日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

Dynamic Access Control ( DAC ;ダイナミックアクセス制御)の概要を使用したファイルアクセスの保護

寄稿者

ダイナミックアクセス制御を使用してアクセスを保護できます。 Active Directory で集約型アクセスポリシーを作成し、適用された GPO を使用して SVM 上のファイルとフォルダにそのポリシーを適用します。集約型アクセスポリシーのステージングイベントを使用するように監査を設定すると、集約型アクセスポリシーの変更を適用する前にその影響を確認できます。

CIFS クレデンシャルの追加

ダイナミックアクセス制御が導入される前は、 CIFS クレデンシャルにセキュリティプリンシパル(ユーザ)の ID と Windows グループメンバーシップが含まれていました。ダイナミックアクセス制御では、デバイス ID 、デバイスの信頼性、ユーザの信頼性という 3 種類の情報がクレデンシャルに追加されます。

  • デバイス ID

    ユーザ ID 情報に似ていますが、ユーザがログインに使用しているデバイスの ID とグループメンバーシップは例外です。

  • デバイスの信頼性

    デバイスのセキュリティプリンシパルに関するアサーションです。たとえば、デバイスの信頼性として特定の OU のメンバーであることなどがあります。

  • ユーザの信頼性

    ユーザのセキュリティプリンシパルに関するアサーションです。たとえば、ユーザの信頼性として AD アカウントが特定の OU のメンバーであることなどがあります。

集約型アクセスポリシー

ファイルの集約型アクセスポリシーを使用すると、ユーザグループ、ユーザの信頼性、デバイスの信頼性、およびリソースのプロパティを使用した条件式を含む許可ポリシーを一元的に導入して管理できます。

たとえば、ビジネスへの影響が大きいデータにアクセスする場合、ユーザーはフルタイムの従業員であり、管理対象デバイスからのみデータにアクセスできる必要があります。集約型アクセスポリシーは Active Directory で定義され、 GPO メカニズムを介してファイルサーバに配布されます。

高度な監査機能を備えた集約型アクセスポリシーのステージング

集約型アクセスポリシーは「集約型」にすることができます。この場合、ファイルアクセスチェック時に「 what if 」方式で評価されます。ポリシーが適用されていた場合の結果と、現在の設定との違いが、監査イベントとして記録されます。管理者は、実際にポリシーを有効にする前に、監査イベントログを使用してアクセスポリシーの変更による影響を確認できます。アクセスポリシーの変更による影響を評価したあと、ポリシーを目的の SVM に GPO 経由で導入できます。