Controlo de Acesso Dinâmico: Descrição Geral do Cenário

Artigo
08/07/2016

Aplica-se a: Windows Server 2012

No Windows Server 2012, pode aplicar a governação de dados aos seus servidores de ficheiros para controlar quem pode aceder às informações e para auditar quem acedeu às informações. O Controlo de Acesso Dinâmico permite-lhe:

Identificar dados através da classificação automática e manual de ficheiros. Por exemplo, pode marcar dados em servidores de ficheiros em toda a organização.
Controlar o acesso a ficheiros através da aplicação de políticas de rede de segurança que utilizam políticas de acesso central. Por exemplo, pode definir quem pode aceder a informações de saúde dentro da organização.
Auditar o acesso aos ficheiros através de políticas de auditoria central para relatórios de conformidade e análise forense. Por exemplo, pode identificar quem acedeu a informações altamente confidenciais.
Aplicar proteção dos Serviços de Gestão de Direitos (RMS) através de encriptação RMS automática para documentos confidenciais do Microsoft Office. Por exemplo, pode configurar o RMS para encriptar todos os documentos que contenham informações estipuladas na lei HIPAA (Health Insurance Portability and Accountability Act).

O conjunto de funcionalidades do Controlo de Acesso Dinâmico baseia-se em investimentos de infraestrutura que podem ser utilizados ainda por parceiros e aplicações de linha de negócio, e as funcionalidades podem ser extremamente úteis para as organizações que utilizam o Active Directory. Esta infraestrutura inclui:

Um novo motor de auditoria e autorização para o Windows, que pode processar expressões condicionais e políticas centrais.
Suporte de autenticação Kerberos para afirmações de utilizador e afirmações de dispositivo.
Melhorias na Infraestrutura de Classificação de Ficheiros (FCI).
Suporte de extensibilidade RMS para que os parceiros possam fornecer soluções que encriptem ficheiros que não sejam da Microsoft.

Neste cenário

Os cenários e as orientações que se seguem são incluídos como parte deste conjunto de conteúdos:

Plano do Conteúdo do Controlo de Acesso Dinâmico

Cenário	Avaliar	Planear	Implementar	Operar
Cenário: Política de Acesso Central A criação de políticas de acesso central para ficheiros permite às organizações implementar e gerir centralmente políticas de autorização que incluem expressões condicionais com afirmações de utilizador, afirmações de dispositivo e propriedades de recurso. Essas políticas baseiam-se em requisitos regulamentares de conformidade e comerciais. Essas políticas são criadas e alojadas no Active Directory e, por isso, são mais fáceis de gerir e implementar. Implementar Afirmações Entre Florestas No Windows Server 2012, o AD DS mantêm um "dicionário de afirmações" em cada floresta e todos os tipos de afirmações em uso na floresta são definidos ao nível da floresta do Active Directory. Há muitos cenários em que um principal pode precisar de atravessar um limite de confiança. Este cenário descreve como uma afirmação atravessa um limite de confiança.	Dynamic Access Control: scenario overview Implementar Afirmações Entre Florestas	Planear a Implementação de uma Política de Acesso Central Processo para mapear um pedido comercial com uma política de acesso central Delegar administração para Controlo de Acesso Dinâmico Mecanismos de Exceção para Planear Políticas de Acesso Central Melhores Práticas para Utilizar Afirmações de Utilizador Configurar políticas de acesso central com diferentes opções Operações para ativar as afirmações de utilizador Considerações sobre a utilização de afirmações de utilizador nas ACL discricionárias do servidor de ficheiros sem utilizar Políticas de Acesso Central Utilizar Afirmações de Dispositivo e Grupos de Segurança de Dispositivo Considerações sobre a utilização de afirmações de dispositivo estáticas Operações para ativar as afirmações de dispositivo Ferramentas de implementação Toolkit de Classificação de Dados	Implementar uma Política de Acesso Central (Passos de Demonstração) Implementar afirmações entre florestas (passos de demonstração)	Modelar uma política de acesso central
Cenário: Auditoria de Acesso a Ficheiros A auditoria de segurança é uma das ferramentas mais poderosas para ajudar a manter a segurança de uma empresa. Um dos principais objetivos das auditorias de segurança é a conformidade regulamentar. Por exemplo, as normas do sector, como as leis Sarbanes Oxley, HIPAA e PCI (Payment Card Industry), exigem que as empresas cumpram um conjunto rigoroso de regras relacionadas com a privacidade e segurança dos dados. As auditorias de segurança ajudam a estabelecer a presença ou ausência dessas políticas. Desse modo, provam a conformidade ou não conformidade com essas normas. Além disso, as auditorias de segurança ajudam a detetar comportamentos anómalos, identificar e mitigar lacunas nas políticas de segurança e dissuadir comportamentos irresponsáveis ao criarem um registo de atividade do utilizador que pode ser utilizado para análise forense.	Cenário: Auditoria de Acesso a Ficheiros	Planear a Auditoria de Acesso a Ficheiros	Implementar Auditoria de Segurança com Políticas de Auditoria Centrais (Passos de Demonstração)	Monitorizar as políticas de acesso centrais aplicam-se num servidor de ficheiros Monitorizar as Políticas de Acesso Central Associadas a Ficheiros e Pastas Monitorizar os Atributos de Recursos em Ficheiros e Pastas Monitorizar os Tipos de Afirmação Monitorizar Afirmações de Utilizador e de Dispositivo Durante o Início de Sessão Monitorizar Definições de Regras e Políticas de Acesso Central Monitorizar Definições de Atributos de Recursos Monitorizar a utilização de dispositivos de armazenamento amovível.
Cenário: Assistência para Acesso Negado Atualmente, quando os utilizadores tentam aceder a um ficheiro remoto no servidor de ficheiros, a única indicação que recebem é que o acesso foi negado. Isto gera pedidos para o suporte técnico ou administradores de TI que precisam de determinar qual é o problema. Muitas vezes, os administradores têm dificuldade em obter o contexto apropriado dos utilizadores, o que dificulta a resolução do problema. No Windows Server 2012, o objetivo é tentar ajudar o técnico de informação e o proprietário dos dados a lidar com o problema de acesso negado antes de o departamento de TI se envolver. Quando o departamento de TI se envolver, forneça todas as informações corretas para uma resolução rápida. Um dos desafios da concretização deste objetivo é o facto de não haver uma forma centralizada de lidar com o acesso negado. Todas as aplicações lidam com ele de forma diferente e, por isso, no Windows Server 2012, um dos objetivos é melhorar a experiência de acesso negado no Explorador do Windows.	Cenário: Assistência para Acesso Negado	Planear a Assistência para Acesso Negado 1.1 Determinar o modelo de assistência para acesso negado 1.2. Determinar quem deve tratar dos pedidos de acesso 1.3. Personalizar a mensagem de assistência para acesso negado 1.4. Planear exceções 1.5. Determinar como é implementada a assistência para acesso negado	Implementar a Assistência para Acesso Negado (Passos de Demonstração)
Cenário: Encriptação Baseada na Classificação para Documentos do Office A proteção de informações confidenciais serve principalmente para mitigar o risco para a organização. Existem várias normas de conformidade, como a lei HIPAA e a norma PCI-DSS (Payment Card Industry Data Security Standard), que estipulam a encriptação da informação, e existem inúmeras razões comerciais para encriptar informações comerciais confidenciais. No entanto, a encriptação de informação é cara e pode prejudicar a produtividade da empresa. Por isso, as organizações tendem a ter diferentes abordagens e prioridades para encriptar as suas informações. Para apoiar este cenário, o Windows Server 2012 permite encriptar automaticamente ficheiros confidenciais do Microsoft Office, com base na respetiva classificação. Isto é feito através de tarefas de gestão de ficheiros que invocam a proteção dos Serviços de Gestão de Direitos do Active Directory (AD RMS) para documentos confidenciais poucos segundos depois de o ficheiro ser identificado como confidencial no servidor de ficheiros.	Cenário: Encriptação Baseada na Classificação para Documentos do Office	Considerações de Planeamento para Encriptação de Documentos do Office	Implementar a Encriptação de Ficheiros do Office (Passos de Demonstração)
Cenário: Conhecer os Seus Dados Através da Classificação A importância da dependência de recursos de armazenamento e dados tem sido cada vez maior para a maioria das organizações. Os administradores de TI enfrentam o crescente desafio de supervisionar infraestruturas de armazenamento maiores e mais complexas, ao mesmo tempo que lhes é incumbida a responsabilidade de garantir que o custo total de propriedade é mantido a níveis razoáveis. A gestão de recursos de armazenamento já não implica apenas o volume ou a disponibilidade dos dados; implica também fazer cumprir as políticas da empresa e saber como o armazenamento é consumido para permitir uma utilização eficiente e a conformidade para mitigar o risco. A Infraestrutura de Classificação de Ficheiros fornece informações sobre os seus dados através da automatização dos processos de classificação, para que possa gerir os seus dados de forma mais eficaz. Os métodos de classificação que se seguem estão disponíveis com a Infraestrutura de Classificação de Ficheiros: manual, programático e automático. Este cenário centra-se no método automático de classificação de ficheiros.	Cenário: Conhecer os Seus Dados Através da Classificação	Planear a Classificação de Ficheiros Automática	Implementar Classificação de Ficheiros Automática (Passos de Demonstração)
Cenário: Implementar a Retenção de Informações em Servidores de Ficheiros Um período de retenção é o intervalo de tempo que um documento deve ser mantido antes de expirar. O período de retenção pode variar consoante a organização. Pode classificar ficheiros numa pasta como tendo um período de retenção de curto, médio ou longo prazo e, em seguida, atribuir o limite temporal para cada período. Pode pretender manter um ficheiro indefinidamente colocando-o em retenção legal. A Infraestrutura de Classificação de Ficheiros e o Gestor de Recursos do Servidor de Ficheiros utilizam tarefas de gestão de ficheiros e a classificação de ficheiros para aplicar períodos de retenção a um conjunto de ficheiros. É possível atribuir um período de retenção numa pasta e, em seguida, utilizar uma tarefa de gestão de ficheiros para configurar a duração de um período de retenção atribuído. Quando os ficheiros na pasta estão prestes a expirar, o proprietário do ficheiro recebe uma mensagem de notificação por e-mail. Também poderá classificar um ficheiro como estando em retenção legal para a tarefa de gestão de ficheiros não permitir que o ficheiro expire.	Cenário: Implementar a Retenção de Informações em Servidores de Ficheiros	Planear a Retenção de Informações em Servidores de Ficheiros	Implementar a Retenção de Implementação de Informações em Servidores de Ficheiros (Passos de Demonstração)

Nota

O Controlo de Acesso Dinâmico não é suportado no Sistema de Ficheiros Resiliente (ReFS).

Consulte também

Tipo de conteúdo	Referências
Avaliação do produto	Guia do Revisor do Controlo de Acesso Dinâmico Orientações para Programadores do Controlo de Acesso Dinâmico
Planeamento	Planear a Implementação de uma Política de Acesso Central Planear a Auditoria de Acesso a Ficheiros
Implementação	Implementação do Active Directory Implementação dos Serviços de Ficheiros e Armazenamento
Operações	Referência do PowerShell do Controlo de Acesso Dinâmico
Ferramentas e definições	Toolkit de Classificação de Dados
Recursos de comunidade	Fórum dos Serviços de Diretório

Share via

Controlo de Acesso Dinâmico: Descrição Geral do Cenário

Neste cenário

Plano do Conteúdo do Controlo de Acesso Dinâmico

Consulte também

Recursos adicionais