Новые возможности windows server 2012 Безопасность,...
DESCRIPTION
Новые возможности Windows Server 2012 Безопасность, управление, удаленный доступ, веб-платформа. Часть 2. Новые возможности Windows Server 2012. Часть 1. Виртуализация, сети, хранилища Модуль 1. Hyper-V : комплексная платформа виртуализации Модуль 2. Сетевая инфраструктура - PowerPoint PPT PresentationTRANSCRIPT
Новые возможности Windows Server 2012Безопасность, управление, удаленный доступ, веб-платформа
Часть 2
Windows Server 2012 ||
Новые возможности Windows Server 2012 Часть 1. Виртуализация, сети, хранилища Модуль 1. Hyper-V: комплексная платформа виртуализации Модуль 2. Сетевая инфраструктура Модуль 3. Хранилища и доступность
Часть 2. Безопасность, управление, удаленный доступ, веб-платформа Модуль 1. Технологии идентификации и обеспечения
безопасности Модуль 2. Инструменты управления Модуль 3. Удаленный доступ Модуль 4. Платформа для веб-приложений
Технологии идентификации и обеспечения безопасностиЧасть 2 Модуль 1
Windows Server 2012 || 4
Содержание Динамическое управление доступом
(Dynamic Access Control, DAC)
Доменные службы Active Directory
Windows Server 2012 ||
ПРОБЛЕМЫ
Развертывание инфраструктуры для частного и гибридного облаков
Обеспечение управляемости инфраструктуры
Обеспечение безопасности данных
Реализация удаленного доступа к информации с различных устройств
Переход к облачным технологиям
Современный стиль работы с информацией
Стремительный рост объемов данных и распространение информации
Соблюдение государственных и отраслевых требований
ПОТРЕБНОСТИ
Потребности и проблемы клиентов
5
Windows Server 2012 ||
Централизованные политики доступа
Аудит доступа к файлам
Интеграция со службами управления правами Active Directory
Предварительное планирование и моделирование влияния изменений на политику доступа
Автоматическое определение и классификация данных по содержимому
Централизованное управление доступом с помощью Active Directory
Быстрое устранение ошибок, связанных с правами пользователей
ДИНАМИЧЕСКОЕ
УПРАВЛЕНИЕ ДОСТУПОМ
Инфраструктура классификации файлов
Гибкий доступ к данным благодаря динамическому управлению доступом
6
Windows Server 2012 ||
Классификация
Управление доступом Аудит
Службы управления правами (RMS)
• Файлы наследуют теги классификации от родительской папки
• Владельцы файлов вручную добавляют теги к файлам
• Теги к файлам добавляются автоматически
• Теги к файлам добавляются приложениями
• Централизованные политики доступа основаны на классификации
• Условия доступа для утверждений пользователей, утверждений устройств и тегов файлов основаны на выражениях
• Помощь в случае отказа в доступе
• Централизованные политики аудита можно применять к нескольким файловым серверам
• Аудит для утверждений пользователей, утверждений устройств и тегов файлов основан на выражениях
• Аудит можно выполнять поэтапно, чтобы моделировать изменения политик в реальной среде
• Автоматическая защита с помощью RMS для документов Microsoft Office
• Защита обеспечивается практически в реальном времени, когда файлу присваивается тег
• Защита RMS распространяется на файлы, не созданные в Microsoft Office
Динамическое управление доступом
ДИНАМИЧЕСКОЕ
УПРАВЛЕНИЕ ДОСТУПОМ
7
Windows Server 2012 ||
Идентификация информации
Создание или редактирование
файла
Определение классификации
Сохранение классификации
Встроенный классификатор содержимогоСторонний подключаемый модуль классификации
По расположению
Вручную
По контексту
Приложением
ДИНАМИЧЕСКОЕ
УПРАВЛЕНИЕ ДОСТУПОМ
8
Windows Server 2012 ||
Утверждения ресурсов (resource claims) в Active DirectoryПользователь
redmond\jsmith / S-1-5-21-12345-12345-12345
ГруппыMktgFTE / S-1-5-21-23456-23456-23456-23456-23456RemoteAccess / S-1-5-21-34567-34567-34567-34567High-PII / S-1-5-21-45678-45678-45678-45678
Утверждения«Подразделение» Dept_4329617375
Строка «Маркетинг»«Страна» Country_54927768 Строка
«US»
Просматриваются с использованием whoami /claims из командной строки
Извлекаются из значений свойств и выпускаются как часть маркера, полученного при входе в систему
ДИНАМИЧЕСКОЕ
УПРАВЛЕНИЕ ДОСТУПОМ
Используются в ходе авторизации (если включено)
9
Windows Server 2012 ||
Утверждения пользователей
User.Department = FinanceUser.Clearance = High
Политика доступаЧтобы получить доступ к финансовой информации, которая обладает большой значимостью для
бизнеса, пользователь должен работать в финансовом отделе, где проводится тщательная проверка на безопасность,
и должен использовать управляемое устройство, зарегистрированное в финансовом отделе.
Утверждения устройств
Device.Department = FinanceDevice.Managed = True
Свойства ресурсовResource.Department =
FinanceResource.Impact = High
Доменные службы Active
Directory
Правила доступа на основе выражений
ДИНАМИЧЕСКОЕ
УПРАВЛЕНИЕ ДОСТУПОМ
10
Файловый сервер
Windows Server 2012 ||
Доменные службы Active Directory
Характеристики политики • Включает централизованные
правила доступа (central access rules)
• Применяется к файловым серверам с помощью объектов групповых политик
• Дополняет (но не заменяет) встроенные списки управления доступом к файлам и папкам на базе файловой системы NTFS
Централизованные политики доступа
ДИНАМИЧЕСКОЕ
УПРАВЛЕНИЕ ДОСТУПОМ
11
Корпоративные файловые серверы
Политика «Персональная информация»
Политика «Финансы»
Пользовательские папки
Папки финансового отдела
Организационные политики• Значительное
влияние на бизнес• Персональная
информация
Политика «Значительное влияние на бизнес»
Политики финансового отдела• Значительное
влияние на бизнес• Персональная
информация• Финансы
Windows Server 2012 ||
Доменные службы Active Directory
Создание определений утвержденийСоздание определений свойств файловСоздание централизованной политики доступа
Групповая политика
Отправка централизованных политик доступа на файловые серверы
Файловый сервер
Применение политики доступа к общей папкеИдентификация информации
Пользовательский компьютер
Пользователь пытается получить доступ к информации
Процесс реализации централизованной политики доступа
ДИНАМИЧЕСКОЕ
УПРАВЛЕНИЕ ДОСТУПОМ
12
Доменные службы Active Directory
Пользователь
Файловый сервер
Разрешить или запретить
Определения утверждений
Политика аудита
Определения свойств файлов
Windows Server 2012 ||
Авторизация в рамках всей организации
Авторизация на уровне отдела
Управление определенными данными
Специфичный доступ
Примеры централизованных политик доступа
ДИНАМИЧЕСКОЕ
УПРАВЛЕНИЕ ДОСТУПОМ
13
Windows Server 2012 ||
Помощь при отказе в доступе Процесс, который позволяет
получить доступ к файлампосле отказа в доступе
На компьютере с Windows 8 система получает данные доступа из диспетчера ресурсов файлового сервера и отображает сообщение с вариантами восстановления доступа
Если варианты восстановления включают ссылку для запроса доступа, пользователь может запросить доступ к файлу. Как вариант, пользователь может запросить справку по доступу, отправив сообщение электронной почты
После того как пользователь выполнил требования к доступу, утверждения пользователя обновляются и пользователь может получить доступ к файлу
ДИНАМИЧЕСКОЕ
УПРАВЛЕНИЕ ДОСТУПОМ
14
1
2
3Файловый сервер
1
2
3
Пользователь
Доменные службы Active Directory
Windows Server 2012 ||
Аудит безопасностиДИНАМИЧЕСКО
Е УПРАВЛЕНИЕ
ДОСТУПОМ
15
Доменные службы Active Directory
Создание типов утвержденийСоздание свойств ресурсов
Групповая политика
Создание глобальной политики аудита
Файловый сервер
Выбор и применение свойств ресурсов к общим папкам
Пользовательский компьютер
Пользователь пытается получить доступ к информации
Доменные службы Active Directory
Пользователь
Файловый сервер
Разрешить или запретить
Определения утверждений
Политика аудита
Определения свойств файлов
Windows Server 2012 ||
Аудит каждого, кто не прошел тщательную проверку на безопасность и пытается получить доступ к документу, имеющему высокое значение для бизнеса
Аудит всех поставщиков, когда они пытаются получить доступ к документам, не связанным с их текущими проектами
Примеры политик аудита
Audit | Everyone | All-Access | Resource.BusinessImpact=HBI AND User.SecurityClearance!=High
Audit | Everyone | All-Access | User.EmploymentStatus=Vendor AND User.Project Not_AnyOf Resource.Project.
ДИНАМИЧЕСКОЕ
УПРАВЛЕНИЕ ДОСТУПОМ
16
Windows Server 2012 ||
ДемонстрацияНастройка и применение динамического управления доступом
17
Windows Server 2012 ||
Пример политики
1. Доступ на чтение финансовой информации должны иметь только сотрудники финансового департамента с привязкой к офису сотрудника
2. Руководители финансового департамента должны иметь права на чтение и изменение любой финансовой информации
18
Windows Server 2012 ||
ДемонстрацияНастройка и применение динамического управления доступом
19
Windows Server 2012 ||
Шифрование файла на основе классификации
На контроллере домена создаются определения утверждений, определения свойств файлов и политики доступа
Пользователь создает файл со словом «конфиденциально» в тексте и сохраняет его. Модуль классификации классифицирует файл как «очень важный» в соответствии с настроенными правилами
На файловом сервере правило автоматически применяет защиту RMS ко всем файлам, которые классифицируются как «очень важные»
Шаблон и шифрование RMS применяются к файлу на файловом сервере, и файл шифруется
Процесс шифрования на основе классификации
ДИНАМИЧЕСКОЕ
УПРАВЛЕНИЕ ДОСТУПОМ
20
1
2
3
4
1
2
3
Файловый сервер
Сервер RMSМодуль классификаци
и
4Пользователь
Доменные службы Active Directory
Windows Server 2012 ||
ДемонстрацияПрименение шаблона RMS на основе классификации файлов
21
Windows Server 2012 ||
Классификация
Управление доступом Аудит
Службы управления правами (RMS)
Динамическое управление доступом: преимущества
Идентификация данных
Классификация файлов
автоматически и вручную
Управление доступом к файлам
Поддержка централизованных политик доступа в рамках общей корпоративной
системы безопасности
Аудит доступа к файлам
Поддержка централизованных политик аудита для
составления отчетов о соблюдении требований и
судебного анализа
Применение шифрования RMS
Уменьшение информационных
утечек
ДИНАМИЧЕСКОЕ
УПРАВЛЕНИЕ ДОСТУПОМ
22
Windows Server 2012 ||
Развертывание контроллеров доменов Active Directoryв публичных и частных облаках
Масштабируемое управление Active Directory
Быстрое развертывание новых контроллеров доменов при изменении потребностей организации
Полноценное управление Active Directory с использованием Windows PowerShell
Клонирование контроллеров доменов
Поддержка виртуальных контроллеров доменов Усовершенствованн
ое развертывание контроллеров доменов
Усовершенствованный центр администрирования Active Directory
ДОМЕННЫЕСЛУЖБЫ
ACTIVE DIRECTORYActive Directory и облака
23
Windows Server 2012 ||
Более безопасная виртуализация контроллеров доменов
24
ДОМЕННЫЕСЛУЖБЫ
ACTIVE DIRECTORY
Обнаружение отката
• Виртуальные контроллеры доменов используют уникальный атрибут GenerationID, чтобы распознавать следующие события:• Применение снимков• Копирование виртуальной машины
• GenerationID изменяется, когда происходит событие, влияющее на положение виртуальной машины на оси времени
• Во время запуска виртуальный контроллер домена сравнивает текущее значение GenerationID со значением, которое хранится в каталоге
• В случае несовпадения (событие отката) запускается процедура безопасного согласования виртуального контроллера домена
Windows Server 2012 ||
Клонирование виртуальных контроллеров доменов
25
ДОМЕННЫЕСЛУЖБЫ
ACTIVE DIRECTORY
Использование мастера для развертывания отдельного виртуального контроллера домена
Настройка дополнительных параметров для клона контроллера домена (например, имя и IP-адрес)
Копирование исходной виртуальной машины контроллера домена и перезапуск для завершения операции клонирования
1
2
Виртуальный контроллер домена Клоны
3
Windows Server 2012 ||
ДемонстрацияКлонирование контроллера домена
26
Windows Server 2012 ||
Преимущества• Оптимизированное повышение
уровня контроллера домена
• Поддержка удаленного развертывания
Мастер развертывания контроллера домена
27
ДОМЕННЫЕСЛУЖБЫ
ACTIVE DIRECTORY
Windows Server 2012 ||
Удаленный запуск на нескольких серверах
Возможность экспорта сценариев Windows PowerShell
Характеристики мастера развертывания
28
ДОМЕННЫЕСЛУЖБЫ
ACTIVE DIRECTORY
Интегрированная проверка перед развертыванием
Упрощенные страницы конфигурации
Проверка необходимых компонентов
Windows Server 2012 ||
Журнал Windows PowerShell
Преимущества• Более быстрое обучение
• Более уверенная разработка сценариев
• Расширение поиска в Windows PowerShell
• Поддержка корзины Active Directory в графическом интерфейсе
29
ДОМЕННЫЕСЛУЖБЫ
ACTIVE DIRECTORY
Windows Server 2012 ||
Активация клиентов с использованием существующей инфраструктуры Active Directory
Автоматическая активация компьютеров под управлением Windows 8 и Windows Server 2012
Объект активации поддерживается в разделе конфигурации
Никакие данные, кроме необходимых для работы службы, не записываются в каталог
Активация на базе Active Directory
30
ДОМЕННЫЕСЛУЖБЫ
ACTIVE DIRECTORY
Windows Server 2012 ||
Управление учетными записями служб для групп серверов
Управление именами SPN
Автоматическое управление паролями
Делегирование управления
31
ДОМЕННЫЕСЛУЖБЫ
ACTIVE DIRECTORY
Windows Server 2012 ||
ДемонстрацияМастер развертывания Active Directory
32
Windows Server 2012 ||
Оптимизированное
развертывание контроллеров
доменов
Защита виртуальных контроллеров
доменов
Интуитивно понятное,
согласованное управление
Автоматическая активация ПО и управление
учетными записями служб
для групп серверов
Развертывание Виртуализация УправлениеРасширенный функционал
Доменные службы Active Directory: преимущества
33
ДОМЕННЫЕСЛУЖБЫ
ACTIVE DIRECTORY
Windows Server 2012 ||
Ресурсы Windows Server 2012http://technet.microsoft.com/ru-ru/evalcenter/hh670538.aspx
System Center 2012http://technet.microsoft.com/ru-ru/evalcenter/hh505660
Центр решений для частного облака http://technet.microsoft.com/ru-ru/cloud/private-cloud
Портал Microsoft Virtual Academy http://www.microsoftvirtualacademy.com
Портал TechNethttp://technet.microsoft.com/ru-ru/
34
Windows Server 2012 ||
Спасибо!
Александр ШаповалЭксперт по стратегическим технологиям Email: [email protected] Blog: http://blogs.technet.com/b/ashapo Twitter: @ashapoval
35