Windows Server 2012 memperkenalkan konsep baru untuk mengelola pusat akses seluruh perusahaan ke file dan folder yang disebut Kontrol Akses Dinamis. Perbedaan utama antara sistem baru kontrol akses dinamis dari sistem lama akses ke file dan folder Daftar Kontrol Akses (ACL - daftar kontrol akses), yang memungkinkan untuk menyediakan akses hanya ke akun dan grup pengguna, adalah menggunakan Dynamic Access Control (DAC) Anda dapat mengontrol akses berdasarkan hampir semua atribut dan bahkan kriteria tertentu. Menggunakan Kontrol Akses Dinamis di Windows Server 2012, Anda dapat membuat aturan kontrol akses data lengkap yang memungkinkan Anda memeriksa, misalnya, apakah pengguna berada dalam grup tertentu, apakah ia anggota departemen keuangan, dan apakah tabletnya mendukung enkripsi RMS. Aturan-aturan ini dalam bentuk kebijakan nantinya dapat diterapkan ke semua (atau semua) file server organisasi, sehingga menciptakan sistem keamanan terpadu.
Kerugian Akses Berbasis ACL
Bagaimana akses ke direktori bersama pada server file dilaksanakan sebelum munculnya Kontrol Akses Dinamis. Daftar akses khusus ditugaskan ke folder bersama di tingkat dan / atau bola NTFS, yang menyertakan grup tertentu dalam AD (atau grup server lokal) atau akun tertentu. Agar pengguna mendapatkan akses ke direktori yang diinginkan, administrator harus memasukkannya ke dalam grup yang sesuai. Apa kerugian dari model manajemen akses seperti itu??
· Akses diatur hanya berdasarkan keanggotaan dalam grup
· Dengan sejumlah besar folder bersama, Anda perlu membuat banyak grup (menghasilkan peningkatan tiket Kerberos)
· Tidak ada kemungkinan kontrol akses berdasarkan karakteristik perangkat pengguna dari mana pengguna terhubung
· Ketidakmampuan untuk mengimplementasikan skenario akses yang kompleks
Ketika kontrol akses hanya didasarkan pada ACL, itu tidak biasa bagi pengguna untuk secara tidak sengaja mengunggah informasi rahasia (gaji manajer puncak, misalnya) ke sumber daya publik di mana setiap orang dapat mengenalnya.
Kerugian di atas dirancang untuk menghilangkan teknologi kontrol akses yang dinamis..
Arsitektur dan Prinsip Kontrol Akses Dinamis Windows Server 2012
Di Windows Server 2012, Kontrol Akses Dinamis menciptakan tingkat lain kontrol akses untuk objek file di tingkat seluruh domain, dan pada objek-objek ini terus mengoperasikan izin NTFS
(ACL). Perhatikan bahwa aturan DAC dapat berlaku di mana saja, apa pun hak NTFS yang ditetapkan pada objek..
Salah satu konsep utama dari model DAC adalah konsep klaim (aplikasi atau persetujuan). Dalam model kontrol akses Windows Server 2012, klaim adalah atribut Active Directory yang didefinisikan untuk digunakan dengan Kebijakan Akses Pusat. Sebagai kriteria, Anda dapat menggunakan hampir semua parameter yang disimpan dalam AD yang dimiliki oleh objek tertentu, misalnya, ID perangkat, metode login, lokasi, data pribadi, dll. Klaim dikonfigurasikan menggunakan konsol manajemen Pusat Administrasi Direktori Aktif (ADAC) dalam wadah baru Akses berdasarkan klaim. Dalam wadah ini (awalnya kosong), Anda bisa membuat pernyataan sendiri dan mengaitkannya dengan atribut pengguna atau komputer. Berdasarkan nilai-nilai klaim, dimungkinkan untuk menentukan apakah akan memberikan akses ke pengguna / perangkat tertentu ke objek tertentu dari sistem file.
Komponen DAC berikutnya adalah properti sumber daya (Sumberdaya Properti), dengan bantuan properti properti yang ditentukan, yang di masa depan akan digunakan dalam aturan otorisasi. Properti Sumber Daya juga merupakan wadah terpisah dalam Kontrol Akses Dinamis..
Elemen DAC berikut adalah Aturan Akses Pusat dan Kebijakan Akses Pusat.. PusatAkses Aturan menjelaskan tingkat akses yang disediakan untuk file, ke pengguna mana, dengan persetujuan yang ditentukan, dari perangkat mana, dll.. Pusat Akses Kebijakan - Ini adalah kebijakan yang berisi aturan Aturan Akses Pusat, yang akan didistribusikan melalui organisasi melalui GPO di seluruh organisasi (atau OU tertentu).
Bagaimana saya bisa beralih ke model Kontrol Akses Dinamis dalam suatu organisasi:
1. Buat satu / beberapa jenis iklim.
2. Aktifkan satu / beberapa properti sumber daya (tag atau tag objek file)
3. Buat aturan Central Access Rule yang menetapkan kondisi untuk memberikan akses
4. Tambahkan aturan yang dibuat ke Kebijakan Akses Pusat
5. Menggunakan kebijakan grup untuk mendistribusikan CAP ke file server
Secara alami, sebelum menerapkan Kontrol Akses Dinamis, Anda perlu mengonfigurasi sistem klasifikasi file, seperti yang dijelaskan dalam artikel: Klasifikasi file menggunakan Infrastruktur Klasifikasi File di Windows Server 2012. Tahap menentukan dan mengklasifikasikan data yang disimpan pada server file adalah yang paling sulit dan memakan waktu, hasilnya adalah akan menetapkan tag NTFS ke objek file yang dikelola.
Bagaimana izin diperiksa untuk akses ke file / direktori pengguna akhir, karena sekarang, selain izin NTFS, ada juga pemeriksaan untuk kepatuhan terhadap klims? Urutan pemeriksaan izin adalah sebagai berikut:
Bagikan ACL
Kebijakan Akses Pusat
NTFS ACL
Contoh Kontrol Akses Dinamis di Windows Server 2012
Mari kita coba memahami dalam praktiknya kemungkinan contoh mengkonfigurasi DAC di Windows 2012. Misalkan kita ingin membuat kebijakan akses yang mengatur akses berdasarkan departemen pengguna dan negara di mana ia berada.
Menggunakan konsol AD Administrative Center, buat dua klaim-a baru: Departemen dan Negara. Untuk melakukan ini, pergi ke wadah Kontrol Akses Dinamis -> Jenis Klaim dan pilih Baru:
Buat pernyataan baru dengan nama Departemen :
dan Negara :
Dalam atribut Negara, tentukan dua yang telah ditentukan (disarankan) values (EG - Egypt, dan QR - Qatar):
Selanjutnya, buat Properti Sumber Daya baru untuk persetujuan Negara: Baru-> Properti Sumber Daya.
Kemudian, dalam wadah Resource Properties, aktifkan pernyataan Department.
Sekarang buat aturan baru Aturan akses pusat. Aturan ini akan menunjukkan izin yang berlaku untuk objek, jika klaim cocok dengan aturan yang dijelaskan dalam CAR.
Misalkan kita memiliki aturan yang menetapkan bahwa mereka menggunakan Admin Keuangan (Departemen = Keuangan dan Kabupaten = EG), memiliki akses penuh, dan pengguna Petugas Keuangan (Departemen = Keuangan) memiliki akses baca-saja penuh. Aturan ini akan berlaku untuk semua aturan yang diklasifikasikan terkait dengan departemen keuangan:
Akibatnya, aturannya akan terlihat seperti ini:
Kemudian buat Kebijakan Akses Pusat (CAP) yang akan diterapkan ke semua server file menggunakan GPO.
Dalam kebijakan CAP baru, kami akan memasukkan aturan untuk departemen keuangan yang dibuat sebelumnya:
Selanjutnya, aturan Kebijakan Akses Pusat menggunakan kebijakan grup harus diterapkan ke semua server file. Untuk melakukan ini, buat kebijakan GPO baru dan tautkan ke OU dengan server file.
Di jendela Editor Kebijakan Manajemen Grup, buka Konfigurasi Komputer-> Kebijakan-> Pengaturan Windows-> Pengaturan Keamanan-> Kebijakan Sistem-Kebijakan Akses Pusat-> Kelola kebijakan akses Central.
Di jendela pengaturan Konfigurasi Kebijakan Akses Pusat tambahkan kebijakan Data Keuangan dan klik OK.
Selanjutnya, Anda harus mengizinkan semua pengontrol domain untuk menetapkan climes. Ini juga dilakukan dengan menggunakan GPO, namun dalam hal ini kita perlu mengedit kebijakan pengontrol domain - Default Domain Pengontrol Kebijakan . Pergi ke bagian ini Konfigurasi Komputer-> Kebijakan-> Template Administratif-> Sistem-> KDC. Opsi terbuka Dukungan KDC untuk klaim, otentikasi gabungan, dan pelindung Kerberos, atur ke Diaktifkan, dan di daftar drop-down, pilih Didukung
Keluar dari Editor Kebijakan Grup dan perbarui kebijakan pada pengontrol domain dan server file dengan perintah
gpupdate / force
Mari kita lihat apa yang kita dapat.
Buka file di server tempat kebijakan yang kami buat menerapkan properti dari folder atau dokumen yang dibagikan, dan buka tab Klasifikasi. Seperti yang Anda lihat, dua pernyataan muncul di dalamnya. Jika klasifikasi otomatis tidak dikonfigurasi, nilainya tidak akan ditetapkan..
Catatan: Agar izin DAC diperiksa ketika mengakses file, pengguna harus memiliki akses ke direktori / file di tingkat NTFS. Dalam contoh ini, kami akan memberikan semua orang akses NTFS penuh..
Periksa izin saat ini di folder.
Buka tab Kebijakan Pusat dan terapkan kebijakan Data Keuangan..
Jika pengguna tidak memiliki klaim yang ditetapkan (ia berada di grup yang tepat, tetapi ia tidak memiliki atribut departemen dan negara yang ditentukan), ia tidak akan memiliki akses ke direktori.
Kesimpulan
Menggunakan kombinasi DAC, AD RMS (cara mengatur enkripsi file dinamis dengan AD RMS dan FCI) dan teknologi FCI, Anda dapat membuat skema yang kuat untuk mengendalikan akses ke dokumen dan melindungi informasi sensitif dengan menerapkan sistem DLP lengkap berdasarkan infrastruktur Windows Server 2012.
