Upload
eventos-creativos
View
428
Download
0
Embed Size (px)
DESCRIPTION
Charla impartida por Javier Domínguez, de la empresa Microsoft para el evento Asegur@itCamp4! que tuvo lugar durante los días 26, 27 y 28 de Octubre de 2012 en El Escorial, Madrid.
Citation preview
Javier Dominguez /Premier Field Engineer
Dynamic Access Control
Asegura IT CAMP
MICROSOFT CONFIDENTIAL – INTERNAL ONLY
Objetivos de la Sesión
Entender las capacidades de Dynamic Access Control
Conocer como preparar Windows para gestionar el acceso a la información y prevenir su fuga
Windows File Server Solution
Data Compliance Challenges
Windows Platform Investments
Putting it Together
Realidad en la Gestion de Información
Crecimiento en Datos y Usuarios
?
Arquitecturas Distribuidas
Cumplimiento con
Regulaciones
?
Limitaciones de
Presupuesto
El Reto del Control de Acceso
Gestionar quien accede a la
información
Administrar menos grupos de
seguridad
Proteger la información y
garantizar cumplimiento
Data Compliance Challenges
Clasificar la Información
Administrar Información en Función del Valor para el Negocio
Paso 1
Aplicar Políticas según
Clasificación
Paso 2
Windows File Server Solution
A
Windows Platform Investments
ACLs /ACEs BASADAS EN EXPRESIONES
PROPIEDADES Y REGLAS CENTRALIZADAS
CONTROL DE ACCESO BASADO EN CLAIMS (CBAC)
Uno o mas DCs en Windows Server 2012 (para los claims)
Un Servidor de Archivos Windows 2012
Clientes SMB
Requisitos de Dynamic Access Control
Access Denied Remediation solo soportado en clientes Win 8
Tipos de Claims
Tipo de Claim Propiedades Extensin
User Claim • Usuario• InetOrgPerson
• Sobre 255 atributos posibles
• Atributos custom agregados al esquema se pueden representar como claims
Device Claim • PC• MSA• gMSA
• Sobre 200 atributos posibles
• Atributos custom agregados al esquema se pueden representar como claims
Resource Property Claim
• Msds-resourceproperty
• Gestionado por AD y descargado por un servidor de ficheros
• Cada claim puede tener múltiples valores
• Globales para todos los recursos
• Cada claim existe como un objeto en AD y tiene múltiples posibles valores
Clientes Pre-Windows 8 no soportan Device Claims
User claimsUser.Department = Finance
User.AccessLevel = High
Política de Acceso
Applies to: @File.Impact = HighAllow | Read, Write | if (@User.Department == @File.Department) AND
(@Device.Managed == True)
Device claimsDevice.Department = Finance
Device.Managed = True
Resource propertiesResource.Department =
FinanceResource.Impact = High
AD DS
9
Central Access Policies
File Server
Control de Acceso vía Expresiones
Gestionar menos grupos de seguridad mediante
expresiones condicionales
x 50País 50 GruposDepartamento x 20 1000 Grupos
Secreto 2000 Grupos!
2000 grupos a solo 71 usando expresiones condicionalesMemberOf(PAIS_SG) AND MemberOf(Dep_SG) AND
MemberOf(Secreto_SG)
x 2
ACLs flexibles basadas en la clasificación de un documento u otras propiedades.
ACLs centralizadas
Condiciones de Acceso basadas en Expresiones
Applies to: Exists(File.Country)Allow | Read, Write | if (User.MemberOf(US_SG)) AND (File.Country==US)Allow | Read, Write | if (User.MemberOf(JP_SG)) AND (File.Country==JP)
…
11
Central Access PoliciesUsando grupos de seguridad
Applies to: Exists(File.Country)Allow | Read, Write | if (User.Country==File.Country)
Usando “user claims”
Applies to: Exists(File.Department)Allow | Read, Write | if (User.MemberOf(Finance_SG)) AND (File.Department==Finance)Allow | Read, Write | if (User.MemberOf(Operations_SG)) AND (File. Department==Operations)…
Applies to: Exists(File.Department)Allow | Read, Write | if (User.Department==File.Department)
PREGUNTAS?S?