访问控制 - Windows Server 2012 技术白皮书

嚯嚯 发表于2020-08-21 10:04
浏览次数:
在手机上阅读

访问控制 - Windows Server 2012 技术白皮书

文件访问控制是通过一组在 Active Directory 域服务中集中管理的中央授权策略的访问策略实现,并通过组策略部署到文件服务器完成的。您可以使用授权策略,以符合组织和监管的要求。通过授权策略将用户和设备的声明与关于文件的标签信息相匹配,让您建立完整的文件访问策略。

在老版本 Windows Server 中,声明只能在 Active Directory 联合服务中使用,基于提交给 Active Directory 联合服务的属性,授权一个域中的用户使用不同的联合域中的应用程序。在 DAC 中,声明的功能本质上是相同。此时有两种情况,声明包括一个或多个有关用户或设备描述(例如姓名、身份、密钥、组、特权或能力),这些描述都包含在一个可信赖的合作伙伴或是实体(比如 Active Directory 域服务)颁发并签名的安全令牌中,用于授权用户或设备访问资源。若要创建声明属性,可使用 Active Directory 管理工具或身份管理工具手动创建。在 DAC 的场景中,由 Active Directory 域服务颁发令牌,而被访问的资源是一个文件。

在 DAC 中,声明可与逻辑策略结合,实现细粒度的控制,任意定义文件的子集。在下文列举的两个例子中,即可运用这些策略:

为了获得高级别影响的业务信息,可能要求用户是一个专职的雇员,使用智能卡,从受管理的设备登录访问。这些策略可以通过 Active Directory 域服务来定义和存储。在该场景中,您必须做到以下几点:

  • 标识和标记包含 HBI 信息的文件。
  • 标识组织中的专职员工。
  • 创建一个 CAP,并将它应用于组织中所有的文件服务器中包含 HBI 信息的文件。

在整个组织范围内要求实施文件限制访问的策略,所有包含个人标识信息 (PII) 的文件,无论保存在什么位置,仅允许 HR 部门成员和文件所有者访问包含 PII 的文件。在这种情况下,您必须做到以下几点:

  • 标识和分类(标签)包含 PII 信息的文件。
  • 确定人力资源组成员,他们将被允许查看 PII 信息。
  • 创建一个中央策略 CAP,并将策略应用给组织内所有文件服务器中包含 PII 信息的文件。

组织中由于不同的层级和不同的原因,都可以成为发起部署和执行授权策略的因素,例如:

  • 组织范围内的授权策略。通常大多数情况由信息安全办公室发起,这种类型的授权策略一般都关系到整个组织,目的是满足合规或是其他更高级别的要求。例如,高级别影响的文件只允许全职员工访问。
  • 部门授权策略。 组织中的各个部门内可能需要实施特殊的数据管理需求。比如,财务部门希望只允许财务部门的员工访问财务服务器
  • 特定的数据管理策略。这种类型的策略一般是满足组织中对于正在管理的信息进行合规管理,比如阻止修改、删除处于保留或电子发现 (eDiscovery)状态的文件。
  • 需要知道的策略。这种类型的策略通常需要结合前面提到的策略类型。以下是两个例子:
  1. 供应商应该只能够访问和编辑他们正在从事的项目所涉及的文件。
  2. 在金融机构,信息隔离很重要,分析师不能访问经纪人的信息,经纪人也不能访问分析信息。

中央访问策略结构

Active Directory 域服务中存储的 CAP 应用于组织中的文件服务器,扮演着安全保护伞的角色。这些策略的目的不是取代,而是补充本地访问策略,或用于文件和文件夹的任意访问控制列表(DACL)。例如,如果一个本地 DACL 允许一个特定的用户访问,但一个 CAP 策略同时应用于该文件并拒绝该用户访问,那么这个用户不能访问该文件。反之亦然:如果一个 CAP 策略允许用户访问,而本地 DACL 拒绝了,用户就不能访问该文件。文件的访问只有 DACL 和 CAP 同时允许时,才可能允许。

一个 CAP 可以包含很多的规则,每一条规则评估和部署都是作为 CAP 整体的一部分。在 CAP 中的每个规则有以下逻辑部分:

  • 适用性。这是一个条件,定义规则应用于哪些文件。例如,条件可以定义为包含个人信息标签的所有文件。
  • 准入条件。这是一个或多个访问控制条目(ACE)的列表,定义谁可以访问数据,例如,如果用户拥有高的安全等级,并且通过受管理的设备访问数据,那么他将拥有允许读取和写入的权限。
  • 下图显示了一个 CAP 规则的组成部分,以及他们如何结合起来,建立非常明确的数据访问策略。

    访问控制 - Windows Server 2012 技术白皮书

中央访问策略和文件服务器

下图显示了 Active Directory 域服务,文件服务器和用户的相互关系。Active Directory域服务用于创建和存储 CAP 、用户声明、和属性定义;文件服务器,将应用这些策略;用户,将试图访问文件服务器上的文件。

访问控制 - Windows Server 2012 技术白皮书

CAP 结构

下图显示了如何结合不同的规则(蓝色框)到一个 CAP(绿色框),然后应用于组织中文件服务器的共享中。

访问控制 - Windows Server 2012 技术白皮书

给合多个策略到策略列表应用于资源

策略预期

当您想更改策略时,Microsoft Windows 允许您在运行现有策略时,平行测试这个计划的策略的影响,而不需要应用这个策略。这个特性称之为策略预期,可供您评估一个新的策略在生产环境的最终影响。

当您启用了策略预期功能后,Windows Server 2012 会继续使用当前的策略来授权用户访问文件。但是如果计划的策略与当前应用的策略访问允许不相同时,系统日志中会记录详细的信息,您可以使用这些事件日志去决定这个策略是否己经更改或是准备好部署了。

拒绝访问修复

当然,拒绝访问只是一条有效中央访问控制策略的部分策略,而且有时候,当第一次访问被拒绝后,必须授权访问的权限。当前,当用户访问被拒绝后,这个用户无法收到任何能够帮助他获得访问的附加信息。这会给用户和桌面支持或管理员都带来痛苦。为了缓解这种问题,Windows Server 2012 中的访问拒绝辅助修复功能能够给用户提供附加的信息,同时有机会通过电子邮件发送访问请求信息给相应的文件所有者。拒绝访问修复减少人工干预的需要授予用户对资源的访问提供以下三个不同的进程:

自助修复。如果用户能够确定问题并且纠正这个问题,他们就能获得访问权限,这种情况对组织的影响很小,也不需要在组织的策略中添加任何例外。Windows Server 2012 允许您创建一个通用的访问拒绝信息帮助用户在访问拒绝时自助修复。这个信息包括 URLs 地址,将用户引导到组织中提供的自助修复的网站

文件所有者修复。Windows Server 2012 允许您创建一个文件或是文件夹所有者的分发列表,通过这个分发列表,用户就可以直接联系他们请求访问文件。这个和 Microsoft SharePoint 模式类似,在 SharePoint 中,共享所有者接收用户的申请访问文件的请求。修复的方式可以在文件或是文件夹中为用户添加适当的权限开始。比如,一个文件的本地 DACL 允许特定的用户访问,而一个 CAP 限制同一个用户访问,那么这个用户最终将无法访问这个文件。在Windows Server 2012 中,当一个用户请求获得一个文件或是文件夹的访问权限时,一封有关于请求的详细信息的电子邮件会发送到文件所有者。如果需要更多的帮助,文件所有者可以将邮件转发给相应的 IT 管理员。

桌面支持和文件服务器管理员修复。当用户无法自助修复一个访问问题,同时文件所有者也无法帮助这个用户时,这个问题可以通过桌面支持或是文件服务器管理员手动进行纠正。这是成本最高和最耗时的修复方式。Windows Server 2012 提供给用户查看文件或是文件夹有效权限的界面,简化排除访问错误问题。

下图显示了在访问被拒绝修复时涉及的一系列事件。

访问控制 - Windows Server 2012 技术白皮书

当用户第一次访问文件被拒绝时,访问拒绝修复提供用户访问文件的方法:

1. 用户试图访问文件。

2. 由于用户没有授予适当的声明,服务器返回”拒绝访问”的错误信息。

3. 在一台运行 Windows 8 的电脑上,Windows 获取来自于文件服务器资源管理器的消息,该消息提供了修复的选项,可能包括请求访问的链接。

4. 当用户满足了访问的条件(比如,签署了保密协议 NDA 或是提供了其它的验证),这个用户的声明将被更新并且可以访问文件。




Windows Server 2012 技术白皮书 - 目录
 存储和可用性  存储和可用性(简介)
 存储与可用性的挑战
 减少计划内维护的停机时间
 扫描、隔离,并响应非预期服务器故障
 动态响应服务器的故障
 实施有关存储、性能、网络以及服务器的改进
 Windows Server 2012 解决方案矩阵
 内存错误隔离
 网卡捆绑
 SMB
 适用于远程 SMB 文件共享的 VSS
 通过在线扫描与修复改善 NTFS 可用性
 卸载数据传输(ODX)
 块访问iSCSI Software Target Server
 Resilient File System(ReFS)
 存储空间
 Hyper-V 的聚合光纤通道
 用最小停机时间移动虚拟机的存储
 DHCP 故障转移
 故障转移群集
 SMB 透明故障转移
 群集共享卷
 SMB 扩展
 NFS 高可用透明故障转移
 iSCSI Software Target Server 透明故障转移
 群集感知更新
 在线备份
 Hyper-V 复制
 自动精简配置与 Trim
 重复数据删除
 服务器管理  服务器管理(简介)
 Server Manager 技术描述
 与其他服务器角色集成
 跨多台服务器的服务器角色管理
 远程桌面服务配置
 最小的性能影响
 Windows PowerShell 3.0 技术描述
 身份与安全  Windows Server 2012 中安全和身份标识的改进
 动态访问控制(分类)
 访问控制
 安全审计
 动态访问控制(保护)
 简化管理
 克隆部署
 更加安全的虚拟化域控制器
 Windows PowerShell 脚本自动生成
 Active Directory 域中客户端的激活
 组托管服务帐户
 Hyper-V 可扩展虚拟交换机实现多租户安全和隔离
 远程访问  Windows Server 2012 中的远程访问
 DirectAccess
 路由和远程访问服务
 集成的远程访问服务器角色
 Direct Access 和 VPN 集成(需求)
 BranchCache 的改进(简介)
 BranchCache 技术描述
 BranchCache的改进(需求)
 远程桌面服务新增功能和优化改进
 远程桌面服务架构一览
 基于场景的部署
 RemoteApp 和桌面的集中式发布
 智能补丁
 Hyper-V over SMB2
 RemoteFX 改进
 用户配置磁盘
 Windows Server 2012 R2
 微软虚拟桌面基础架构 ( VDI )
 助力中小企业实现并保持精益运营
444 个用户觉得很有用

uc电脑园提供的技术方案或与您产品的实际情况有所差异,您需在完整阅读方案并知晓其提示风险的情况下谨慎操作,避免造成任何损失。

如此好文,分享给朋友

图片来源:网络

大家正在看
发表评论
验证码:
评论列表
共0条