Implementación de Dynamic Access Control.

En este post empezaremos con la explicación de este Rol debemos saber que Dynamic Access Control  es una característica que se introduce en Windows Server 2012 y tiene como objetivo optimizar el control de acceso a recursos como archivos o carpetas.

El DAC permite:

  • Identificar los datos mediante la clasificación automática y manual de archivos.
  • Controlar el acceso a los archivos mediante directivas de red de seguridad que utilicen directivas de acceso central.
  • Aplicar la protección RMS para documentos de tipo confidencial.

También debemos hacer como se forma la infraestructura del DAC:

  • Un nuevo motor de autorización y auditoría para Windows que puede procesar expresiones condicionales y directivas centrales.
  • Compatibilidad con la autenticación Kerberos (KDC) desde la consola de Group Policy Management.
  • Mejora en la infraestructura de clasificación de archivos.
  • Compatibilidad con la extensibilidad RMS para que los asociados puedan proporcionar soluciones para cifrar archivos que no sean de Microsoft.

Aquí tenemos una de las imágenes para la activación de la GPO de la autenticación de soportes de claims vía Kerberos. Dynamic Access Control comienza a implementarse desde Windows Server 2008 R2.

La ventaja principal de DAC es el acceso de manera centralizada a los archivos sin tener  que tener varias aplicaciones para saber quién puede tener acceso o quien accede de forma directa a los archivos.

Otra de las ventajas es que las organizaciones pueden definir directivas centrales de acceso y auditoría en Active Directory y usarlas para controlar quién puede acceder a la información y realizar un seguimiento de quién accedió a la información almacenada en los servidores de archivos.

Una cosa que también debemos hablar y saber que son los claims.

Los claims son cualquier atributo de un usuario un grupo o un equipo (cualquier security principal) puede ser utilizado para controlar el acceso. Algunos ejemplos de claims: Departamento, puesto que ocupa, localización, número de despacho, número de teléfono…Un claim es cualquier elemento de autenticación que se va a utilizar para crear el TGT (Ticket Granting Ticket). Para esto necesitamos Kerberos V5 o superior.

DAC permite a parte de los claims permite utilizar a los administradores otros elementos:

  • Resource Properties: el control de acceso también puede basarse en propiedades de la carpeta o el archivo (confidencial, departamento, top secret, …)
  • Expresiones condicionales Por ejemplo, permitir el acceso a un archivo si:
  • Es confidencial=No
  • O es confidencial=Yes y el usuario es jefe de departamento.
  • Políticas: usando políticas podremos definir propiedades que se van a distribuir en todo el AD y políticas de control de acceso.

Aplicando estas políticas podemos definir 2 tipos de permisos:

  • Current Permissions: Bloquean el acceso a quien no está autorizado a utilizar un recurso.
  • Proposed Permissions: no bloquean el acceso, pero pueden ser útiles para auditorias porque generan eventos en el log.

Autor: Borja García Sánchez.

Curso: Microsoft MCSE Private Cloud.

Centro: Tajamar.

Año académico: 2015-2016.