动态访问控制（分类） - Windows Server 2012 技术白皮书

到现在为止，文件安全控制在文件和文件夹级别。用户日常管理着文件安全，IT 专业人士拥有的控制权很少。然而在所有 Windows Server 2012 文件服务器上，通过使用动态访问控制，您可以在域级别建立和实施安全策略，不管用户的操作，强制限制对敏感文件的访问。例如，如果一个开发工程师意外地将机密文件发布到一个公开的共享文件夹中，这些文件依然受到保护，防止未经授权用户的访问。

此外，安全审计功能也比以往更加强大，并且审计工具使得常见标准的合规更易证明，如访问 HBI （卫生和生物医学信息）的信息标准，定期监控。

Windows Server 2012 提供了以下新的和增强的方式，控制您的文件访问，为授权用户提供所需资源。下文将详细介绍这些功能。

• 分类。使用改进的文件分类基础架构，自动和手动实现文件分类。通过几种不同的方式，可以对组织中文件服务器上的文件，手动或是自动的应用标签。
• 控制。通过集中访问控制实现信息治理。通过应用名为中央访问策略（CAPs）的安全网络策略，可以控制机密文件的访问。CAPs 是 Active Directory 的一个新功能，使您能够定义非常详尽的要求，在授予访问机密文件时，强制执行这些要求。例如，通过定义用户的雇佣关系，全职或是承包商，访问方式，受管理的计算机或是访客等等，您可以决定哪些用户可以访问组织内包含健康信息的文件。你甚至可以要求使用智能卡提供双因素认证。当用户访问文件或是共享有问题时，中央访问控制还提供了自动化辅助修复访问拒绝的能力。
• 审计。法规分析和遵从的文件访问审计。通过使用中央审计策略，您可以审计对于文件的访问，例如，验证谁己经或试图获得高度敏感文件的访问权限。
• 保护。基于分类的加密。你可以通过应用权限管理服务（RMS），使用 RMS 加密敏感的 Microsoft Office文档，实现自动保护。例如，您可以配置 DAC 自动应用 RMS 保护所有包含HIPAA信息的文件。此功能需要用到企业中现有的RMS环境。

DAC是建立在以下的技术：

• 一个新的可以处理条件表达式和中央策略的 Windows 授权和审计的引擎。
• 支持 Active Directory 域服务中用户声明和设备声明的 Kerberos。
• 文件分类基础架构（FCI）的改进。
• RMS可扩展性的支持，使合作伙伴可以提供解决方案，加密第三方文件。

你可以使用 DAC API 扩展这些技术，并创建自定义的分类工具，审计软件等。

分类

建立安全文件访问策略的第一步是标识文件，然后通过文件包含的信息应用标签来分组文件。在 Windows Server 2012中 ，将通过以下四种方式之一为文件应用标签：

• 基于位置。当一个文件存储在文件服务器上，它继承来自于父文件夹的标签。文件夹的标签由文件夹所有者指定。
• 手动。通过 Windows 8 的文件浏览器接口或数据访问程序，用户和管理员可以为文件手动应用标签。
• 自动。 依据文件的内容，Windows Server 2012 能够自动的为文件应用标签。为大量文件应用标签时，这种方式是非常有效的。
• 通过应用程序的 API。应用程序可以对它管理的文件调用 APIs 来应用标签 。例如，可以通过业务软件或是数据管理软件，将信息保存在文件服务器上并应用标签。