28
DYNAMIC ACCESS CONTROL Windows Server 2012
DYNAMIC ACCESS CONTROL
Windows Server 2012
Objetivos de la Sesión
Entender las capacidades de Dynamic Access Control y File Clasiffication en Server 2012
Conocer como preparar Windows para gestionar el acceso a la información y prevenir su fuga
Windows File Server Solution
Data Compliance Challenges
Windows Platform Investments
Putting it Together
Realidad en la Gestion de Información
Crecimiento en Datos y Usuarios
?
Arquitecturas Distribuidas
Cumplimiento con
Regulaciones
?
Limitaciones de
Presupuesto
Necesidades de Negocio→ Resultados
Retener la data por 10 años
Carpeta por proyecto
Prevenir que información corporativa se filtre
La complejidad incrementa la posibilidad de políticas poco efectivas
Las necesidades son muy simples al principio
Agregar políticas fragmenta la estructura
¿Que gestionar?
El Reto del Control de Acceso
• Gestionar quien accede a la información
• Administrar menos grupos de seguridad
• Proteger la información y garantizar cumplimiento
Data Compliance Challenges
Clasificación de la Información
ACLs flexibles basadas en la clasificación de un documento u otras propiedades.
ACLs centralizadas
Auditoria dirigida basada en la clasificación de un documento y usuario.
Despliegue centralizado de políticas de auditoria vía Global Audit Policies.
Auditoria basada en Expresiones
Condiciones de Acceso basadas en Expresiones
Clasificar los documentos usando propiedades almacenadas en AD.
Clasificar documentos automáticamente en función de su contenido
Funcionalidades en WS 2012DATA CLASSIFICATION ACCESS CONTROL
Clasificar la Información
Administrar Información en Función del Valor para el Negocio
Paso 1
Aplicar Políticas
según Clasificación
Paso 2
DATA CLASSIFICATION
¿Como se puede clasificar la información?
• En función de la carpeta donde se cree el archivo• Gestionado por el responsable de la información (carpeta)Ubicación
• Definida por el usuario• Plantillas pueden usarse para conservar configuraciones por
defectoManual
• Clasificación automática basada en contenido y características• Solución ideal para clasificar altos volúmenes de informaciónAutomática
• Aplicativos que almacenan información en servidores de fichero• Aplicaciones para gestión de información (DLP)Aplicación
Las APIs existentes se han conservado y extendido
APIs para las funciones de clasificación Get/Set disponibles para roles no Administrador
Arquitectura de FCI
Set classification properties API for external applications
ClasificaciónAlmacén de
Propiedades de Clasificación
Windows ServerFile Classification Extensibility points
Aplica Política en Función de Clasificación
Descubrimiento
Extraen Propiedades
de Clasificación
Get classification properties API for external applications
File Classification Infrastructure: ¿Que hay de nuevo?
Resource Property Definitions
FCI
Clasificador de
Contenido
VendorPlugin
Clasificación Continua
GuardaClasificación
Power Shell
• Clasificación Continua• Mejoras en el Clasificador• Nuevo Clasificador en Power-Shell• Dynamic namespace
• Global property definitions
• Cualquier usuario puede manualmente clasificar sus archivos• El responsable de una carpeta puede usar “Folder based classification with inheritance”
Un Servidor de Archivos Windows 2012
Agregar el Rol de File Server
Instalar la Característica de FSRM
Requisitos para Clasificar Información
DemoUsando File Clasification Infrastructure
ACCESS CONTROL
ACLs /ACEs BASADAS EN EXPRESIONES
PROPIEDADES Y REGLAS CENTRALIZADAS
CONTROL DE ACCESO BASADO EN CLAIMS (CBAC)
Control de Acceso vía Expresiones
• Gestionar menos grupos de seguridad mediante expresiones condicionales
x 50País 50 GruposDepartamento
x 20 1000 GruposSecreto 2000 Grupos!
2000 grupos a solo 71 usando expresiones condicionalesMemberOf(PAIS_SG) AND MemberOf(Dep_SG) AND
MemberOf(Secreto_SG)
x 2
ACLs flexibles basadas en la clasificación de un documento u otras propiedades.
ACLs centralizadas
Condiciones de Acceso basadas en Expresiones
Políticas de Acceso Central para
Archivos
• Habilitar a las organizaciones la definición de políticas de red que reflejen las intenciones de la empresa y permitan cumplir con regulaciones
Proteger Información
Sensible
• Identificar y proteger data critica mientras la información permanece en Windows Server 2012 pero también cuando deja este ambiente
Remediación para Acceso Denegado
• Mejorar la experiencia del usuario cuando se recibe un acceso denegado
Dynamic Access Control
Uno o mas DCs en Windows Server 2012 (para los claims)
Un Servidor de Archivos Windows 2012
Clientes SMB
Requisitos de Dynamic Access Control
Access Denied Remediation solo soportado en clientes Win 8
Tipos de Claims
Tipo de Claim Propiedades ExtensiónUser Claim • Usuario
• InetOrgPerson• Sobre 255 atributos
posibles • Atributos custom agregados
al esquema se pueden representar como claims
Device Claim • PC• MSA• gMSA
• Sobre 200 atributos posibles
• Atributos custom agregados al esquema se pueden representar como claims
Resource Property Claim
• Msds-resourceproperty
• Gestionado por AD y descargado por un servidor de ficheros
• Cada claim puede tener múltiples valores
• Globales para todos los recursos
• Cada claim existe como un objeto en AD y tiene múltiples posibles valores
Clientes Pre-Windows 8 no soportan Device Claims
User claimsUser.Department = Finance
User.AccessLevel = High
Política de Acceso
Applies to: @File.Impact = HighAllow | Read, Write | if (@User.Department == @File.Department) AND
(@Device.Managed == True)
Device claimsDevice.Department =
FinanceDevice.Managed = True
Resource propertiesResource.Department =
FinanceResource.Impact = High
AD DS
21
Central Access Policies
File Server
Applies to: Exists(File.Country)Allow | Read, Write | if (User.MemberOf(US_SG)) AND (File.Country==US)Allow | Read, Write | if (User.MemberOf(JP_SG)) AND (File.Country==JP)
22
Central Access PoliciesUsando grupos de seguridad
Applies to: Exists(File.Country)Allow | Read, Write | if (User.Country==File.Country)
Usando “user claims”
Applies to: Exists(File.Department)Allow | Read, Write | if (User.MemberOf(Finance_SG)) AND (File.Department==Finance)Allow | Read, Write | if (User.MemberOf(Operations_SG)) AND (File. Department==Operations)…
Applies to: Exists(File.Department)Allow | Read, Write | if (User.Department==File.Department)
DemoCentral Policies & Claims
En ResumenEn Active Directory:• Crear definición de propiedades para
los recursos• Configurar Políticas Centrales• Configurar Claims
En el Servidor de Archivos:• Clasificar Información• Asignar Política Central
Active Directory 2012
Servidor de Archivos Windows 2012
Usuario Final
Política de Acceso
Resource Property
Definitions
User Claims
¿Preguntas?
Webcasts grabadoshttp://technet.microsoft.com/es-es/ff721942.aspx
Más TechNet• Webcasts grabados
http://technet.microsoft.com/es-es/ff721942.aspx
• Registro en futuros webcastshttp://technet.microsoft.com/es-es/bb291010.aspx
• Suscripción al boletín TechNet Flashhttp://www.microsoft.com/spain/technet/boletines/default.mspx
• TechCenters de TechNet (información de productos)http://technet.microsoft.com/es-es/bb421517.aspx
• Suscripciones TechNethttp://technet.microsoft.com/es-es/subscriptions/default.aspx
Sigue a TechNet España
http://www.facebook.com/TechNet.Spain
http://www.twitter.com/TechNet_es
