Controle de Acesso Dinâmico: Visão geral do cenário

  • Artigo

Aplica-se a: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2 e Windows Server 2012

No Windows Server 2012, você pode aplicar governança de dados nos servidores de arquivos para controlar quem pode ter acesso às informações e auditar quem acessou as informações. O Controle de Acesso Dinâmico permite:

  • Identificar dados usando classificação automática e manual dos arquivos. Por exemplo, você pode marcar os dados nos servidores de arquivos em toda a organização.

  • Controlar o acesso a arquivos aplicando políticas de rede de segurança que usam políticas de acesso central. Por exemplo, é possível definir quem pode acessar informações sobre saúde na organização.

  • Auditar o acesso aos arquivos usando políticas de auditoria central para relatórios de conformidade e análise forense. Por exemplo, é possível identificar quem acessou informações altamente confidenciais.

  • Aplicar proteção RMS (Rights Management Services) usando criptografia RMS automática para documentos confidenciais do Microsoft Office. Por exemplo, é possível configurar o RMS para criptografar todos os documentos que contêm informações da lei norte-americana HIPAA (Health Insurance Portability and Accountability Act).

O conjunto de recursos de Controle de Acesso Dinâmico se baseia nos investimentos de infraestrutura que podem ser usados também por parceiros e aplicativos de linha de negócios, e os recursos podem proporcionar excelente valor para organizações que usam o Active Directory. Essa infraestrutura inclui:

  • Um novo mecanismo de autorização e auditoria para o Windows que pode processar expressões condicionais e políticas centrais.

  • Suporte à autenticação Kerberos para declarações de usuário e de dispositivo.

  • Melhorias na FCI (Infraestrutura de Classificação de Arquivos).

  • Suporte à extensibilidade RMS para que os parceiros possam fornecer soluções que criptografam arquivos que não são da Microsoft.

Neste cenário

Os seguintes cenários e diretrizes estão incluídos como parte desse conjunto de recursos:

Mapa de conteúdo do Controle de Acesso Dinâmico

Cenário Avaliar Plano Implantar Operar
Cenário: política de acesso central

A criação de políticas de acesso central para arquivos permite que as organizações implantem e gerenciem de maneira centralizada políticas de autorização que incluem expressões condicionais usando declarações de usuário, declarações de dispositivo e propriedades de recursos. Essas políticas se baseiam em requisitos regulamentares de conformidade e negócios. Elas são criadas e hospedadas no Active Directory, facilitando assim o gerenciamento e a implantação.

Implantando declarações em florestas

No Windows Server 2012, o AD DS mantém um 'dicionário de declarações' em cada floresta e todos os tipos de declaração em uso na floresta são definidos no nível da floresta do Active Directory. Há muitos cenários em que uma entidade pode precisar atravessar os limites de uma relação de confiança. Esse cenário descreve como uma declaração atravessa os limites de uma relação de confiança.

 Controle de acesso dinâmico: visão geral do cenário

Implantar declarações em florestas

 Planejar: uma implantação de política de acesso central

- Processo para mapear uma solicitação de negócios para uma política de acesso central
- Delegação de administração para Controle de Acesso Dinâmico
- Mecanismos de exceção para planejar políticas de acesso central

Práticas recomendadas para utilizar declarações de usuário

- Escolher a configuração certa para habilitar as declarações no domínio de usuário
- Operações para habilitar declarações de usuário
- Considerações para usar declarações de usuário nas ACLs discricionário de servidor de arquivos sem usar políticas de acesso central

Usando declarações de dispositivo e grupos de segurança de dispositivo

- Considerações para usar declarações de dispositivo estáticas
- Operações para habilitar as declarações de dispositivo

Ferramentas para implantação

-

Implantar uma política de acesso central (passo a passo)

Implantar declarações em florestas (etapas de demonstração)

 – Modelar uma política de acesso central
Cenário: auditoria de acesso a arquivos

A auditoria de segurança é uma das ferramentas mais avançadas para ajudar a manter a segurança de uma empresa. Uma das metas principais das auditorias de segurança é a conformidade regulatória. Por exemplo, os padrões do setor como Sarbanes Oxley, HIPAA e Payment Card Industry (PCI) exigem que as empresas sigam um conjunto restrito de regras relacionadas à segurança e privacidade de dados. As auditorias de segurança ajudam a estabelecer a presença ou ausência de tais políticas e comprovam a conformidade ou não conformidade com esses padrões. Além disso, elas ajudam a detectar comportamentos anormais, identificar e eliminar lacunas na política de segurança e impedir comportamentos irresponsáveis por meio da criação de um registro de atividades do usuário, que pode ser usado para análises periciais.

 Cenário: auditoria de acesso a arquivos Planejar a auditoria de acesso a arquivos Implantar a auditoria de segurança com as políticas de auditoria central (etapas de demonstração) - Monitorar as políticas de acesso central que se aplicam em um servidor de arquivos
- Monitorar as políticas de auditoria central associadas a arquivos e pastas
- Monitorar os atributos de recursos em arquivos e pastas
- Monitorar tipos de declaração
- Monitorar declarações de usuário e dispositivo durante o logon
- Monitorar definições de regras e políticas de acesso central
- Monitorar definições de atributos de recursos
- Monitorar o uso de dispositivos de armazenamento removível.
Cenário: assistência para acesso negado

Atualmente, quando os usuários tentam acessar um arquivo remoto no servidor de arquivos, a única indicação obtida é que o acesso é negado. Isso gera solicitações a administradores de assistência técnica ou TI que precisam imaginar qual é o problema, e normalmente os administradores passam muito tempo obtendo o contexto apropriado junto aos usuários, o que dificulta a resolução do problema.
No Windows Server 2012, a meta é tentar ajudar o operador de informações e proprietários dos negócios de dados a lidar com o problema de acesso negado antes que a TI se envolva e, quando a TI se envolver, fornecer todas as informações adequadas para uma rápida resolução. Um dos desafios para cumprir essa meta é que não há um método principal para tratar o acesso negado e cada aplicativo lida com isso de maneiras diferentes. Por conta disso, no Windows Server 2012, uma das metas é melhorar a experiência para acesso negado no Windows Explorer.

 Cenário: assistência para acesso negado Planejar-se para assistência para acesso negado

- Determinar o modelo de assistência para acesso negado
- Determinar quem deve tratar solicitações de acesso
- Personalizar a mensagem de assistência para acesso negado
- Plano para exceções
- Determinar como a assistência para acesso negado é implantada

 Implantar assistência para acesso negado (passo a passo)
Cenário: criptografia baseada em classificação para documentos do Office

A proteção de informações confidenciais se refere principalmente à minimização dos riscos para a organização. Várias regulamentações de conformidade, como HIPAA ou PCI-DSS (Payment Card Industry Data Security Standard), ditam a criptografia das informações, e há inúmeros motivos dos negócios para criptografar as informações confidenciais. Entretanto, criptografar as informações é caro e pode prejudicar a produtividade dos negócios. Assim, as organizações tendem a adotar diferentes abordagens e prioridades para criptografar suas informações.
Para dar suporte a esse cenário, o Windows Server 2012 oferece a capacidade de criptografar automaticamente os arquivos confidenciais do Windows Office com base na classificação deles. Isso é feito através de tarefas de gerenciamento que invocam a proteção AD RMS (Servidor de Gerenciamento de Direitos do Active Directory) para documentos confidenciais alguns segundos depois que um arquivo é identificado como confidencial no servidor de arquivos.

 Cenário: criptografia baseada em classificação para documentos do Office Planejar a implantação para criptografia de documentos baseada em classificação Implantar criptografia de arquivos do Office (passo a passo)
Cenário: aprofunde-se em seus dados por meio da classificação

A dependência de recursos de dados e armazenamento continua a crescer em importância na maioria das organizações. Os administradores de TI enfrentam o desafio crescente de supervisionar infraestruturas de armazenamento cada vez maiores e mais complexas, ao mesmo tempo recebendo a responsabilidade de garantir que o custo total de propriedade seja mantido em níveis razoáveis. O gerenciamento dos recursos de armazenamento não se refere mais apenas ao volume ou à disponibilidade dos dados, mas também à aplicação de políticas da empresa e ao conhecimento de como o armazenamento é consumido para permitir eficiente utilização e conformidade para minimizar os riscos. A Infraestrutura de Classificação de Dados oferece um panorama dos dados automatizando os processos de classificação para você poder gerenciar os dados com mais eficácia. Os seguintes métodos de classificação estão disponíveis com a Infraestrutura de Classificação de Dados: manual, modo de programação e automático. Este cenário se concentra no método de classificação de arquivos automático.

 Cenário: aprofunde-se em seus dados por meio da classificação Planejar-se para a classificação automática de arquivos Implantar classificação automática de arquivos (passo a passo)
Cenário: implementar a retenção de informações em servidores de arquivos

Um período de retenção é o tempo durante o qual um documento deve ser mantido antes de expirar. Dependendo da organização, o período de retenção pode ser diferente. Você pode classificar arquivos em uma pasta com períodos de retenção de curto, médio e longo prazo e atribuir o cronograma para cada período. Talvez queira manter um arquivo indefinidamente colocando-o em bloqueio legal.
A Infraestrutura de Classificação de Arquivos e o Gerenciador de Recursos de Servidor de Arquivos usam tarefas de gerenciamento de arquivos e classificação de arquivos para aplicar períodos de retenção para um conjunto de arquivos. Você pode atribuir um período de retenção em uma pasta e usar uma tarefa de gerenciamento de arquivos para configurar o tempo de duração de um período de retenção atribuído. Quando os arquivos da pasta estão prestes a expirar, o proprietário do arquivo recebe um email de notificação. Você também pode classificar um arquivo como estando em bloqueio legal para que a tarefa de gerenciamento de arquivos não faça o arquivo expirar.

 Cenário: implementar a retenção de informações em servidores de arquivos Planejar-se para a Retenção de informações em servidores de arquivos Implantar a retenção de informações em servidores de arquivos (Etapas de Demonstração)

Observação

O Controle de Acesso Dinâmico não tem suporte no ReFS (Sistema de Arquivos Resilientes).

Confira também

Tipo de conteúdo Referências
Avaliação do produto - Guia para Revisores do Controle de Acesso Dinâmico
- Diretrizes para Desenvolvedores do Controle de Acesso Dinâmico
Planejamento - Planejar uma implantação de política de acesso central
- Planejar a auditoria de acesso a arquivos
Implantação - Implantação do Active Directory
- Implantação dos Serviços de Arquivo e Armazenamento
Operações Referência do PowerShell do Controle de Acesso Dinâmico

|Recursos da comunidade|Fórum dos Serviços de Diretório|