Compartir a través de


Control de acceso dinámico: Información general sobre el escenario

En Windows Server 2012 se puede usar la gobernanza de datos en todos los servidores de archivos para controlar quién puede obtener acceso a la información y supervisar quién lo ha hecho. El control de acceso dinámico permite:

  • Identificar los datos mediante la clasificación automática y manual de archivos. Por ejemplo, podría etiquetar datos en servidores de archivos en toda la organización.

  • Controlar el acceso a los archivos mediante la aplicación de directivas de red de seguridad que utilicen directivas de acceso central. Por ejemplo, podría definir quién puede acceder a la información de mantenimiento en la organización.

  • Auditar el acceso a los archivos por medio de directivas de auditoría centrales de informes de cumplimiento y análisis forenses. Por ejemplo, podría identificar quién ha obtenido acceso a información muy confidencial.

  • Aplicar la protección de Rights Management Services (RMS) mediante cifrado RMS automático para documentos de Microsoft Office confidenciales. Por ejemplo, podría configurar RMS para cifrar todos los documentos que contengan información de la Ley de transferencia y responsabilidad de seguros de salud (HIPAA).

El conjunto de características Control de acceso dinámico se basa en inversiones en infraestructura que pueden usar también asociados y aplicaciones de línea de negocio, y las características pueden proporcionar un gran valor a las organizaciones que usan Active Directory. Esta infraestructura incluye:

  • Un nuevo motor de autorización y auditoría para Windows que puede procesar expresiones condicionales y directivas centrales.

  • Compatibilidad con la autenticación Kerberos para notificaciones de usuario y notificaciones de dispositivo.

  • Mejoras en la infraestructura de clasificación de archivos (FCI).

  • Compatibilidad con la extensibilidad RMS para que los asociados puedan proporcionar soluciones para cifrar archivos que no sean de Microsoft.

En este escenario

Este conjunto de contenido incluye los siguientes escenarios y orientación:

Guía básica de contenido de control de acceso dinámico

Escenario Evaluate Plan Implementación Funcionamiento
Escenario: Directiva de acceso central

La creación de directivas de acceso central para los archivos permite a las organizaciones implementar y administrar de manera centralizada las directivas de autorización que incluyen expresiones condicionales mediante notificaciones de usuario, notificaciones de dispositivo y propiedades de recursos. Estas directivas se basan en requisitos de regulación empresarial y de cumplimiento. Estas directivas se crean y se hospedan en Active Directory, lo que facilita su administración e implementación.

Implementación de notificaciones en bosques

En Windows Server 2012, AD DS mantiene un "diccionario de notificaciones" en cada bosque y todos los tipos de notificaciones que se usan en el bosque se definen en el nivel de bosque de Active Directory. Hay numerosos escenarios en los que es necesario que una entidad de seguridad atraviese un límite de confianza. En este escenario se describe el modo en que una notificación atraviesa un límite de confianza.

Control de acceso dinámico: Información general sobre el escenario

Implementación de notificaciones en bosques

Plan: Una implementación de directiva de acceso central

- Proceso de asignación de una solicitud empresarial a una directiva de acceso central
- Delegación de administración de Control de acceso dinámico
- Mecanismos de excepción para planear directivas de acceso central

Procedimientos recomendados para usar notificaciones de usuario

- Elección de la configuración correcta para habilitar notificaciones en el dominio de usuario
- Operaciones para habilitar notificaciones de usuario
- Consideraciones acerca del uso de las notificaciones de usuario en las ACL discrecionales del servidor de archivos sin utilizar directivas de acceso central

Uso de notificaciones de dispositivo y grupos de seguridad de dispositivos

- Consideraciones acerca del uso de notificaciones de dispositivo estáticas
- Operaciones para habilitar notificaciones de dispositivo

Herramientas de implementación

-

Implementar una directiva de acceso central (pasos de demostración)

Implementación de notificaciones entre bosques (pasos de demostración)

- Modelado de una directiva de acceso central
Escenario: Auditoría de acceso a archivos

La auditoría de seguridad es una de las herramientas más eficaces para mantener la seguridad de una empresa. Uno de los principales objetivos de las auditorías de seguridad es el cumplimiento de las normas. Por ejemplo, los estándares de la industria como Sarbanes Oxley, HIPPA y Payment Card Industry (PCI) exigen que las empresas sigan un estricto conjunto de reglas relacionadas con la seguridad y la privacidad de los datos. Las auditorías de seguridad ayudan a establecer la presencia o la ausencia de dichas directivas y prueban el cumplimiento o incumplimiento de estos estándares. Además, las auditorías de seguridad ayudan a detectar comportamientos anómalos, a identificar y mitigar brechas en la directiva de seguridad y a impedir el comportamiento irresponsable al crear un registro de la actividad del usuario que puede utilizarse para un análisis forense.

Escenario: Auditoría de acceso a archivos Planear la auditoría de acceso a archivos Implementar la auditoría de seguridad con directivas de auditoría central (pasos de demostración) - Supervisión de las directivas de acceso central aplicables en un servidor de archivos
- Supervisión de las directivas de acceso central asociadas a archivos y carpetas
- Supervisión de los atributos de recurso en archivos y carpetas
- Supervisión de los tipos de notificaciones
- Supervisión de las notificaciones de usuario y dispositivo durante el inicio de sesión
- Supervisión de las definiciones de regla y directiva de acceso central
- Supervisión de las definiciones de atributo de recurso
- Supervisión del uso de dispositivos de almacenamiento extraíbles.
Escenario: Asistencia de acceso denegado

En la actualidad, cuando los usuarios intentan acceder a un archivo remoto en el servidor de archivos, la única indicación que obtendrán es que tienen el acceso denegado. Como consecuencia, se generan solicitudes al departamento de soporte técnico o a los administradores de TI para que solucionen el problema y, a menudo, los administradores tienen dificultades para obtener el contexto adecuado de los usuarios, lo que complica incluso más la solución del problema.
En Windows Server 2012, el objetivo es intentar ayudar a quien trabaja con la información y al propietario empresarial de los datos a solucionar problemas de acceso denegado antes de que intervenga el departamento de TI y, si este interviene, ayudarle a proporcionar toda la información correcta para obtener una rápida resolución. Uno de los desafíos para lograr este objetivo es que no existe un modo centralizado de solucionar el acceso denegado y que cada aplicación lo aborda de manera distinta; por ello, uno de los objetivos de Windows Server 2012 es mejorar la experiencia de acceso denegado en el Explorador de Windows.

Escenario: Asistencia de acceso denegado Planear la asistencia para acceso denegado

- Determinar el modelo de asistencia para acceso denegado
- Determinar quién debe controlar las solicitudes de acceso
- Personalización del mensaje de asistencia de acceso denegado
- Planeamiento de excepciones
- Determinar cómo se implementa la asistencia de acceso denegado

Deploy Access-Denied Assistance (Demonstration Steps)
Escenario: Cifrado de documentos de Office basado en la clasificación

La protección de la información confidencial se centra principalmente en mitigar el riesgo para la organización. Diversas normas de cumplimiento, como la HIPAA o el estándar de seguridad de datos para la industria de tarjetas de pago (PCI-DSS), dictan el cifrado de la información y hay numerosos motivos empresariales para cifrar la información empresarial confidencial. Sin embargo, cifrar la información resulta costoso y podría afectar a la productividad empresarial. Por lo tanto, las organizaciones tienden a adoptar distintos enfoques y prioridades para cifrar su información.
Para permitir este escenario, Windows Server 2012 proporciona la capacidad de cifrar automáticamente los archivos de Windows Office confidenciales según su clasificación. Esto se realiza a través de tareas de administración de archivos que invocan la protección del Servidor de Active Directory Rights Management Services (AD RMS) de los documentos confidenciales unos pocos segundos después de haber identificado el archivo como confidencial en el servidor de archivos.

Escenario: Cifrado de documentos de Office basado en la clasificación Planear la implementación del cifrado de documentos basado en la clasificación Deploy Encryption of Office Files (Demonstration Steps)
Escenario: Comprender los datos mediante la clasificación

En la mayoría de las organizaciones ha ido aumentando la dependencia de los datos y los recursos de almacenamiento. Los administradores de TI se enfrentan al creciente desafío que supone la supervisión de infraestructuras de almacenamiento cada vez más grandes y más complejas, al mismo tiempo que se les asigna la responsabilidad de garantizar que el costo total de propiedad se mantenga en un nivel razonable. La administración de recursos de almacenamiento ya no se limita al volumen o la disponibilidad de datos, sino que implica además cumplir las directivas de la compañía y saber cómo se consume el almacenamiento para permitir un uso y un cumplimiento eficaces que mitiguen el riesgo. La infraestructura de clasificación de archivos permite obtener una idea clara de los datos mediante la automatización de los procesos de clasificación con el fin de poder administrar los datos de manera más eficaz. La infraestructura de clasificación de archivos proporciona los siguientes métodos de clasificación: manual, mediante programación y automática. Este escenario se centra en el método de clasificación automática de archivos.

Escenario: Comprender los datos mediante la clasificación Planear la clasificación automática de archivos Deploy Automatic File Classification (Demonstration Steps)
Escenario: Implementar la retención de información en servidores de archivos

Un período de retención es la cantidad de tiempo que un documento debería conservarse antes de que expire. El período de retención puede ser distinto en función de la organización. Puede clasificar archivos en una carpeta según tengan un período de retención a corto, medio o largo plazo y, a continuación, asignar el período de tiempo para cada tipo. Quizás desee conservar un archivo indefinidamente mediante una retención legal.
La infraestructura de clasificación de archivos y el Administrador de recursos del servidor de archivos utilizan tareas de administración de archivos y la clasificación de archivos para aplicar períodos de retención para un conjunto de archivos. Puede asignar un período de retención en una carpeta y, a continuación, usar una tarea de administración de archivos para configurar la duración de un período de retención asignado. Cuando los archivos de la carpeta están a punto de expirar, el propietario del archivo recibe un correo electrónico de notificación. También puede clasificar un archivo con el estado de retención legal para que la tarea de administración de archivos no haga expirar el archivo.

Escenario: Implementar la retención de información en servidores de archivos Planificación de la retención de información en servidores de archivos Implementación de la retención de información en servidores de archivos (pasos de demostración)

Nota

No se admite el control de acceso dinámico en ReFS (Sistema de archivos resistente).

Consulte también

Tipo de contenido Referencias
Evaluación del producto - Guía para revisores de Control de acceso dinámico
- Instrucciones para el desarrollador de Control de acceso dinámico
Planeamiento - Planeamiento de una implementación de directiva de acceso central
- Planeamiento de la auditoría de acceso a archivos
Implementación - Implementación de Active Directory
- Implementación de los servicios de archivos y almacenamiento
Operaciones Referencia de PowerShell para el control de acceso dinámico

|Recursos de la comunidad|Foro de servicios de directorio|