Dynamic Access Control

1.376 Aufrufe

Veröffentlicht am

Mit dem neuen Konzept des Dynamic Access Control können Sie auf Ihren File Servern steuern, wer Zugriff auf Informationen hat, und diese Zugriffe protokollieren. Über manuelle oder automatische Klassifizierung der Daten definieren Sie, welche Metadaten Ihren Dokumenten zugewiesen werden. Dann können Sie über zentrale Zugriffsrichtlinien im Active Directory festlegen, wie Benutzer basierend auf Eigenschaften ihres Benutzerkontos Zugriff erhalten. Beispielweise können Sie festlegen, dass alle Benutzer einer bestimmten Abteilung, die in einer AD-Eigenschaft eigetragen ist, auf Informationen zugreifen können, die mit dem gleichen Tag klassifiziert wird, unabhängig des Speicherorts. Komplexe Formeln können den Standort, den Computertyp (Tablet, Notebook, Desktop-PC) oder die Verbindungsart (WiFi oder fest verdrahtet) einbeziehen. Sogar RMS-Richtlinien zur Verschlüsselung der Dokumente sind einstellbar.

Veröffentlicht in: Technologie
0 Kommentare
0 Gefällt mir
Statistik
Notizen
  • Als Erste(r) kommentieren

  • Gehören Sie zu den Ersten, denen das gefällt!

Keine Downloads
Aufrufe
Aufrufe insgesamt
1.376
Auf SlideShare
0
Aus Einbettungen
0
Anzahl an Einbettungen
12
Aktionen
Geteilt
0
Downloads
12
Kommentare
0
Gefällt mir
0
Einbettungen 0
Keine Einbettungen

Keine Notizen für die Folie

Dynamic Access Control

  1. 1. Dynamic Access Control Die neue Zugriffssteuerung unter Windows Server 2012
  2. 2. Inhalt der Präsentation Einführung in Dynamic Access Control Verwalten von Claims und Ressourceneigenschaften Claims und Ressourceneigenschaften definieren Erweiterte Sicherheitseinstellungen und bedingte Ausdrücke Verwaltung und Bereitstellung von DAC Überwachen von Zugriffsversuche Richtlinieneinstellungen Troubleshooting Demos Fragen & Antworten
  3. 3. Konzept DAC ist eine neue Art, Informationen auf Windows Server 2012 Fileservern zu schützen und Berechtigungen zu verwalten DAC bietet:  Kerberos-Unterstützung für Benutzerclaims und Geräte-Autorisierung  Unterstützung für bedingte Ausdrücke für Berechtigungen und Einträge im Überwachungsprotokoll  Dateiklassifizierung und zentrale Zugriffsrichtlinien  Automatische RMS-Verschlüsselung für sensitive Office-Dokumente
  4. 4. Was ist Dynamic Access Control? Identifikation von Daten: Automatische und manuelle Klassifizierung von Daten auf Fileservern eines Unternehmens Zugriffskontrolle auf Dateien: Genaue Festlegung, wer auf bestimmte Dateien mit welchen Rechten zugreifen darf Zugriffsüberwachung: Zentrale Überwachungsrichtlinien zur Berichterstellung und Analyse Anwendung von RMS Richtlinien: bestimmte Dokumente werden automatisch verschlüsselt
  5. 5. Erweiterungen der Infrastruktur Ein neuer Motor im Windows Betriebssystem zur Auswertung bedingter Ausdrücke und zentrale Richtlinien Kerberos-Authentifizierung für Benutzer- und Geräteclaims Verbesserung des Klassifizierungs-Infrastruktur Erweiterung der RMS-Infrastruktur um Drittherstellern die Möglichkeit zu bieten, Nicht-Office-Dokumente zu verschlüsseln
  6. 6. Dateiklassifizierung Windows Server 2008R2 führte eine neue Klassifizierungs-Infrastruktur ein, mit der es möglich war:  Klassifizierungseigenschaften zu definieren  Automatische Klassifizierung von Dateien basierend auf Inhalt oder Speicherort  Dateiverwaltung basierend auf diesen Eigenschaften zu verwalten (Aufbewahrungszeit, benutzerdefinierte Aufgaben auslösen)  Berichte erstellen um die Verteilung von Eigenschaften auf dem Dateiserver zu ermitteln Die neue Infrastruktur wurde erweitert um:  Sicherheitseigenschaften um diese in Ausdrücken zu verwenden  Ständige Klassifizierung für neue oder geänderte Dokumente wenige Sekunden nach Bearbeitung oder Erstellung  Manuelle Klassifizierung im Windows Explorer  Vererbbare Klassifizierung auf Ordnern
  7. 7. Vorteile der zentralen Zugriffsrichtlinien Abbildung der Sicherheitsrichtlinien eines Unternehmens an einem zentralen Ort Überwachung zur Protokollierung der Regelbefolgung Schutz sicherheitsrelevanter Dokumente und Informationen Einfache Behebung der Zugriffsverweigerung um effizientes Troubleshooting und schnelle Hilfestellung zu ermöglichen
  8. 8. Technische Übersicht DAC ist nicht ein einzelnes Feature, sondern eine Lösung für Fileserver  Direkte Kerberos-Unterstützung für Claims  Unterstützung des Active Directory zur Speicherung von Benutzer- und Geräteclaims sowie Ressourceneigenschaften  Unterstützung des Active Directory zur Speicherung von Richtlinien, die zentral den Zugriff steuern  Verteilung dieser Richtlinien über Gruppenrichtlinien  Neuer Editor für die Erstellung bedingter Ausdrücke
  9. 9. Notwendige Infrastruktur Windows Server 2012 Mindestens einen Windows Server 2012 Domänencontroller, auf den der Windows Client zugreifen kann Mindestens einen Windows Server 2012 Domänencontroller in jeder Domäne, wenn Claims über einen Forest-Trust hinweg übergreifend verwendet werden sollen Windows 8, wenn Geräteclaims verwendet werden sollen Basistechnologien  Netzwerkprotokolle; TCP/IP, RPC, SMB, LDAP  DNS Namensauflösung  Kerberos v5  Windows Sicherheit (LSA, Netlogon)
  10. 10. Vorgehensweise zur Implementierung Windows Server 2012 und Windows 8 bereitstellen Domänencontroller für die Verwendung von Claims einrichten Benutzer oder Geräteclaim Typen erstellen und aktivieren, bestehende Sicherheitsgruppen verwenden oder eine Kombination von beiden Ressourceneigenschaftsobjekte erstellen Bedingte Ausdrücke erstellen, diese zentralen Zugriffsrichtlinien zuordnen und durch Gruppenrichtlinien verteilen Ordner und Dateien klassifizieren
  11. 11. DAC einrichten
  12. 12. Domänencontroller ADAC: Zugrissrichtlinien einrichten Gruppenrichtlinien für KDC und Kerberos einrichten
  13. 13. Domänencontroller
  14. 14. Domänencontroller
  15. 15. Domänencontroller
  16. 16. Domänencontroller
  17. 17. Gruppenrichtlinien
  18. 18. Fileserver
  19. 19. Identitäten und Claims Eine Identität ist beispielsweise eine Person, die eine Reise antritt und durch Ihren Pass beschrieben wird Jede Information im Pass ist ein Claim.  Der Pass wird von allen Ländern anerkannt, also vertraut Ein Benutzer im AD ist eine Identität Das Berechtigungstoken ist der Pass  Jede Eigenschaft des Berechtigungstokens ist ein Claim, der für das Benutzerkonto erstellt wird Ein Claim ist eine Information, die eine vertraute Quelle über eine Identität erstellt
  20. 20. Claim Typen Benutzerclaims  Eine Information, über ein Benutzerkonto, fast jedes AD Attribut eines Benutzerkontos kann als Claim verwendet werden Geräteclaims  Eine Information, über ein Computerkonto, fast jedes AD Attribut eines Computerkontos kann als Claim verwendet werden Claim Datentypen  Boolean  Multivalued String  Multivalued Integer  SID  String  Integer
  21. 21. Sichere Ressourceneigenschaft Sichere Ressourceneigenschaften sind globale Ressourceneigenschaften, die für Sicherheitsentscheidungen im AD publiziert werden Sie werden zu einem Ordner oder Datei hinzugefügt
  22. 22. Unterstützung für Claims in Domänen Müssen erst speziell über Gruppenrichtlinien aktiviert werden Erfordern keinen Neustart
  23. 23. Bedingte Ausdrücke Bedingte Ausdrücke beschreiben die Bedingungen unter denen Zugriff auf eine Ressource gewährt wird Sie bestehen aus dem Claimtyp und dem Claimnamen und werden durch einen Punkt getrennt Der Typ beginnt mit einem «@» und dem Schlusselwort RESOURCE, USER oder DEVICE Beispiel: @RESOURCE.Department Contains {"Finance"}
  24. 24. Operatoren (Auszug)
  25. 25. Beispiele
  26. 26. Beispiele
  27. 27. Editor für Sicherheitseinstellungen
  28. 28. Editor für bedingte Ausdrücke
  29. 29. Effektive Berechtigungen
  30. 30. Änderungen am AD Schema (Auszug)
  31. 31. Container für die Claims-Konfiguration
  32. 32. Verwalten von Claims und Ressourceneigenschaften Demo
  33. 33. Informationen über einen Benutzer
  34. 34. Dateien und Ordner klassifizieren
  35. 35. Klassifizierungsdaten anzeigen
  36. 36. Klassifizierung über den FSRM
  37. 37. Mehrfache Bedingungen
  38. 38. Bedingungen gruppieren
  39. 39. Zentrale Zugriffsrichtlinien anwenden
  40. 40. Überwachung aktivieren
  41. 41. Überwachung der Richtlinien
  42. 42. Zugriffsrichtlinien auf Fileserver anwenden Demo
  43. 43. 43 Fragen & Antworten

×