DYNAMIC ACCESS CONTROL

DYNAMIC ACCESS CONTROL

Windows Server 2012

Objetivos de la Sesión

Entender las capacidades de Dynamic Access Control y File Clasiffication en Server 2012

Conocer como preparar Windows para gestionar el acceso a la información y prevenir su fuga

Windows File Server Solution

Data Compliance Challenges

Windows Platform Investments

Putting it Together

Realidad en la Gestion de Información

Crecimiento en Datos y Usuarios

?

Arquitecturas Distribuidas

Cumplimiento con

Regulaciones

?

Limitaciones de

Presupuesto

Necesidades de Negocio→ Resultados

Retener la data por 10 años

Carpeta por proyecto

Prevenir que información corporativa se filtre

La complejidad incrementa la posibilidad de políticas poco efectivas

Las necesidades son muy simples al principio

Agregar políticas fragmenta la estructura

¿Que gestionar?

El Reto del Control de Acceso

• Gestionar quien accede a la información

• Administrar menos grupos de seguridad

• Proteger la información y garantizar cumplimiento

Data Compliance Challenges

Clasificación de la Información

ACLs flexibles basadas en la clasificación de un documento u otras propiedades.

ACLs centralizadas

Auditoria dirigida basada en la clasificación de un documento y usuario.

Despliegue centralizado de políticas de auditoria vía Global Audit Policies.

Auditoria basada en Expresiones

Condiciones de Acceso basadas en Expresiones

Clasificar los documentos usando propiedades almacenadas en AD.

Clasificar documentos automáticamente en función de su contenido

Funcionalidades en WS 2012DATA CLASSIFICATION ACCESS CONTROL

Clasificar la Información

Administrar Información en Función del Valor para el Negocio

Paso 1

Aplicar Políticas

según Clasificación

Paso 2

DATA CLASSIFICATION

¿Como se puede clasificar la información?

• En función de la carpeta donde se cree el archivo• Gestionado por el responsable de la información (carpeta)Ubicación

• Definida por el usuario• Plantillas pueden usarse para conservar configuraciones por

defectoManual

• Clasificación automática basada en contenido y características• Solución ideal para clasificar altos volúmenes de informaciónAutomática

• Aplicativos que almacenan información en servidores de fichero• Aplicaciones para gestión de información (DLP)Aplicación

Las APIs existentes se han conservado y extendido

APIs para las funciones de clasificación Get/Set disponibles para roles no Administrador

Arquitectura de FCI

Set classification properties API for external applications

ClasificaciónAlmacén de

Propiedades de Clasificación

Windows ServerFile Classification Extensibility points

Aplica Política en Función de Clasificación

Descubrimiento

Extraen Propiedades

de Clasificación

Get classification properties API for external applications

File Classification Infrastructure: ¿Que hay de nuevo?

Resource Property Definitions

FCI

Clasificador de

Contenido

VendorPlugin

Clasificación Continua

GuardaClasificación

Power Shell

• Clasificación Continua• Mejoras en el Clasificador• Nuevo Clasificador en Power-Shell• Dynamic namespace

• Global property definitions

• Cualquier usuario puede manualmente clasificar sus archivos• El responsable de una carpeta puede usar “Folder based classification with inheritance”

Un Servidor de Archivos Windows 2012

Agregar el Rol de File Server

Instalar la Característica de FSRM

Requisitos para Clasificar Información

DemoUsando File Clasification Infrastructure

ACCESS CONTROL

ACLs /ACEs BASADAS EN EXPRESIONES

PROPIEDADES Y REGLAS CENTRALIZADAS

CONTROL DE ACCESO BASADO EN CLAIMS (CBAC)

Control de Acceso vía Expresiones

• Gestionar menos grupos de seguridad mediante expresiones condicionales

x 50País 50 GruposDepartamento

x 20 1000 GruposSecreto 2000 Grupos!

2000 grupos a solo 71 usando expresiones condicionalesMemberOf(PAIS_SG) AND MemberOf(Dep_SG) AND

MemberOf(Secreto_SG)

x 2

ACLs flexibles basadas en la clasificación de un documento u otras propiedades.

ACLs centralizadas

Condiciones de Acceso basadas en Expresiones

Políticas de Acceso Central para

Archivos

• Habilitar a las organizaciones la definición de políticas de red que reflejen las intenciones de la empresa y permitan cumplir con regulaciones

Proteger Información

Sensible

• Identificar y proteger data critica mientras la información permanece en Windows Server 2012 pero también cuando deja este ambiente

Remediación para Acceso Denegado

• Mejorar la experiencia del usuario cuando se recibe un acceso denegado

Dynamic Access Control

Uno o mas DCs en Windows Server 2012 (para los claims)

Un Servidor de Archivos Windows 2012

Clientes SMB

Requisitos de Dynamic Access Control

Access Denied Remediation solo soportado en clientes Win 8

Tipos de Claims

Tipo de Claim Propiedades ExtensiónUser Claim • Usuario

• InetOrgPerson• Sobre 255 atributos

posibles • Atributos custom agregados

al esquema se pueden representar como claims

Device Claim • PC• MSA• gMSA

• Sobre 200 atributos posibles

• Atributos custom agregados al esquema se pueden representar como claims

Resource Property Claim

• Msds-resourceproperty

• Gestionado por AD y descargado por un servidor de ficheros

• Cada claim puede tener múltiples valores

• Globales para todos los recursos

• Cada claim existe como un objeto en AD y tiene múltiples posibles valores

Clientes Pre-Windows 8 no soportan Device Claims

User claimsUser.Department = Finance

User.AccessLevel = High

Política de Acceso

Applies to: @File.Impact = HighAllow | Read, Write | if (@User.Department == @File.Department) AND

(@Device.Managed == True)

Device claimsDevice.Department =

FinanceDevice.Managed = True

Resource propertiesResource.Department =

FinanceResource.Impact = High

AD DS

21

Central Access Policies

File Server

Applies to: Exists(File.Country)Allow | Read, Write | if (User.MemberOf(US_SG)) AND (File.Country==US)Allow | Read, Write | if (User.MemberOf(JP_SG)) AND (File.Country==JP)

22

Central Access PoliciesUsando grupos de seguridad

Applies to: Exists(File.Country)Allow | Read, Write | if (User.Country==File.Country)

Usando “user claims”

Applies to: Exists(File.Department)Allow | Read, Write | if (User.MemberOf(Finance_SG)) AND (File.Department==Finance)Allow | Read, Write | if (User.MemberOf(Operations_SG)) AND (File. Department==Operations)…

Applies to: Exists(File.Department)Allow | Read, Write | if (User.Department==File.Department)

DemoCentral Policies & Claims

En ResumenEn Active Directory:• Crear definición de propiedades para

los recursos• Configurar Políticas Centrales• Configurar Claims

En el Servidor de Archivos:• Clasificar Información• Asignar Política Central

Active Directory 2012

Servidor de Archivos Windows 2012

Usuario Final

Política de Acceso

Resource Property

Definitions

User Claims

¿Preguntas?

Webcasts grabadoshttp://technet.microsoft.com/es-es/ff721942.aspx

Más TechNet• Webcasts grabados

http://technet.microsoft.com/es-es/ff721942.aspx

• Registro en futuros webcastshttp://technet.microsoft.com/es-es/bb291010.aspx

• Suscripción al boletín TechNet Flashhttp://www.microsoft.com/spain/technet/boletines/default.mspx

• TechCenters de TechNet (información de productos)http://technet.microsoft.com/es-es/bb421517.aspx

• Suscripciones TechNethttp://technet.microsoft.com/es-es/subscriptions/default.aspx

Sigue a TechNet España

http://www.facebook.com/TechNet.Spain

http://www.twitter.com/TechNet_es