Descrição geral do controlo de acesso

 

Aplica-se a: Windows 7, Windows 8.1, Windows Server 2008 R2, Windows Server 2012 R2, Windows Server 2012, Windows 8

Este tópico profissionais de TI e descreve o controlo de acesso do Windows, que é o processo de autorização de utilizadores, grupos e computadores para aceder a objetos no computador ou rede. Conceitos chave que tornam o controlo de acesso são permissões, a propriedade dos objetos, herança de permissões, direitos de utilizador e a auditoria do objeto.

Descrição da funcionalidade

Computadores que executem uma versão suportada do Windows podem controlar a utilização de recursos de sistema e de rede através de interligadas mecanismos de autenticação e autorização. Depois de um utilizador seja autenticado, o sistema operativo Windows utiliza tecnologias de controlo de autorização e acesso incorporadas para implementar a segunda fase de recursos a proteger: determinar se um utilizador autenticado tem as permissões corretas para aceder a um recurso.

Recursos partilhados estão disponíveis para utilizadores e grupos que não seja o proprietário do recurso e que têm de ser protegidas a partir de utilização não autorizada. No modelo de controlo de acesso, os utilizadores e grupos (também referidos como entidades de segurança) são representados por identificadores exclusivos de segurança (SIDs). Estão atribuídos direitos e permissões que o informam o sistema operativo, o que cada utilizador e grupo fazer. Cada recurso tem um proprietário que concede permissões a principais de segurança. Durante a verificação de controlo de acesso, estas permissões são examinadas para determinar quais as entidades de segurança podem aceder ao recurso e como poderem aceder ao mesmo.

As entidades de segurança efetuar ações (que incluem leitura, escrita, modificar ou controlo total) em objetos. Os objetos incluem ficheiros, pastas, impressoras, chaves de registo e objetos de serviços de domínio do Active Directory (AD DS). Partilhado listas de controlo de acesso de utilização de recursos (ACLs) para atribuir permissões. Deste modo, gestores de recursos para impor o controlo de acesso da seguinte forma:

• Negar o acesso a utilizadores não autorizados e grupos

• Defina os limites definidas especificamente o acesso que é fornecido a utilizadores autorizados e grupos

Os proprietários de objeto geralmente conceder permissões aos grupos de segurança em vez da utilizadores individuais. Utilizadores e computadores que forem adicionados a grupos existentes assumem que as permissões desse grupo. Se um objeto (por exemplo, uma pasta) pode conter outros objetos (por exemplo, ficheiros e subpastas), é designado por um contentor. Numa hierarquia de objetos, a relação entre um contentor e o respetivo conteúdo é expressa através da referenciação a do contentor como principal. Um objeto no contentor é referido como o site subordinado e o subordinado herda as definições de controlo de acesso do elemento principal. Os proprietários de objeto, muitas vezes, definir permissões para objetos de contentor, em vez de objetos de subordinados individuais, para facilitar a gestão de controlo de acesso.

Este conjunto de conteúdos contém:

• Descrição Geral do Controlo de Acesso Dinâmico

• Descrição geral técnica de identificadores de segurança

• Descrição geral técnica de principais de segurança

  • Contas locais

  • Contas do Active Directory

  • Contas Microsoft

  • Contas de Serviço

  • Grupos de segurança do Active Directory

Aplicações práticas

Os administradores que utilizam a versão suportada do Windows podem limitar a aplicação e a gestão de controlo de acesso a objetos e assuntos para fornecer a segurança do seguinte:

• Proteger um número maior e uma variedade de recursos de rede a partir de uma utilização indevida.

• Aprovisionar utilizadores para aceder aos recursos de uma forma que seja consistente com as políticas organizacionais e os requisitos das respetivas tarefas.

• Permitir que os utilizadores acedam aos recursos a partir de uma variedade de dispositivos em várias localizações.

• Capacidade de atualizar utilizadores para aceder a recursos em intervalos regulares como as políticas de uma organização altere ou como as tarefas dos utilizadores.

• Conta de um número crescentes de cenários de utilização (por exemplo, o acesso a partir de localizações remotas ou de uma variedade de dispositivos, tal como computadores tablet e telemóveis rapidamente expansão).

• Identificar e resolver problemas de acesso quando os utilizadores legítimos não conseguem aceder a recursos que necessita para desempenhar as suas funções.

Permissões

Permissões de definem o tipo de acesso que é concedido a um utilizador ou grupo para um objeto ou propriedade do objeto. Por exemplo, o grupo de finanças pode ser concedido permissões de leitura e escrita para um ficheiro denominado Payroll.dat.

Ao utilizar a interface de utilizador de controlo de acesso, pode definir as permissões NTFS para objetos, tais como ficheiros, objetos do Active Directory, os objetos de registo ou objetos de sistema, tais como processos. As permissões podem ser concedidas a qualquer utilizador, grupo ou computador. É uma boa prática para atribuir permissões a grupos, uma vez que melhora o desempenho do sistema ao verificar o acesso a um objeto.

Para qualquer objeto, pode conceder permissões para:

• Grupos, os utilizadores e outros objetos com identificadores de segurança no domínio.

• Grupos e utilizadores no domínio e quaisquer fidedignas domínios.

• Grupos locais e utilizadores do computador onde reside o objeto.

As permissões anexadas a um objeto dependerão do tipo de objeto. Por exemplo, as permissões que podem ser anexadas a um ficheiro são diferentes das que podem ser anexados a uma chave de registo. No entanto, alguns permissões, são comuns a maioria dos tipos de objetos. Estas permissões comuns são:

• Leitura

• Modificar

• Proprietário da alteração

• Eliminar

Quando definir permissões, pode Especifica o nível de acesso a grupos e utilizadores. Por exemplo, pode permitir que um utilizador ler o conteúdo de um ficheiro, permitir que outro utilizador alterar o ficheiro e impedir que todos os outros utilizadores o acesso ao ficheiro. Pode definir permissões semelhantes em impressoras para que determinados utilizadores, podem configurar a impressora e apenas podem imprimir a outros utilizadores.

Quando tiver de alterar as permissões num ficheiro, pode executar o Explorador do Windows, com o botão direito no nome do ficheiro e clique em Propriedades. No segurança separador, pode alterar permissões no ficheiro. Para obter mais informações, consulte o artigo Gerir permissões.

Nota

Outro tipo de permissões, designado por permissões de partilha, está definido no separador da partilha de uma pasta Propriedades página ou através do Assistente de pasta partilhada. Para mais informações consulte permissões de NTFS num servidor de ficheiros e partilha.

Propriedade de objetos

Um proprietário é atribuído a um objeto quando esse objeto é criado. Por predefinição, o proprietário é o criador do objeto. Independentemente do que as permissões estão definidas num objeto, o proprietário do objeto, pode sempre alterar as permissões. Para obter mais informações, consulte o artigo propriedade do objeto de gerir.

Herança de permissões

Herança permite aos administradores facilmente atribuir e gerir permissões. Esta funcionalidade faz com que automaticamente objetos dentro de um contentor para herdar as permissões herdáveis do contentor. Por exemplo, os ficheiros numa pasta herdam as permissões da pasta. Apenas as permissões marcadas para ser herdadas irão ser herdadas.

Direitos de utilizador

Direitos de utilizador conceder privilégios específicos e direitos de início de sessão para utilizadores e grupos no seu ambiente informático. Os administradores podem atribuir direitos específicos para as contas de grupo ou para contas de utilizador individuais. Estes direitos autorizar os utilizadores para efetuar ações específicas, como iniciar sessão para um sistema interativamente ou cópia de segurança ficheiros e diretórios.

Direitos de utilizador são diferentes das permissões porque direitos de utilizador aplicam-se a contas de utilizador e as permissões estão associadas a objetos. Apesar de direitos de utilizador podem aplicar às contas de utilizador individuais, direitos de utilizador são melhor administrados com base numa conta de grupo. Não existe suporte na interface de utilizador de controlo de acesso para conceder direitos de utilizador. No entanto, a atribuição de direitos de utilizador pode ser administrada através de definições de segurança Local.

Para mais informações sobre direitos de utilizador, consulte o artigo atribuição de direitos de utilizador.

Objeto de auditoria

Com direitos de administrador, é possível auditar o acesso com êxito ou falha dos utilizadores aos objetos. Pode selecionar qual o acesso a objetos auditar utilizando a interface de utilizador de controlo de acesso, mas primeiro tem de ativar política de auditoria selecionando Auditar o acesso de objeto em Políticas locais no definições de segurança Local. Em seguida, pode ver estes eventos relacionadas com segurança no registo de segurança no Visualizador de eventos.

Para obter mais informações acerca de auditoria, consulte o artigo Descrição geral de auditoria de segurança.

Consulte também

• Para obter mais informações sobre o controlo de autorização e acesso, consulte o artigo coleção de segurança do Windows.

• Para obter informações sobre estratégia de autorização, consulte o artigo conceber uma estratégia de autorização de recurso.