Proteggere l'accesso ai file utilizzando la panoramica del controllo dinamico dell'accesso (DAC)
È possibile proteggere l'accesso utilizzando il controllo dinamico degli accessi e creando policy di accesso centrali in Active Directory e applicandole a file e cartelle su SVM tramite oggetti Criteri di gruppo applicati (GPO). È possibile configurare il controllo in modo che utilizzi gli eventi di staging dei criteri di accesso centrale per visualizzare gli effetti delle modifiche ai criteri di accesso centrale prima di applicarli.
Aggiunte alle credenziali CIFS
Prima di Dynamic Access Control, una credenziale CIFS includeva l'identità di un'entità di protezione (l'utente) e l'appartenenza al gruppo Windows. Con Dynamic Access Control, alla credenziale vengono aggiunti altri tre tipi di informazioni: Identità del dispositivo, attestazioni del dispositivo e attestazioni dell'utente:
-
Identità del dispositivo
L'analogo delle informazioni di identità dell'utente, ad eccezione dell'identità e dell'appartenenza al gruppo del dispositivo da cui l'utente effettua l'accesso.
-
Dichiarazioni dei dispositivi
Asserzioni su un'entità di sicurezza del dispositivo. Ad esempio, un'attestazione del dispositivo potrebbe essere che è un membro di una specifica unità organizzativa.
-
Richieste dell'utente
Asserzioni su un'identità di sicurezza dell'utente. Ad esempio, un utente può affermare che il proprio account ad è membro di una specifica unità organizzativa.
Policy di accesso centrale
I criteri di accesso centrale per i file consentono alle organizzazioni di implementare e gestire centralmente policy di autorizzazione che includono espressioni condizionali utilizzando gruppi di utenti, attestazioni utente, attestazioni dispositivo e proprietà delle risorse.
Ad esempio, per accedere ai dati ad alto impatto sul business, un utente deve essere un dipendente a tempo pieno e avere accesso ai dati solo da un dispositivo gestito. I criteri di accesso centrale sono definiti in Active Directory e distribuiti ai file server tramite il meccanismo GPO.
Staging dei criteri di accesso centralizzato con auditing avanzato
Le policy di accesso centrale possono essere “staged”, nel qual caso vengono valutate in modo “what-if” durante i controlli di accesso ai file. I risultati di ciò che sarebbe accaduto se la policy fosse stata applicata e in che modo differisce da ciò che è attualmente configurato vengono registrati come evento di audit. In questo modo, gli amministratori possono utilizzare i registri degli eventi di audit per studiare l'impatto di una modifica dei criteri di accesso prima di mettere effettivamente in pratica i criteri. Dopo aver valutato l'impatto di una modifica della policy di accesso, la policy può essere implementata tramite GPO nelle SVM desiderate.