The Information Systems and Computer Applications examination covers material that is usually taught in an introductory college-level business information systems course.

Control de Acceso Dinámico (DAC) – Parte 1 from Windows Técnico by José Miguel

Dynamic Access Control (DAC) es una característica completamente nueva de Windows Server 2012. DAC permite a los administradores de Windows personalizar la autorización para acceder a los recursos de los servidores aplicando lógica condicional en base a peticiones de los usuarios/dispositivos y etiquetas de metadatos. En el primer post de esta serie de cinco se tratará de ofrecer una visión general de la DAC.

Antes de la llegada de Windows Server 2012, los administradores de sistemas Windows se basaban únicamente en la utilización de carpetas compartidas restringiendo a través de los permisos NTFS para asegurar los recursos del servidor de archivos. Incluso con la presencia de las mejores prácticas de control de acceso AGDLP, este esquema de seguridad carece de flexibilidad.

Dynamic Access Control (DAC) es una característica completamente nueva en Windows Server 2012 que recurre a las peticiones y propiedades de los recursos para permitir a los administradores de dominio estables reglas de autorización basadas en condiciones lógicas.

Un pequeño ejemplo

Considere este escenario ficticio pero al mismo tiempo completamente válido:

El departamento IT de la compañía está sujeto a varias regulaciones del gobierno e industria que requieren llevar un seguimiento del control de acceso a los recursos del servidor de archivos de la forma más clara posible.

Por ejemplo, tiene un servidor de archivos al que le ha asignado el nombre de XERXES que aloja una carpeta compartida llamada Documentos_Corporativos. Los archivos confidenciales de esa carpeta deben ser accesible exclusivamente por los empleados del campus de Nashville que poseen control  de seguridad de nivel 1 y tienen acceso a los archivos desde los ordenadores localizados en Nashville.

¿Se te ocurre alguna forma de conseguir este objetivo recurriendo exclusivamente al uso de carpetas compartidas y restricciones a través de permisos NTFS? La respuesta es corta, no se puede: los métodos tradiciones de acceso en Windows no son lo suficiente flexibles.

La buena noticia es que el CAD ha sido diseñado para hacer frente precisamente a situaciones con esta. Incluso se pueden aprovechas las características de auditoría  avanzada integradas en Windows Server 2012 para rastrear el acceso a en función de las necesidades derivadas de los requisitos a cumplir.

A continuación se muestra cómo funciona realmente.

Un vistazo rápido al funcionamiento del DAC

DAC opera en base a las peticiones de los usuarios/dispositivos y las propiedades de los recursos. Las notificaciones son atributos de usuario o equipo basados bien sobre el esquema de atributos del Directorio Activo, y las extensiones a un usuario o bien sobre token de seguridad Kerberos del equipo. Una nueva tecnología denominada Kerberos Armoring es la responsable de las extensiones de los tokens de las cuentas.

Así, a modo de ejemplo, se podría crear las siguientes peticiones del CAD:

·         Usuario: Ubicación

·         Usuario: Habilitación de seguridad

·         Equipo: ubicación

Si el esquema del Directorio Activo no contiene la propiedad que necesita, siempre podrá extender el esquema para acomodarlo a la nueva propiedad.

Desde el lado del servidor de archivos, se crean y despliegan las propiedades de recurso para añadir un significado semántico a las carpetas y archivos compartidos. Considere la propiedad del recurso como si de una etiqueta de metadatos se tratase, y esta a su vez es asociada a un usuario o propiedad del equipo.

En el ejemplo anterior, se podría definir una propiedad al recurso llamada Confidencialidad que admita los siguientes valores: Bajo, medio y Alto.  A partir de aquí se podrían clasificar las carpetas (así como los archivos de manera individual), marcando para cada uno su nivel de confidencialidad.

Desde el Servidor de Archivos de Windows Server 2012, se pueden clasificar automáticamente los recursos del servidor de archivos utilizando la consola del Gestor del Servidor de Recursos de Archivos (FSRM). Por ejemplo, puede programar un escaneado de las carpetas objetivo analizando el contenido de los archivos en buscado la presencia de alguna cadena del tipo “Documento Confidencial”. Los archivos descubiertos pueden ser etiquetados e incluso cifrados con el servicio de Gestión de Derechos del Directorio Activo (RMS).

clip_image002

Ilustración 1, Consola FRSM

Esta tarea puede hacerse desde PowerShell.

El tercer lado de la pirámide que forma el CAD es la Política de Acceso central (CAP). Una PAC consiste en un conjunto de reglas de acceso central (CAR) que definen el acceso a los recursos basados en instrucciones condicionales. Estos argumentos del tipo “si X entonces Y” hacen de vínculo efectivo entre las peticiones del usuario/dispositivo y las propiedades del recurso.

La implementación de los PAC en el dominio puede ser realizada mediante directivas de grupo.

Obviamente, la configuración del CAD requiere de varios pasos, además de lo que se ha definido aquí. A continuación se muestra un diagrama realizado en Visio con la intención de mostrar la relación entre las peticiones, las propiedades de los recursos y las políticas de acceso centrales.

clip_image004

Ilustración 2, esquema de DAC

 

¿Cómo configurar el control de acceso dinámico?

En los próximos post se va a presentar el procedimiento completo para la configuración del CAD, Sin embargo, a modo de resumen:

·         Instalación y configuración del servidor de archivos de Windows Server 2012.

·         Utilización del Centro de Administración del Directorio Activo (ADAC) para definir las peticiones, las propiedades de recursos, listas de recursos de propiedad, reglas de acceso central, y las propiedades de acceso centrales.

·         Utilización de PowerShell para implementar las lista de propiedades de los recursos.

·         Utilización de GPO para implementar las PAC.

·         Utilización de la clasificación manual o automática de los recursos del servidor de archivos, el uso de la consola de FSRM para realizar la clasificación automática.

clip_image006

Ilustración 3, Control Dinámico de acceso de configuración de página en ADAC

Conclusión

No cabe duda, el control de acceso dinámico es una auténtica joya. Sin importar la experiencia priva en administración de sistemas Windows, hay toda una curva de aprendizaje esperando ser recorrida para aprender esta nueva tecnología.

Si quieres conocer las novedades y secretos de la nueva versión del sistema operativo servidor de Microsoft te recomendamos Windows Server 2012 para IT Pros. Si quieres aprender mucho más sobre los secretos de los sistemas Microsoft Windows, te recomendamos leer el libro de Sergio de los Santos “Máxima Seguridad en Windows: Secretos Técnicos” .

 

Además  si te ha gustado el artículo puedes suscribirte al Canal RSS de Windows Técnico, o seguirnos por el  Canal Google+ de Windows Técnico o  Twitter para estar al día de las novedades e información técnica de interés.

clip_image008

 

Fuente: 4sysops.com

Comments are closed.