Visão geral de controle de acesso

Aplica-se a: Windows 7, Windows 8.1, Windows Server 2008 R2, Windows Server 2012 R2, Windows Server 2012, Windows 8

Este tópico para profissionais de TI descreve o controle de acesso no Windows, que é o processo de autorização de usuários, grupos e computadores para acessarem objetos na rede ou ao computador. Principais conceitos que compõem o controle de acesso são permissões, posse de objetos, herança de permissões, direitos de usuário e a auditoria do objeto.

Descrição do recurso

Computadores que executam uma versão com suporte do Windows podem controlar o uso de recursos de sistema e de rede por meio de mecanismos interrelacionados de autenticação e autorização. Depois que um usuário é autenticado, o sistema operacional Windows usa tecnologias internas de controle de acesso e autorização para implementar a segunda fase da proteção de recursos: Determinando se um usuário autenticado tem as permissões corretas para acessar um recurso.

Os recursos compartilhados estão disponíveis para usuários e grupos que não são o proprietário do recurso, e eles precisam ser protegidos contra uso não autorizado. No modelo de controle de acesso, os usuários e grupos (também conhecidos como entidades de segurança) são representados por identificadores de segurança (SIDs). Eles recebem direitos e permissões que informam o sistema operacional que cada usuário e grupo podem fazer. Cada recurso tem um proprietário que concede permissões a objetos de segurança. Durante a verificação de controle de acesso, essas permissões são examinadas para determinar quais objetos de segurança podem acessar o recurso e como eles podem acessá-lo.

Entidades de segurança executam ações (que incluem ler, gravar, modificar ou controle total) em objetos. Os objetos incluem arquivos, pastas, impressoras, chaves do Registro e objetos do AD DS (Serviços de Domínio Active Directory). Compartilhado listas de controle de acesso de uso de recursos (ACLs) para atribuir permissões. Isso permite que os gerenciadores de recursos para impor o controle de acesso das seguintes maneiras:

• Negar acesso a usuários e grupos não autorizados

• Definir limites bem definidos no acesso fornecido aos usuários e grupos autorizados

Os proprietários de objeto geralmente concedem permissões a grupos de segurança em vez de usuários individuais. Os usuários e computadores que são adicionados aos grupos existentes assumem as permissões desse grupo. Se um objeto (como uma pasta) pode conter outros objetos (como as subpastas e os arquivos), ele é chamado de um contêiner. Em uma hierarquia de objetos, a relação entre um contêiner e seu conteúdo é expressa referindo-se ao contêiner pai. Um objeto no contêiner é conhecido como o filho e o filho herda as configurações de controle de acesso do pai. Muitas vezes, os proprietários de objeto definir permissões para objetos de contêiner, em vez de objetos filhos individuas, para facilitar o gerenciamento de controle de acesso.

Este conjunto de conteúdo contém:

• Visão geral do Controle de Acesso Dinâmico

• Visão geral técnica de identificadores de segurança

• Visão geral técnica de entidades de segurança

  • Contas locais

  • Contas do Active Directory

  • Contas da Microsoft

  • Contas de serviço

  • Grupos de segurança do Active Directory

Aplicações práticas

Os administradores que usam a versão com suporte do Windows podem refinar o aplicativo e o gerenciamento de controle de acesso a objetos e assuntos para fornecer a segurança a seguir:

• Proteger um maior número e variedade de recursos de rede contra o uso indevido.

• Provisionar usuários para acessar os recursos de maneira consistente com políticas organizacionais e os requisitos de seus trabalhos.

• Permitir que os usuários acessem os recursos de uma variedade de dispositivos em vários locais.

• Capacidade de atualização dos usuários para acessar recursos regularmente, como políticas de uma organização altere ou como trabalhos de usuários.

• Conta para um número crescente de cenários de uso (como acesso a partir de locais remotos ou em rápida expansão vários dispositivos, como computadores tablet e celulares).

• Identificar e resolver os problemas de acesso, quando usuários legítimos são capazes de acessar os recursos que eles precisam para executar seus trabalhos.

Permissões

As permissões definem o tipo de acesso que é concedido a um usuário ou grupo para um objeto ou propriedade de objeto. Por exemplo, o grupo de Finanças pode ser concedido permissões de leitura e gravação para o arquivo Payroll.

Usando a interface de usuário de controle de acesso, você pode definir permissões de NTFS para objetos como arquivos, objetos do Active Directory, objetos do registro ou objetos do sistema, como processos. Permissões podem ser concedidas a qualquer usuário, grupo ou computador. É uma boa prática de atribuir permissões a grupos, pois isso melhora o desempenho do sistema ao verificar o acesso a um objeto.

Para qualquer objeto, você pode conceder permissões para:

• Grupos, usuários e outros objetos com identificadores de segurança no domínio.

• Grupos e usuários no domínio e domínios confiáveis.

• Grupos e usuários locais no computador onde o objeto reside.

As permissões anexadas a um objeto dependem do tipo de objeto. Por exemplo, as permissões que podem ser anexadas a um arquivo são diferentes das que podem ser anexados a uma chave do registro. Algumas permissões, no entanto, são comuns à maioria dos tipos de objetos. Essas permissões são:

• Leitura

• Modificar

• Alterar o proprietário

• Excluir

Ao definir permissões, você especifica o nível de acesso para usuários e grupos. Por exemplo, você pode deixar um usuário ler o conteúdo de um arquivo, permitir que outro usuário faça alterações no arquivo e impedir que todos os outros usuários acessem o arquivo. Você pode definir permissões similares em impressoras para que determinados usuários possam configurar a impressora e outros usuários possam apenas imprimir.

Quando você precisa alterar as permissões em um arquivo, você pode executar o Windows Explorer, clique no nome do arquivo e clique em propriedades. Sobre o segurança guia, você pode alterar as permissões no arquivo. Para obter mais informações, consulte Gerenciando permissões.

Propriedade de objetos

Um proprietário é atribuído a um objeto quando esse objeto é criado. Por padrão, o proprietário é o criador do objeto. Independentemente de quais permissões são definidas em um objeto, o proprietário do objeto sempre pode alterar as permissões. Para obter mais informações, consulte Gerenciar propriedade de objeto.

Herança de permissões

Herança permite que os administradores atribuam e gerenciem permissões facilmente. Esse recurso faz com que automaticamente objetos dentro de um recipiente herdem todas as permissões herdáveis do contêiner. Por exemplo, os arquivos dentro de uma pasta herdam as permissões da pasta. Somente as permissões marcadas para serem herdadas serão herdadas.

Direitos de usuário

Direitos de usuário concedem privilégios e direitos de logon a usuários e grupos em seu ambiente de computação. Os administradores podem atribuir direitos específicos a contas de grupos ou contas de usuário individuais. Esses direitos autorizam os usuários a executar ações específicas, como entrar em um sistema interativamente ou fazer backup de arquivos e diretórios.

Direitos de usuário são diferentes das permissões como direitos de usuário se aplicam a contas de usuário e as permissões estão associadas a objetos. Embora os direitos de usuário podem ser aplicado a contas de usuário individuais, direitos de usuário são melhor administrados em contas de grupo. Não há suporte na interface de usuário de controle de acesso para conceder direitos de usuário. No entanto, a atribuição de direitos de usuário pode ser administrada por configurações de segurança Local.

Para obter mais informações sobre direitos de usuário, consulte atribuição de direitos de usuário.

Objeto de auditoria

Com direitos do administrador, você pode auditar o acesso de usuários com êxito ou falha para objetos. Você pode selecionar qual acesso a objetos de auditoria usando a interface de usuário de controle de acesso, mas primeiro você deve habilitar a política de auditoria selecionando acesso a objetos de auditoria em diretivas locais na configurações de segurança Local. Você pode exibir os eventos relacionados à segurança no log de segurança no Visualizador de eventos.

Para obter mais informações sobre auditoria, consulte Visão geral da auditoria de segurança.

Consulte também

• Para obter mais informações sobre autorização e controle de acesso, consulte conjunto de segurança do Windows.

• Para obter informações sobre a estratégia de autorização, consulte Criando uma estratégia de autorização de recursos.