Le contrôle d’accès dynamique disponible avec Windows Server 2012 permet d’améliorer et de simplifier la protection de vos données. Durant cette session vous découvrirez comment avec DAC, vous allez pouvoir utiliser des règles d’accès plus « intelligentes » pour diminuer de manière drastique le nombre de groupes de sécurité utilisés dans vos ACLs. Vous verrez comment introduire les claims (revendications) d’utilisateurs et de postes que l’on peut maintenant définir dans Active Directory et comprendre comment gérer centralement les règles d’accès et d’audit. Vous découvrirez enfin la nouvelle fonction de classification et de chiffrement automatique des données sensibles. Le tout sera agrémenté de démos pour bien comprendre comment tout cela fonctionne !
Protéger le patrimoine informationnel de l'entreprise avec Dynamic Access Control de Windows Server 2012
1. Donnez votre avis !
Depuis votre smartphone, sur :
http://notes.mstechdays.fr
De nombreux lots à gagner toutes les heures !!!
Claviers, souris et jeux Microsoft…
Merci de nous aider à améliorer les TechDays
http://notes.mstechdays.fr
2. SEC 311 Dynamic Access
Control
Protéger le patrimoine informationnel
de l'entreprise avec Dynamic Access
Control de Windows Server 2012
JY Grasset, Microsoft
Pascal Saulière, Microsoft
Infrastructure
3. Défis de la gestion des données
Contraintes
Augmentation Budgétaires
utilisateurs et
Réglementation et
données Informatique conformité liées
distribuée au métier
?
?
Dynamic Access Control
4. Besoins Métier → Résultat
stockage
Nécessité d’un
partage par projet
Les besoins métier de départ
peuvent être simples Eviter la fuite
d’informations
L’ajout de politiques peut
sensibles l’extérieur
fragmenter l’infrastructure
de stockage
La complexité augmente le Rétention des
risque d’inefficacité des contrats pendant
politiques et empêche un 10 ans
aperçu fin des données
métier
Dynamic Access Control
5. Concepts
Expressions Audit ciblé des
Marquage manuel
conditionnelles accès basé sur la
par le propriétaire Chiffrement
basées sur la classification des
des données automatique RMS
classification des documents et
basé sur la
documents et les l’identité utilisateur
Classification classification des
revendications
automatique des documents
utilisateur et Déploiement
documents basée
périphérique (+ centralisé des
sur leur contenu Extensibilité pour
groupes sécurité) politiques d’audit
autres types de
avec
Classification par les protection
Listes de contrôles les politiques d’audit
applications
d’accès centralisées globales
Dynamic Access Control
7. ACE* basés sur expressions
Pre-2012: Uniquement ’OR’ entre groupes
•Conduit à l’explosion des groupes
•Considérant 500 projets, 100 pays, 10 divisions
•500,000 groupes pour représenter toutes les combinaisons:
•ProjetZ FR Recherche-Developpement
•ProjetZ GE Recherche-Developpement, etc.
Windows Server 2012: expressions avec ‘AND’
•Les conditions dans les ACE permettent d’associer de multiples groupes avec des opérateurs booléens
•Exemple: Allow modify IF MemberOf(ProjectZ) AND MemberOf(FR) AND MemberOf(Recherche-Developpement)
•610 groupes au lieu de 500,000 (500 projets + 100 pays + 10 divisions)
Windows Server 2012: avec Classification & Politiques centrales d’accès
•3 Revendications Utilisateur (!)
(*) ACE- Access Control Entry:
entrée de contrôle d'accès
8. Contrôle d’accès sur expressions conditionnelles (Groupes)
DEMO
Dynamic Access Control
9. Revendications Utilisateur et Périphérique
Pre-2012: Principaux de sécurité* uniquement
•Les politiques de décision d’accès sont uniquement basées sur les appartenances de l’utilisateur à des groupes
•Des groupes “fantômes” sont souvent créés pour refléter des attributs existants en tant que groupes
•Les groupes ont des règles autour de qui peut être membres de tels types de groupes
•Pas moyen de transformer les groupes entre les frontières Active Directory
•Pas de moyen pour contrôler l’accès en fonction des caractéristiques du périphérique de l’utilisateur
Windows Server 2012: Principaux de sécurité , revendication utilisateur ou périphérique
•Les attributs Utilisateur/ordinateur sont inclus dans le jeton de sécurité
•Les revendications peuvent être utilisées directement dans les autorisations des serveurs de fichiers
•Les revendications sont cohérentes à l’intérieur de la forêt
•Les revendications peuvent être transformées entre les frontières de forêts
•Permet de nouveaux types de politiques qui n’étaient pas disponibles précédemment
•Exemple: Allow Write if User.MemberOf(Finance) and User.EmployeeType=FullTime and Device.Managed=True
(*) Principal de sécurité: Un compte (utilisateur, groupe de sécurité, ordinateur)
à qui peut être accordé ou refusé l'accès aux ressources
10. Propriétés de Classification standard
Domaine Propriétés Valeurs
Personally Identifiable Information High; Moderate; Low; Public; Not PII
Information Privacy
Protected Health Information High; Moderate; Low
Confidentiality High; Moderate; Low
Information Security
Required Clearance Restricted; Internal Use; Public
SOX; PCI; HIPAA/HITECH; NIST SP 800-53; NIST SP 800-122; U.S.-EU Safe
Compliancy Harbor Framework; GLBA; ITAR; PIPEDA; EU Data Protection Directive; Japanese
Personal Information Privacy Act
Legal Discoverability Privileged; Hold
Immutable Yes/No
Copyright; Trade Secret; Parent Application Document; Patent Supporting
Intellectual Property Document
Retention Long-term; Mid-term; Short-term; Indefinite
Records Management
Retention Start Date <Date Value>
Impact High; Moderate; Low
Department Engineering ;Legal; Human Resources …
Organizational
Project <Project>
Personal Use Yes/No
Dynamic Access Control
11. Politiques d’accès centrales
AD DS File
Server
Revendications Revendications Propriétés de la
Utilisateurs Périphérique Ressource
User.Department = Finance Device.Department = Finance Resource.Department = Finance
User.Clearance = High Device.Managed = True Resource.Impact = High
POLITIQUES D’ACCES
S’applique à: @File.Impact = High
Autoriser| Lecture, Ecriture | si (@User.Department == @File.Department) ET(@Device.Managed ==
True)
Dynamic Access Control 11
12. Politique centrale d’accès Windows
Server 2012
Active Directory
Dans Active Directory: Revendications Définitions
Utilisateur propriétés
1. Configurer les revendications utilisateur
ressources
2. Créer les définitions des propriétés de
Politique
ressources d’accès
3. Configurer les politiques centrales
d’accès
Sur le serveur de fichiers:
1. Classifier les informations
2. Assigner une politique centrale
A l’exécution: Serveur de fichiers
Utilisateur
• L’accès utilisateur est évalué Windows Server 2012
Dynamic Access Control
13. Quizz
• Où sont stockées les revendications (claims) utilisateur et périphérique ?
– Réponse : Dans Active Directory
• Où sont stockées les propriétés Ressource ?
– Au niveau de la ressource: Datastream/Security Descriptor ou format
Office)
• Où sont définies et stockées les politiques d’accès centrales ?
– Active Directory et ensuite distribuées sur les serveurs
• Où sont utilisées les politiques d’accès ?
– Sur les serveurs de fichiers
• Dans quoi retrouve-t-on les revendications utilisateur et périphérique ?
– Le jeton de sécurité associé à l’utilisateur
• Comment sont transportées les revendications utilisateur et périphérique ?
– On va le voir plus loin (une idée?)
Dynamic Access Control
17. Kerberos et le nouveau jeton
Dynamic Access Control s’appuie sur Kerberos
Extension Kerberos Windows 8
Identifiant composé (Compound ID) – Associe l’utilisateur au périphérique
pour être considéré comme un unique principal de sécurité au niveau
autorisation
Le contrôleur de domaine émet des
groupes et des revendications
Le DC énumère les revendications
utilisateur
Les revendications sont délivrées dans le
PAC Kerberos
Le jeton NT Token possède des
sections
Données Utilisateur et Périphérique
20. Synthèse
• Windows Server 2012 implémente un mécanisme de classification de
données automatique
• L’introduction d’expressions conditionnelles dans le contrôle d’accès
permet de limiter de manière drastique le nombre de groupes et de
prendre en compte la notion de revendications
• Les politiques d’accès intelligentes peuvent être définies et
appliquées de manière centrale
• Des règles associées à la classification permettent la protection
contre la fuite d’information par chiffrement automatique
• Audit
Dynamic Access Control