Charla impartida por Javier Domínguez, de la empresa Microsoft para el evento Asegur@itCamp4! que tuvo lugar durante los días 26, 27 y 28 de Octubre de 2012 en El Escorial, Madrid.
2. Objetivos de la Sesión
Entender las capacidades de
Dynamic Access Control
Conocer como preparar
Windows para gestionar el
acceso a la información y
prevenir su fuga
3. Realidad en la Gestion de Información
Limitaciones de
Crecimiento en Presupuesto
Datos y Arquitecturas Cumplimiento con
Usuarios Distribuidas Regulaciones
?
?
4. El Reto del Control de Acceso
Gestionar quien accede a la
información
Administrar menos grupos de
seguridad
Proteger la información y garantizar
cumplimiento
5. Administrar Información en Función del Valor
para el Negocio
Clasificar la
Información
Aplicar Políticas
según
Clasificación
6. ACLs /ACEs BASADAS EN EXPRESIONES
PROPIEDADES Y REGLAS
CENTRALIZADAS
CONTROL DE ACCESO BASADO EN
CLAIMS (CBAC)
7. Requisitos de Dynamic Access Control
Uno o mas DCs en Windows Server 2012 (para los
claims)
Un Servidor de Archivos Windows 2012
Clientes SMB
Access Denied Remediation solo soportado en clientes Win 8
8. Tipos de Claims
Tipo de Claim Propiedades Extensin
User Claim • Usuario • Sobre 255 atributos • Atributos custom agregados al
• InetOrgPerson posibles esquema se pueden representar
como claims
Device Claim • PC • Sobre 200 atributos • Atributos custom agregados al
• MSA posibles esquema se pueden representar
• gMSA como claims
Resource • Msds-resourceproperty • Cada claim puede tener • Cada claim existe como un objeto
Property Claim • Gestionado por AD y múltiples valores en AD y tiene múltiples posibles
descargado por un • Globales para todos los valores
servidor de ficheros recursos
Clientes Pre-Windows 8 no soportan Device Claims
9. Central Access Policies
AD DS File Server
User claims Device claims Resource properties
User.Department = Finance Device.Department = Finance Resource.Department = Finance
User.AccessLevel = High Device.Managed = True Resource.Impact = High
Política de Acceso
Applies to: @File.Impact = High
Allow | Read, Write | if (@User.Department == @File.Department) AND (@Device.Managed ==
True)
9
10. Control de Acceso vía Expresiones
Gestionar menos grupos de seguridad mediante
expresiones condicionales
País x 50 50 Grupos
Departamento x 20 1000 Grupos
Secreto x2
2000 grupos a solo 71 usando expresiones condicionales
MemberOf(PAIS_SG) AND MemberOf(Dep_SG) AND MemberOf(Secreto_SG)
11. Central Access Policies
Usando grupos de seguridad
Applies to: Exists(File.Country)
Allow | Read, Write | if (User.MemberOf(US_SG)) AND (File.Country==US)
Allow | Read, Write | if (User.MemberOf(JP_SG)) AND (File.Country==JP)
…
Applies to: Exists(File.Department)
Allow | Read, Write | if (User.MemberOf(Finance_SG)) AND (File.Department==Finance)
Allow | Read, Write | if (User.MemberOf(Operations_SG)) AND (File. Department==Operations)…
Usando “user claims”
Applies to: Exists(File.Country)
Allow | Read, Write | if (User.Country==File.Country)
Applies to: Exists(File.Department)
Allow | Read, Write | if (User.Department==File.Department)
11