Visão geral do controle de acesso

Este artigo descreve o controle de acesso no Windows, que é o processo de autorizar usuários, grupos e computadores a acessar objetos na rede ou no computador. Os principais conceitos que compõem o controle de acesso são:

  • Permissões
  • propriedade de objetos
  • herança de permissões
  • direitos do usuário
  • auditoria de objeto

Os computadores que estão executando uma versão com suporte do Windows podem controlar o uso de recursos de sistema e rede por meio dos mecanismos interrelacionados de autenticação e autorização. Depois que um usuário é autenticado, o sistema operacional Windows usa tecnologias internas de autorização e controle de acesso para implementar a segunda fase de proteção de recursos: determinar se um usuário autenticado tem as permissões corretas para acessar um recurso.

Os recursos compartilhados estão disponíveis para usuários e grupos diferentes do proprietário do recurso e precisam ser protegidos contra uso não autorizado. No modelo de controle de acesso, usuários e grupos (também chamados de entidades de segurança) são representados por SIDs (identificadores de segurança exclusivos). Eles recebem direitos e permissões que informam ao sistema operacional o que cada usuário e grupo pode fazer. Cada recurso tem um proprietário que concede permissões a entidades de segurança. Durante o controle de acesso marcar, essas permissões são examinadas para determinar quais entidades de segurança podem acessar o recurso e como podem acessá-lo.

As entidades de segurança executam ações (que incluem Leitura, Gravação, Modificação ou Controle Completo) em objetos. Os objetos incluem arquivos, pastas, impressoras, chaves de registro e objetos Active Directory Domain Services AD DS (AD DS). Os recursos compartilhados usam ACLs (listas de controle de acesso) para atribuir permissões. Isso permite que os gerenciador de recursos imponham o controle de acesso das seguintes maneiras:

  • Negar acesso a usuários e grupos não autorizados
  • Definir limites bem definidos no acesso fornecido a usuários e grupos autorizados

Os proprietários de objetos geralmente concedem permissões a grupos de segurança e não a usuários individuais. Usuários e computadores adicionados a grupos existentes assumem as permissões desse grupo. Se um objeto (como uma pasta) puder conter outros objetos (como subpastas e arquivos), ele será chamado de contêiner. Em uma hierarquia de objetos, a relação entre um contêiner e seu conteúdo é expressa referindo-se ao contêiner como o pai. Um objeto no contêiner é chamado de filho e o filho herda as configurações de controle de acesso do pai. Os proprietários de objetos geralmente definem permissões para objetos de contêiner, em vez de objetos filho individuais, para facilitar o gerenciamento de controle de acesso.

Este conjunto de conteúdo contém:

Edição do Windows e requisitos de licenciamento

A tabela a seguir lista as edições do Windows que dão suporte a Controle de Acesso (ACL/SACL):

Windows Pro Windows Enterprise Windows Pro Education/SE Windows Education
Sim Sim Sim Sim

Controle de Acesso (direitos de licença ACL/SACL) são concedidos pelas seguintes licenças:

Windows Pro/Pro Education/SE Windows Enterprise E3 Windows Enterprise E5 Windows Education A3 Windows Education A5
Sim Sim Sim Sim Sim

Para obter mais informações sobre o licenciamento do Windows, consulte Visão geral do licenciamento do Windows.

Aplicações práticas

Os administradores que usam a versão com suporte do Windows podem refinar o aplicativo e o gerenciamento do controle de acesso a objetos e sujeitos para fornecer a seguinte segurança:

  • Proteger um número maior e uma variedade de recursos de rede contra uso indevido
  • Provisionar usuários para acessar recursos de forma consistente com as políticas organizacionais e os requisitos de seus trabalhos
  • Permitir que os usuários acessem recursos de vários dispositivos em vários locais
  • Atualizar a capacidade dos usuários de acessar recursos regularmente à medida que as políticas de uma organização mudam ou à medida que os trabalhos dos usuários mudam
  • Conta para um número crescente de cenários de uso (como acesso de locais remotos ou de uma variedade de dispositivos em rápida expansão, como tablets e telefones celulares)
  • Identificar e resolve problemas de acesso quando os usuários legítimos não conseguem acessar os recursos necessários para executar seus trabalhos

Permissões

As permissões definem o tipo de acesso concedido a um usuário ou grupo para uma propriedade de objeto ou objeto. Por exemplo, o grupo Finance pode receber permissões de leitura e gravação para um arquivo chamado Payroll.dat.

Usando a interface do usuário de controle de acesso, você pode definir permissões NTFS para objetos como arquivos, objetos do Active Directory, objetos de registro ou objetos do sistema, como processos. As permissões podem ser concedidas a qualquer usuário, grupo ou computador. É uma boa prática atribuir permissões a grupos porque melhora o desempenho do sistema ao verificar o acesso a um objeto.

Para qualquer objeto, você pode conceder permissões para:

  • Grupos, usuários e outros objetos com identificadores de segurança no domínio.
  • Grupos e usuários nesse domínio e em domínios confiáveis.
  • Grupos locais e usuários no computador em que o objeto reside.

As permissões anexadas a um objeto dependem do tipo de objeto. Por exemplo, as permissões que podem ser anexadas a um arquivo são diferentes daquelas que podem ser anexadas a uma chave de registro. Algumas permissões, no entanto, são comuns à maioria dos tipos de objetos. Essas permissões comuns são:

  • Leitura
  • Modificar
  • Alterar proprietário
  • Excluir

Ao definir permissões, você especifica o nível de acesso para grupos e usuários. Por exemplo, você pode permitir que um usuário leia o conteúdo de um arquivo, permitir que outro usuário faça alterações no arquivo e impedir que todos os outros usuários acessem o arquivo. Você pode definir permissões semelhantes em impressoras para que determinados usuários possam configurar a impressora e outros usuários só possam imprimir.

Quando você precisar alterar as permissões em um arquivo, poderá executar o Windows Explorer, clicar com o botão direito do mouse no nome do arquivo e selecionar Propriedades. Na guia Segurança , você pode alterar permissões no arquivo. Para obter mais informações, consulte Gerenciando permissões.

Observação

Outro tipo de permissões, chamada de permissões de compartilhamento, é definido na guia Compartilhamento da página Propriedades de uma pasta ou usando o Assistente de Pasta Compartilhada. Para obter mais informações, confira Compartilhar e permissões NTFS em um servidor de arquivos.

Propriedade de objetos

Um proprietário é atribuído a um objeto quando esse objeto é criado. Por padrão, o proprietário é o criador do objeto. Não importa quais permissões sejam definidas em um objeto, o proprietário do objeto sempre pode alterar as permissões. Para obter mais informações, consulte Gerenciar Propriedade de Objeto.

Herança de permissões

A herança permite que os administradores atribuam e gerenciem facilmente permissões. Esse recurso faz com que objetos dentro de um contêiner herdem todas as permissões herdáveis desse contêiner. Por exemplo, os arquivos dentro de uma pasta herdam as permissões da pasta. Somente as permissões marcadas para serem herdadas são herdadas.

Direitos do usuário

Os direitos do usuário concedem privilégios específicos e direitos de entrada a usuários e grupos em seu ambiente de computação. Os administradores podem atribuir direitos específicos a contas de grupo ou a contas de usuário individuais. Esses direitos autorizam os usuários a executar ações específicas, como entrar em um sistema de forma interativa ou fazer backup de arquivos e diretórios.

Os direitos do usuário são diferentes das permissões porque os direitos do usuário se aplicam a contas de usuário e as permissões estão associadas a objetos. Embora os direitos de usuário possam ser aplicados a contas de usuário individuais, os direitos do usuário são melhor administrados em uma conta de grupo. Não há suporte na interface do usuário de controle de acesso para conceder direitos de usuário. No entanto, a atribuição de direitos do usuário pode ser administrada por meio de Configurações de Segurança Local.

Para obter mais informações sobre os direitos do usuário, consulte Atribuição de Direitos de Usuário.

Auditoria de objetos

Com os direitos do administrador, você pode auditar o acesso bem-sucedido ou com falha dos usuários aos objetos. Você pode selecionar qual objeto acessar para auditoria usando a interface do usuário de controle de acesso, mas primeiro você deve habilitar a política de auditoria selecionando o acesso ao objeto Audit em Políticas Locais nas Configurações de Segurança Local. Em seguida, você pode exibir esses eventos relacionados à segurança no log de segurança no Visualizador de Eventos.

Para obter mais informações sobre auditoria, consulte Visão geral da Auditoria de Segurança.

Consulte também

Para obter mais informações sobre controle de acesso e autorização, consulte Controle de Acesso e Visão geral da autorização.