Classification automatique        DEMODynamic Access Control
Synthèse     • Windows Server 2012 implémente un mécanisme de classification de       données automatique     • L’introduc...
Merci de votre attention !
Prochain SlideShare
Chargement dans... 5
×

Protéger le patrimoine informationnel de l'entreprise avec Dynamic Access Control de Windows Server 2012

786

Published on

Le contrôle d’accès dynamique disponible avec Windows Server 2012 permet d’améliorer et de simplifier la protection de vos données. Durant cette session vous découvrirez comment avec DAC, vous allez pouvoir utiliser des règles d’accès plus « intelligentes » pour diminuer de manière drastique le nombre de groupes de sécurité utilisés dans vos ACLs. Vous verrez comment introduire les claims (revendications) d’utilisateurs et de postes que l’on peut maintenant définir dans Active Directory et comprendre comment gérer centralement les règles d’accès et d’audit. Vous découvrirez enfin la nouvelle fonction de classification et de chiffrement automatique des données sensibles. Le tout sera agrémenté de démos pour bien comprendre comment tout cela fonctionne !

0 commentaires
0 mentions J'aime
Statistiques
Remarques
  • Soyez le premier à commenter

  • Be the first to like this

Aucun téléchargement
Vues
Total des vues
786
Sur Slideshare
0
À partir des ajouts
0
Nombre d'ajouts
0
Actions
Partages
0
Téléchargements
13
Commentaires
0
J'aime
0
Ajouts 0
No embeds

No notes for slide
  • Notation
  • Intro code / dev
  • =
  • Transcript of "Protéger le patrimoine informationnel de l'entreprise avec Dynamic Access Control de Windows Server 2012"

    1. 1. Donnez votre avis ! Depuis votre smartphone, sur : http://notes.mstechdays.fr De nombreux lots à gagner toutes les heures !!! Claviers, souris et jeux Microsoft… Merci de nous aider à améliorer les TechDayshttp://notes.mstechdays.fr
    2. 2. SEC 311 Dynamic Access Control Protéger le patrimoine informationnel de lentreprise avec Dynamic Access Control de Windows Server 2012 JY Grasset, Microsoft Pascal Saulière, MicrosoftInfrastructure
    3. 3. Défis de la gestion des données Contraintes Augmentation Budgétaires utilisateurs et Réglementation et données Informatique conformité liées distribuée au métier ? ?Dynamic Access Control
    4. 4. Besoins Métier → Résultat stockage Nécessité d’un partage par projet Les besoins métier de départ peuvent être simples Eviter la fuite d’informations L’ajout de politiques peut sensibles l’extérieur fragmenter l’infrastructure de stockage La complexité augmente le Rétention des risque d’inefficacité des contrats pendant politiques et empêche un 10 ans aperçu fin des données métierDynamic Access Control
    5. 5. Concepts Expressions Audit ciblé des Marquage manuel conditionnelles accès basé sur la par le propriétaire Chiffrement basées sur la classification des des données automatique RMS classification des documents et basé sur la documents et les l’identité utilisateur Classification classification des revendications automatique des documents utilisateur et Déploiement documents basée périphérique (+ centralisé des sur leur contenu Extensibilité pour groupes sécurité) politiques d’audit autres types de avec Classification par les protection Listes de contrôles les politiques d’audit applications d’accès centralisées globalesDynamic Access Control
    6. 6. Classification manuelle et automatique DEMODynamic Access Control
    7. 7. ACE* basés sur expressionsPre-2012: Uniquement ’OR’ entre groupes•Conduit à l’explosion des groupes•Considérant 500 projets, 100 pays, 10 divisions•500,000 groupes pour représenter toutes les combinaisons: •ProjetZ FR Recherche-Developpement •ProjetZ GE Recherche-Developpement, etc.Windows Server 2012: expressions avec ‘AND’•Les conditions dans les ACE permettent d’associer de multiples groupes avec des opérateurs booléens •Exemple: Allow modify IF MemberOf(ProjectZ) AND MemberOf(FR) AND MemberOf(Recherche-Developpement)•610 groupes au lieu de 500,000 (500 projets + 100 pays + 10 divisions)Windows Server 2012: avec Classification & Politiques centrales d’accès•3 Revendications Utilisateur (!) (*) ACE- Access Control Entry: entrée de contrôle daccès
    8. 8. Contrôle d’accès sur expressions conditionnelles (Groupes) DEMODynamic Access Control
    9. 9. Revendications Utilisateur et Périphérique Pre-2012: Principaux de sécurité* uniquement •Les politiques de décision d’accès sont uniquement basées sur les appartenances de l’utilisateur à des groupes •Des groupes “fantômes” sont souvent créés pour refléter des attributs existants en tant que groupes •Les groupes ont des règles autour de qui peut être membres de tels types de groupes •Pas moyen de transformer les groupes entre les frontières Active Directory •Pas de moyen pour contrôler l’accès en fonction des caractéristiques du périphérique de l’utilisateur Windows Server 2012: Principaux de sécurité , revendication utilisateur ou périphérique •Les attributs Utilisateur/ordinateur sont inclus dans le jeton de sécurité •Les revendications peuvent être utilisées directement dans les autorisations des serveurs de fichiers •Les revendications sont cohérentes à l’intérieur de la forêt •Les revendications peuvent être transformées entre les frontières de forêts •Permet de nouveaux types de politiques qui n’étaient pas disponibles précédemment •Exemple: Allow Write if User.MemberOf(Finance) and User.EmployeeType=FullTime and Device.Managed=True (*) Principal de sécurité: Un compte (utilisateur, groupe de sécurité, ordinateur) à qui peut être accordé ou refusé laccès aux ressources
    10. 10. Propriétés de Classification standard Domaine Propriétés Valeurs Personally Identifiable Information High; Moderate; Low; Public; Not PII Information Privacy Protected Health Information High; Moderate; Low Confidentiality High; Moderate; Low Information Security Required Clearance Restricted; Internal Use; Public SOX; PCI; HIPAA/HITECH; NIST SP 800-53; NIST SP 800-122; U.S.-EU Safe Compliancy Harbor Framework; GLBA; ITAR; PIPEDA; EU Data Protection Directive; Japanese Personal Information Privacy Act Legal Discoverability Privileged; Hold Immutable Yes/No Copyright; Trade Secret; Parent Application Document; Patent Supporting Intellectual Property Document Retention Long-term; Mid-term; Short-term; Indefinite Records Management Retention Start Date <Date Value> Impact High; Moderate; Low Department Engineering ;Legal; Human Resources … Organizational Project <Project> Personal Use Yes/NoDynamic Access Control
    11. 11. Politiques d’accès centrales AD DS File Server Revendications Revendications Propriétés de la Utilisateurs Périphérique Ressource User.Department = Finance Device.Department = Finance Resource.Department = Finance User.Clearance = High Device.Managed = True Resource.Impact = High POLITIQUES D’ACCES S’applique à: @File.Impact = High Autoriser| Lecture, Ecriture | si (@User.Department == @File.Department) ET(@Device.Managed == True)Dynamic Access Control 11
    12. 12. Politique centrale d’accès Windows Server 2012 Active Directory Dans Active Directory: Revendications Définitions Utilisateur propriétés 1. Configurer les revendications utilisateur ressources 2. Créer les définitions des propriétés de Politique ressources d’accès 3. Configurer les politiques centrales d’accès Sur le serveur de fichiers: 1. Classifier les informations 2. Assigner une politique centrale A l’exécution: Serveur de fichiers Utilisateur • L’accès utilisateur est évalué Windows Server 2012Dynamic Access Control
    13. 13. Quizz • Où sont stockées les revendications (claims) utilisateur et périphérique ? – Réponse : Dans Active Directory • Où sont stockées les propriétés Ressource ? – Au niveau de la ressource: Datastream/Security Descriptor ou format Office) • Où sont définies et stockées les politiques d’accès centrales ? – Active Directory et ensuite distribuées sur les serveurs • Où sont utilisées les politiques d’accès ? – Sur les serveurs de fichiers • Dans quoi retrouve-t-on les revendications utilisateur et périphérique ? – Le jeton de sécurité associé à l’utilisateur • Comment sont transportées les revendications utilisateur et périphérique ? – On va le voir plus loin (une idée?)Dynamic Access Control
    14. 14. Revendications utilisateur et propriété de ressources DEMO ETAPE 1Dynamic Access Control
    15. 15. Central Access Rule/ Central Access Policy GPO Central Access Policy DEMO ETAPE 2Dynamic Access Control
    16. 16. Revendications utilisateur et propriété de ressources DEMO ETAPE 3Dynamic Access Control
    17. 17. Kerberos et le nouveau jeton Dynamic Access Control s’appuie sur Kerberos  Extension Kerberos Windows 8  Identifiant composé (Compound ID) – Associe l’utilisateur au périphérique pour être considéré comme un unique principal de sécurité au niveau autorisation Le contrôleur de domaine émet des groupes et des revendications  Le DC énumère les revendications utilisateur  Les revendications sont délivrées dans le PAC Kerberos Le jeton NT Token possède des sections  Données Utilisateur et Périphérique
    18. 18. Classification automatique
    19. 19. Classification automatique DEMODynamic Access Control
    20. 20. Synthèse • Windows Server 2012 implémente un mécanisme de classification de données automatique • L’introduction d’expressions conditionnelles dans le contrôle d’accès permet de limiter de manière drastique le nombre de groupes et de prendre en compte la notion de revendications • Les politiques d’accès intelligentes peuvent être définies et appliquées de manière centrale • Des règles associées à la classification permettent la protection contre la fuite d’information par chiffrement automatique • AuditDynamic Access Control
    21. 21. Merci de votre attention !
    1. A particular slide catching your eye?

      Clipping is a handy way to collect important slides you want to go back to later.

    ×