Dynamische Zugriffsteuerung: Szenarioübersicht
In Windows Server 2012 können Sie die Datensteuerung auf den Dateiservern anwenden, um zu steuern, wer auf Informationen zugreifen kann, und um zu überprüfen, wer auf Informationen zugegriffen hat. Mit der dynamischen Zugriffssteuerung haben Sie folgende Möglichkeiten:
Identifizieren von Daten mittels automatischer und manueller Dateiklassifizierung. Beispielsweise können Sie Daten auf Dateiservern in der gesamten Organisation markieren.
Steuern des Zugriffs auf Dateien durch das Anwenden von Sicherheitsnetz-Richtlinien, die zentrale Zugriffsrichtlinien verwenden. Beispielsweise können Sie festlegen, wer innerhalb der Organisation auf Integritätsinformationen zugreifen kann.
Überwachen des Zugriffs auf Dateien mithilfe von zentralen Überwachungsrichtlinien für Kompatibilitätsberichte und forensischen Analysen. Beispielsweise können Sie identifizieren, wer auf streng vertrauliche Informationen zugegriffen hat.
Anwenden von RMS (Rights Management Services)-Schutz durch Verwendung der automatischen RMS-Verschlüsselung für vertrauliche Microsoft Office-Dokumente. Beispielsweise könnten Sie RMS so konfigurieren, dass alle Dokumente verschlüsselt werden, die HIPAA (Health Insurance Portability and Accountability Act)-Informationen enthalten.
Die Featuregruppe %%amp;quot;Dynamische Zugriffssteuerung%%amp;quot; basiert auf Infrastrukturinvestitionen, die von weiteren Partnern und Branchenanwendungen verwendet werden können, und die Features sind u. U. sehr nützlich für Organisationen, die Active Directory nutzen. Diese Infrastruktur umfasst:
Eine neue Autorisierungs- und Überwachungs-Engine, die bedingte Ausdrücke und zentrale Richtlinien verarbeiten kann.
Unterstützung der Kerberos-Authentifizierung für Benutzer- und Geräteansprüche.
Verbesserungen der Dateiklassifizierungsinfrastruktur.
Unterstützung der RMS-Erweiterbarkeit, damit Partner Lösungen zum Verschlüsseln von Microsoft-fremden Dateien bereitstellen können.
Inhalt dieses Szenarios
Folgende Szenarien und Anweisungen sind in diesem Inhaltssatz enthalten:
Inhaltsroadmap die dynamische Zugriffssteuerung
| Szenario | Evaluieren | Planen | Bereitstellen | Betrieb |
|---|---|---|---|---|
| Szenario: Zentrale Zugriffsrichtlinie Das Erstellen zentraler Zugriffsrichtlinien für Dateien ermöglicht Organisationen das zentrale Bereitstellen und Verwalten von Autorisierungsrichtlinien, die bedingte Ausdrücke mit Benutzeransprüchen, Geräteansprüchen und Ressourceneigenschaften. Diese Richtlinien basieren auf rechtlichen Bestimmungen zu Kompatibilitäts- und Geschäftsanforderungen. Diese Richtlinien werden in Active Directory erstellt und gehostet und sind daher einfacher zu verwalten und bereitzustellen. Gesamtstrukturübergreifende Bereitstellung von Ansprüchen In Windows Server 2012 ist in AD DS in jeder Gesamtstruktur ein „Anspruchswörterbuch“ vorhanden, und alle in der Gesamtstruktur verwendeten Anspruchstypen sind auf der Ebene der Active Directory-Gesamtstrukturebene definiert. In vielen Szenarien muss ein Prinzipal u. U. eine Vertrauensstellungsgrenze durchlaufen. In diesem Szenario wird beschrieben, wie ein Anspruch eine Vertrauensstellungsgrenze durchläuft. |
Dynamische Zugriffsteuerung: Szenarioübersicht | Plan: Bereitstellung einer zentralen Zugriffsrichtlinie - Prozess zum Zuordnen einer Geschäftsanfrage zu einer zentralen Zugriffsrichtlinie Bewährte Methoden für die Verwendung von Benutzeransprüchen - Auswählen der richtigen Konfiguration zum Aktivieren von Ansprüchen in Ihrer Benutzerdomäne Verwenden von Geräteansprüchen und Gerätesicherheitsgruppen - Überlegungen zur Verwendung von statischen Geräteansprüchen Tools für die Bereitstellung - |
Bereitstellen einer zentralen Zugriffsrichtlinie (Demonstrationsschritte) Gesamtstrukturübergreifendes Bereitstellen von Ansprüchen (Schritte zur Veranschaulichung) |
- Erstellen eines Modells für eine zentrale Zugriffsrichtlinie |
| Szenario: Dateizugriffsüberwachung Die Sicherheitsüberwachung gehört zu den leistungsstärksten Tools zur Erhaltung der Sicherheit eines Unternehmens. Eines der wichtigsten Ziele von Sicherheitsüberwachungen ist die Einhaltung rechtlicher Bestimmungen. So müssen Unternehmen bei Industriestandards wie Sarbanes Oxley, HIPAA und Payment Card Industry (PCI) strenge Regeln zur Gewährleistung von Datensicherheit und Datenschutz befolgen. Sicherheitsüberwachungen helfen, das Vorhandensein oder Fehlen entsprechender Richtlinien festzustellen und geben dadurch Aufschluss über die Einhaltung oder Nichteinhaltung dieser Standards. Darüber hinaus helfen Sicherheitsüberwachungen, anormales Verhalten zu erkennen, Lücken in Sicherheitsrichtlinien zu identifizieren und auszugleichen und vor unverantwortlichem Verhalten abzuschrecken, indem ein Datensatz der Benutzeraktivität erstellt wird, der zur forensischen Analyse verwendet werden kann. |
Szenario: Dateizugriffsüberwachung | Planen der Dateizugriffsüberwachung | Bereitstellen der Sicherheitsüberwachung mit zentralen Überwachungsrichtlinien (Demonstrationsschritte) | - Überwachen der zentralen Zugriffsrichtlinien, die für einen Dateiserver gelten - Überwachen der zentralen Zugriffsrichtlinien, die Dateien und Ordnern zugewiesen sind - Überwachen der Ressourcenattribute in Dateien und Ordnern - Überwachen von Anspruchstypen - Überwachen von Benutzer- und Geräteansprüchen während der Anmeldung - Überwachen der Definitionen von zentralen Zugriffsrichtlinien und Regeln - Überwachen der Definitionen von Ressourcenattributen - Überwachen der Verwendung von Wechselmedien. |
| Szenario: Unterstützung nach „Zugriff verweigert“ Wenn Benutzer heutzutage versuchen, auf eine Remotedatei auf dem Dateiserver zuzugreifen, erhalten sie lediglich den Hinweis, dass der Zugriff verweigert wird. Dies führt zu Anfragen an das Helpdesk oder IT-Administratoren, die das Problem erörtern müssen. Dabei treten häufig Schwierigkeiten auf, den entsprechenden Kontext von Benutzern zu erhalten, was das Lösen des Problems noch schwieriger macht. |
Szenario: Unterstützung nach „Zugriff verweigert“ | Plan für die Unterstützung nach %%amp;quot;Zugriff verweigert%%amp;quot; - Bestimmen des Modells für die Unterstützung nach „Zugriff verweigert“ |
Bereitstellen der Unterstützung nach „Zugriff verweigert“ (Demonstrationsschritte) | |
| Szenario: Auf Klassifizierung basierende Verschlüsselung für Office-Dokumente Der Schutz vertraulicher Informationen besteht hauptsächlich aus dem Eindämmen von Risiken für das Unternehmen. Verschiedene Kompatibilitätsbestimmungen wie z. B. HIPAA oder Payment Card Industry Data Security Standard (PCI-DSS) schreiben die Verschlüsselung von Informationen vor, und vertrauliche Geschäftsinformationen sollten zu verschiedenen Geschäftszwecken verschlüsselt werden. Das Verschlüsseln von Informationen ist jedoch teuer und beeinträchtigt u. U. die Geschäftsproduktivität. Daher verwenden Organisationen oft unterschiedliche Ansätze und Prioritäten beim Verschlüsseln ihrer Informationen. |
Szenario: Auf Klassifizierung basierende Verschlüsselung für Office-Dokumente | Planen der Bereitstellung der klassifizierungsbasierten Verschlüsselung von Dokumenten | Bereitstellen der Verschlüsselung von Office-Dateien (Demonstrationsschritte) | |
| Szenario: Erhalten von Einblicken in Ihre Daten mittels Klassifizierung Die Abhängigkeit von Daten- und Speicherressourcen wird für die meisten Organisationen immer bedeutender. IT-Administratoren sind mit der wachsenden Herausforderung konfrontiert, immer größere und komplexere Speicherinfrastrukturen zu überwachen und sind gleichzeitig dafür verantwortlich, dass die Gesamtbetriebskosten ein vernünftiges Maß nicht überschreiten. Beim Verwalten von Speicherressourcen geht es nicht mehr nur um das Volumen oder die Verfügbarkeit von Daten, sondern auch um das Durchsetzen von Unternehmensrichtlinien und Informationen zum Speicherverbrauch, um eine effiziente Nutzung und Kompatibilität zu ermöglichen und dadurch wiederum Risiken einzudämmen. Die Dateiklassifizierungsinfrastruktur bietet Einsicht in Ihre Daten, indem Klassifizierungsvorgänge automatisiert werden, damit Sie Ihre Daten effektiver verwalten können. Mit der Dateiklassifizierungsinfrastruktur werden folgende Klassifizierungsmethoden bereitgestellt: manuell, programmgesteuert und automatisch. In diesem Szenario liegt der Schwerpunkt auf der automatischen Dateiklassifizierungsmethode. |
Szenario: Erhalten von Einblicken in Ihre Daten mittels Klassifizierung | Planen der automatischen Dateiklassifizierung | Bereitstellen der automatischen Dateiklassifizierung (Demonstrationsschritte) | |
| Szenario: Implementieren der Aufbewahrung von Informationen auf Dateiservern Aufbewahrungsdauer bezeichnet den Zeitraum, den ein Dokument aufbewahrt werden sollte, bevor es als abgelaufen gilt. Die Aufbewahrungsdauer kann sich je nach Organisation unterscheiden. Sie können Dateien in einem Ordner nach kurzer, mittlerer oder langer Aufbewahrungsdauer klassifizieren und anschließend den Zeitraum für jede Dauer zuweisen. Sie können eine Datei unbegrenzt aufbewahren, in dem sie ihr eine rechtliche Aufbewahrungspflicht zuweisen. |
Szenario: Implementieren der Aufbewahrung von Informationen auf Dateiservern | Planen der Aufbewahrung von Informationen auf Dateiservern | Bereitstellen der Implementierung der Aufbewahrung von Informationen auf Dateiservern (Demonstrationsschritte) |
Hinweis
Die dynamische Zugriffssteuerung wird in einem robusten Dateisystem (Resilient File System, ReFS) nicht unterstützt.
Siehe auch
| Inhaltstyp | Referenzen |
|---|---|
| Produktbewertung | - Dynamische Zugriffssteuerung: Prüferhandbuch - Dynamische Zugriffssteuerung: Anweisungen für Entwickler |
| Planung | - Planen der Bereitstellung einer zentralen Zugriffsrichtlinie - Planen der Dateizugriffsüberwachung |
| Bereitstellung | - Active Directory-Bereitstellung - Bereitstellung von Datei- und Speicherdiensten |
| Vorgänge | PowerShell-Referenz für die dynamische Zugriffssteuerung |
|Communityressourcen|Forum für Verzeichnisdienste|