|| Динамическое управление доступом (Dynamic Access Control, DAC) Доменные службы Active Directory || 4 ПОТРЕБНОСТИ Переход к облачным технологиям Современный стиль работы с информацией Стремительный рост объемов данных и распространение информации Соблюдение государственных и отраслевых требований ПРОБЛЕМЫ Развертывание инфраструктуры для частного и гибридного облаков Обеспечение управляемости инфраструктуры Обеспечение безопасности данных Реализация удаленного доступа к информации с различных устройств || 5 ДИНАМИЧЕСКОЕ УПРАВЛЕНИЕ ДОСТУПОМ Аудит доступа к файлам Централизованные политики доступа Интеграция со службами управления правами Active Directory Централизованное управление доступом с помощью Active Directory Быстрое устранение ошибок, связанных с правами пользователей Инфраструктура классификации файлов Предварительное планирование и моделирование влияния изменений на политику доступа Автоматическое определение и классификация данных по содержимому || 6 ДИНАМИЧЕСКОЕ УПРАВЛЕНИЕ ДОСТУПОМ Классификация • Файлы наследуют теги классификации от родительской папки • Владельцы файлов вручную добавляют теги к файлам • Теги к файлам добавляются автоматически • Теги к файлам добавляются приложениями Управление доступом Аудит Службы управления правами (RMS) • Централизованные политики доступа основаны на классификации • Централизованные политики аудита можно применять к нескольким файловым серверам • Автоматическая защита с помощью RMS для документов Microsoft Office • Условия доступа для утверждений пользователей, утверждений устройств и тегов файлов основаны на выражениях • Аудит для утверждений пользователей, утверждений устройств и тегов файлов основан на выражениях • Защита обеспечивается практически в реальном времени, когда файлу присваивается тег • Помощь в случае отказа в доступе • Аудит можно выполнять поэтапно, чтобы моделировать изменения политик в реальной среде • Защита RMS распространяется на файлы, не созданные в Microsoft Office || 7 ДИНАМИЧЕСКОЕ УПРАВЛЕНИЕ ДОСТУПОМ По расположению Создание или редактирование файла Встроенный классификатор содержимого Вручную По контексту Приложением Сохранение классификации Определение классификации Сторонний подключаемый модуль классификации || 8 ДИНАМИЧЕСКОЕ УПРАВЛЕНИЕ ДОСТУПОМ Пользователь redmond\jsmith / S-1-5-21-12345-12345-12345 Группы MktgFTE / S-1-5-21-23456-23456-23456-23456-23456 RemoteAccess / S-1-5-21-34567-34567-34567-34567 High-PII / S-1-5-21-45678-45678-45678-45678 Извлекаются из значений свойств и выпускаются как часть маркера, полученного при входе в систему Используются в ходе авторизации (если включено) Утверждения «Подразделение» Dept_4329617375 Строка «Маркетинг» «Страна» Country_54927768 Строка «US» || 9 ДИНАМИЧЕСКОЕ УПРАВЛЕНИЕ ДОСТУПОМ Доменные службы Active Directory Утверждения пользователей User.Department = Finance User.Clearance = High Утверждения устройств Device.Department = Finance Device.Managed = True Файловый сервер Свойства ресурсов Resource.Department = Finance Resource.Impact = High Политика доступа Чтобы получить доступ к финансовой информации, которая обладает большой значимостью для бизнеса, пользователь должен работать в финансовом отделе, где проводится тщательная проверка на безопасность, и должен использовать управляемое устройство, зарегистрированное в финансовом отделе. || 10 ДИНАМИЧЕСКОЕ УПРАВЛЕНИЕ ДОСТУПОМ Политика «Значительное влияние на бизнес» Политика «Персональная информация» Политика «Финансы» Доменные службы Active Directory Корпоративные файловые серверы Организационные политики Характеристики политики • Значительное влияние на бизнес • Персональная информация • Включает централизованные правила доступа (central access rules) • Применяется к файловым серверам с помощью объектов групповых политик Политики финансового отдела • Значительное влияние на бизнес • Персональная информация • Финансы • Дополняет (но не заменяет) встроенные списки управления доступом к файлам и папкам на базе файловой системы NTFS Пользовательские папки Папки финансового отдела || 11 ДИНАМИЧЕСКОЕ УПРАВЛЕНИЕ ДОСТУПОМ Доменные службы Active Directory Создание определений утверждений Создание определений свойств файлов Создание централизованной политики доступа Групповая политика Отправка централизованных политик доступа на файловые серверы Файловый сервер Применение политики доступа к общей папке Идентификация информации Пользовательский компьютер Пользователь пытается получить доступ к информации Доменные службы Active Directory Определения утверждений Пользователь Определения свойств файлов Политика аудита Разрешить или запретить Файловый сервер || 12 ДИНАМИЧЕСКОЕ УПРАВЛЕНИЕ ДОСТУПОМ Авторизация в рамках всей организации Управление определенными данными Авторизация на уровне отдела Специфичный доступ || 13 ДИНАМИЧЕСКОЕ УПРАВЛЕНИЕ ДОСТУПОМ Доменные службы Active Directory 3 Процесс, который позволяет получить доступ к файлам после отказа в доступе 1 2 Пользователь 2 1 Файловый сервер 3 На компьютере с Windows 8 система получает данные доступа из диспетчера ресурсов файлового сервера и отображает сообщение с вариантами восстановления доступа Если варианты восстановления включают ссылку для запроса доступа, пользователь может запросить доступ к файлу. Как вариант, пользователь может запросить справку по доступу, отправив сообщение электронной почты После того как пользователь выполнил требования к доступу, утверждения пользователя обновляются и пользователь может получить доступ к файлу || 14 ДИНАМИЧЕСКОЕ УПРАВЛЕНИЕ ДОСТУПОМ Доменные службы Active Directory Групповая политика Файловый сервер Пользовательский компьютер Создание типов утверждений Создание свойств ресурсов Доменные службы Active Directory Создание глобальной политики аудита Определения утверждений Выбор и применение свойств ресурсов к общим папкам Определения свойств файлов Пользователь пытается получить доступ к информации Политика аудита Пользователь Разрешить или запретить Файловый сервер || 15 ДИНАМИЧЕСКОЕ УПРАВЛЕНИЕ ДОСТУПОМ Аудит каждого, кто не прошел тщательную проверку на безопасность и пытается получить доступ к документу, имеющему высокое значение для бизнеса Аудит всех поставщиков, когда они пытаются получить доступ к документам, не связанным с их текущими проектами Audit | Everyone | All-Access | Resource.BusinessImpact=HBI AND User.SecurityClearance!=High Audit | Everyone | All-Access | User.EmploymentStatus=Vendor AND User.Project Not_AnyOf Resource.Project. || 16 Демонстрация Настройка и применение динамического управления доступом || 17 || 18 Демонстрация Настройка и применение динамического управления доступом || 19 ДИНАМИЧЕСКОЕ УПРАВЛЕНИЕ ДОСТУПОМ 1 Доменные службы Active Directory Пользователь 2 4 3 Шифрование файла на основе классификации 1 На контроллере домена создаются определения утверждений, определения свойств файлов и политики доступа 2 Пользователь создает файл со словом «конфиденциально» в тексте и сохраняет его. Модуль классификации классифицирует файл как «очень важный» в соответствии с настроенными правилами 3 На файловом сервере правило автоматически применяет защиту RMS ко всем файлам, которые классифицируются как «очень важные» 4 Шаблон и шифрование RMS применяются к файлу на файловом сервере, и файл шифруется Модуль Сервер RMS классификации Файловый сервер || 20 Демонстрация Применение шаблона RMS на основе классификации файлов || 21 ДИНАМИЧЕСКОЕ УПРАВЛЕНИЕ ДОСТУПОМ Классификация Управление доступом Аудит Службы управления правами (RMS) Идентификация данных Управление доступом к файлам Аудит доступа к файлам Применение шифрования RMS Классификация файлов автоматически и вручную Поддержка централизованных политик доступа в рамках общей корпоративной системы безопасности Поддержка централизованных политик аудита для составления отчетов о соблюдении требований и судебного анализа Уменьшение информационных утечек || 22 ДОМЕННЫЕ СЛУЖБЫ ACTIVE DIRECTORY Поддержка виртуальных контроллеров доменов Клонирование контроллеров доменов Полноценное управление Active Directory с использованием Windows PowerShell Быстрое развертывание новых контроллеров доменов при изменении потребностей организации Усовершенствованное развертывание контроллеров доменов Масштабируемое управление Active Directory Усовершенствованный центр администрирования Active Directory Развертывание контроллеров доменов Active Directory в публичных и частных облаках || 23 ДОМЕННЫЕ СЛУЖБЫ ACTIVE DIRECTORY Обнаружение отката • Виртуальные контроллеры доменов используют уникальный атрибут GenerationID, чтобы распознавать следующие события: • Применение снимков • Копирование виртуальной машины • GenerationID изменяется, когда происходит событие, влияющее на положение виртуальной машины на оси времени • Во время запуска виртуальный контроллер домена сравнивает текущее значение GenerationID со значением, которое хранится в каталоге • В случае несовпадения (событие отката) запускается процедура безопасного согласования виртуального контроллера домена || 24 ДОМЕННЫЕ СЛУЖБЫ ACTIVE DIRECTORY Виртуальный контроллер домена Клоны 1 Использование мастера для развертывания отдельного виртуального контроллера домена 2 Настройка дополнительных параметров для клона контроллера домена (например, имя и IP-адрес) 3 Копирование исходной виртуальной машины контроллера домена и перезапуск для завершения операции клонирования || 25 Демонстрация Клонирование контроллера домена || 26 ДОМЕННЫЕ СЛУЖБЫ ACTIVE DIRECTORY Преимущества • Оптимизированное повышение уровня контроллера домена • Поддержка удаленного развертывания || 27 ДОМЕННЫЕ СЛУЖБЫ ACTIVE DIRECTORY Интегрированная проверка перед развертыванием Удаленный запуск на нескольких серверах Упрощенные страницы конфигурации Проверка необходимых компонентов Возможность экспорта сценариев Windows PowerShell || 28 ДОМЕННЫЕ СЛУЖБЫ ACTIVE DIRECTORY Преимущества • Более быстрое обучение • Более уверенная разработка сценариев • Расширение поиска в Windows PowerShell • Поддержка корзины Active Directory в графическом интерфейсе || 29 ДОМЕННЫЕ СЛУЖБЫ ACTIVE DIRECTORY Активация клиентов с использованием существующей инфраструктуры Active Directory Объект активации поддерживается в разделе конфигурации Автоматическая активация компьютеров под управлением Windows 8 и Windows Server 2012 Никакие данные, кроме необходимых для работы службы, не записываются в каталог || 30 ДОМЕННЫЕ СЛУЖБЫ ACTIVE DIRECTORY Управление именами SPN Автоматическое управление паролями Делегирование управления || 31 Демонстрация Мастер развертывания Active Directory || 32 ДОМЕННЫЕ СЛУЖБЫ ACTIVE DIRECTORY Развертывание Виртуализация Оптимизированное развертывание контроллеров доменов Защита виртуальных контроллеров доменов Управление Интуитивно понятное, согласованное управление Расширенный функционал Автоматическая активация ПО и управление учетными записями служб для групп серверов || 33 http://technet.microsoft.com/ru-ru/evalcenter/hh670538.aspx http://technet.microsoft.com/ru-ru/evalcenter/hh505660 http://technet.microsoft.com/ru-ru/cloud/private-cloud http://www.microsoftvirtualacademy.com http://technet.microsoft.com/ru-ru/ || 34 ashapo@microsoft.com http://blogs.technet.com/b/ashapo || 35