Partilhar via


Controlo de Acesso Dinâmico: Descrição Geral do Cenário

 

Aplica-se a: Windows Server 2012

No Windows Server 2012, pode aplicar a governação de dados aos seus servidores de ficheiros para controlar quem pode aceder às informações e para auditar quem acedeu às informações. O Controlo de Acesso Dinâmico permite-lhe:

  • Identificar dados através da classificação automática e manual de ficheiros. Por exemplo, pode marcar dados em servidores de ficheiros em toda a organização.

  • Controlar o acesso a ficheiros através da aplicação de políticas de rede de segurança que utilizam políticas de acesso central. Por exemplo, pode definir quem pode aceder a informações de saúde dentro da organização.

  • Auditar o acesso aos ficheiros através de políticas de auditoria central para relatórios de conformidade e análise forense. Por exemplo, pode identificar quem acedeu a informações altamente confidenciais.

  • Aplicar proteção dos Serviços de Gestão de Direitos (RMS) através de encriptação RMS automática para documentos confidenciais do Microsoft Office. Por exemplo, pode configurar o RMS para encriptar todos os documentos que contenham informações estipuladas na lei HIPAA (Health Insurance Portability and Accountability Act).

O conjunto de funcionalidades do Controlo de Acesso Dinâmico baseia-se em investimentos de infraestrutura que podem ser utilizados ainda por parceiros e aplicações de linha de negócio, e as funcionalidades podem ser extremamente úteis para as organizações que utilizam o Active Directory. Esta infraestrutura inclui:

  • Um novo motor de auditoria e autorização para o Windows, que pode processar expressões condicionais e políticas centrais.

  • Suporte de autenticação Kerberos para afirmações de utilizador e afirmações de dispositivo.

  • Melhorias na Infraestrutura de Classificação de Ficheiros (FCI).

  • Suporte de extensibilidade RMS para que os parceiros possam fornecer soluções que encriptem ficheiros que não sejam da Microsoft.

Neste cenário

Os cenários e as orientações que se seguem são incluídos como parte deste conjunto de conteúdos:

Plano do Conteúdo do Controlo de Acesso Dinâmico

Cenário

Avaliar

Planear

Implementar

Operar

Cenário: Política de Acesso Central

A criação de políticas de acesso central para ficheiros permite às organizações implementar e gerir centralmente políticas de autorização que incluem expressões condicionais com afirmações de utilizador, afirmações de dispositivo e propriedades de recurso. Essas políticas baseiam-se em requisitos regulamentares de conformidade e comerciais. Essas políticas são criadas e alojadas no Active Directory e, por isso, são mais fáceis de gerir e implementar.

Implementar Afirmações Entre Florestas

No Windows Server 2012, o AD DS mantêm um "dicionário de afirmações" em cada floresta e todos os tipos de afirmações em uso na floresta são definidos ao nível da floresta do Active Directory. Há muitos cenários em que um principal pode precisar de atravessar um limite de confiança. Este cenário descreve como uma afirmação atravessa um limite de confiança.

Dynamic Access Control: scenario overview

Implementar Afirmações Entre Florestas

Planear a Implementação de uma Política de Acesso Central

Melhores Práticas para Utilizar Afirmações de Utilizador

Utilizar Afirmações de Dispositivo e Grupos de Segurança de Dispositivo

Ferramentas de implementação

Implementar uma Política de Acesso Central (Passos de Demonstração)

Implementar afirmações entre florestas (passos de demonstração)

  • Modelar uma política de acesso central

Cenário: Auditoria de Acesso a Ficheiros

A auditoria de segurança é uma das ferramentas mais poderosas para ajudar a manter a segurança de uma empresa. Um dos principais objetivos das auditorias de segurança é a conformidade regulamentar. Por exemplo, as normas do sector, como as leis Sarbanes Oxley, HIPAA e PCI (Payment Card Industry), exigem que as empresas cumpram um conjunto rigoroso de regras relacionadas com a privacidade e segurança dos dados. As auditorias de segurança ajudam a estabelecer a presença ou ausência dessas políticas. Desse modo, provam a conformidade ou não conformidade com essas normas. Além disso, as auditorias de segurança ajudam a detetar comportamentos anómalos, identificar e mitigar lacunas nas políticas de segurança e dissuadir comportamentos irresponsáveis ao criarem um registo de atividade do utilizador que pode ser utilizado para análise forense.

Cenário: Auditoria de Acesso a Ficheiros

Planear a Auditoria de Acesso a Ficheiros

Implementar Auditoria de Segurança com Políticas de Auditoria Centrais (Passos de Demonstração)

Cenário: Assistência para Acesso Negado

Atualmente, quando os utilizadores tentam aceder a um ficheiro remoto no servidor de ficheiros, a única indicação que recebem é que o acesso foi negado. Isto gera pedidos para o suporte técnico ou administradores de TI que precisam de determinar qual é o problema. Muitas vezes, os administradores têm dificuldade em obter o contexto apropriado dos utilizadores, o que dificulta a resolução do problema.
No Windows Server 2012, o objetivo é tentar ajudar o técnico de informação e o proprietário dos dados a lidar com o problema de acesso negado antes de o departamento de TI se envolver. Quando o departamento de TI se envolver, forneça todas as informações corretas para uma resolução rápida. Um dos desafios da concretização deste objetivo é o facto de não haver uma forma centralizada de lidar com o acesso negado. Todas as aplicações lidam com ele de forma diferente e, por isso, no Windows Server 2012, um dos objetivos é melhorar a experiência de acesso negado no Explorador do Windows.

Cenário: Assistência para Acesso Negado

Planear a Assistência para Acesso Negado

Implementar a Assistência para Acesso Negado (Passos de Demonstração)

Cenário: Encriptação Baseada na Classificação para Documentos do Office

A proteção de informações confidenciais serve principalmente para mitigar o risco para a organização. Existem várias normas de conformidade, como a lei HIPAA e a norma PCI-DSS (Payment Card Industry Data Security Standard), que estipulam a encriptação da informação, e existem inúmeras razões comerciais para encriptar informações comerciais confidenciais. No entanto, a encriptação de informação é cara e pode prejudicar a produtividade da empresa. Por isso, as organizações tendem a ter diferentes abordagens e prioridades para encriptar as suas informações.
Para apoiar este cenário, o Windows Server 2012 permite encriptar automaticamente ficheiros confidenciais do Microsoft Office, com base na respetiva classificação. Isto é feito através de tarefas de gestão de ficheiros que invocam a proteção dos Serviços de Gestão de Direitos do Active Directory (AD RMS) para documentos confidenciais poucos segundos depois de o ficheiro ser identificado como confidencial no servidor de ficheiros.

Cenário: Encriptação Baseada na Classificação para Documentos do Office

Considerações de Planeamento para Encriptação de Documentos do Office

Implementar a Encriptação de Ficheiros do Office (Passos de Demonstração)

Cenário: Conhecer os Seus Dados Através da Classificação

A importância da dependência de recursos de armazenamento e dados tem sido cada vez maior para a maioria das organizações. Os administradores de TI enfrentam o crescente desafio de supervisionar infraestruturas de armazenamento maiores e mais complexas, ao mesmo tempo que lhes é incumbida a responsabilidade de garantir que o custo total de propriedade é mantido a níveis razoáveis. A gestão de recursos de armazenamento já não implica apenas o volume ou a disponibilidade dos dados; implica também fazer cumprir as políticas da empresa e saber como o armazenamento é consumido para permitir uma utilização eficiente e a conformidade para mitigar o risco. A Infraestrutura de Classificação de Ficheiros fornece informações sobre os seus dados através da automatização dos processos de classificação, para que possa gerir os seus dados de forma mais eficaz. Os métodos de classificação que se seguem estão disponíveis com a Infraestrutura de Classificação de Ficheiros: manual, programático e automático. Este cenário centra-se no método automático de classificação de ficheiros.

Cenário: Conhecer os Seus Dados Através da Classificação

Planear a Classificação de Ficheiros Automática

Implementar Classificação de Ficheiros Automática (Passos de Demonstração)

Cenário: Implementar a Retenção de Informações em Servidores de Ficheiros

Um período de retenção é o intervalo de tempo que um documento deve ser mantido antes de expirar. O período de retenção pode variar consoante a organização. Pode classificar ficheiros numa pasta como tendo um período de retenção de curto, médio ou longo prazo e, em seguida, atribuir o limite temporal para cada período. Pode pretender manter um ficheiro indefinidamente colocando-o em retenção legal.
A Infraestrutura de Classificação de Ficheiros e o Gestor de Recursos do Servidor de Ficheiros utilizam tarefas de gestão de ficheiros e a classificação de ficheiros para aplicar períodos de retenção a um conjunto de ficheiros. É possível atribuir um período de retenção numa pasta e, em seguida, utilizar uma tarefa de gestão de ficheiros para configurar a duração de um período de retenção atribuído. Quando os ficheiros na pasta estão prestes a expirar, o proprietário do ficheiro recebe uma mensagem de notificação por e-mail. Também poderá classificar um ficheiro como estando em retenção legal para a tarefa de gestão de ficheiros não permitir que o ficheiro expire.

Cenário: Implementar a Retenção de Informações em Servidores de Ficheiros

Planear a Retenção de Informações em Servidores de Ficheiros

Implementar a Retenção de Implementação de Informações em Servidores de Ficheiros (Passos de Demonstração)

Nota

O Controlo de Acesso Dinâmico não é suportado no Sistema de Ficheiros Resiliente (ReFS).

Consulte também

Tipo de conteúdo

Referências

Avaliação do produto

Planeamento

Implementação

Operações

Referência do PowerShell do Controlo de Acesso Dinâmico

Ferramentas e definições

Toolkit de Classificação de Dados

Recursos de comunidade

Fórum dos Serviços de Diretório