Partager via


Contrôle d'accès dynamique : Vue d’ensemble du scénario

Dans Windows Server 2012, vous pouvez appliquer la gouvernance de données sur vos serveurs de fichiers pour contrôler les personnes qui ont accès à vos informations et auditer celles qui ont accédé à des informations. Le contrôle d’accès dynamique vous permet d’effectuer les tâches suivantes :

  • Identifier des données grâce à une classification automatique et manuelle des fichiers. Par exemple, vous pouvez baliser des données sur des serveurs de fichiers dans toute l’organisation.

  • Contrôler l’accès aux fichiers en appliquant des stratégies sécurisées qui utilisent des stratégies d’accès centralisées. Vous pouvez notamment définir qui a accès aux informations d’intégrité au sein de l’organisation.

  • Contrôler par audit l’accès aux fichiers à l’aide de stratégies d’audit centralisées pour établir des rapports de conformité et mener des analyses d’investigation. Vous pouvez par exemple identifier les personnes qui ont accès à des informations hautement confidentielles.

  • Appliquez la technologie de protection RMS (Rights Management Services) avec un chiffrement RMS automatique des documents Microsoft Office confidentiels. Par exemple, vous pouvez configurer RMS afin de chiffrer tous les documents qui contiennent des informations issues d’organismes de la santé et de l’assurance maladie.

Les fonctionnalités de contrôle d’accès dynamique sont fondées sur des investissements d’infrastructure qui peuvent être utilisés par des partenaires et des applications métier. Ces fonctionnalités peuvent s’avérer très précieuses pour les organisations qui travaillent avec Active Directory. Cette infrastructure inclut les éléments suivants :

  • Un nouveau moteur d’autorisation et d’audit pour Windows capable de traiter des expressions conditionnelles et des stratégies centralisées.

  • Prise en charge de l’authentification Kerberos pour les revendications d’utilisateur et de périphérique.

  • Améliorations apportées à l’infrastructure de classification des fichiers (ICF).

  • Prise en charge de l’extensibilité RMS pour permettre aux partenaires d’élaborer des solutions capables de chiffrer des fichiers non Microsoft.

Dans ce scénario

Les scénarios et les conseils fournis dans le tableau qui suit sont inclus dans ce contenu :

Feuille de route du contenu du contrôle d’accès dynamique

Scénario Évaluer Plan Déployer Opérer
Scénario : Stratégie d’accès centralisée

En créant des stratégies d’accès centralisées pour leurs fichiers, les organisations peuvent déployer et gérer de manière centrale des stratégies d’autorisation qui comprennent des expressions conditionnelles à l’aide de revendications d’utilisateur, de revendications de périphérique et de propriétés de ressource. Ces stratégies sont fondées sur des exigences de conformité et professionnelles réglementaires. Elles sont créées et hébergées dans Active Directory, ce qui facilite leur gestion et leur déploiement.

Déploiement de revendications dans les forêts

Dans Windows Server 2012, les services de domaine Active Directory (AD DS) conservent un « dictionnaire de revendications » au sein de chaque forêt et tous les types de revendications appliqués dans la forêt sont définis au niveau de la forêt Active Directory. Il existe plusieurs scénarios où un principal a besoin de franchir une limite d’approbation. Ce scénario décrit comment une revendication franchit une limite d’approbation.

Contrôle d’accès dynamique : Vue d’ensemble du scénario

Déployer des revendications dans les forêts

Planifier : un déploiement de stratégies d’accès centralisées

- Processus de mappage d’une demande de gestion à une stratégie d’accès centralisée
- Délégation de l’administration pour le contrôle d’accès dynamique
- Mécanismes d’exception pour la planification des stratégies d’accès centralisées

Méthodes recommandées pour l’utilisation des revendications d’utilisateur

- Choix de la configuration adaptée à l’activation des revendications dans votre domaine utilisateur
- Opérations à mener pour activer les revendications utilisateur
- Éléments à considérer pour l’utilisation de revendications dans les listes de contrôle d’accès discrétionnaire (DACL) du serveur de fichiers sans utiliser de stratégies d’accès centralisées

Utilisation des revendications de périphérique et des groupes de sécurité de périphérique

- Éléments à considérer lors de l’utilisation de revendications de périphérique statiques
- Opérations à mener pour activer les revendications de périphérique

Outils de déploiement

-

Déployer une stratégie d’accès centralisée (étapes de démonstration)

Déployer des revendications dans les forêts (étapes de démonstration)

- Modélisation d’une stratégie d’accès centralisée
Scénario : audit d’accès aux fichiers

L’audit de sécurité est l’un des outils les plus puissants auxquels peut recourir une entreprise pour mieux gérer sa sécurité. La conformité aux normes fait notamment partie de ses objectifs clés. Par exemple, des normes industrielles telles que Sarbanes Oxley, HIPAA et PCI (Payment Card Industry) exigent que les entreprises suivent un ensemble strict de règles liées à la sécurité et à la confidentialité des données. Les audits de sécurité aident à déterminer la présence ou l’absence de telles stratégies, et prouvent donc la conformité ou le défaut de conformité à ces normes. De plus, les audits de sécurité permettent de détecter un comportement anormal, d’identifier et d’atténuer les lacunes dans la stratégie de sécurité, ainsi que de dissuader tout comportement irresponsable en créant un enregistrement de l’activité utilisateur qui peut être utilisé pour une analyse d’investigation.

Scénario : audit d’accès aux fichiers Planifier l’audit d’accès aux fichiers Déployer l’audit de sécurité avec les stratégies d’audit centralisées (étapes de démonstration) - Gérer les stratégies d’accès centralisées qui s’appliquent à un serveur de fichiers
- Gérer les stratégies d’accès centralisées associées à des fichiers et des dossiers
- Gérer les attributs de ressources dans les fichiers et les dossiers
- Gérer les types de revendications
- Gérer les revendications utilisateur et de périphérique lors de la connexion
- Gérer les définitions des stratégies et des règles d’accès centralisées
- Gérer les définitions des attributs de ressources
- Gérer l’utilisation des périphériques de stockage amovibles.
Scénario : assistance en cas d’accès refusé

Aujourd’hui, lorsque les utilisateurs tentent d’accéder à un fichier distant sur le serveur de fichiers, le seul message qui leur revient est que l’accès est refusé. Ceci génère de multiples demandes au support technique ou aux administrateurs informatiques qui doivent identifier le problème. Souvent, les administrateurs ont du mal à recueillir des informations de contexte exactes auprès des utilisateurs, ce qui complique davantage la résolution du problème.
Dans Windows Server 2012, l’objectif est d’aider le professionnel de l’information et le propriétaire des données à gérer le problème d’accès refusé avant que le service informatique n’intervienne et, au moment où celui-ci interviendra, à fournir toutes les informations indispensables à une résolution rapide du problème. L’un des défis à relever pour parvenir à cet objectif est qu’il n’existe aucun moyen centralisé de gérer les accès refusés et que chaque application les gère de manière différente. C’est pourquoi, dans Windows Server 2012, l’un des objectifs consiste à améliorer le traitement des accès refusés pour l’Explorateur Windows.

Scénario : assistance en cas d’accès refusé Planifier l’assistance en cas d’accès refusé

- Déterminer le modèle d’assistance en cas d’accès refusé
- Déterminer qui doit gérer les demandes d’accès
- Personnaliser le message d’assistance en cas d’accès refusé
- Planifier les exceptions
- Déterminer comment l’assistance en cas d’accès refusé est déployée

Déployer l’assistance en cas d’accès refusé (étapes de démonstration)
Scénario : chiffrement des documents Office d’après leur classification

La protection des informations confidentielles a principalement pour but de minimiser les risques pour une organisation. Diverses normes de conformité, telles que la norme HIPAA ou la norme PCI-DSS (Payment Card Industry Data Security Standard), imposent le chiffrement des informations et de nombreuses raisons professionnelles motivent le chiffrement des données professionnelles à caractère confidentiel. Cependant, le chiffrement des informations est coûteux et il peut nuire à la productivité de l’entreprise. C’est pourquoi les organisations ont souvent des approches et des priorités différentes en matière de chiffrement des données.
À l’appui de ce scénario, Windows Server 2012 offre la possibilité de chiffrer automatiquement des fichiers Windows Office confidentiels en fonction de leur classification. Cette opération se fait par le biais de tâches de gestion des fichiers. Ces tâches entraînent une protection AD RMS (Active Directory Rights Management Server) des documents confidentiels quelques secondes après que le fichier est identifié comme fichier confidentiel sur le serveur de fichiers.

Scénario : chiffrement des documents Office d’après leur classification Planifier le déploiement du chiffrement des documents en fonction de leur classification Déployer le chiffrement des fichiers Office (étapes de démonstration)
Scénario : classification des données pour mieux les comprendre

Le recours à des données et des ressources de stockage prend une importance croissante dans la plupart des organisations. Les administrateurs informatiques sont confrontés à un défi sans cesse grandissant : contrôler des infrastructures de stockage toujours plus volumineuses et complexes et, simultanément, assumer le coût total de possession et le maintenir à des niveaux raisonnables. La gestion des ressources de stockage n’est plus seulement une affaire de volume ou de disponibilité des données. Il s’agit aussi de mettre en place des stratégies d’entreprise et de savoir comment le stockage est exploité pour favoriser une utilisation et une conformité efficaces avec des risques réduits. L’infrastructure de classification des fichiers aide à mieux appréhender vos données en automatisant des processus de classification qui vous permettront de les gérer avec plus d’efficacité. Les méthodes de classification disponibles dans l’infrastructure de classification des fichiers sont les suivantes : manuelle, par programme et automatique. Ce scénario se concentre sur la méthode de classification automatique des fichiers.

Scénario : classification des données pour mieux les comprendre Planifier la classification automatique des fichiers Déployer la classification automatique des fichiers (étapes de démonstration)
Scénario : implémenter la rétention des informations sur les serveurs de fichiers

La période de rétention désigne le temps pendant lequel un document doit être conservé avant qu’il n’expire. La période de rétention peut varier en fonction de l’organisation. Vous pouvez classer des fichiers dans un dossier avec une période de rétention à court, moyen ou long terme, puis définir la durée de chaque période. Vous pouvez conserver un fichier indéfiniment en proclamant sa mise en suspens pour raisons juridiques.
L’infrastructure de classification des fichiers et le Gestionnaire de ressources du serveur de fichiers se servent des tâches de gestion de fichiers et de la classification des fichiers pour appliquer des périodes de rétention pour un ensemble de fichiers. Vous pouvez attribuer une période de rétention dans un dossier, puis utiliser une tâche de gestion de fichiers pour configurer la durée d’une période de rétention. Lorsque les fichiers au sein du dossier sont sur le point d’expirer, le propriétaire du fichier reçoit un message de notification. Vous pouvez également classer un fichier en suspens pour raisons juridiques pour que la tâche de gestion de fichiers n’entraîne pas l’expiration du fichier.

Scénario : implémenter la rétention des informations sur les serveurs de fichiers Planifier la rétention des informations sur les serveurs de fichiers Déployer l’implémentation de la conservation des informations sur les serveurs de fichiers (étapes de démonstration)

Notes

Le contrôle d’accès dynamique n’est pas pris en charge dans le système ReFS (Resilient File System).

Voir aussi

Type de contenu Références
Évaluation du produit - Guide de révision du contrôle d’accès dynamique
- Conseils aux développeurs pour le contrôle d’accès dynamique
Planification - Planification du déploiement des stratégies d’accès centralisées
- Planifier l’audit d’accès aux fichiers
Déploiement - Déploiement Active Directory
- Déploiement des services de fichiers et de stockage
Opérations Référence Windows PowerShell du contrôle d’accès dynamique

|Ressources de la communauté|Forum des services d’annuaire|