Compartilhar via


Descrição geral do controlo de acesso

Este artigo descreve o controlo de acesso no Windows, que é o processo de autorizar utilizadores, grupos e computadores a aceder a objetos na rede ou no computador. Os principais conceitos que compõem o controlo de acesso são:

  • permissões
  • propriedade de objetos
  • herança de permissões
  • direitos de utilizador
  • auditoria de objetos

Os computadores com uma versão suportada do Windows podem controlar a utilização de recursos de sistema e de rede através dos mecanismos interligados de autenticação e autorização. Após a autenticação de um utilizador, o sistema operativo Windows utiliza tecnologias de autorização e controlo de acesso incorporadas para implementar a segunda fase de proteção de recursos: determinar se um utilizador autenticado tem as permissões corretas para aceder a um recurso.

Os recursos partilhados estão disponíveis para utilizadores e grupos que não sejam o proprietário do recurso e precisam de ser protegidos contra utilização não autorizada. No modelo de controlo de acesso, os utilizadores e grupos (também conhecidos como principais de segurança) são representados por identificadores de segurança exclusivos (SIDs). São-lhes atribuídos direitos e permissões que informam o sistema operativo sobre o que cada utilizador e grupo podem fazer. Cada recurso tem um proprietário que concede permissões a principais de segurança. Durante o controlo de acesso marcar, estas permissões são examinadas para determinar quais os principais de segurança que podem aceder ao recurso e como podem aceder ao mesmo.

Os principais de segurança efetuam ações (que incluem leitura, escrita, modificação ou controlo total) em objetos. Os objetos incluem ficheiros, pastas, impressoras, chaves de registo e objetos Active Directory Domain Services (AD DS). Os recursos partilhados utilizam listas de controlo de acesso (ACLs) para atribuir permissões. Isto permite que os gestores de recursos imponham o controlo de acesso das seguintes formas:

  • Negar o acesso a utilizadores e grupos não autorizados
  • Definir limites bem definidos para o acesso fornecido a utilizadores e grupos autorizados

Geralmente, os proprietários de objetos concedem permissões a grupos de segurança e não a utilizadores individuais. Os utilizadores e computadores adicionados a grupos existentes assumem as permissões desse grupo. Se um objeto (como uma pasta) puder conter outros objetos (como subpastas e ficheiros), é denominado contentor. Numa hierarquia de objetos, a relação entre um contentor e o respetivo conteúdo é expressa ao referir-se ao contentor como o principal. Um objeto no contentor é referido como subordinado e o subordinado herda as definições de controlo de acesso do elemento principal. Os proprietários de objetos definem frequentemente permissões para objetos de contentor, em vez de objetos subordinados individuais, para facilitar a gestão do controlo de acesso.

Este conjunto de conteúdos contém:

Edição do Windows e requisitos de licenciamento

A tabela seguinte lista as edições do Windows que suportam Controle de Acesso (ACL/SACL):

Windows Pro Windows Enterprise Windows Pro Education/SE Windows Education
Sim Sim Sim Sim

Controle de Acesso (ACL/SACL) os direitos de licença são concedidos pelas seguintes licenças:

Windows Pro/Pro Education/SE Windows Enterprise E3 Windows Enterprise E5 Windows Education A3 Windows Education A5
Sim Sim Sim Sim Sim

Para obter mais informações sobre o licenciamento do Windows, consulte Visão geral do licenciamento do Windows.

Aplicações práticas

Os administradores que utilizam a versão suportada do Windows podem refinar a aplicação e a gestão do controlo de acesso a objetos e assuntos para fornecer a seguinte segurança:

  • Proteger um maior número e uma variedade de recursos de rede contra utilização indevida
  • Aprovisionar os utilizadores para acederem aos recursos de uma forma consistente com as políticas organizacionais e os requisitos das respetivas tarefas
  • Permitir que os utilizadores acedam a recursos de vários dispositivos em várias localizações
  • Atualizar a capacidade dos utilizadores de acederem aos recursos regularmente à medida que as políticas de uma organização mudam ou à medida que as tarefas dos utilizadores mudam
  • Contabilize um número crescente de cenários de utilização (como o acesso a partir de localizações remotas ou a partir de uma variedade de dispositivos em rápida expansão, como tablets e telemóveis)
  • Identificar e resolve problemas de acesso quando os utilizadores legítimos não conseguem aceder aos recursos de que precisam para realizar as suas tarefas

Permissões

As permissões definem o tipo de acesso concedido a um utilizador ou grupo para uma propriedade de objeto ou objeto. Por exemplo, o grupo Finanças pode receber permissões de Leitura e Escrita para um ficheiro com o nome Payroll.dat.

Ao utilizar a interface de utilizador do controlo de acesso, pode definir permissões NTFS para objetos como ficheiros, objetos do Active Directory, objetos de registo ou objetos do sistema, como processos. As permissões podem ser concedidas a qualquer utilizador, grupo ou computador. É uma boa prática atribuir permissões a grupos porque melhora o desempenho do sistema ao verificar o acesso a um objeto.

Para qualquer objeto, pode conceder permissões para:

  • Grupos, utilizadores e outros objetos com identificadores de segurança no domínio.
  • Grupos e utilizadores nesse domínio e quaisquer domínios fidedignos.
  • Grupos locais e utilizadores no computador onde o objeto reside.

As permissões anexadas a um objeto dependem do tipo de objeto. Por exemplo, as permissões que podem ser anexadas a um ficheiro são diferentes das que podem ser anexadas a uma chave de registo. No entanto, algumas permissões são comuns à maioria dos tipos de objetos. Estas permissões comuns são:

  • Leitura
  • Modificar
  • Alterar proprietário
  • Excluir

Quando define permissões, especifica o nível de acesso para grupos e utilizadores. Por exemplo, pode permitir que um utilizador leia os conteúdos de um ficheiro, permita que outro utilizador faça alterações ao ficheiro e impeça que todos os outros utilizadores acedam ao ficheiro. Pode definir permissões semelhantes em impressoras para que determinados utilizadores possam configurar a impressora e outros utilizadores apenas possam imprimir.

Quando precisar de alterar as permissões num ficheiro, pode executar o Windows Explorer, clicar com o botão direito do rato no nome do ficheiro e selecionar Propriedades. No separador Segurança , pode alterar as permissões no ficheiro. Para obter mais informações, veja Gerir Permissões.

Observação

Outro tipo de permissões, denominadas permissões de partilha, é definido no separador Partilha da página Propriedades de uma pasta ou através do Assistente de Pastas Partilhadas. Para obter mais informações, veja Permissões de Partilha e NTFS num Servidor de Ficheiros.

Propriedade de objetos

Um proprietário é atribuído a um objeto quando esse objeto é criado. Por predefinição, o proprietário é o criador do objeto. Independentemente das permissões definidas num objeto, o proprietário do objeto pode sempre alterar as permissões. Para obter mais informações, veja Gerir a Propriedade do Objeto.

Herança de permissões

A herança permite que os administradores atribuam e giram permissões facilmente. Esta funcionalidade faz com que os objetos dentro de um contentor herdem todas as permissões herdáveis desse contentor. Por exemplo, os ficheiros numa pasta herdam as permissões da pasta. Apenas as permissões marcadas para serem herdadas são herdadas.

Direitos de utilizador

Os direitos de utilizador concedem privilégios específicos e direitos de início de sessão a utilizadores e grupos no seu ambiente de computação. Os administradores podem atribuir direitos específicos a contas de grupo ou a contas de utilizador individuais. Estes direitos autorizam os utilizadores a realizar ações específicas, como iniciar sessão num sistema interativamente ou criar cópias de segurança de ficheiros e diretórios.

Os direitos de utilizador são diferentes das permissões porque os direitos de utilizador se aplicam a contas de utilizador e as permissões estão associadas a objetos. Embora os direitos de utilizador possam ser aplicados a contas de utilizador individuais, os direitos de utilizador são melhor administrados numa base de conta de grupo. Não existe suporte na interface de utilizador do controlo de acesso para conceder direitos de utilizador. No entanto, a atribuição de direitos de utilizador pode ser administrada através das Definições de Segurança Local.

Para obter mais informações sobre os direitos de utilizador, consulte Atribuição de Direitos de Utilizador.

Auditoria de objetos

Com os direitos do administrador, pode auditar o acesso bem-sucedido ou falhado dos utilizadores aos objetos. Pode selecionar o acesso de objeto à auditoria através da interface de utilizador do controlo de acesso, mas primeiro tem de ativar a política de auditoria ao selecionar Auditar acesso a objetos em Políticas Locais nas Definições de Segurança Local. Em seguida, pode ver estes eventos relacionados com a segurança no Registo de segurança no Visualizador de Eventos.

Para obter mais informações sobre a auditoria, veja Descrição Geral da Auditoria de Segurança.

Consulte também

Para obter mais informações sobre o controlo de acesso e autorização, veja Descrição Geral da Autorização e Controle de Acesso.