Controle de acesso dinâmico: visão geral do cenário

Aplica-se a: ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

No Windows Server 2012 , você pode aplicar governança de dados em seus servidores de arquivos para controlar quem pode acessar informações e auditar quem acessou informações. O Controlo de Acesso Dinâmico permite-lhe:

Identificar dados usando a classificação automática e manual de arquivos. Por exemplo, você pode marcar dados em servidores de arquivos em toda a organização.
Controle o acesso aos arquivos aplicando políticas de rede de segurança que usam políticas de acesso central. Por exemplo, você pode definir quem pode acessar informações de saúde dentro da organização.
Audite o acesso aos arquivos usando políticas de auditoria central para relatórios de conformidade e análise forense. Por exemplo, você pode identificar quem acessou informações altamente confidenciais.
Aplique a proteção do RMS (Rights Management Services) usando a criptografia automática do RMS para documentos confidenciais do Microsoft Office. Por exemplo, você pode configurar o RMS para criptografar todos os documentos que contenham informações da Lei de Portabilidade e Responsabilidade de Seguros de Saúde (HIPAA).

O conjunto de recursos do Controle de Acesso Dinâmico é baseado em investimentos em infraestrutura que podem ser usados ainda mais por parceiros e aplicativos de linha de negócios, e os recursos podem fornecer grande valor para organizações que usam o Ative Directory. Esta infraestrutura inclui:

Um novo mecanismo de autorização e auditoria para Windows que pode processar expressões condicionais e políticas centrais.
Suporte à autenticação Kerberos para declarações de usuário e declarações de dispositivo.
Melhorias na Infraestrutura de Classificação de Arquivos (FCI).
Suporte à extensibilidade do RMS para que os parceiros possam fornecer soluções que criptografam arquivos que não são da Microsoft.

Neste cenário

Os seguintes cenários e orientações estão incluídos como parte deste conjunto de conteúdos:

Roteiro de conteúdo de controle de acesso dinâmico

Scenario	Evaluate	Plan	Deploy	Operate
Cenário: Política de Acesso Central A criação de políticas de acesso central para arquivos permite que as organizações implantem e gerenciem centralmente políticas de autorização que incluem expressões condicionais usando declarações de usuário, declarações de dispositivo e propriedades de recursos. Essas políticas são baseadas em conformidade e requisitos regulatórios de negócios. Essas políticas são criadas e hospedadas no Ative Directory, facilitando o gerenciamento e a implantação. Implantando reivindicações em florestas No Windows Server 2012, o AD DS mantém um 'dicionário de declarações' em cada floresta e todos os tipos de declaração em uso na floresta são definidos no nível de floresta do Ative Directory. Há muitos cenários em que uma entidade de segurança pode precisar atravessar um limite de confiança. Este cenário descreve como uma declaração atravessa um limite de confiança.	Controle de acesso dinâmico: visão geral do cenário Implantar declarações em florestas	Plano: uma implantação de política de acesso central - Processo para mapear uma solicitação comercial para uma política de acesso central - Delegação de administração para Controlo de Acesso Dinâmico - Mecanismos de exceção para o planejamento de políticas de acesso central Práticas recomendadas para usar declarações de usuário - Escolhendo a configuração correta para habilitar declarações em seu domínio de usuário - Operações para habilitar declarações de usuário - Considerações sobre o uso de declarações de usuário nas ACLs discricionárias do servidor de arquivos sem usar as Políticas de Acesso Central Usando declarações de dispositivos e grupos de segurança de dispositivos - Considerações sobre o uso de declarações de dispositivo estático - Operações para habilitar declarações de dispositivo Ferramentas para implantação -	Implantar uma política de acesso central (etapas de demonstração) Implantar declarações em florestas (etapas de demonstração)	- Modelação de uma política de acesso central
Cenário: Auditoria de acesso a arquivos A auditoria de segurança é uma das ferramentas mais poderosas para ajudar a manter a segurança de uma empresa. Um dos principais objetivos das auditorias de segurança é a conformidade regulamentar. Por exemplo, padrões do setor como Sarbanes Oxley, HIPAA e Payment Card Industry (PCI) exigem que as empresas sigam um conjunto rigoroso de regras relacionadas à segurança e privacidade de dados. As auditorias de segurança ajudam a estabelecer a presença ou ausência de tais políticas; comprovam, assim, o cumprimento ou o incumprimento destas normas. Além disso, as auditorias de segurança ajudam a detetar comportamentos anômalos, identificar e mitigar lacunas na política de segurança e dissuadir comportamentos irresponsáveis, criando um registro da atividade do usuário que pode ser usado para análise forense.	Cenário: Auditoria de acesso a arquivos	Planejar a auditoria de acesso a arquivos	Implantar auditoria de segurança com políticas de auditoria central (etapas de demonstração)	- Monitorar as políticas de acesso central que se aplicam em um servidor de arquivos - Monitorar as políticas de acesso central associadas a arquivos e pastas - Monitorar os atributos de recursos em arquivos e pastas - Monitorizar tipos de reivindicações - Monitorar declarações de usuários e dispositivos durante o login - Monitorar definições de regras e políticas de acesso central - Monitorar definições de atributo de recurso - Monitore o uso de dispositivos de armazenamento removíveis.
Cenário: Assistência Access-Denied Hoje, quando os usuários tentam acessar um arquivo remoto no servidor de arquivos, a única indicação que eles obteriam é que o acesso é negado. Isso gera solicitações para helpdesk ou administradores de TI que precisam descobrir qual é o problema e, muitas vezes, os administradores têm dificuldade em obter o contexto apropriado dos usuários, o que dificulta a resolução do problema. No Windows Server 2012, o objetivo é tentar ajudar o operador de informações e o proprietário comercial dos dados a lidar com o problema de acesso negado antes que a TI se envolva e, quando a TI se envolve, forneça todas as informações certas para uma resolução rápida. Um dos desafios para atingir esse objetivo é que não há uma maneira central de lidar com o acesso negado e cada aplicativo lida com ele de forma diferente e, portanto, no Windows Server 2012, um dos objetivos é melhorar a experiência de acesso negado para o Windows Explorer.	Cenário: Assistência Access-Denied	Plano de Assistência Access-Denied - Determinar o modelo de assistência para acesso negado - Determinar quem deve lidar com solicitações de acesso - Personalizar a mensagem de ajuda de acesso negado - Planejar exceções - Determinar como a assistência de acesso negado é implantada	Implantar Access-Denied Assistência (etapas de demonstração)
Cenário: Criptografia Classification-Based para documentos do Office A proteção de informações confidenciais tem como principal objetivo mitigar o risco para a organização. Vários regulamentos de conformidade, como HIPAA ou Payment Card Industry Data Security Standard (PCI-DSS), ditam a criptografia de informações, e há inúmeras razões comerciais para criptografar informações comerciais confidenciais. No entanto, criptografar informações é caro e pode prejudicar a produtividade dos negócios. Assim, as organizações tendem a ter diferentes abordagens e prioridades para criptografar suas informações. Para dar suporte a esse cenário, o Windows Server 2012 oferece a capacidade de criptografar automaticamente arquivos confidenciais do Windows Office com base em sua classificação. Isso é feito por meio de tarefas de gerenciamento de arquivos que invocam a proteção do Ative Directory Rights Management Server (AD RMS) para documentos confidenciais alguns segundos após o arquivo ser identificado como sendo um arquivo confidencial no servidor de arquivos.	Cenário: Criptografia Classification-Based para documentos do Office	Planejar a implantação para criptografia de documentos baseada em classificação	Implantar criptografia de arquivos do Office (etapas de demonstração)
Cenário: Obtenha informações sobre seus dados usando a classificação A dependência de dados e recursos de armazenamento continuou a crescer em importância para a maioria das organizações. Os administradores de TI enfrentam o desafio crescente de supervisionar infraestruturas de armazenamento maiores e mais complexas e, ao mesmo tempo, têm a responsabilidade de garantir que o custo total de propriedade seja mantido em níveis razoáveis. O gerenciamento de recursos de armazenamento não é mais apenas sobre o volume ou a disponibilidade de dados, mas também sobre a aplicação de políticas da empresa e saber como o armazenamento é consumido para permitir a utilização eficiente e a conformidade para reduzir os riscos. A Infraestrutura de Classificação de Arquivos fornece informações sobre seus dados automatizando os processos de classificação para que você possa gerenciar seus dados de forma mais eficaz. Os seguintes métodos de classificação estão disponíveis com a Infraestrutura de Classificação de Arquivos: manual, programática e automática. Este cenário se concentra no método de classificação automática de arquivos.	Cenário: Obtenha informações sobre seus dados usando a classificação	Planejar a classificação automática de arquivos	Implantar classificação automática de arquivos (etapas de demonstração)
Cenário: Implementar retenção de informações em servidores de arquivos Um período de retenção é o período de tempo durante o qual um documento deve ser conservado antes de expirar. Dependendo da organização, o período de retenção pode ser diferente. Você pode classificar os arquivos em uma pasta como tendo um período de retenção de curto, médio ou longo prazo e, em seguida, atribuir o período de tempo para cada período. Você pode querer manter um arquivo indefinidamente, colocando-o em espera legal. A Infraestrutura de Classificação de Arquivos e o Gerenciador de Recursos de Servidor de Arquivos usam tarefas de gerenciamento de arquivos e classificação de arquivos para aplicar períodos de retenção para um conjunto de arquivos. Você pode atribuir um período de retenção em uma pasta e, em seguida, usar uma tarefa de gerenciamento de arquivos para configurar quanto tempo um período de retenção atribuído deve durar. Quando os arquivos na pasta estão prestes a expirar, o proprietário do arquivo recebe um e-mail de notificação. Você também pode classificar um arquivo como estando em retenção legal para que a tarefa de gerenciamento de arquivos não expire o arquivo.	Cenário: Implementar retenção de informações em servidores de arquivos	Planejar a retenção de informações em servidores de arquivos	Implementar a retenção de informações em servidores de ficheiros (passos de demonstração)

Note

O Controle de Acesso Dinâmico não é suportado no ReFS (Sistema de Arquivos Resiliente).

Consulte também

Tipo de conteúdo	References
Avaliação do produto	- Guia dos Revisores do Controle de Acesso Dinâmico - Orientação para desenvolvedores do Controle de Acesso Dinâmico
Planning	- Planejando uma implantação de política de acesso central - Planejar a auditoria de acesso a arquivos
Deployment	- Implantação do Ative Directory - Implantação de serviços de arquivo e armazenamento
Operations	Referência do PowerShell do Controle de Acesso Dinâmico

| Recursos| da comunidadeFórum de Serviços de Diretório|

Feedback

Esta página foi útil?

Last updated on 2025-05-04