Microsoft Official

Course

Mdulo 3

Implementao do Controle
deAcesso Dinmico

Viso geral do mdulo

Viso geral do Controle de Acesso Dinmico
Planejamento do Controle de Acesso
Dinmico
Implantao do Controle de Acesso

Dinmico

Lio 1: Viso geral do Controle de Acesso

Dinmico

O que o Controle de Acesso Dinmico?

Tecnologias de base do Controle de Acesso
Dinmico
Controle de Acesso Dinmico x tecnologias
depermisses alternativas
O que identidade?
O que uma declarao?
O que uma poltica de acesso central?

O que o Controle de Acesso Dinmico?

O Controle de Acesso Dinmico oferece
Uma rede de segurana sobre todos os

recursos baseados no servidor de

arquivos

Classificao de dados
Controle de acesso a arquivos central
Auditoria de acesso central
Integrao de proteo RMS automtica

Tecnologias de base do Controle de Acesso

Dinmico

O Controle de Acesso Dinmico depende

de muitas tecnologias do Windows Server
2012, como
AD DS
Kerberos V5
Segurana do Windows
Classificaes de arquivos
Auditoria
RMS

Controle de Acesso Dinmico x tecnologias

depermissesalternativas

Antes do Windows 8, permisses NTFS e

ACLs forneciam controle de acesso

baseado na SID do usurio ou da
associao a um grupo

O AD RMS oferece mais proteo para

documentos controlando como os

aplicativos podem us-los

No Windows 8, o Controle de Acesso

Dinmico fornece controle de acesso

baseado em expresses que podem
incluir grupos de segurana, declaraes
e propriedades derecursos em ACLs NTFS
e polticas de acessocentral

O que identidade?
Identidade so as informaes publicadas
de uma entidade que so consideradas
autorizadas porque vm de uma fonte
confivel

Grupo de Domnio

Usurio autenticado

O que uma declarao?

Declaraes so afirmaes feitas pelo AD

DS sobre objetos de usurios e
computadores especficos no AD DS
O AD DS no Windows Server 2012 d
suporte a
Declaraes de usurios
Declaraes de dispositivos

O que uma poltica de acesso central?

Uma poltica de acesso central consiste em uma ou
mais regras de acesso central. As regras definem
condies.Allow
Por Read|Write
exemplo
User.MemberOf(IPSecurityGroup)
AND
(User.Department ANY_OF
File.Department)
AND
Device.Managed = True

1.

No AD DS, crie regras e definies

de propriedades de arquivos e
declaraes e crie a poltica de
acesso central

2.

Na Poltica de Grupo, envie

polticas deacesso central aos
servidores dearquivos

3.

No servidor de arquivos, aplique

polticas pasta compartilhada
eidentifique as informaes

4.

No computador do usurio,

AD DS
Definies
de
declarao

Usurio

Definies
de
propriedade
de arquivos

Poltica de
declara
o

Servidor de arquivos
Permitir/negar

Lio 2: Planejamento do Controle de Acesso

Dinmico

Motivos para implementar o Controle de

Acesso Dinmico
Planejamento de uma poltica de acesso
central
Planejamento de classificaes de arquivos
Planejamento da auditoria de acesso a
arquivos
Planejamento da Assistncia para Acesso

Negado

Motivos para implementar o Controle

deAcessoDinmico

Os motivos mais comuns para

implementar oControle de Acesso
Dinmico so
Com o NTFS, o resultado uma
incapacidade de obter a segurana e a
conformidade desejadas
Um requisito de controle de acesso

baseado ematributos

Planejamento de uma poltica de acesso

central
Ao planejar uma poltica de acesso central,
vocdeve
Identificar o caso de negcios
Identificar os recursos que devem ser

protegidos

Defina as polticas de autorizao de acordo

comseus requisitos de negcios

Converta as polticas de autorizao em

expresses condicionais

Defina tipos de declaraes, grupos de

segurana, propriedades de recursos e

Planejamento de classificaes de
arquivos
Ao planejar a classificao de arquivos,
vocdeve
Identificar as classificaes
Determinar o mtodo que usar para

classificar os arquivos

Definir o agendamento
Executar as revises

Planejamento da auditoria de acesso a

arquivos
Auditoria de acesso a arquivos
Acompanha alteraes de atributos de

usurios e computadores

Recupera mais informaes de eventos

delogon do usurio

Fornece mais informaes de auditoria

deacesso a objetos

Acompanha alteraes de polticas de

acesso central, regras de acesso central e

declaraes

Acompanha alteraes de atributos de

Planejamento da Assistncia para Acesso

Negado

Ao planejar a Assistncia para Acesso

Negado, considere o seguinte
A mensagem que os usurios vero
O texto do email que os usurios usaro

parasolicitar acesso

Os destinatrios das mensagens de email

desolicitao de acesso

Os sistemas operacionais de destino

Lio 3: Implantao do Controle de Acesso

Dinmico
Pr-requisitos para implementar o Controle de
Acesso Dinmico
Habilitao do suporte no AD DS para o Controle
deAcesso Dinmico
Implementao de declaraes e objetos
depropriedade de recursos
Implementao de regras e polticas de acesso
central
Implementao da auditoria de acesso a arquivos
Implementao da Assistncia para Acesso
Negado
Implementao de classificaes de arquivos

Pr-requisitos para implementar o Controle

deAcesso Dinmico

O Controle de Acesso Dinmico um

recurso especfico do Windows Server
2012
Para implantar o Controle de Acesso
Dinmico, voc deve ter as seguintes
Controlador de domnio do Windows Server
tecnologias
2012
Servidor de arquivos Windows Server 2012
rea de trabalho do Windows 8 (para

declaraes de dispositivo)

Habilitao do suporte no AD DS para o

Controle deAcesso Dinmico
Para usar a Poltica de Grupo para habilitar o suporte
aoControle de Acesso Dinmico, faa o seguinte
1.

Vincule o GPO que contm as configuraes de Controle de

Acesso Dinmico aos controladores de domnio OU

2.

Navegue at o n KDC (Centro de Distribuio de Chaves)

no Editor de Objeto de Poltica de Grupo para acessar as
configuraes de Controle de Acesso Dinmico

3.

Escolha uma das seguintes opes

No dar suporte ao Controle de Acesso Dinmico e

poltica deproteo Kerberos

Dar suporte ao Controle de Acesso Dinmico e poltica

deproteo Kerberos

Sempre fornecer declaraes e comportamento FAST

RFC

Tambm falhar solicitaes de autenticao

desprotegidas

Implementao de declaraes e objetos

depropriedade de recursos

Expresses condicionais podem incluir

declaraes eobjetos de propriedades de
recursos
Declarae
s

Criadas para usurios e

computadores
Tm atributos como origem
Criadas usando o Centro
Administrativodo Active Directory
ouoWindowsPowerShell

Criados para recursos

Objetos de Tm propriedades como origem
propriedade
Criadas usando o Centro
s de
Administrativodo Active Directory
recursos
ouoWindowsPowerShell

Implementao de regras e polticas de acesso

central

As polticas de acesso central permitem

gerenciar e implantar uma autorizao
consistente em toda a empresa
O componente principal de uma poltica de
acesso central a regra de acesso central,
queespecifica
Recursos de destino
Permisses
Condies

Implementao da auditoria de acesso a

arquivos

A poltica Auditoria de Acesso a Objetos

Globais
Gerencia e configura centralmente o
sistema operacional Windows para
monitorar cada arquivo e cada pasta no
servidor
integrada com o Controle de Acesso

Dinmico

Fornece novas categorias de poltica de

auditoria na Poltica de Grupo

Implementao da Assistncia para Acesso

Negado
1.

No servidor de arquivos, o administrador especifica o texto

desoluo de problemas para mensagens de acesso negado
edefine os proprietrios das pastas compartilhadas

2.

Se for negado o acesso de um usurio, ele ver o texto

desoluo deproblemas e, opcionalmente, a soluo
deproblemas de estado dodispositivo

3.

O usurio solicita acesso por email

4.

O proprietrio dos dados recebe a solicitao do usurio

econcede oacesso

5.

Se proprietrio dos dados no puder conceder acesso,

oeleencaminhar a solicitao para um administrador

6.

O administrador exibe as permisses efetivas do usurio

Usuri
o

Servidor
de
arquivos

Proprietri
o dos
dados

Implementao de classificaes de
arquivos
O gerenciamento de classificao permite
criar e atribuir propriedades de
classificao a arquivos usando um
mecanismo automatizado

Regra de classificao

Payroll.rpt

Confidencial

Implementao de alteraes da poltica

deacessocentral

O Controle de Acesso Dinmico permite

testar uma atualizao da poltica de
acesso central preparando-a
A preparao do Windows Server 2012
implementada implantando permisses

propostas

Compara as permisses propostas com

aspermisses atuais

Faz os eventos de log de auditoria serem

exibidos no log de segurana no servidor de

arquivos

Laboratrio: Implementao do Controle

deAcessoDinmico
Exerccio 1: Planejamento da implementao do Controle de
Acesso Dinmico
Exerccio 2: Configurao de declaraes de usurios e
dispositivos
Exerccio 3: Configurao de definies de propriedades de
recursos
Exerccio 4: Configurao de regras e polticas de acesso central
Informaes
de logon e correo do Controle de Acesso
Exerccio 5: Validao
Mquinas
24412B-LON-DC1
Dinmico virtuais
24412B-LON-SVR1
Exerccio 6: Implementao
de novas polticas de recursos
24412B-LON-CL1
24412B-LON-CL2
Nome de Usurio
Adatum\Administrador
Senha
Pa$$w0rd
Tempo previsto: 90 minutos

Cenrio do laboratrio
A equipe de pesquisa da A. Datum Corporation est envolvida
em umtrabalho confidencial que agrega muito valor ao
negcio. Alm disso, outros grupos na A. Datum, como o
departamento executivo, frequentemente armazena arquivos
que contm informaes crticaspara os negcios nos
servidores de arquivos da empresa. Odepartamento de
segurana deseja assegurar que esses arquivos confidenciais
estejam acessveis somente para o pessoal devidamente
autorizado, e que todo o acesso a esses arquivos seja
auditado
Como um dos administradores snior de rede da A. Datum,
vocresponsvel por lidar com esses requisitos de
segurana implementando o Controle de Acesso Dinmico
nos servidores dearquivos. Voc trabalhar de perto com os
grupos de negcios eodepartamento de segurana para
identificar quais arquivos precisam ser protegidos e quem

Reviso do laboratrio
Existem declaraes padro definidas para

osusurios?
Como as classificaes de arquivos
aprimoram oControle de Acesso Dinmico?
possvel implementar o Controle de
Acesso Dinmico sem usar uma poltica de
acesso central?

Reviso e informaes complementares do

mdulo

Perguntas de reviso
Problemas e cenrios reais
Ferramentas
Prtica recomendada
Problemas comuns e dicas de soluo

deproblemas