Post on 02-Jun-2015
description
Donnez votre avis !Depuis votre smartphone, sur : http://notes.mstechdays.fr
De nombreux lots à gagner toutes les heures !!!
Claviers, souris et jeux Microsoft…
Merci de nous aider à améliorer les TechDays
http://notes.mstechdays.fr
SEC 311 Dynamic Access Control
Protéger le patrimoine informationnel de l'entreprise avec
Dynamic Access Control de Windows Server 2012
Infrastructure
JY Grasset, MicrosoftPascal Saulière, Microsoft
Dynamic Access Control
Défis de la gestion des données
Augmentation utilisateurs et
données
?
Informatique distribuée
?
Réglementation et conformité
liées au métier
Contraintes Budgétaires
Dynamic Access Control
Besoins Métier → Résultat stockage
Rétention des contrats pendant 10 ans
Nécessité d’un partage par projet
Eviter la fuite d’informations sensibles l’extérieur
La complexité augmente le risque d’inefficacité des politiques et empêche un aperçu fin des données métier
Les besoins métier de départ peuvent être simples
L’ajout de politiques peut fragmenter l’infrastructure de stockage
Concepts
Dynamic Access Control
Expressions conditionnelles basées sur la classification des documents et les revendications utilisateur et périphérique (+ groupes sécurité)
Listes de contrôles d’accès centralisées
Chiffrement automatique RMS basé sur la classification des documents
Extensibilité pour autres types de protection
Contrôle d’accès sur expressions conditionnelles
Chiffrement
Audit ciblé des accès basé sur la classification des documents et l’identité utilisateur
Déploiement centralisé des politiques d’audit avec les politiques d’audit globales
Audit sur expressions conditionnelles
Classification des données
Marquage manuel par le propriétaire des données
Classification automatique des documents basée sur leur contenu
Classification par les applications
Dynamic Access Control
DEMOClassification manuelle et automatique
MICROSOFT CONF IDENTIAL – INTERNAL ONLY
ACE* basés sur expressions
•Conduit à l’explosion des groupes•Considérant 500 projets, 100 pays, 10 divisions•500,000 groupes pour représenter toutes les combinaisons:•ProjetZ FR Recherche-Developpement•ProjetZ GE Recherche-Developpement, etc.
Pre-2012: Uniquement ’OR’ entre groupes
•Les conditions dans les ACE permettent d’associer de multiples groupes avec des opérateurs booléens•Exemple: Allow modify IF MemberOf(ProjectZ) AND MemberOf(FR) AND MemberOf(Recherche-Developpement)
•610 groupes au lieu de 500,000 (500 projets + 100 pays + 10 divisions)
Windows Server 2012: expressions avec ‘AND’
•3 Revendications Utilisateur (!)
Windows Server 2012: avec Classification & Politiques centrales d’accès
(*) ACE- Access Control Entry: entrée de contrôle d'accès
Dynamic Access Control
DEMOContrôle d’accès sur expressions conditionnelles (Groupes)
MICROSOFT CONF IDENTIAL – INTERNAL ONLY
Revendications Utilisateur et Périphérique
•Les politiques de décision d’accès sont uniquement basées sur les appartenances de l’utilisateur à des groupes
•Des groupes “fantômes” sont souvent créés pour refléter des attributs existants en tant que groupes
•Les groupes ont des règles autour de qui peut être membres de tels types de groupes•Pas moyen de transformer les groupes entre les frontières Active Directory•Pas de moyen pour contrôler l’accès en fonction des caractéristiques du périphérique de l’utilisateur
Pre-2012: Principaux de sécurité* uniquement
•Les attributs Utilisateur/ordinateur sont inclus dans le jeton de sécurité•Les revendications peuvent être utilisées directement dans les autorisations des serveurs de fichiers
•Les revendications sont cohérentes à l’intérieur de la forêt•Les revendications peuvent être transformées entre les frontières de forêts•Permet de nouveaux types de politiques qui n’étaient pas disponibles précédemment•Exemple: Allow Write if User.MemberOf(Finance) and User.EmployeeType=FullTime and Device.Managed=True
Windows Server 2012: Principaux de sécurité , revendication utilisateur ou périphérique
(*) Principal de sécurité: Un compte (utilisateur, groupe de sécurité, ordinateur) à qui peut être accordé ou refusé l'accès aux ressources
Propriétés de Classification standard
Dynamic Access Control
Domaine Propriétés Valeurs
Information PrivacyPersonally Identifiable Information High; Moderate; Low; Public; Not PII
Protected Health Information High; Moderate; Low
Information SecurityConfidentiality High; Moderate; Low
Required Clearance Restricted; Internal Use; Public
Legal
CompliancySOX; PCI; HIPAA/HITECH; NIST SP 800-53; NIST SP 800-122; U.S.-EU Safe Harbor Framework; GLBA; ITAR; PIPEDA; EU Data Protection Directive; Japanese Personal Information Privacy Act
Discoverability Privileged; Hold
Immutable Yes/No
Intellectual Property Copyright; Trade Secret; Parent Application Document; Patent Supporting Document
Records ManagementRetention Long-term; Mid-term; Short-term; IndefiniteRetention Start Date <Date Value>
Organizational
Impact High; Moderate; LowDepartment Engineering ;Legal; Human Resources …Project <Project>Personal Use Yes/No
Politiques d’accès centrales
Dynamic Access Control
Revendications Utilisateurs
User.Department = FinanceUser.Clearance = High
POLITIQUES D’ACCES
S’applique à: @File.Impact = HighAutoriser| Lecture, Ecriture | si (@User.Department == @File.Department)
ET(@Device.Managed == True)
Revendications Périphérique
Device.Department = FinanceDevice.Managed = True
Propriétés de la Ressource
Resource.Department = Finance
Resource.Impact = High
AD DS
11
File Server
Politique centrale d’accès
Dynamic Access Control
Dans Active Directory:1. Configurer les revendications
utilisateur2. Créer les définitions des propriétés
de ressources3. Configurer les politiques centrales
d’accès
Sur le serveur de fichiers:4. Classifier les informations5. Assigner une politique centrale
A l’exécution:• L’accès utilisateur est évalué
Windows Server 2012 Active Directory
Serveur de fichiers Windows Server 2012
Utilisateur
Politique d’accès
?
Définitions propriétés ressources
Revendications Utilisateur
• Où sont stockées les revendications (claims) utilisateur et périphérique ?– Réponse : Dans Active Directory
• Où sont stockées les propriétés Ressource ?– Au niveau de la ressource: Datastream/Security Descriptor ou format
Office)• Où sont définies et stockées les politiques d’accès centrales ?
– Active Directory et ensuite distribuées sur les serveurs• Où sont utilisées les politiques d’accès ?
– Sur les serveurs de fichiers• Dans quoi retrouve-t-on les revendications utilisateur et périphérique ?
– Le jeton de sécurité associé à l’utilisateur• Comment sont transportées les revendications utilisateur et périphérique ?
– On va le voir plus loin (une idée?)
Quizz
Dynamic Access Control
Dynamic Access Control
DEMO ETAPE 1Revendications utilisateur et propriété de ressources
Dynamic Access Control
DEMO ETAPE 2
Central Access Rule/ Central Access PolicyGPO Central Access Policy
Dynamic Access Control
DEMO ETAPE 3Revendications utilisateur et propriété de ressources
MICROSOFT CONF IDENTIAL – INTERNAL ONLY
Kerberos et le nouveau jeton Dynamic Access Control s’appuie sur Kerberos
Extension Kerberos Windows 8 Identifiant composé (Compound ID) – Associe l’utilisateur au
périphérique pour être considéré comme un unique principal de sécurité au niveau autorisation
Le contrôleur de domaine émet des groupes et des revendications Le DC énumère les revendications
utilisateur Les revendications sont délivrées
dans le PAC Kerberos Le jeton NT Token possède des
sections Données Utilisateur et Périphérique Revendications et Groupes!
Classification automatique
Dynamic Access Control
DEMOClassification automatique
• Windows Server 2012 implémente un mécanisme de classification de données automatique
• L’introduction d’expressions conditionnelles dans le contrôle d’accès permet de limiter de manière drastique le nombre de groupes et de prendre en compte la notion de revendications
• Les politiques d’accès intelligentes peuvent être définies et appliquées de manière centrale
• Des règles associées à la classification permettent la protection contre la fuite d’information par chiffrement automatique
• Audit
Synthèse
Dynamic Access Control
Merci de votre attention !
Q&A