Controle de Acesso Dinâmico: Visão geral do cenário

  • Artigo

 

Aplica-se a: Windows Server 2012

No Windows Server 2012, é possível aplicar o controle de dados nos servidores de arquivos para controlar quem pode acessar informações e para fazer auditoria de quem as acessou. O Controle de Acesso Dinâmico permite:

  • Identificar dados usando classificação automática e manual dos arquivos. Por exemplo, você pode marcar os dados nos servidores de arquivos em toda a organização.

  • Controlar o acesso a arquivos aplicando políticas de rede de segurança que usam políticas de acesso central. Por exemplo, é possível definir quem pode acessar informações sobre saúde na organização.

  • Auditar o acesso aos arquivos usando políticas de auditoria central para relatórios de conformidade e análise forense. Por exemplo, é possível identificar quem acessou informações altamente confidenciais.

  • Aplicar proteção RMS (Rights Management Services) usando criptografia RMS automática para documentos confidenciais do Microsoft Office. Por exemplo, é possível configurar o RMS para criptografar todos os documentos que contêm informações da lei norte-americana HIPAA (Health Insurance Portability and Accountability Act).

O conjunto de recursos de Controle de Acesso Dinâmico se baseia nos investimentos de infraestrutura que podem ser usados também por parceiros e aplicativos de linha de negócios, e os recursos podem proporcionar excelente valor para organizações que usam o Active Directory. Essa infraestrutura inclui:

  • Um novo mecanismo de autorização e auditoria para o Windows que pode processar expressões condicionais e políticas centrais.

  • Suporte à autenticação Kerberos para declarações de usuário e de dispositivo.

  • Melhorias na FCI (Infraestrutura de Classificação de Arquivos).

  • Suporte à extensibilidade RMS para que os parceiros possam fornecer soluções que criptografam arquivos que não são da Microsoft.

Neste cenário

Os seguintes cenários e diretrizes estão incluídos como parte desse conjunto de recursos:

Mapa de conteúdo do Controle de Acesso Dinâmico

Cenário

Avaliar

Planejar

Implantar

Operar

Cenário: Política de Acesso Central

A criação de políticas de acesso central para arquivos permite que as organizações implantem e gerenciem de maneira centralizada políticas de autorização que incluem expressões condicionais usando declarações de usuário, declarações de dispositivo e propriedades de recursos. Essas políticas se baseiam em requisitos regulamentares de conformidade e negócios. Elas são criadas e hospedadas no Active Directory, facilitando assim o gerenciamento e a implantação.

Implantando declarações em florestas

No Windows Server 2012, o AD DS mantém um ‘dicionário de declarações’ em cada floresta e todos os tipos de declarações em uso na floresta são definidos no nível de floresta do Active Directory. Há muitos cenários em que uma entidade pode precisar atravessar os limites de uma relação de confiança. Esse cenário descreve como uma declaração atravessa os limites de uma relação de confiança.

Dynamic Access Control: scenario overview

Implantando declarações em florestas

Planejar a implantação de uma política de acesso central

Práticas recomendadas para utilizar declarações de usuário

Usando declarações de dispositivo e grupos de segurança de dispositivo

Ferramentas para implantação

Implantar uma política de acesso central (passo a passo)

Implantar declarações entre florestas (passo a passo)

  • Modelando uma política de acesso central

Cenário: auditoria de acesso a arquivos

A auditoria de segurança é uma das ferramentas mais avançadas para ajudar a manter a segurança de uma empresa. Uma das metas principais das auditorias de segurança é a conformidade regulatória. Por exemplo, os padrões do setor como Sarbanes Oxley, HIPAA e Payment Card Industry (PCI) exigem que as empresas sigam um conjunto restrito de regras relacionadas à segurança e privacidade de dados. As auditorias de segurança ajudam a estabelecer a presença ou ausência de tais políticas e comprovam a conformidade ou não conformidade com esses padrões. Além disso, elas ajudam a detectar comportamentos anormais, identificar e eliminar lacunas na política de segurança e impedir comportamentos irresponsáveis por meio da criação de um registro de atividades do usuário, que pode ser usado para análises periciais.

Scenario: File Access Auditing

Planejar a auditoria de acesso ao arquivo

Implantar a auditoria de segurança com as políticas de auditoria central (etapas de demonstração)

Cenário: assistência para acesso negado

Atualmente, quando os usuários tentam acessar um arquivo remoto no servidor de arquivos, a única indicação obtida é que o acesso é negado. Isso gera solicitações a administradores de assistência técnica ou TI que precisam imaginar qual é o problema, e normalmente os administradores passam muito tempo obtendo o contexto apropriado junto aos usuários, o que dificulta a resolução do problema.
No Windows Server 2012, a meta é tentar ajudar os operadores de informações e proprietários de negócios dos dados a lidar com o problema de acesso negado antes de a TI se envolver e, quando ela se envolver, fornecer todas as informações adequadas para permitir uma rápida resolução. Um dos desafios para cumprir essa meta é que não há um método principal de lidar com o acesso negado e cada aplicativo lida com esse problema de maneira diferente, por isso, no Windows Server 2012, uma das metas é melhorar a experiência do acesso negado para o Windows Explorer.

Cenário: assistência para acesso negado

Planejar-se para assistência para acesso negado

Deploy Access-Denied Assistance (Demonstration Steps)

Cenário: criptografia baseada em classificação para documentos do Office

A proteção de informações confidenciais se refere principalmente à minimização dos riscos para a organização. Várias regulamentações de conformidade, como HIPAA ou PCI-DSS (Payment Card Industry Data Security Standard), ditam a criptografia das informações, e há inúmeros motivos dos negócios para criptografar as informações confidenciais. Entretanto, criptografar as informações é caro e pode prejudicar a produtividade dos negócios. Assim, as organizações tendem a adotar diferentes abordagens e prioridades para criptografar suas informações.
Para dar suporte a esse cenário, o Windows Server 2012 possibilita criptografar automaticamente os arquivos confidenciais do Windows Office com base em sua classificação. Isso é feito através de tarefas de gerenciamento que invocam a proteção AD RMS (Servidor de Gerenciamento de Direitos do Active Directory) para documentos confidenciais alguns segundos depois que um arquivo é identificado como confidencial no servidor de arquivos.

Scenario: Classification-Based Encryption for Office Documents

Planejando considerações para criptografia de documentos do Office

Implantar criptografia em arquivos do Office (passo a passo)

Cenário: aprofunde-se em seus dados por meio da classificação

A dependência de recursos de dados e armazenamento continua a crescer em importância na maioria das organizações. Os administradores de TI enfrentam o desafio crescente de supervisionar infraestruturas de armazenamento cada vez maiores e mais complexas, ao mesmo tempo recebendo a responsabilidade de garantir que o custo total de propriedade seja mantido em níveis razoáveis. O gerenciamento dos recursos de armazenamento não se refere mais apenas ao volume ou à disponibilidade dos dados, mas também à aplicação de políticas da empresa e ao conhecimento de como o armazenamento é consumido para permitir eficiente utilização e conformidade para minimizar os riscos. A Infraestrutura de Classificação de Dados oferece um panorama dos dados automatizando os processos de classificação para você poder gerenciar os dados com mais eficácia. Os seguintes métodos de classificação estão disponíveis com a Infraestrutura de Classificação de Dados: manual, modo de programação e automático. Este cenário se concentra no método de classificação de arquivos automático.

Scenario: Get Insight into Your Data by Using Classification

Planejar-se para a classificação automática de arquivos

Implantar a classificação automática de arquivos (passo a passo)

Scenario: Implement Retention of Information on File Servers

Um período de retenção é o tempo durante o qual um documento deve ser mantido antes de expirar. Dependendo da organização, o período de retenção pode ser diferente. Você pode classificar arquivos em uma pasta com períodos de retenção de curto, médio e longo prazo e atribuir o cronograma para cada período. Talvez queira manter um arquivo indefinidamente colocando-o em bloqueio legal.
A Infraestrutura de Classificação de Arquivos e o Gerenciador de Recursos de Servidor de Arquivos usam tarefas de gerenciamento de arquivos e classificação de arquivos para aplicar períodos de retenção para um conjunto de arquivos. Você pode atribuir um período de retenção em uma pasta e usar uma tarefa de gerenciamento de arquivos para configurar o tempo de duração de um período de retenção atribuído. Quando os arquivos da pasta estão prestes a expirar, o proprietário do arquivo recebe um email de notificação. Você também pode classificar um arquivo como estando em bloqueio legal para que a tarefa de gerenciamento de arquivos não faça o arquivo expirar.

Scenario: Implement Retention of Information on File Servers

Planejar-se para a retenção de informações em servidores de arquivos

Implantar Implementando a retenção de informações em servidores de arquivos (etapas de demonstração)

Dica

O Controle de Acesso Dinâmico não tem suporte no ReFS (Sistema de Arquivos Resilientes).

Consulte também

Tipo de conteúdo

Referências

Avaliação do produto

Planejamento

Implantação

Operações

Referência do PowerShell do Controle de Acesso Dinâmico

Ferramentas e configurações

Kit de ferramentas de classificação de dados

Recursos da comunidade

Fórum de serviços de diretório