ダイナミックアクセス制御(DAC)を使用したファイルアクセスの保護の概要
変更を提案
PDF
ダイナミックアクセス制御を使用してアクセスを保護できます。Active Directoryで集約型アクセスポリシーを作成し、適用されたGPOを使用してSVM上のファイルとフォルダにそのポリシーを適用します。集約型アクセスポリシーのステージングイベントを使用するように監査を設定すると、集約型アクセスポリシーの変更を適用する前にその影響を確認できます。
CIFSクレデンシャルへの追加
ダイナミックアクセス制御が導入される前は、CIFSクレデンシャルにセキュリティプリンシパル(ユーザ)のIDとWindowsグループメンバーシップが含まれていました。ダイナミックアクセス制御では、さらに3種類の情報(デバイスID、デバイス要求、およびユーザ要求)がクレデンシャルに追加されます。
-
デバイスID
ユーザーのID情報と類似していますが、ユーザーがログインしているデバイスのIDとグループメンバーシップが異なります。
-
デバイスの信頼性
デバイスセキュリティプリンシパルに関するアサーション。たとえば、デバイスが特定のOUのメンバーであることが要求される場合があります。
-
ユーザの信頼性
ユーザセキュリティプリンシパルに関するアサーション。たとえば、ADアカウントが特定のOUのメンバーであることをユーザが要求する場合があります。
集約型アクセスポリシー
ファイルの集約型アクセスポリシーを使用すると、ユーザグループ、ユーザ要求、デバイス要求、およびリソースプロパティを使用した条件式を含む許可ポリシーを一元的に導入および管理できます。
たとえば、ビジネスに影響の大きいデータにアクセスするには、フルタイムの従業員であり、管理対象デバイスからのみデータにアクセスできる必要があります。集約型アクセスポリシーはActive Directoryで定義され、GPOメカニズムを介してファイルサーバに配布されます。
高度な監査を使用した集約型アクセスポリシーのステージング
集約型アクセスポリシーは「集約型」にすることができます。この場合、ファイルアクセスチェック時に「 what if 」方式で評価されます。ポリシーが有効になっていた場合に発生した結果、および現在の設定とどのように異なるかが監査イベントとして記録されます。このようにして、管理者は、実際にポリシーを有効にする前に、監査イベントログを使用してアクセスポリシーの変更による影響を調べることができます。アクセスポリシーの変更による影響を評価したら、GPOを使用して目的のSVMにポリシーを導入できます。