Acceso seguro a archivos mediante la información general de control de acceso dinámico (DAC)
Puede proteger el acceso mediante el control de acceso dinámico y mediante la creación de directivas de acceso central en Active Directory y su aplicación a archivos y carpetas en las SVM mediante objetos de directiva de grupo aplicados (GPO). Puede configurar la auditoría para utilizar los eventos de configuración de directivas de acceso central para ver los efectos de los cambios en las directivas de acceso central antes de aplicarlas.
Adiciones a las credenciales CIFS
Antes del control dinámico de acceso, una credencial CIFS incluía la identidad de los principales de seguridad (el usuario) y la pertenencia al grupo Windows. Con el control dinámico de acceso, se agregan tres tipos más de información a la credencial: Identidad del dispositivo, reclamos del dispositivo y reclamos del usuario:
-
Identidad del dispositivo
El análogo de la información de identidad del usuario, excepto que es la identidad y pertenencia de grupo del dispositivo desde el que el usuario inicia sesión.
-
Reclamaciones de dispositivos
Afirmaciones acerca de una entidad de seguridad del dispositivo. Por ejemplo, una reclamación de dispositivo podría ser que es miembro de una unidad organizativa específica.
-
Reclamaciones del usuario
Afirmaciones acerca de una entidad de seguridad de usuario. Por ejemplo, una reclamación de usuario podría ser que su cuenta AD es miembro de una unidad organizativa específica.
Políticas de acceso central
Las políticas de acceso central para archivos permiten a las organizaciones implementar y administrar de forma centralizada políticas de autorización que incluyen expresiones condicionales mediante grupos de usuarios, reclamaciones de usuarios, reclamaciones de dispositivos y propiedades de recursos.
Por ejemplo, para acceder a datos de alto impacto empresarial, un usuario necesita ser un empleado a tiempo completo y solo tener acceso a los datos desde un dispositivo gestionado. Las directivas de acceso central se definen en Active Directory y se distribuyen a servidores de archivos mediante el mecanismo GPO.
Configuración de directivas de acceso central con auditoría avanzada
Las políticas centrales de acceso pueden ser «más favorables», en cuyo caso se evalúan de forma «qué sucede si» durante los controles de acceso a los archivos. Los resultados de lo que habría ocurrido si la directiva estaba en vigor y cómo difiere de lo que está configurado actualmente se registran como un evento de auditoría. De esta forma, los administradores pueden utilizar registros de eventos de auditoría para estudiar el impacto de un cambio de directiva de acceso antes de poner la directiva en juego. Tras evaluar el impacto de un cambio de política de acceso, la política se puede implementar a través de GPO en las SVM deseadas.