Controle de Acesso Dinâmico: Visão geral do cenário

A criação de políticas de acesso central para arquivos permite que as organizações implantem e gerenciem de maneira centralizada políticas de autorização que incluem expressões condicionais usando declarações de usuário, declarações de dispositivo e propriedades de recursos. Essas políticas se baseiam em requisitos regulamentares de conformidade e negócios. Elas são criadas e hospedadas no Active Directory, facilitando assim o gerenciamento e a implantação.

Implantando declarações em florestas

No Windows Server 2012, o AD DS mantém um 'dicionário de declarações' em cada floresta e todos os tipos de declaração em uso na floresta são definidos no nível da floresta do Active Directory. Há muitos cenários em que uma entidade pode precisar atravessar os limites de uma relação de confiança. Esse cenário descreve como uma declaração atravessa os limites de uma relação de confiança.

Implantar declarações em florestas

- Processo para mapear uma solicitação de negócios para uma política de acesso central
- Delegação de administração para Controle de Acesso Dinâmico
- Mecanismos de exceção para planejar políticas de acesso central

Práticas recomendadas para utilizar declarações de usuário

- Escolher a configuração certa para habilitar as declarações no domínio de usuário
- Operações para habilitar declarações de usuário
- Considerações para usar declarações de usuário nas ACLs discricionário de servidor de arquivos sem usar políticas de acesso central

Usando declarações de dispositivo e grupos de segurança de dispositivo

- Considerações para usar declarações de dispositivo estáticas
- Operações para habilitar as declarações de dispositivo

Ferramentas para implantação

-

Implantar declarações em florestas (etapas de demonstração)

A auditoria de segurança é uma das ferramentas mais avançadas para ajudar a manter a segurança de uma empresa. Uma das metas principais das auditorias de segurança é a conformidade regulatória. Por exemplo, os padrões do setor como Sarbanes Oxley, HIPAA e Payment Card Industry (PCI) exigem que as empresas sigam um conjunto restrito de regras relacionadas à segurança e privacidade de dados. As auditorias de segurança ajudam a estabelecer a presença ou ausência de tais políticas e comprovam a conformidade ou não conformidade com esses padrões. Além disso, elas ajudam a detectar comportamentos anormais, identificar e eliminar lacunas na política de segurança e impedir comportamentos irresponsáveis por meio da criação de um registro de atividades do usuário, que pode ser usado para análises periciais.

Atualmente, quando os usuários tentam acessar um arquivo remoto no servidor de arquivos, a única indicação obtida é que o acesso é negado. Isso gera solicitações a administradores de assistência técnica ou TI que precisam imaginar qual é o problema, e normalmente os administradores passam muito tempo obtendo o contexto apropriado junto aos usuários, o que dificulta a resolução do problema.
No Windows Server 2012, a meta é tentar ajudar o operador de informações e proprietários dos negócios de dados a lidar com o problema de acesso negado antes que a TI se envolva e, quando a TI se envolver, fornecer todas as informações adequadas para uma rápida resolução. Um dos desafios para cumprir essa meta é que não há um método principal para tratar o acesso negado e cada aplicativo lida com isso de maneiras diferentes. Por conta disso, no Windows Server 2012, uma das metas é melhorar a experiência para acesso negado no Windows Explorer.

- Determinar o modelo de assistência para acesso negado
- Determinar quem deve tratar solicitações de acesso
- Personalizar a mensagem de assistência para acesso negado
- Plano para exceções
- Determinar como a assistência para acesso negado é implantada

A proteção de informações confidenciais se refere principalmente à minimização dos riscos para a organização. Várias regulamentações de conformidade, como HIPAA ou PCI-DSS (Payment Card Industry Data Security Standard), ditam a criptografia das informações, e há inúmeros motivos dos negócios para criptografar as informações confidenciais. Entretanto, criptografar as informações é caro e pode prejudicar a produtividade dos negócios. Assim, as organizações tendem a adotar diferentes abordagens e prioridades para criptografar suas informações.
Para dar suporte a esse cenário, o Windows Server 2012 oferece a capacidade de criptografar automaticamente os arquivos confidenciais do Windows Office com base na classificação deles. Isso é feito através de tarefas de gerenciamento que invocam a proteção AD RMS (Servidor de Gerenciamento de Direitos do Active Directory) para documentos confidenciais alguns segundos depois que um arquivo é identificado como confidencial no servidor de arquivos.

A dependência de recursos de dados e armazenamento continua a crescer em importância na maioria das organizações. Os administradores de TI enfrentam o desafio crescente de supervisionar infraestruturas de armazenamento cada vez maiores e mais complexas, ao mesmo tempo recebendo a responsabilidade de garantir que o custo total de propriedade seja mantido em níveis razoáveis. O gerenciamento dos recursos de armazenamento não se refere mais apenas ao volume ou à disponibilidade dos dados, mas também à aplicação de políticas da empresa e ao conhecimento de como o armazenamento é consumido para permitir eficiente utilização e conformidade para minimizar os riscos. A Infraestrutura de Classificação de Dados oferece um panorama dos dados automatizando os processos de classificação para você poder gerenciar os dados com mais eficácia. Os seguintes métodos de classificação estão disponíveis com a Infraestrutura de Classificação de Dados: manual, modo de programação e automático. Este cenário se concentra no método de classificação de arquivos automático.

Um período de retenção é o tempo durante o qual um documento deve ser mantido antes de expirar. Dependendo da organização, o período de retenção pode ser diferente. Você pode classificar arquivos em uma pasta com períodos de retenção de curto, médio e longo prazo e atribuir o cronograma para cada período. Talvez queira manter um arquivo indefinidamente colocando-o em bloqueio legal.
A Infraestrutura de Classificação de Arquivos e o Gerenciador de Recursos de Servidor de Arquivos usam tarefas de gerenciamento de arquivos e classificação de arquivos para aplicar períodos de retenção para um conjunto de arquivos. Você pode atribuir um período de retenção em uma pasta e usar uma tarefa de gerenciamento de arquivos para configurar o tempo de duração de um período de retenção atribuído. Quando os arquivos da pasta estão prestes a expirar, o proprietário do arquivo recebe um email de notificação. Você também pode classificar um arquivo como estando em bloqueio legal para que a tarefa de gerenciamento de arquivos não faça o arquivo expirar.