Mit dem neuen Konzept des Dynamic Access Control können Sie auf Ihren File Servern steuern, wer Zugriff auf Informationen hat, und diese Zugriffe protokollieren. Über manuelle oder automatische Klassifizierung der Daten definieren Sie, welche Metadaten Ihren Dokumenten zugewiesen werden. Dann können Sie über zentrale Zugriffsrichtlinien im Active Directory festlegen, wie Benutzer basierend auf Eigenschaften ihres Benutzerkontos Zugriff erhalten. Beispielweise können Sie festlegen, dass alle Benutzer einer bestimmten Abteilung, die in einer AD-Eigenschaft eigetragen ist, auf Informationen zugreifen können, die mit dem gleichen Tag klassifiziert wird, unabhängig des Speicherorts. Komplexe Formeln können den Standort, den Computertyp (Tablet, Notebook, Desktop-PC) oder die Verbindungsart (WiFi oder fest verdrahtet) einbeziehen. Sogar RMS-Richtlinien zur Verschlüsselung der Dokumente sind einstellbar.
2. Inhalt der Präsentation
Einführung in Dynamic Access Control
Verwalten von Claims und Ressourceneigenschaften
Claims und Ressourceneigenschaften definieren
Erweiterte Sicherheitseinstellungen und bedingte Ausdrücke
Verwaltung und Bereitstellung von DAC
Überwachen von Zugriffsversuche
Richtlinieneinstellungen
Troubleshooting
Demos
Fragen & Antworten
3. Konzept
DAC ist eine neue Art, Informationen auf Windows Server 2012
Fileservern zu schützen und Berechtigungen zu verwalten
DAC bietet:
Kerberos-Unterstützung für Benutzerclaims und Geräte-Autorisierung
Unterstützung für bedingte Ausdrücke für Berechtigungen und
Einträge im Überwachungsprotokoll
Dateiklassifizierung und zentrale Zugriffsrichtlinien
Automatische RMS-Verschlüsselung für sensitive Office-Dokumente
4. Was ist Dynamic Access Control?
Identifikation von Daten: Automatische und manuelle Klassifizierung
von Daten auf Fileservern eines Unternehmens
Zugriffskontrolle auf Dateien: Genaue Festlegung, wer auf bestimmte
Dateien mit welchen Rechten zugreifen darf
Zugriffsüberwachung: Zentrale Überwachungsrichtlinien zur
Berichterstellung und Analyse
Anwendung von RMS Richtlinien: bestimmte Dokumente werden
automatisch verschlüsselt
5. Erweiterungen der Infrastruktur
Ein neuer Motor im Windows Betriebssystem zur Auswertung bedingter
Ausdrücke und zentrale Richtlinien
Kerberos-Authentifizierung für Benutzer- und Geräteclaims
Verbesserung des Klassifizierungs-Infrastruktur
Erweiterung der RMS-Infrastruktur um Drittherstellern die Möglichkeit
zu bieten, Nicht-Office-Dokumente zu verschlüsseln
6. Dateiklassifizierung
Windows Server 2008R2 führte eine neue Klassifizierungs-Infrastruktur
ein, mit der es möglich war:
Klassifizierungseigenschaften zu definieren
Automatische Klassifizierung von Dateien basierend auf Inhalt oder
Speicherort
Dateiverwaltung basierend auf diesen Eigenschaften zu verwalten
(Aufbewahrungszeit, benutzerdefinierte Aufgaben auslösen)
Berichte erstellen um die Verteilung von Eigenschaften auf dem
Dateiserver zu ermitteln
Die neue Infrastruktur wurde erweitert um:
Sicherheitseigenschaften um diese in Ausdrücken zu verwenden
Ständige Klassifizierung für neue oder geänderte Dokumente wenige
Sekunden nach Bearbeitung oder Erstellung
Manuelle Klassifizierung im Windows Explorer
Vererbbare Klassifizierung auf Ordnern
7. Vorteile der zentralen Zugriffsrichtlinien
Abbildung der Sicherheitsrichtlinien eines Unternehmens an einem
zentralen Ort
Überwachung zur Protokollierung der Regelbefolgung
Schutz sicherheitsrelevanter Dokumente und Informationen
Einfache Behebung der Zugriffsverweigerung um effizientes
Troubleshooting und schnelle Hilfestellung zu ermöglichen
8. Technische Übersicht
DAC ist nicht ein einzelnes Feature, sondern eine Lösung für Fileserver
Direkte Kerberos-Unterstützung für Claims
Unterstützung des Active Directory zur Speicherung von Benutzer-
und Geräteclaims sowie Ressourceneigenschaften
Unterstützung des Active Directory zur Speicherung von Richtlinien,
die zentral den Zugriff steuern
Verteilung dieser Richtlinien über Gruppenrichtlinien
Neuer Editor für die Erstellung bedingter Ausdrücke
9. Notwendige Infrastruktur
Windows Server 2012
Mindestens einen Windows Server 2012 Domänencontroller, auf den
der Windows Client zugreifen kann
Mindestens einen Windows Server 2012 Domänencontroller in jeder
Domäne, wenn Claims über einen Forest-Trust hinweg übergreifend
verwendet werden sollen
Windows 8, wenn Geräteclaims verwendet werden sollen
Basistechnologien
Netzwerkprotokolle; TCP/IP, RPC, SMB, LDAP
DNS Namensauflösung
Kerberos v5
Windows Sicherheit (LSA, Netlogon)
10. Vorgehensweise zur Implementierung
Windows Server 2012 und Windows 8 bereitstellen
Domänencontroller für die Verwendung von Claims einrichten
Benutzer oder Geräteclaim Typen erstellen und aktivieren, bestehende
Sicherheitsgruppen verwenden oder eine Kombination von beiden
Ressourceneigenschaftsobjekte erstellen
Bedingte Ausdrücke erstellen, diese zentralen Zugriffsrichtlinien
zuordnen und durch Gruppenrichtlinien verteilen
Ordner und Dateien klassifizieren
19. Identitäten und Claims
Eine Identität ist beispielsweise eine Person, die eine Reise antritt und
durch Ihren Pass beschrieben wird
Jede Information im Pass ist ein Claim.
Der Pass wird von allen Ländern anerkannt, also vertraut
Ein Benutzer im AD ist eine Identität
Das Berechtigungstoken ist der Pass
Jede Eigenschaft des Berechtigungstokens ist ein Claim, der für das
Benutzerkonto erstellt wird
Ein Claim ist eine Information, die eine vertraute Quelle über eine
Identität erstellt
20. Claim Typen
Benutzerclaims
Eine Information, über ein Benutzerkonto, fast jedes AD Attribut eines
Benutzerkontos kann als Claim verwendet werden
Geräteclaims
Eine Information, über ein Computerkonto, fast jedes AD Attribut
eines Computerkontos kann als Claim verwendet werden
Claim Datentypen
Boolean
Multivalued String
Multivalued Integer
SID
String
Integer
21. Sichere Ressourceneigenschaft
Sichere Ressourceneigenschaften sind globale
Ressourceneigenschaften, die für Sicherheitsentscheidungen im AD
publiziert werden
Sie werden zu einem Ordner oder Datei hinzugefügt
22. Unterstützung für Claims in Domänen
Müssen erst speziell über Gruppenrichtlinien aktiviert werden
Erfordern keinen Neustart
23. Bedingte Ausdrücke
Bedingte Ausdrücke beschreiben die Bedingungen unter denen Zugriff
auf eine Ressource gewährt wird
Sie bestehen aus dem Claimtyp und dem Claimnamen und werden
durch einen Punkt getrennt
Der Typ beginnt mit einem «@» und dem Schlusselwort RESOURCE,
USER oder DEVICE
Beispiel:
@RESOURCE.Department Contains {"Finance"}