Protéger le patrimoine informationnel de l'entreprise avec Dynamic Access Control de Windows Server 2012
Upcoming SlideShare
Loading in...5
×
 

Like this? Share it with your network

Share

Protéger le patrimoine informationnel de l'entreprise avec Dynamic Access Control de Windows Server 2012

le

  • 682 vues

Le contrôle d’accès dynamique disponible avec Windows Server 2012 permet d’améliorer et de simplifier la protection de vos données. Durant cette session vous découvrirez comment avec DAC, ...

Le contrôle d’accès dynamique disponible avec Windows Server 2012 permet d’améliorer et de simplifier la protection de vos données. Durant cette session vous découvrirez comment avec DAC, vous allez pouvoir utiliser des règles d’accès plus « intelligentes » pour diminuer de manière drastique le nombre de groupes de sécurité utilisés dans vos ACLs. Vous verrez comment introduire les claims (revendications) d’utilisateurs et de postes que l’on peut maintenant définir dans Active Directory et comprendre comment gérer centralement les règles d’accès et d’audit. Vous découvrirez enfin la nouvelle fonction de classification et de chiffrement automatique des données sensibles. Le tout sera agrémenté de démos pour bien comprendre comment tout cela fonctionne !

Statistiques

Vues

Total des vues
682
Vues sur SlideShare
682
Vues externes
0

Actions

J'aime
0
Téléchargements
9
Commentaires
0

0 Ajouts 0

No embeds

Accessibilité

Catégories

Détails de l'import

Uploaded via as Microsoft PowerPoint

Droits d'utilisation

© Tous droits réservés

Report content

Signalé comme inapproprié Signaler comme inapproprié
Signaler comme inapproprié

Indiquez la raison pour laquelle vous avez signalé cette présentation comme n'étant pas appropriée.

Annuler
  • Full Name Full Name Comment goes here.
    Êtes-vous sûr de vouloir
    Votre message apparaîtra ici
    Processing...
Poster un commentaire
Modifier votre commentaire
  • Notation
  • Intro code / dev
  • =

Protéger le patrimoine informationnel de l'entreprise avec Dynamic Access Control de Windows Server 2012 Presentation Transcript

  • 1. Donnez votre avis ! Depuis votre smartphone, sur : http://notes.mstechdays.fr De nombreux lots à gagner toutes les heures !!! Claviers, souris et jeux Microsoft… Merci de nous aider à améliorer les TechDayshttp://notes.mstechdays.fr
  • 2. SEC 311 Dynamic Access Control Protéger le patrimoine informationnel de lentreprise avec Dynamic Access Control de Windows Server 2012 JY Grasset, Microsoft Pascal Saulière, MicrosoftInfrastructure
  • 3. Défis de la gestion des données Contraintes Augmentation Budgétaires utilisateurs et Réglementation et données Informatique conformité liées distribuée au métier ? ?Dynamic Access Control
  • 4. Besoins Métier → Résultat stockage Nécessité d’un partage par projet Les besoins métier de départ peuvent être simples Eviter la fuite d’informations L’ajout de politiques peut sensibles l’extérieur fragmenter l’infrastructure de stockage La complexité augmente le Rétention des risque d’inefficacité des contrats pendant politiques et empêche un 10 ans aperçu fin des données métierDynamic Access Control
  • 5. Concepts Expressions Audit ciblé des Marquage manuel conditionnelles accès basé sur la par le propriétaire Chiffrement basées sur la classification des des données automatique RMS classification des documents et basé sur la documents et les l’identité utilisateur Classification classification des revendications automatique des documents utilisateur et Déploiement documents basée périphérique (+ centralisé des sur leur contenu Extensibilité pour groupes sécurité) politiques d’audit autres types de avec Classification par les protection Listes de contrôles les politiques d’audit applications d’accès centralisées globalesDynamic Access Control
  • 6. Classification manuelle et automatique DEMODynamic Access Control
  • 7. ACE* basés sur expressionsPre-2012: Uniquement ’OR’ entre groupes•Conduit à l’explosion des groupes•Considérant 500 projets, 100 pays, 10 divisions•500,000 groupes pour représenter toutes les combinaisons: •ProjetZ FR Recherche-Developpement •ProjetZ GE Recherche-Developpement, etc.Windows Server 2012: expressions avec ‘AND’•Les conditions dans les ACE permettent d’associer de multiples groupes avec des opérateurs booléens •Exemple: Allow modify IF MemberOf(ProjectZ) AND MemberOf(FR) AND MemberOf(Recherche-Developpement)•610 groupes au lieu de 500,000 (500 projets + 100 pays + 10 divisions)Windows Server 2012: avec Classification & Politiques centrales d’accès•3 Revendications Utilisateur (!) (*) ACE- Access Control Entry: entrée de contrôle daccès
  • 8. Contrôle d’accès sur expressions conditionnelles (Groupes) DEMODynamic Access Control
  • 9. Revendications Utilisateur et Périphérique Pre-2012: Principaux de sécurité* uniquement •Les politiques de décision d’accès sont uniquement basées sur les appartenances de l’utilisateur à des groupes •Des groupes “fantômes” sont souvent créés pour refléter des attributs existants en tant que groupes •Les groupes ont des règles autour de qui peut être membres de tels types de groupes •Pas moyen de transformer les groupes entre les frontières Active Directory •Pas de moyen pour contrôler l’accès en fonction des caractéristiques du périphérique de l’utilisateur Windows Server 2012: Principaux de sécurité , revendication utilisateur ou périphérique •Les attributs Utilisateur/ordinateur sont inclus dans le jeton de sécurité •Les revendications peuvent être utilisées directement dans les autorisations des serveurs de fichiers •Les revendications sont cohérentes à l’intérieur de la forêt •Les revendications peuvent être transformées entre les frontières de forêts •Permet de nouveaux types de politiques qui n’étaient pas disponibles précédemment •Exemple: Allow Write if User.MemberOf(Finance) and User.EmployeeType=FullTime and Device.Managed=True (*) Principal de sécurité: Un compte (utilisateur, groupe de sécurité, ordinateur) à qui peut être accordé ou refusé laccès aux ressources
  • 10. Propriétés de Classification standard Domaine Propriétés Valeurs Personally Identifiable Information High; Moderate; Low; Public; Not PII Information Privacy Protected Health Information High; Moderate; Low Confidentiality High; Moderate; Low Information Security Required Clearance Restricted; Internal Use; Public SOX; PCI; HIPAA/HITECH; NIST SP 800-53; NIST SP 800-122; U.S.-EU Safe Compliancy Harbor Framework; GLBA; ITAR; PIPEDA; EU Data Protection Directive; Japanese Personal Information Privacy Act Legal Discoverability Privileged; Hold Immutable Yes/No Copyright; Trade Secret; Parent Application Document; Patent Supporting Intellectual Property Document Retention Long-term; Mid-term; Short-term; Indefinite Records Management Retention Start Date <Date Value> Impact High; Moderate; Low Department Engineering ;Legal; Human Resources … Organizational Project <Project> Personal Use Yes/NoDynamic Access Control
  • 11. Politiques d’accès centrales AD DS File Server Revendications Revendications Propriétés de la Utilisateurs Périphérique Ressource User.Department = Finance Device.Department = Finance Resource.Department = Finance User.Clearance = High Device.Managed = True Resource.Impact = High POLITIQUES D’ACCES S’applique à: @File.Impact = High Autoriser| Lecture, Ecriture | si (@User.Department == @File.Department) ET(@Device.Managed == True)Dynamic Access Control 11
  • 12. Politique centrale d’accès Windows Server 2012 Active Directory Dans Active Directory: Revendications Définitions Utilisateur propriétés 1. Configurer les revendications utilisateur ressources 2. Créer les définitions des propriétés de Politique ressources d’accès 3. Configurer les politiques centrales d’accès Sur le serveur de fichiers: 1. Classifier les informations 2. Assigner une politique centrale A l’exécution: Serveur de fichiers Utilisateur • L’accès utilisateur est évalué Windows Server 2012Dynamic Access Control
  • 13. Quizz • Où sont stockées les revendications (claims) utilisateur et périphérique ? – Réponse : Dans Active Directory • Où sont stockées les propriétés Ressource ? – Au niveau de la ressource: Datastream/Security Descriptor ou format Office) • Où sont définies et stockées les politiques d’accès centrales ? – Active Directory et ensuite distribuées sur les serveurs • Où sont utilisées les politiques d’accès ? – Sur les serveurs de fichiers • Dans quoi retrouve-t-on les revendications utilisateur et périphérique ? – Le jeton de sécurité associé à l’utilisateur • Comment sont transportées les revendications utilisateur et périphérique ? – On va le voir plus loin (une idée?)Dynamic Access Control
  • 14. Revendications utilisateur et propriété de ressources DEMO ETAPE 1Dynamic Access Control
  • 15. Central Access Rule/ Central Access Policy GPO Central Access Policy DEMO ETAPE 2Dynamic Access Control
  • 16. Revendications utilisateur et propriété de ressources DEMO ETAPE 3Dynamic Access Control
  • 17. Kerberos et le nouveau jeton Dynamic Access Control s’appuie sur Kerberos  Extension Kerberos Windows 8  Identifiant composé (Compound ID) – Associe l’utilisateur au périphérique pour être considéré comme un unique principal de sécurité au niveau autorisation Le contrôleur de domaine émet des groupes et des revendications  Le DC énumère les revendications utilisateur  Les revendications sont délivrées dans le PAC Kerberos Le jeton NT Token possède des sections  Données Utilisateur et Périphérique
  • 18. Classification automatique
  • 19. Classification automatique DEMODynamic Access Control
  • 20. Synthèse • Windows Server 2012 implémente un mécanisme de classification de données automatique • L’introduction d’expressions conditionnelles dans le contrôle d’accès permet de limiter de manière drastique le nombre de groupes et de prendre en compte la notion de revendications • Les politiques d’accès intelligentes peuvent être définies et appliquées de manière centrale • Des règles associées à la classification permettent la protection contre la fuite d’information par chiffrement automatique • AuditDynamic Access Control
  • 21. Merci de votre attention !