Windows Server 2012のダイナミックアクセス制御の概要：ファイルサーバー監査の革新

Windows Server 2012に関連する資料の翻訳と公開、およびMicrosoftのネイティブ監査システムの更新を引き続き行っています。 興味のある読者には、Windows Serverチームの従業員がDynamic Access Controlの新機能について話したことを理解してください。





こんにちは、私の名前はNir Ben-Zviです。WindowsServerチームで働いています。 本日、Windows Server 2012で利用可能なDynamic Access Controlの新しい機能セットを紹介できることを嬉しく思います。



まず、計画プロセスについて簡単に説明し、次に、新しい中央アクセスポリシーモデルを見て、Windows Server 2012で構築したソリューションであるFile Serverの新機能について説明します。この機能を使用する必要がある場合は、環境全体をWindows Server 2012に移動する必要がありました。 最後に、パートナーのどのような決定がソリューションの提案機能の拡張に役立つかに関する問題を検討します。

はじめに



最新の（読み取り：複雑な）ITインフラストラクチャでは、分散システムでデータ作成が驚異的な速度で行われます。 同時に、このデータへのアクセスは多数のデバイスから実行されます。 情報セキュリティ標準への準拠と機密情報を漏洩から保護する必要性は、ビジネスおよびITにとって最も重要な問題の一部です。 これらの問題を解決するには、特定の情報に誰がアクセスしたかを制御する必要があります。このような制御を実装するときは、アクセス情報をできるだけ明確に提示することが望ましいです。

数年前、Windows Server 2012がどのようなものになるかを計画したときに、ビジネスとITが直面するこれらの問題を認識していました。



•ビジネスリクエストと規制要件を満たす目的の両方に基づいた情報へのアクセスの一元管理

•情報へのアクセスの監査は、分析とIS標準の要件への準拠を目的として実施する必要があります。

•機密情報を保護する必要があります。

•コンテンツ所有者は自分の情報に責任を持つ必要があります-管理者は仕事以外に従事すべきではありません

•重要な側面は、情報専門家の生産性を維持することです

要件に適した一連のテクノロジとソリューションを提示するために、組織内の個々のポジションと、ビジネスおよび規制機関からの要求を満たすプロセスでのそれらの相互作用を調べました。

したがって、特定された問題の解決に関与する投稿のリストは、ビジネスの観点からニーズを定義し、規制要件を満たすCSO / CIOで始まります。 その後に、システムを管理するIT管理者と実際の情報を監視するコンテンツ所有者が続きます。 情報を直接操作する人に関しては、適用されたソリューションの情報への影響は最小限に抑える必要があります（理想的には、まったく影響しないようにする必要があります）。







組織が規制要件を満たし、ビジネスタスクを解決できるように、最終的に次の分野に焦点を当てました。

•目標を達成するために管理する必要がある情報の定義

•情報アクセスポリシーの適用

•情報へのアクセスの監査

•情報の暗号化

これらのタスクは、Windowsおよびパートナーソリューションでデータ保護を可能にする一連のWindows機能に変換されています。

•Active Directoryで中央アクセスおよび監査ポリシーを構成する機能が追加されました。 これらのポリシーは条件付き要件に基づいています（以下を参照）。 ただし、アクセス制御用のセキュリティグループの数は大幅に削減できます。

oユーザーは誰ですか

o彼が使用しているデバイス

oアクセスされるデータ

•クレームはWindows認証（Kerberos）に統合されているため、ユーザーとデバイスは、メンバーであるセキュリティグループだけでなく、クレームによっても説明できます。たとえば、「財務部のユーザー」、「カテゴリー」高いセキュリティクリアランス。」

•改善されたファイル分類インフラストラクチャ。コンテンツ管理者とユーザーがデータを識別（タグ付け）できるため、IT管理者はこれらのタグに基づいてターゲットポリシーを作成できます。 この機能は、ファイル分類インフラストラクチャの機能とともに機能し、ファイルの内容やその他の特性に基づいてファイルを自動的に分類します。

•サーバー上の機密情報を自動的に保護（暗号化）する統合Rights Managementサービス。これにより、サーバーを離れた場合でも保護されます。

中央アクセスポリシー

中央アクセスポリシーは、組織がサーバーで使用する保険と比較できます。 これらのポリシーは、情報に適用されるローカルアクセスポリシー（たとえば、任意ACL）を改善します（置き換えません）。 たとえば、ファイルのローカルDACLが特定のユーザーへのアクセスを許可しているが、中央ポリシーが同じユーザーへのアクセスを禁止している場合、そのユーザーはファイルにアクセスできません（逆も同様）。



中央アクセスポリシーを実装および強化するイニシアチブは、さまざまな理由および組織のさまざまなレベルから成長します。

•規制要件の遵守に関連するポリシー：このポリシーは、規制およびビジネス要件と整合性があり、管理されている情報への正しい（十分に確立された）アクセスを保護することを目的としています。 たとえば、US-EUセーフハーバー規制文書に該当する情報へのアクセスを特定のユーザーグループのみに許可する場合。

•部門レベルの許可ポリシー：組織内の各部門には、保護（強化）するデータを扱うための特定の要件があります。 この状況は、大規模な組織構造を持つ組織でよく見られます。 たとえば、財務部門は、財務情報へのアクセスを財務従業員のみに制限したいと考えています。

•知る必要があるポリシー：このポリシーは、「知る必要がある」人だけにアクセスが許可されるようにします。 例：

oベンダーは情報にアクセスし、作業中のプロジェクトに関連するファイルのみを編集する必要があります。

o金融機関では、情報間の「壁」が重要です。たとえば、アナリストは証券情報にアクセスできず、ブローカーは分析情報にアクセスできません。

中央監査ポリシー



中央監査ポリシーは、組織のセキュリティを維持できる強力なツールです。 セキュリティ監査の主な目的の1つは、情報セキュリティ規制を遵守することです。 SOX、HIPPA、PCIなどの業界標準では、組織は情報セキュリティとデータプライバシーに関連する十分に確立された一連のルールに従う必要があります。 監査人の仕事は、そのようなポリシーの存在（または不在）を確立し、それによってこれらの標準の要件へのコンプライアンス（またはコンプライアンス違反）を証明することです。 さらに、セキュリティ監査を使用すると、異常な動作を記録し、セキュリティシステムの穴の形成を特定して回避し、不正な動作を制限できます。重要なユーザーアクティビティはすべて記録され、そのような記録は調査中に使用できます。



Windows Server 2012では、管理者は、ユーザーがアクセスする情報とユーザーを考慮した式を使用して監査ポリシーを開発できるため、組織はどこにいても特定の情報へのアクセスのみを監査できます。なかった。 これにより、よりターゲットを絞った、同時に使いやすい監査ポリシーへの道が開かれます。 これで、これまで実装が難しかったシナリオを実装できます。 たとえば、以下にリストされている監査ポリシーを簡単に開発できます。

•許容度の高いカテゴリを持っていないにもかかわらず、「重要な」情報にアクセスしようとしているすべての人の監査

•作業していないプロジェクトドキュメントにアクセスしようとしているすべてのベンダーの監査。



これにより、監査イベントの量を調整し、より重要なイベントのみに制限することができます。これにより、膨大な数のレコードを作成することなく、さまざまなサーバー上の情報へのアクセスを追跡できます。



さらに、情報のタグ付けは監査イベントに記録されるため、イベント収集メカニズムを使用して、コンテキストレポートを生成できます。たとえば、過去3か月間に重要な情報にアクセスしたユーザー。

ファイルサーバーソリューション



このインフラストラクチャに基づいて、Windows Server 2012 Active Directory、Windows Server 2012 File Server、およびWindows 8クライアント用の完全なソリューションを開発しました。 このソリューションにより、次のことが可能になります。

•自動および手動のファイル分類を使用してデータを識別します。

•中央アクセスポリシーのセーフティネットポリシーを使用して、すべてのサーバーにわたるファイルへのアクセスを制御します。 たとえば、組織全体でネットワーク正常性情報を受信するユーザーを制御できます。

•ファイルサーバー上のファイルへのアクセスを監査し、中央監査ポリシーを使用して情報セキュリティ標準に準拠し、調査を実施します。 たとえば、過去3か月間に機密性の高い情報に誰がアクセスしたかを判断できます。

•機密文書のRights Management Services（RMS）の自動暗号化によるデータ暗号化。 たとえば、HIPAAで保護された情報を含むすべてのドキュメントを暗号化するようにRMSを構成できます。







組織内の複数のファイルサーバーの実装をサポートするために、複数のサーバー間でレポートを構成および生成できるData Classification Toolkitも提供しています。

Data Classification Toolkitのベータ版はここからダウンロードできます。

段階的な実装コンセプト

DACを開発するための重要な原則の1つは、段階的な実装です。 ファイルサーバーの監査と情報へのアクセスに関して、会社が直面しているタスクを解決する必要があるとすぐに、この機能の使用を開始できます。



Windows Server 2012ファイルサーバーおよび更新されたActive Directoryドメインスキーマのほとんどのダイナミックアクセス制御機能を使用できます。 最小数のWindows Server 2012ドメインコントローラーを追加すると、カスタム要求などを有効にできます。 アップグレードするシステムの各部分には、より多くのオプションがありますが、実装の速度を設定するのはあなた次第です。

パートナーソリューション

パートナーソリューションとさまざまなビジネスアプリケーションにより、WindowsアクセスのDynamic Access Controlへの投資を改善し、Active Directoryを使用する組織に価値を提供できます。 昨年の会議で発表されたパートナーシップソリューションの例を以下に示します。

•データ漏洩防止システムと自動コンテンツ分類システムの統合

•集中監査データ分析

•中央アクセスポリシーを使用したRights Managementサービスの承認

•他の多くの...



Technet経由