Protéger le patrimoine informationnel de l'entreprise avec Dynamic Access Control de Windows Server 2012

Donnez votre avis !Depuis votre smartphone, sur : http://notes.mstechdays.fr

De nombreux lots à gagner toutes les heures !!!

Claviers, souris et jeux Microsoft…

Merci de nous aider à améliorer les TechDays

http://notes.mstechdays.fr

SEC 311 Dynamic Access Control

Protéger le patrimoine informationnel de l'entreprise avec

Dynamic Access Control de Windows Server 2012

Infrastructure

JY Grasset, MicrosoftPascal Saulière, Microsoft

Dynamic Access Control

Défis de la gestion des données

Augmentation utilisateurs et

données

?

Informatique distribuée

?

Réglementation et conformité

liées au métier

Contraintes Budgétaires


Besoins Métier → Résultat stockage

Rétention des contrats pendant 10 ans

Nécessité d’un partage par projet

Eviter la fuite d’informations sensibles l’extérieur

La complexité augmente le risque d’inefficacité des politiques et empêche un aperçu fin des données métier

Les besoins métier de départ peuvent être simples

L’ajout de politiques peut fragmenter l’infrastructure de stockage

Concepts


Expressions conditionnelles basées sur la classification des documents et les revendications utilisateur et périphérique (+ groupes sécurité)

Listes de contrôles d’accès centralisées

Chiffrement automatique RMS basé sur la classification des documents

Extensibilité pour autres types de protection

Contrôle d’accès sur expressions conditionnelles

Chiffrement

Audit ciblé des accès basé sur la classification des documents et l’identité utilisateur

Déploiement centralisé des politiques d’audit avec les politiques d’audit globales

Audit sur expressions conditionnelles

Classification des données

Marquage manuel par le propriétaire des données

Classification automatique des documents basée sur leur contenu

Classification par les applications


DEMOClassification manuelle et automatique

MICROSOFT CONF IDENTIAL – INTERNAL ONLY

ACE* basés sur expressions

•Conduit à l’explosion des groupes•Considérant 500 projets, 100 pays, 10 divisions•500,000 groupes pour représenter toutes les combinaisons:•ProjetZ FR Recherche-Developpement•ProjetZ GE Recherche-Developpement, etc.

Pre-2012: Uniquement ’OR’ entre groupes

•Les conditions dans les ACE permettent d’associer de multiples groupes avec des opérateurs booléens•Exemple: Allow modify IF MemberOf(ProjectZ) AND MemberOf(FR) AND MemberOf(Recherche-Developpement)

•610 groupes au lieu de 500,000 (500 projets + 100 pays + 10 divisions)

Windows Server 2012: expressions avec ‘AND’

•3 Revendications Utilisateur (!)

Windows Server 2012: avec Classification & Politiques centrales d’accès

(*) ACE- Access Control Entry: entrée de contrôle d'accès


DEMOContrôle d’accès sur expressions conditionnelles (Groupes)


Revendications Utilisateur et Périphérique

•Les politiques de décision d’accès sont uniquement basées sur les appartenances de l’utilisateur à des groupes

•Des groupes “fantômes” sont souvent créés pour refléter des attributs existants en tant que groupes

•Les groupes ont des règles autour de qui peut être membres de tels types de groupes•Pas moyen de transformer les groupes entre les frontières Active Directory•Pas de moyen pour contrôler l’accès en fonction des caractéristiques du périphérique de l’utilisateur

Pre-2012: Principaux de sécurité* uniquement

•Les attributs Utilisateur/ordinateur sont inclus dans le jeton de sécurité•Les revendications peuvent être utilisées directement dans les autorisations des serveurs de fichiers

•Les revendications sont cohérentes à l’intérieur de la forêt•Les revendications peuvent être transformées entre les frontières de forêts•Permet de nouveaux types de politiques qui n’étaient pas disponibles précédemment•Exemple: Allow Write if User.MemberOf(Finance) and User.EmployeeType=FullTime and Device.Managed=True

Windows Server 2012: Principaux de sécurité , revendication utilisateur ou périphérique

(*) Principal de sécurité: Un compte (utilisateur, groupe de sécurité, ordinateur) à qui peut être accordé ou refusé l'accès aux ressources

Propriétés de Classification standard


Domaine Propriétés Valeurs

Information PrivacyPersonally Identifiable Information High; Moderate; Low; Public; Not PII

Protected Health Information High; Moderate; Low

Information SecurityConfidentiality High; Moderate; Low

Required Clearance Restricted; Internal Use; Public

Legal

CompliancySOX; PCI; HIPAA/HITECH; NIST SP 800-53; NIST SP 800-122; U.S.-EU Safe Harbor Framework; GLBA; ITAR; PIPEDA; EU Data Protection Directive; Japanese Personal Information Privacy Act

Discoverability Privileged; Hold

Immutable Yes/No

Intellectual Property Copyright; Trade Secret; Parent Application Document; Patent Supporting Document

Records ManagementRetention Long-term; Mid-term; Short-term; IndefiniteRetention Start Date <Date Value>

Organizational

Impact High; Moderate; LowDepartment Engineering ;Legal; Human Resources …Project <Project>Personal Use Yes/No

Politiques d’accès centrales


Revendications Utilisateurs

User.Department = FinanceUser.Clearance = High

POLITIQUES D’ACCES

S’applique à: @File.Impact = HighAutoriser| Lecture, Ecriture | si (@User.Department == @File.Department)

ET(@Device.Managed == True)

Revendications Périphérique

Device.Department = FinanceDevice.Managed = True

Propriétés de la Ressource

Resource.Department = Finance

Resource.Impact = High

AD DS

11

File Server

Politique centrale d’accès


Dans Active Directory:1. Configurer les revendications

utilisateur2. Créer les définitions des propriétés

de ressources3. Configurer les politiques centrales

d’accès

Sur le serveur de fichiers:4. Classifier les informations5. Assigner une politique centrale

A l’exécution:• L’accès utilisateur est évalué

Windows Server 2012 Active Directory

Serveur de fichiers Windows Server 2012

Utilisateur

Politique d’accès

?

Définitions propriétés ressources

Revendications Utilisateur

• Où sont stockées les revendications (claims) utilisateur et périphérique ?– Réponse : Dans Active Directory

• Où sont stockées les propriétés Ressource ?– Au niveau de la ressource: Datastream/Security Descriptor ou format

Office)• Où sont définies et stockées les politiques d’accès centrales ?

– Active Directory et ensuite distribuées sur les serveurs• Où sont utilisées les politiques d’accès ?

– Sur les serveurs de fichiers• Dans quoi retrouve-t-on les revendications utilisateur et périphérique ?

– Le jeton de sécurité associé à l’utilisateur• Comment sont transportées les revendications utilisateur et périphérique ?

– On va le voir plus loin (une idée?)

Quizz



DEMO ETAPE 1Revendications utilisateur et propriété de ressources


DEMO ETAPE 2

Central Access Rule/ Central Access PolicyGPO Central Access Policy


DEMO ETAPE 3Revendications utilisateur et propriété de ressources


Kerberos et le nouveau jeton Dynamic Access Control s’appuie sur Kerberos

Extension Kerberos Windows 8 Identifiant composé (Compound ID) – Associe l’utilisateur au

périphérique pour être considéré comme un unique principal de sécurité au niveau autorisation

Le contrôleur de domaine émet des groupes et des revendications Le DC énumère les revendications

utilisateur Les revendications sont délivrées

dans le PAC Kerberos Le jeton NT Token possède des

sections Données Utilisateur et Périphérique Revendications et Groupes!

Classification automatique


DEMOClassification automatique

• Windows Server 2012 implémente un mécanisme de classification de données automatique

• L’introduction d’expressions conditionnelles dans le contrôle d’accès permet de limiter de manière drastique le nombre de groupes et de prendre en compte la notion de revendications

• Les politiques d’accès intelligentes peuvent être définies et appliquées de manière centrale

• Des règles associées à la classification permettent la protection contre la fuite d’information par chiffrement automatique

• Audit

Synthèse


Merci de votre attention !

Q&A

Documents

Protéger le patrimoine informationnel de l'entreprise avec Dynamic Access Control de Windows Server 2012