Proteja o acesso a ficheiros utilizando a visão geral do controlo de acesso dinâmico (DAC)
Você pode proteger o acesso usando o Controle de Acesso Dinâmico e criando políticas de acesso centrais no ative Directory e aplicando-as a arquivos e pastas em SVMs por meio de objetos de Diretiva de Grupo aplicados (GPOs). Você pode configurar a auditoria para usar eventos de preparação de políticas de acesso central para ver os efeitos das alterações nas políticas de acesso central antes de aplicá-las.
Adições às credenciais CIFS
Antes do Controle de Acesso Dinâmico, uma credencial CIFS incluía a identidade de um responsável de segurança (o usuário) e a associação de grupo do Windows. Com o Dynamic Access Control, mais três tipos de informações são adicionados à identidade do dispositivo, às declarações do dispositivo e às declarações do usuário:
-
Identidade do dispositivo
O analógico das informações de identidade do usuário, exceto se for a identidade e associação de grupo do dispositivo do qual o usuário está fazendo login.
-
Reclamações do dispositivo
Afirmações sobre um dispositivo principal de segurança. Por exemplo, uma alegação de dispositivo pode ser que ela seja membro de uma ou específica.
-
Reclamações do utilizador
Afirmações sobre um responsável de segurança do usuário. Por exemplo, uma alegação de usuário pode ser que sua conta do AD seja membro de uma ou específica.
Políticas de acesso central
As políticas de acesso central para arquivos permitem que as organizações implantem e gerenciem centralmente políticas de autorização que incluem expressões condicionais usando grupos de usuários, reivindicações de usuários, declarações de dispositivos e propriedades de recursos.
Por exemplo, para acessar dados de alto impactos nos negócios, um usuário precisa ser um funcionário em tempo integral e ter acesso apenas aos dados de um dispositivo gerenciado. As políticas de acesso central são definidas no ative Directory e distribuídas para servidores de arquivos através do mecanismo GPO.
Preparação de políticas de acesso central com auditoria avançada
As políticas de acesso central podem ser "envelhecidas", caso em que são avaliadas de forma "'What-if'" durante as verificações de acesso ao arquivo. Os resultados do que teria acontecido se a política estivesse em vigor e como isso difere do que está configurado atualmente são registrados como um evento de auditoria. Dessa forma, os administradores podem usar logs de eventos de auditoria para estudar o impactos de uma alteração de política de acesso antes de realmente colocar a política em jogo. Depois de avaliar o impactos de uma alteração de política de acesso, a política pode ser implantada via GPOs nos SVMs desejados.