El documento detalla las capacidades y requisitos de Dynamic Access Control en Windows Server 2012 para gestionar eficazmente el acceso a la información y prevenir su fuga. Se abordan las limitaciones en la gestión de información y se proponen políticas de acceso basadas en claims para mejorar el control de seguridad. Además, se discuten métodos para reducir el número de grupos de seguridad mediante el uso de expresiones condicionales.

1. Dynamic Access Control
Asegura IT CAMP
Javier Dominguez /
Premier Field Engineer

2. Objetivos de la Sesión
Entender las capacidades de
Dynamic Access Control
Conocer como preparar
Windows para gestionar el
acceso a la información y
prevenir su fuga

3. Realidad en la Gestion de Información
Limitaciones de
Crecimiento en Presupuesto
Datos y Arquitecturas Cumplimiento con
Usuarios Distribuidas Regulaciones
?
?

4. El Reto del Control de Acceso
Gestionar quien accede a la
información
Administrar menos grupos de
seguridad
Proteger la información y garantizar
cumplimiento

5. Administrar Información en Función del Valor
para el Negocio
Clasificar la
Información
Aplicar Políticas
según
Clasificación

6. ACLs /ACEs BASADAS EN EXPRESIONES
PROPIEDADES Y REGLAS
CENTRALIZADAS
CONTROL DE ACCESO BASADO EN
CLAIMS (CBAC)

7. Requisitos de Dynamic Access Control
Uno o mas DCs en Windows Server 2012 (para los
claims)
Un Servidor de Archivos Windows 2012
Clientes SMB
Access Denied Remediation solo soportado en clientes Win 8

8. Tipos de Claims
Tipo de Claim Propiedades Extensin
User Claim • Usuario • Sobre 255 atributos • Atributos custom agregados al
• InetOrgPerson posibles esquema se pueden representar
como claims
Device Claim • PC • Sobre 200 atributos • Atributos custom agregados al
• MSA posibles esquema se pueden representar
• gMSA como claims
Resource • Msds-resourceproperty • Cada claim puede tener • Cada claim existe como un objeto
Property Claim • Gestionado por AD y múltiples valores en AD y tiene múltiples posibles
descargado por un • Globales para todos los valores
servidor de ficheros recursos
Clientes Pre-Windows 8 no soportan Device Claims

9. Central Access Policies
AD DS File Server
User claims Device claims Resource properties
User.Department = Finance Device.Department = Finance Resource.Department = Finance
User.AccessLevel = High Device.Managed = True Resource.Impact = High
Política de Acceso
Applies to: @File.Impact = High
Allow | Read, Write | if (@User.Department == @File.Department) AND (@Device.Managed ==
True)
9

10. Control de Acceso vía Expresiones
Gestionar menos grupos de seguridad mediante
expresiones condicionales
País x 50 50 Grupos
Departamento x 20 1000 Grupos
Secreto x2
2000 grupos a solo 71 usando expresiones condicionales
MemberOf(PAIS_SG) AND MemberOf(Dep_SG) AND MemberOf(Secreto_SG)

11. Central Access Policies
Usando grupos de seguridad
Applies to: Exists(File.Country)
Allow | Read, Write | if (User.MemberOf(US_SG)) AND (File.Country==US)
Allow | Read, Write | if (User.MemberOf(JP_SG)) AND (File.Country==JP)
…
Applies to: Exists(File.Department)
Allow | Read, Write | if (User.MemberOf(Finance_SG)) AND (File.Department==Finance)
Allow | Read, Write | if (User.MemberOf(Operations_SG)) AND (File. Department==Operations)…
Usando “user claims”
Applies to: Exists(File.Country)
Allow | Read, Write | if (User.Country==File.Country)
Applies to: Exists(File.Department)
Allow | Read, Write | if (User.Department==File.Department)
11