Nous mettrons à jour notre Politique de confidentialité prochainement. En voici un aperçu.

Les fondements des réseaux : Le contrôle d’accès dynamique

Définir le contrôle d'accès dynamique

Testez gratuitement nos 1343 formations

pendant 10 jours !

Tester maintenant Afficher tous les abonnements
Vous allez définir le contrôle d'accès dynamique et comprendre à quoi cela va vous servir. Abordez les prérequis pour sa mise en œœuvre.
06:45

Transcription

Continuons cette formation par la sécurisation des données par le contrôle d'accès dynamique. Donc, déterminer à quoi sert le contrôle d'accès dynamique. Les autorisations classiques NTFS et les listes de contrôle d'accès fournissaient donc un contrôle d'accès basé sur les identifiants de sécurité des utilisateurs, le SID ou l'appartenance à un groupe. Le DAC, Dynamic Access Control, contrôle d'accès dynamique, est une solution de gouvernance de données ou plus simplement un ensemble de fonctionnalités nous permettant d'organiser, gérer, distribuer et sécuriser les dossiers et les fichiers au sein de notre infrastructure. L'enjeu principal du DAC est de pouvoir gérer le cycle de vie et l'intégrité de l'information au sein d'une organisation et de répondre surtout plus finement aux besoins métier en termes d'autorisation d'accès, ce que ne permet pas toujours NTFS. Avec le Dynamic Access Control, on retrouve les quatre principaux points d'une solution de gouvernance de données. Le premier, l'identification. Donc, à l'aide de la classification des données de manière automatique ou manuelle, grâce au gestionnaire de ressources du serveur de fichiers, la gestion et la distribution de points en définissant des stratégies d'accès centralisé au niveau de l'entreprise et non plus serveur par serveur, ou ressource par ressource, et en provisionnant automatiquement les accès sur les serveurs concernés. Enfin, quatrième point. Donc, la sécurisation, en améliorant la pertinence également, des entrées des journaux d'audit et en permettant également le chiffrement automatique des données sensibles de l'entreprise. Le contrôle d'accès dynamique fournit donc un contrôle d'accès non plus seulement basé sur des autorisations NTFS, mais également basé sur des expressions qui peuvent inclure des groupes de sécurités, des revendications, c'est-à-dire des propriétés propres à l'utilisateur, par exemple, ou à la machine qu'il utilise, des propriétés liées à la ressource, des propriétés de classification, celles que l'on retrouve plus classiquement dans le gestionnaire de ressources du serveur de fichiers de Windows. Donc, le DAC utilise une surcouche des listes de contrôle d'accès NTFS, on est bien au-dessus de la couche ACE, Access Control Entry, dans ma liste ACL, ensuite le DAC va donc récupérer et utiliser des stratégies d'accès centralisé qui sont stockées dans l'annuaire Active Directory. Et associées à ça, on va mettre en place des expressions conditionnelles, qui en fonction de ses expressions vont accorder ou pas l'accès à un utilisateur sur une ressource, donc un fichier ou un dossier. Donc, le contrôle d'accès dynamique permet de mettre en place ces expressions. Par exemple, dans les Conditions et autorisations, si l'utilisateur habite dans la Ville de Paris, ça veut dire qu'il va falloir extraire cette revendication, cette propriété au niveau de l'utilisateur, donc la ville dans laquelle il habite et que sa machine, sur laquelle il a ouvert une session et tente d'accéder à la ressource, appartient au domaine et que le fichier auquel il tente d'accéder est classifié comme étant de l'agence, d'une propriété particulière qui donnerait le nom de son agence, l'agence parisienne, eh bien, il aura un accès en modification. Donc, n'importe quel utilisateur qui tenterait d'accéder à ce fichier, ici, qui ne répondrait pas à cette condition n'aurait pas d'accès du tout à la ressource, donc au fichier. Pour mettre en place le contrôle d'accès dynamique, pour qu'il puisse fonctionner correctement, cela nécessite quelques technologies, donc il y a des prérequis pour la mise en place du DAC. L'implantation nécessite, à minima, comme c'est une fonctionnalité qui est arrivée avec Windows serveur 2012 de Microsoft, il vous faudra au moins un contrôleur de domaines Windows serveur 2012. Attention, un contrôleur de domaines, pas besoin par contre de toucher au niveau fonctionnel de domaine ou de forêt, il faut qu'il y ait au moins un contrôleur de domaines dans votre infrastructure qui soit un contrôleur de domaines Windows serveur 2012, puisque justement la gestion du DAC se fait via les serveurs 2012. Ensuite, au moins un serveur de fichiers Windows 2012, puisque seuls les serveurs de fichiers Windows 2012, à minima, sont capables de récupérer les stratégies du contrôle d'accès dynamique. Ensuite des clients qui vont être capables de supporter cet accès conditionnel, donc des ordinateurs clients qui vont prendre en charge les fonctionnalités du contrôle d'accès dynamique, soit utilisateur ou par périphérique également. Pour ça, on a des clients Windows 7, à minima, les clients Windows 8 également, et aujourd'hui Windows 10, bien sûr. Si vous souhaitez épuiser les informations qui sont liées aux périphériques, donc aux machines, il faudra, à minima, Windows 8. Windows 7 ne supporte pas l'extraction des données en fait liées aux périphériques. C'est la seule restriction. Donc, ces informations qu'on va extraire qui proviennent, soit de l'utilisateur lui-même, soit de son système, eh bien, ces informations, c'est ce que l'on appelle les revendications, donc ce sont des claims. Le contrôle d'accès dynamique, pour fonctionner correctement, nécessite également toute une infrastructure, bien sûr. La première c'est que Kerberos soit activé puisque on va utiliser des données qui vont être stockées dans le jeton Kerberos. Par défaut, sur les domaines d'Active Directory, Kerberos est activé, donc en théorie, même si c'est un prérequis, par défaut on est bon. Donc, les informations qui vont se trouver à l'intérieur de ce ticket, on va récupérer ces données, un annuaire d'entreprise, comme Active Directory, déclassification de fichiers, si vous désirez utiliser des expressions conditionnelles prenant en compte les classifications de fichiers. Et enfin l'activation de certaines options d'audit qui par défaut ne sont pas activées bien sûr au niveau du domaine Active Directory. Et optionnellement, la technologie de type RMS, Right Managament Service, qui va permettre de chiffrer le contenu des fichiers grâce aux règles de classification du gestionnaire de ressources de fichiers que l'on a vu précédemment. Voilà pour cette partie prérequis et présentation du DAC et à quoi ça sert, et maintenant dans la vidéo suivante, je vous propose de voir un petit peu plus en détail, les revendications, donc les claims que l'on va pouvoir extraire à partir de l'annuaire, soit pour l'utilisateur, soit pour la machine sur laquelle il a ouvert une session et depuis laquelle il tente d'accéder à une ressource.

Les fondements des réseaux : Le contrôle d’accès dynamique

Apprenez à mettre en place le contrôle d’accès dynamique dans vos infrastructures Windows. Sécurisez ainsi l’accès à vos données avec le DAC (Dynamic Access Control).

1h39 (18 vidéos)
Aucun commentaire n´est disponible actuellement
 
Spécial abonnés
Date de parution :22 mars 2016

Votre formation est disponible en ligne avec option de téléchargement. Bonne nouvelle : vous ne devez pas choisir entre les deux. Dès que vous achetez une formation, vous disposez des deux options de consultation !

Le téléchargement vous permet de consulter la formation hors ligne et offre une interface plus conviviale. Si vous travaillez sur différents ordinateurs ou que vous ne voulez pas regarder la formation en une seule fois, connectez-vous sur cette page pour consulter en ligne les vidéos de la formation. Nous vous souhaitons un excellent apprentissage avec cette formation vidéo.

N'hésitez pas à nous contacter si vous avez des questions !