SlideShare une entreprise Scribd logo
1  sur  21
Donnez votre avis !
                   Depuis votre smartphone, sur :
                    http://notes.mstechdays.fr

    De nombreux lots à gagner toutes les heures !!!
               Claviers, souris et jeux Microsoft…

       Merci de nous aider à améliorer les TechDays

http://notes.mstechdays.fr
SEC 311 Dynamic Access
                           Control
       Protéger le patrimoine informationnel
         de l'entreprise avec Dynamic Access
            Control de Windows Server 2012

                               JY Grasset, Microsoft
                           Pascal Saulière, Microsoft



Infrastructure
Défis de la gestion des données



                                                              Contraintes
         Augmentation                                         Budgétaires
         utilisateurs et
                                          Réglementation et
            données        Informatique    conformité liées
                             distribuée       au métier
                ?
                                               ?
Dynamic Access Control
Besoins Métier → Résultat
     stockage
                                 Nécessité d’un
                                 partage par projet

  Les besoins métier de départ
  peuvent être simples           Eviter la fuite
                                 d’informations
   L’ajout de politiques peut
                                 sensibles l’extérieur
   fragmenter l’infrastructure
   de stockage

  La complexité augmente le      Rétention des
  risque d’inefficacité des      contrats pendant
  politiques et empêche un       10 ans
  aperçu fin des données
  métier

Dynamic Access Control
Concepts

          Expressions                                     Audit ciblé des
                                 Marquage manuel
          conditionnelles                                 accès basé sur la
                                 par le propriétaire                               Chiffrement
          basées sur la                                   classification des
                                 des données                                       automatique RMS
          classification des                              documents et
                                                                                   basé sur la
          documents et les                                l’identité utilisateur
                                 Classification                                    classification des
          revendications
                                 automatique des                                   documents
          utilisateur et                                  Déploiement
                                 documents basée
          périphérique (+                                 centralisé des
                                 sur leur contenu                                  Extensibilité pour
          groupes sécurité)                               politiques d’audit
                                                                                   autres types de
                                                          avec
                                 Classification par les                            protection
          Listes de contrôles                             les politiques d’audit
                                 applications
          d’accès centralisées                            globales



Dynamic Access Control
Classification manuelle et automatique

        DEMO

Dynamic Access Control
ACE* basés sur expressions
Pre-2012: Uniquement ’OR’ entre groupes

•Conduit à l’explosion des groupes
•Considérant 500 projets, 100 pays, 10 divisions
•500,000 groupes pour représenter toutes les combinaisons:
 •ProjetZ FR Recherche-Developpement
 •ProjetZ GE Recherche-Developpement, etc.

Windows Server 2012: expressions avec ‘AND’

•Les conditions dans les ACE permettent d’associer de multiples groupes avec des opérateurs booléens
 •Exemple: Allow modify IF MemberOf(ProjectZ) AND MemberOf(FR) AND MemberOf(Recherche-Developpement)
•610 groupes au lieu de 500,000 (500 projets + 100 pays + 10 divisions)

Windows Server 2012: avec Classification & Politiques centrales d’accès

•3 Revendications Utilisateur (!)

                                                                                        (*) ACE- Access Control Entry:
                                                                                        entrée de contrôle d'accès
Contrôle d’accès sur expressions conditionnelles (Groupes)

        DEMO

Dynamic Access Control
Revendications Utilisateur et Périphérique

 Pre-2012: Principaux de sécurité* uniquement

 •Les politiques de décision d’accès sont uniquement basées sur les appartenances de l’utilisateur à des groupes
 •Des groupes “fantômes” sont souvent créés pour refléter des attributs existants en tant que groupes
 •Les groupes ont des règles autour de qui peut être membres de tels types de groupes
 •Pas moyen de transformer les groupes entre les frontières Active Directory
 •Pas de moyen pour contrôler l’accès en fonction des caractéristiques du périphérique de l’utilisateur

 Windows Server 2012: Principaux de sécurité , revendication utilisateur ou périphérique

 •Les attributs Utilisateur/ordinateur sont inclus dans le jeton de sécurité
 •Les revendications peuvent être utilisées directement dans les autorisations des serveurs de fichiers
 •Les revendications sont cohérentes à l’intérieur de la forêt
 •Les revendications peuvent être transformées entre les frontières de forêts
 •Permet de nouveaux types de politiques qui n’étaient pas disponibles précédemment
 •Exemple: Allow Write if User.MemberOf(Finance) and User.EmployeeType=FullTime and Device.Managed=True

                                                           (*) Principal de sécurité: Un compte (utilisateur, groupe de sécurité, ordinateur)
                                                           à qui peut être accordé ou refusé l'accès aux ressources
Propriétés de Classification standard
     Domaine                      Propriétés                            Valeurs

                                 Personally Identifiable Information   High; Moderate; Low; Public; Not PII
           Information Privacy
                                 Protected Health Information          High; Moderate; Low
                                 Confidentiality                       High; Moderate; Low
          Information Security
                                 Required Clearance                    Restricted; Internal Use; Public
                                                                       SOX; PCI; HIPAA/HITECH; NIST SP 800-53; NIST SP 800-122; U.S.-EU Safe
                                 Compliancy                            Harbor Framework; GLBA; ITAR; PIPEDA; EU Data Protection Directive; Japanese
                                                                       Personal Information Privacy Act

                   Legal         Discoverability                       Privileged; Hold
                                 Immutable                             Yes/No
                                                                       Copyright; Trade Secret; Parent Application Document; Patent Supporting
                                 Intellectual Property                 Document
                                 Retention                             Long-term; Mid-term; Short-term; Indefinite
          Records Management
                                 Retention Start Date                  <Date Value>
                                 Impact                                High; Moderate; Low
                                 Department                            Engineering ;Legal; Human Resources …
               Organizational
                                 Project                               <Project>
                                 Personal Use                          Yes/No



Dynamic Access Control
Politiques d’accès centrales
                                  AD DS                                   File
                                                                         Server
       Revendications                        Revendications                   Propriétés de la
        Utilisateurs                          Périphérique                      Ressource
      User.Department = Finance            Device.Department = Finance     Resource.Department = Finance
        User.Clearance = High                Device.Managed = True            Resource.Impact = High




                                          POLITIQUES D’ACCES
                                        S’applique à: @File.Impact = High
    Autoriser| Lecture, Ecriture | si (@User.Department == @File.Department) ET(@Device.Managed ==
                                                       True)

Dynamic Access Control                                                                                     11
Politique centrale d’accès                                                           Windows
                                                                                            Server 2012
                                                                                            Active Directory
   Dans Active Directory:                                  Revendications             Définitions
                                                             Utilisateur              propriétés
   1. Configurer les revendications utilisateur
                                                                                      ressources
   2. Créer les définitions des propriétés de
                                                                     Politique
      ressources                                                      d’accès

   3. Configurer les politiques centrales
      d’accès
   Sur le serveur de fichiers:
   1. Classifier les informations
   2. Assigner une politique centrale
   A l’exécution:                                                   Serveur de fichiers
                                                  Utilisateur
   •   L’accès utilisateur est évalué                               Windows Server 2012



Dynamic Access Control
Quizz
     •   Où sont stockées les revendications (claims) utilisateur et périphérique ?
          – Réponse : Dans Active Directory
     •   Où sont stockées les propriétés Ressource ?
          – Au niveau de la ressource: Datastream/Security Descriptor ou format
            Office)
     •   Où sont définies et stockées les politiques d’accès centrales ?
          – Active Directory et ensuite distribuées sur les serveurs
     •   Où sont utilisées les politiques d’accès ?
          – Sur les serveurs de fichiers
     •   Dans quoi retrouve-t-on les revendications utilisateur et périphérique ?
          – Le jeton de sécurité associé à l’utilisateur
     •   Comment sont transportées les revendications utilisateur et périphérique ?
          – On va le voir plus loin (une idée?)

Dynamic Access Control
Revendications utilisateur et propriété de ressources

        DEMO ETAPE 1

Dynamic Access Control
Central Access Rule/ Central Access Policy
        GPO Central Access Policy


        DEMO ETAPE 2

Dynamic Access Control
Revendications utilisateur et propriété de ressources

        DEMO ETAPE 3

Dynamic Access Control
Kerberos et le nouveau jeton
 Dynamic Access Control s’appuie sur Kerberos
  Extension Kerberos Windows 8
  Identifiant composé (Compound ID) – Associe l’utilisateur au périphérique
   pour être considéré comme un unique principal de sécurité au niveau
   autorisation
 Le contrôleur de domaine émet des
  groupes et des revendications
  Le DC énumère les revendications
   utilisateur
  Les revendications sont délivrées dans le
   PAC Kerberos
 Le jeton NT Token possède des
  sections
    Données Utilisateur et Périphérique
Classification automatique
Classification automatique

        DEMO

Dynamic Access Control
Synthèse
     • Windows Server 2012 implémente un mécanisme de classification de
       données automatique
     • L’introduction d’expressions conditionnelles dans le contrôle d’accès
       permet de limiter de manière drastique le nombre de groupes et de
       prendre en compte la notion de revendications
     • Les politiques d’accès intelligentes peuvent être définies et
       appliquées de manière centrale
     • Des règles associées à la classification permettent la protection
       contre la fuite d’information par chiffrement automatique
     • Audit


Dynamic Access Control
Merci de votre attention !

Contenu connexe

Tendances

Geneva Application Security Forum: Vers une authentification plus forte dans ...
Geneva Application Security Forum: Vers une authentification plus forte dans ...Geneva Application Security Forum: Vers une authentification plus forte dans ...
Geneva Application Security Forum: Vers une authentification plus forte dans ...
Sylvain Maret
 
Introduction Mobile Gov
Introduction Mobile GovIntroduction Mobile Gov
Introduction Mobile Gov
FinancialVideo
 

Tendances (20)

Rapport trimestriel IBM X-Force sur les renseignements relatifs aux menaces
Rapport trimestriel IBM X-Force sur les renseignements relatifs aux menacesRapport trimestriel IBM X-Force sur les renseignements relatifs aux menaces
Rapport trimestriel IBM X-Force sur les renseignements relatifs aux menaces
 
Séminaire DLP : au coeur de la sécurité
Séminaire DLP : au coeur de la sécuritéSéminaire DLP : au coeur de la sécurité
Séminaire DLP : au coeur de la sécurité
 
Le DLP vu sous un angle pragmatique
Le DLP vu sous un angle pragmatiqueLe DLP vu sous un angle pragmatique
Le DLP vu sous un angle pragmatique
 
DÉCRYPTAGE des 10 GRANDS mythes de la sécurité des sites Web
DÉCRYPTAGE des 10 GRANDS mythes de la sécurité des sites WebDÉCRYPTAGE des 10 GRANDS mythes de la sécurité des sites Web
DÉCRYPTAGE des 10 GRANDS mythes de la sécurité des sites Web
 
Trois principes pour améliorer la sécurité
Trois principes pour améliorer la sécuritéTrois principes pour améliorer la sécurité
Trois principes pour améliorer la sécurité
 
La nécessité de la dlp aujourd’hui un livre blanc clearswift
La nécessité de la dlp aujourd’hui   un livre blanc clearswiftLa nécessité de la dlp aujourd’hui   un livre blanc clearswift
La nécessité de la dlp aujourd’hui un livre blanc clearswift
 
Livre blanc sur l'authentification forte OTP - One Time Password
Livre blanc sur l'authentification forte OTP - One Time PasswordLivre blanc sur l'authentification forte OTP - One Time Password
Livre blanc sur l'authentification forte OTP - One Time Password
 
Identité Numérique et Authentification Forte
Identité Numérique et Authentification ForteIdentité Numérique et Authentification Forte
Identité Numérique et Authentification Forte
 
Geneva Application Security Forum: Vers une authentification plus forte dans ...
Geneva Application Security Forum: Vers une authentification plus forte dans ...Geneva Application Security Forum: Vers une authentification plus forte dans ...
Geneva Application Security Forum: Vers une authentification plus forte dans ...
 
L'automatisation au service de la cybersécurité
L'automatisation au service de la cybersécuritéL'automatisation au service de la cybersécurité
L'automatisation au service de la cybersécurité
 
La protection de la vie privée à l'heure du BIG DATA
La protection de la vie privée à l'heure du BIG DATALa protection de la vie privée à l'heure du BIG DATA
La protection de la vie privée à l'heure du BIG DATA
 
Cyber Sécurite et E-réputation
Cyber Sécurite et E-réputationCyber Sécurite et E-réputation
Cyber Sécurite et E-réputation
 
MEDECINE ET MONDE 2.0
MEDECINE ET MONDE 2.0MEDECINE ET MONDE 2.0
MEDECINE ET MONDE 2.0
 
La responsabilité du chef d'entreprise face à une fuite de données
La responsabilité du chef d'entreprise face à une fuite de donnéesLa responsabilité du chef d'entreprise face à une fuite de données
La responsabilité du chef d'entreprise face à une fuite de données
 
Comment appliquer le principe du Privacy By Design
Comment appliquer le principe du Privacy By DesignComment appliquer le principe du Privacy By Design
Comment appliquer le principe du Privacy By Design
 
Introduction Mobile Gov
Introduction Mobile GovIntroduction Mobile Gov
Introduction Mobile Gov
 
Cybersurveillance : Risques & opportunités
Cybersurveillance : Risques & opportunitésCybersurveillance : Risques & opportunités
Cybersurveillance : Risques & opportunités
 
Authentification Forte 1
Authentification Forte 1Authentification Forte 1
Authentification Forte 1
 
20120612 04 - Les différentes facettes de la securité. La vision IBM
20120612 04 - Les différentes facettes de la securité. La vision IBM20120612 04 - Les différentes facettes de la securité. La vision IBM
20120612 04 - Les différentes facettes de la securité. La vision IBM
 
Sécurité des réseaux
Sécurité des réseauxSécurité des réseaux
Sécurité des réseaux
 

Similaire à Protéger le patrimoine informationnel de l'entreprise avec Dynamic Access Control de Windows Server 2012

Webinar Denodo & CRIP : Souveraineté, information sensible et data gouvernanc...
Webinar Denodo & CRIP : Souveraineté, information sensible et data gouvernanc...Webinar Denodo & CRIP : Souveraineté, information sensible et data gouvernanc...
Webinar Denodo & CRIP : Souveraineté, information sensible et data gouvernanc...
Denodo
 
resume-theorique-m206-v1-0-62f6e972d0748.pdf
resume-theorique-m206-v1-0-62f6e972d0748.pdfresume-theorique-m206-v1-0-62f6e972d0748.pdf
resume-theorique-m206-v1-0-62f6e972d0748.pdf
Amineelbouabidi
 
Stratégie Bring You Own Device (BYOD) et nouvelles directions de solutions
Stratégie Bring You Own Device (BYOD) et nouvelles directions de solutionsStratégie Bring You Own Device (BYOD) et nouvelles directions de solutions
Stratégie Bring You Own Device (BYOD) et nouvelles directions de solutions
Microsoft Ideas
 

Similaire à Protéger le patrimoine informationnel de l'entreprise avec Dynamic Access Control de Windows Server 2012 (20)

Cloud & Sécurité : Quels risques et quelles sont les questions importantes à ...
Cloud & Sécurité : Quels risques et quelles sont les questions importantes à ...Cloud & Sécurité : Quels risques et quelles sont les questions importantes à ...
Cloud & Sécurité : Quels risques et quelles sont les questions importantes à ...
 
BYOD : Résister ou embrasser
BYOD : Résister ou embrasserBYOD : Résister ou embrasser
BYOD : Résister ou embrasser
 
CIEM, tiens une nouvelle catégorie de produits identité?
CIEM, tiens une nouvelle catégorie de produits identité?CIEM, tiens une nouvelle catégorie de produits identité?
CIEM, tiens une nouvelle catégorie de produits identité?
 
Tablettes & SmartPhones Windows 8, iOS, Android: Stratégie de protection de l...
Tablettes & SmartPhones Windows 8, iOS, Android: Stratégie de protection de l...Tablettes & SmartPhones Windows 8, iOS, Android: Stratégie de protection de l...
Tablettes & SmartPhones Windows 8, iOS, Android: Stratégie de protection de l...
 
Track technologique gérer les risques et la conformité
Track technologique gérer les risques et la conformitéTrack technologique gérer les risques et la conformité
Track technologique gérer les risques et la conformité
 
Azure Information Protection AIP Protection de documents Sécurite Cloud ASTOI...
Azure Information Protection AIP Protection de documents Sécurite Cloud ASTOI...Azure Information Protection AIP Protection de documents Sécurite Cloud ASTOI...
Azure Information Protection AIP Protection de documents Sécurite Cloud ASTOI...
 
Scénarios de mobilité couverts par Enterprise Mobility + Security
Scénarios de mobilité couverts par Enterprise Mobility + SecurityScénarios de mobilité couverts par Enterprise Mobility + Security
Scénarios de mobilité couverts par Enterprise Mobility + Security
 
La Data Virtualization au coeur de l’architecture “Data Mesh”
La Data Virtualization au coeur de l’architecture “Data Mesh”La Data Virtualization au coeur de l’architecture “Data Mesh”
La Data Virtualization au coeur de l’architecture “Data Mesh”
 
Data Management - PramaTALK
Data Management - PramaTALKData Management - PramaTALK
Data Management - PramaTALK
 
PC Management, MAM, MDM, EMM, Data and Files Management, Identity Management....
PC Management, MAM, MDM, EMM, Data and Files Management, Identity Management....PC Management, MAM, MDM, EMM, Data and Files Management, Identity Management....
PC Management, MAM, MDM, EMM, Data and Files Management, Identity Management....
 
Webinar Denodo & CRIP : Souveraineté, information sensible et data gouvernanc...
Webinar Denodo & CRIP : Souveraineté, information sensible et data gouvernanc...Webinar Denodo & CRIP : Souveraineté, information sensible et data gouvernanc...
Webinar Denodo & CRIP : Souveraineté, information sensible et data gouvernanc...
 
Presentation pour les développeurs informatiques
Presentation pour les développeurs informatiquesPresentation pour les développeurs informatiques
Presentation pour les développeurs informatiques
 
Presentation pour les développeurs informatiques
Presentation pour les développeurs informatiquesPresentation pour les développeurs informatiques
Presentation pour les développeurs informatiques
 
resume-theorique-m206-v1-0-630dcd4c22d1d (1).pdf
resume-theorique-m206-v1-0-630dcd4c22d1d (1).pdfresume-theorique-m206-v1-0-630dcd4c22d1d (1).pdf
resume-theorique-m206-v1-0-630dcd4c22d1d (1).pdf
 
Quel est l'avenir des stratégies de données?
Quel est l'avenir des stratégies de données?Quel est l'avenir des stratégies de données?
Quel est l'avenir des stratégies de données?
 
Big data et assurance
Big data et assuranceBig data et assurance
Big data et assurance
 
resume-theorique-m206-v1-0-62f6e972d0748.pdf
resume-theorique-m206-v1-0-62f6e972d0748.pdfresume-theorique-m206-v1-0-62f6e972d0748.pdf
resume-theorique-m206-v1-0-62f6e972d0748.pdf
 
Quel denominateur commun a Microsoft 365.pdf
Quel denominateur commun a Microsoft 365.pdfQuel denominateur commun a Microsoft 365.pdf
Quel denominateur commun a Microsoft 365.pdf
 
Stratégie Bring You Own Device (BYOD) et nouvelles directions de solutions
Stratégie Bring You Own Device (BYOD) et nouvelles directions de solutionsStratégie Bring You Own Device (BYOD) et nouvelles directions de solutions
Stratégie Bring You Own Device (BYOD) et nouvelles directions de solutions
 
Brainwave - Smposium GIA - Québec - Jacob Verret, Mathieu Roseau
Brainwave - Smposium GIA - Québec - Jacob Verret, Mathieu RoseauBrainwave - Smposium GIA - Québec - Jacob Verret, Mathieu Roseau
Brainwave - Smposium GIA - Québec - Jacob Verret, Mathieu Roseau
 

Plus de Microsoft

Plus de Microsoft (20)

Uwp + Xamarin : Du nouveau en terre du milieu
Uwp + Xamarin : Du nouveau en terre du milieuUwp + Xamarin : Du nouveau en terre du milieu
Uwp + Xamarin : Du nouveau en terre du milieu
 
La Blockchain pas à PaaS
La Blockchain pas à PaaSLa Blockchain pas à PaaS
La Blockchain pas à PaaS
 
Tester, Monitorer et Déployer son application mobile
Tester, Monitorer et Déployer son application mobileTester, Monitorer et Déployer son application mobile
Tester, Monitorer et Déployer son application mobile
 
Windows 10, un an après – Nouveautés & Démo
Windows 10, un an après – Nouveautés & Démo Windows 10, un an après – Nouveautés & Démo
Windows 10, un an après – Nouveautés & Démo
 
Prenez votre pied avec les bots et cognitive services.
Prenez votre pied avec les bots et cognitive services.Prenez votre pied avec les bots et cognitive services.
Prenez votre pied avec les bots et cognitive services.
 
Office 365 Dev PnP & PowerShell : exploitez enfin le potentiel de votre écosy...
Office 365 Dev PnP & PowerShell : exploitez enfin le potentiel de votre écosy...Office 365 Dev PnP & PowerShell : exploitez enfin le potentiel de votre écosy...
Office 365 Dev PnP & PowerShell : exploitez enfin le potentiel de votre écosy...
 
Créer un bot de A à Z
Créer un bot de A à ZCréer un bot de A à Z
Créer un bot de A à Z
 
Microsoft Composition, pierre angulaire de vos applications ?
Microsoft Composition, pierre angulaire de vos applications ?Microsoft Composition, pierre angulaire de vos applications ?
Microsoft Composition, pierre angulaire de vos applications ?
 
Les nouveautés SQL Server 2016
Les nouveautés SQL Server 2016Les nouveautés SQL Server 2016
Les nouveautés SQL Server 2016
 
Conteneurs Linux ou Windows : quelles approches pour des IT agiles ?
Conteneurs Linux ou Windows : quelles approches pour des IT agiles ?Conteneurs Linux ou Windows : quelles approches pour des IT agiles ?
Conteneurs Linux ou Windows : quelles approches pour des IT agiles ?
 
Administration et supervision depuis le Cloud avec Azure Logs Analytics
Administration et supervision depuis le Cloud avec Azure Logs AnalyticsAdministration et supervision depuis le Cloud avec Azure Logs Analytics
Administration et supervision depuis le Cloud avec Azure Logs Analytics
 
Retour d'expérience de projets Azure IoT "large scale" (MicroServices, portag...
Retour d'expérience de projets Azure IoT "large scale" (MicroServices, portag...Retour d'expérience de projets Azure IoT "large scale" (MicroServices, portag...
Retour d'expérience de projets Azure IoT "large scale" (MicroServices, portag...
 
Plan de Reprise d'Activité avec Azure Site Recovery
Plan de Reprise d'Activité avec Azure Site RecoveryPlan de Reprise d'Activité avec Azure Site Recovery
Plan de Reprise d'Activité avec Azure Site Recovery
 
Modélisation, déploiement et gestion des infrastructures Cloud : outils et bo...
Modélisation, déploiement et gestion des infrastructures Cloud : outils et bo...Modélisation, déploiement et gestion des infrastructures Cloud : outils et bo...
Modélisation, déploiement et gestion des infrastructures Cloud : outils et bo...
 
Transformation de la représentation : De la VR à la RA, aller & retour.
Transformation de la représentation : De la VR à la RA, aller & retour.Transformation de la représentation : De la VR à la RA, aller & retour.
Transformation de la représentation : De la VR à la RA, aller & retour.
 
Quelles architectures pour vos applications Cloud, de la VM au conteneur : ça...
Quelles architectures pour vos applications Cloud, de la VM au conteneur : ça...Quelles architectures pour vos applications Cloud, de la VM au conteneur : ça...
Quelles architectures pour vos applications Cloud, de la VM au conteneur : ça...
 
Introduction à ASP.NET Core
Introduction à ASP.NET CoreIntroduction à ASP.NET Core
Introduction à ASP.NET Core
 
Open Source et Microsoft Azure, rêve ou réalité ?
Open Source et Microsoft Azure, rêve ou réalité ?Open Source et Microsoft Azure, rêve ou réalité ?
Open Source et Microsoft Azure, rêve ou réalité ?
 
Comment développer sur la console Xbox One avec une application Universal Win...
Comment développer sur la console Xbox One avec une application Universal Win...Comment développer sur la console Xbox One avec une application Universal Win...
Comment développer sur la console Xbox One avec une application Universal Win...
 
Azure Service Fabric pour les développeurs
Azure Service Fabric pour les développeursAzure Service Fabric pour les développeurs
Azure Service Fabric pour les développeurs
 

Protéger le patrimoine informationnel de l'entreprise avec Dynamic Access Control de Windows Server 2012

  • 1. Donnez votre avis ! Depuis votre smartphone, sur : http://notes.mstechdays.fr De nombreux lots à gagner toutes les heures !!! Claviers, souris et jeux Microsoft… Merci de nous aider à améliorer les TechDays http://notes.mstechdays.fr
  • 2. SEC 311 Dynamic Access Control Protéger le patrimoine informationnel de l'entreprise avec Dynamic Access Control de Windows Server 2012 JY Grasset, Microsoft Pascal Saulière, Microsoft Infrastructure
  • 3. Défis de la gestion des données Contraintes Augmentation Budgétaires utilisateurs et Réglementation et données Informatique conformité liées distribuée au métier ? ? Dynamic Access Control
  • 4. Besoins Métier → Résultat stockage Nécessité d’un partage par projet Les besoins métier de départ peuvent être simples Eviter la fuite d’informations L’ajout de politiques peut sensibles l’extérieur fragmenter l’infrastructure de stockage La complexité augmente le Rétention des risque d’inefficacité des contrats pendant politiques et empêche un 10 ans aperçu fin des données métier Dynamic Access Control
  • 5. Concepts Expressions Audit ciblé des Marquage manuel conditionnelles accès basé sur la par le propriétaire Chiffrement basées sur la classification des des données automatique RMS classification des documents et basé sur la documents et les l’identité utilisateur Classification classification des revendications automatique des documents utilisateur et Déploiement documents basée périphérique (+ centralisé des sur leur contenu Extensibilité pour groupes sécurité) politiques d’audit autres types de avec Classification par les protection Listes de contrôles les politiques d’audit applications d’accès centralisées globales Dynamic Access Control
  • 6. Classification manuelle et automatique DEMO Dynamic Access Control
  • 7. ACE* basés sur expressions Pre-2012: Uniquement ’OR’ entre groupes •Conduit à l’explosion des groupes •Considérant 500 projets, 100 pays, 10 divisions •500,000 groupes pour représenter toutes les combinaisons: •ProjetZ FR Recherche-Developpement •ProjetZ GE Recherche-Developpement, etc. Windows Server 2012: expressions avec ‘AND’ •Les conditions dans les ACE permettent d’associer de multiples groupes avec des opérateurs booléens •Exemple: Allow modify IF MemberOf(ProjectZ) AND MemberOf(FR) AND MemberOf(Recherche-Developpement) •610 groupes au lieu de 500,000 (500 projets + 100 pays + 10 divisions) Windows Server 2012: avec Classification & Politiques centrales d’accès •3 Revendications Utilisateur (!) (*) ACE- Access Control Entry: entrée de contrôle d'accès
  • 8. Contrôle d’accès sur expressions conditionnelles (Groupes) DEMO Dynamic Access Control
  • 9. Revendications Utilisateur et Périphérique Pre-2012: Principaux de sécurité* uniquement •Les politiques de décision d’accès sont uniquement basées sur les appartenances de l’utilisateur à des groupes •Des groupes “fantômes” sont souvent créés pour refléter des attributs existants en tant que groupes •Les groupes ont des règles autour de qui peut être membres de tels types de groupes •Pas moyen de transformer les groupes entre les frontières Active Directory •Pas de moyen pour contrôler l’accès en fonction des caractéristiques du périphérique de l’utilisateur Windows Server 2012: Principaux de sécurité , revendication utilisateur ou périphérique •Les attributs Utilisateur/ordinateur sont inclus dans le jeton de sécurité •Les revendications peuvent être utilisées directement dans les autorisations des serveurs de fichiers •Les revendications sont cohérentes à l’intérieur de la forêt •Les revendications peuvent être transformées entre les frontières de forêts •Permet de nouveaux types de politiques qui n’étaient pas disponibles précédemment •Exemple: Allow Write if User.MemberOf(Finance) and User.EmployeeType=FullTime and Device.Managed=True (*) Principal de sécurité: Un compte (utilisateur, groupe de sécurité, ordinateur) à qui peut être accordé ou refusé l'accès aux ressources
  • 10. Propriétés de Classification standard Domaine Propriétés Valeurs Personally Identifiable Information High; Moderate; Low; Public; Not PII Information Privacy Protected Health Information High; Moderate; Low Confidentiality High; Moderate; Low Information Security Required Clearance Restricted; Internal Use; Public SOX; PCI; HIPAA/HITECH; NIST SP 800-53; NIST SP 800-122; U.S.-EU Safe Compliancy Harbor Framework; GLBA; ITAR; PIPEDA; EU Data Protection Directive; Japanese Personal Information Privacy Act Legal Discoverability Privileged; Hold Immutable Yes/No Copyright; Trade Secret; Parent Application Document; Patent Supporting Intellectual Property Document Retention Long-term; Mid-term; Short-term; Indefinite Records Management Retention Start Date <Date Value> Impact High; Moderate; Low Department Engineering ;Legal; Human Resources … Organizational Project <Project> Personal Use Yes/No Dynamic Access Control
  • 11. Politiques d’accès centrales AD DS File Server Revendications Revendications Propriétés de la Utilisateurs Périphérique Ressource User.Department = Finance Device.Department = Finance Resource.Department = Finance User.Clearance = High Device.Managed = True Resource.Impact = High POLITIQUES D’ACCES S’applique à: @File.Impact = High Autoriser| Lecture, Ecriture | si (@User.Department == @File.Department) ET(@Device.Managed == True) Dynamic Access Control 11
  • 12. Politique centrale d’accès Windows Server 2012 Active Directory Dans Active Directory: Revendications Définitions Utilisateur propriétés 1. Configurer les revendications utilisateur ressources 2. Créer les définitions des propriétés de Politique ressources d’accès 3. Configurer les politiques centrales d’accès Sur le serveur de fichiers: 1. Classifier les informations 2. Assigner une politique centrale A l’exécution: Serveur de fichiers Utilisateur • L’accès utilisateur est évalué Windows Server 2012 Dynamic Access Control
  • 13. Quizz • Où sont stockées les revendications (claims) utilisateur et périphérique ? – Réponse : Dans Active Directory • Où sont stockées les propriétés Ressource ? – Au niveau de la ressource: Datastream/Security Descriptor ou format Office) • Où sont définies et stockées les politiques d’accès centrales ? – Active Directory et ensuite distribuées sur les serveurs • Où sont utilisées les politiques d’accès ? – Sur les serveurs de fichiers • Dans quoi retrouve-t-on les revendications utilisateur et périphérique ? – Le jeton de sécurité associé à l’utilisateur • Comment sont transportées les revendications utilisateur et périphérique ? – On va le voir plus loin (une idée?) Dynamic Access Control
  • 14. Revendications utilisateur et propriété de ressources DEMO ETAPE 1 Dynamic Access Control
  • 15. Central Access Rule/ Central Access Policy GPO Central Access Policy DEMO ETAPE 2 Dynamic Access Control
  • 16. Revendications utilisateur et propriété de ressources DEMO ETAPE 3 Dynamic Access Control
  • 17. Kerberos et le nouveau jeton  Dynamic Access Control s’appuie sur Kerberos  Extension Kerberos Windows 8  Identifiant composé (Compound ID) – Associe l’utilisateur au périphérique pour être considéré comme un unique principal de sécurité au niveau autorisation  Le contrôleur de domaine émet des groupes et des revendications  Le DC énumère les revendications utilisateur  Les revendications sont délivrées dans le PAC Kerberos  Le jeton NT Token possède des sections  Données Utilisateur et Périphérique
  • 19. Classification automatique DEMO Dynamic Access Control
  • 20. Synthèse • Windows Server 2012 implémente un mécanisme de classification de données automatique • L’introduction d’expressions conditionnelles dans le contrôle d’accès permet de limiter de manière drastique le nombre de groupes et de prendre en compte la notion de revendications • Les politiques d’accès intelligentes peuvent être définies et appliquées de manière centrale • Des règles associées à la classification permettent la protection contre la fuite d’information par chiffrement automatique • Audit Dynamic Access Control
  • 21. Merci de votre attention !

Notes de l'éditeur

  1. Notation
  2. Intro code / dev
  3. =