Dynamic Access Control
Windows 8: Verschlüsselung individuell anpassen
Wer Windows Server 2012 und das neue Microsoft-Betriebssystem Windows 8 einsetzt, kann ein wesentliches Problem der IT-Sicherheit lösen: die unzureichende Umsetzung der Verschlüsselung.
In vielen Unternehmen mangelt es daran, die Verschlüsselung an den tatsächlichen Schutzbedarf der Dateien anzupassen. Zumeist gibt es zwei Möglichkeiten: alles verschlüsseln, was einen enormen Aufwand bedeutet - oder einzeln verschlüsseln, was garantiert einige sensible Dateien aus Versehen außen vor lässt.
Mit Dynamic Access Control ist es bei Windows-8-Geräten nun möglich, genau die Dateien automatisch zu verschlüsseln, die zum aktuellen Zeitpunkt und in der aktuellen IT-Umgebung tatsächlich geschützt werden müssen. Dadurch verringert sich der Aufwand beträchtlich.
Zugriff erlaubt mit Wenn und Aber
Dynamic Access Control (DAC), die dynamische Zugriffssteuerung, geht über die herkömmliche Zugriffskontrolle auf Basis von Nutzer- und Gruppenberechtigungen, Verzeichnissen und Dateien hinaus. Basis für die DAC-Zugriffsberechtigung ist die Klassifizierung der in einer Datei enthaltenen Informationen.
Dateien erhalten bestimmte Klassifizierungseigenschaften (Tags), wie zum Beispiel "personenbezogene Daten", "nur für Projekt XY" oder "nur für den internen Gebrauch". Die Klassifizierung (Tagging) wird den Dateien in Form von Metadaten mitgegeben und kann so selbst dann als Grundlage der Zugriffsberechtigung genutzt werden, wenn die Datei beispielsweise per E-Mail verschickt wurde.
Zentrale Regeln für einzelne Dateien
Die genaue Zugriffsregelung für Dateien mit bestimmten Tags wird in CAPs (Central Access Policies) definiert, die unternehmensweit oder nur für einzelne Bereiche (Active Directory Attribut Department) gültig sein können. Die CAPs ergänzen die bereits vorhandenen Datei- und Verzeichnisberechtigungen. Wenn ein Nutzer zum Beispiel die Berechtigung hat, Dateien aus einem bestimmten Verzeichnis zu öffnen, eine CAP dem aber widerspricht, wird kein Zugriff erteilt.
So könnte ein Vertriebsmitarbeiter zum Beispiel generell das Recht haben, Excel-Listen im Vertriebsverzeichnis zu öffnen - nicht aber, wenn in den Excel-Listen die Kreditkarteninformationen der Kunden enthalten sind.
Ein anderes Beispiel: Eine Excel-Datei mit Kundenlisten könnte so geschützt werden, dass die Datei nur von einem Nutzer aus dem Vertrieb mit einem sicheren und dafür zugelassenen Gerät geöffnet werden kann. Will der an sich berechtigte Nutzer die Excel-Datei auf dem Computer im Home-Office öffnen, wird der Zugriff verweigert, da die Kundendaten nur auf zugelassenen Geräten zugänglich sein dürfen.
- QuestSoftware Security Explorer: DAC-Claims
Mit Dynamic Access Control können Dateien die Informationen über Zugriffsberechtigungen in Form von Metadaten mitgegeben werden (hier zu sehen im Active Directory Administrative Center innerhalb des Security Explorers von Quest Software). Wenn zum Beispiel nur ein Nutzer, der sich in einem bestimmten Land aufhält, die Datei öffnen darf, kann dies über einen entsprechenden Tag in der Datei vermerkt werden. Für den Dateizugriff muss der Nutzer dann über seine Anmeldung nachweisen, dass er die Bedingung erfüllt. - QuestSoftware Security Explorer: DAC-Bedingungen
Die Bedingungen, die für die Zugriffsberechtigung bei Dynamic Access Control erfüllt sein müssen, lassen sich zum Beispiel im Security Explorer von Quest Software einzeln definieren. - Dataglobal dg classification 2.0
Die Klassifizierung von Dateien, die bei den Zugriffsversuchen geprüft und entsprechend der Zugriffsregeln ausgewertet wird, kann mit Werkzeugen wie dg classification 2.0 von dataglobal vereinfacht werden. So lassen sich Regeln anhand von Musterdokumenten leichter entwickeln. - Microsoft File Classification
Auf Windows-8-Geräten können Dateien vom Nutzer im Rahmen zentraler Vorgaben klassifiziert werden, zum Beispiel als Datei, die personenbezogene Daten enthält. - Dateien öffnen
Versucht ein Nutzer, eine klassifizierte Datei zu öffnen, muss er zuerst seine Berechtigung anhand seiner Anmeldeinformationen nachweisen. - Unterstützung von AD RMS
Dynamic Access Control unterstützt als Zugriffsschutz auch die automatische Verschlüsselung über Active Directory Rights Management Services (AD RMS). - Abhängig von der Klassifizierung
Die automatische Verschlüsselung kann von der Klassifizierung der Datei abhängig gemacht werden, zum Beispiel von dem Vorhandensein personenbezogener Daten in der Datei.