DAC(ダイナミック アクセス制御)を使用したファイル アクセスの保護

ダイナミック アクセス制御を使用してアクセスを保護できます。Active Directoryで集約型アクセス ポリシーを作成し、適用されたGPOを使用してSVM上のファイルとフォルダにそのポリシーを適用します。集約型アクセス ポリシーのステージング イベントを使用するように監査を設定すると、集約型アクセス ポリシーの変更を適用する前にその効果を確認することができます。

CIFSクレデンシャルの追加

ダイナミック アクセス制御が導入される前は、CIFSクレデンシャルにセキュリティ プリンシパル(ユーザ)のIDとWindowsグループ メンバーシップが含まれていました。ダイナミック アクセス制御では、デバイスID、デバイスの信頼性、ユーザの信頼性という3つのタイプの情報がクレデンシャルに追加されます。

集約型アクセス ポリシー

ファイルの集約型アクセス ポリシーを使用すると、ユーザ グループ、ユーザの信頼性、デバイスの信頼性、およびリソース プロパティを使用した条件式を含む許可ポリシーを、一元的に導入して管理することができます。

たとえば、ビジネスへの影響が大きいデータには、正社員のユーザだけが、管理対象のデバイスからのみアクセスできるようにすることができます。集約型アクセス ポリシーはActive Directoryに定義され、GPOメカニズムを介してファイル サーバに配布されます。

高度な監査機能を備えた集約型アクセス ポリシーのステージング

集約型アクセス ポリシーはステージングすることができます。その場合、ファイル アクセスのチェック時にwhat-if形式の評価が行われます。ポリシーが適用されていた場合の結果と、現在の設定との違いが、監査イベントのログに記録されます。管理者は、実際にポリシーを有効にする前に、監査イベント ログを使用してアクセス ポリシーの変更による影響を確認できます。アクセス ポリシーの変更による影響を評価したあと、ポリシーを目的のSVMにGPO経由で導入できます。