O controlo de acesso é o processo de autorização de acesso a objectos na rede ou computador a utilizadores, grupos ou computadores.

Para compreender e gerir o controlo de acesso, necessita de compreender a relação entre:

  • Objectos (ficheiros, impressoras e outros recursos)

  • Tokens de acesso

  • Listas de controlo de acesso (ACLs) e entradas de controlo de acesso (ACEs)

  • Requerentes (utilizadores ou aplicações)

  • O sistema operativo

  • Permissões

  • Direitos e privilégios de utilizador

Antes de um requerente poder obter acesso a um objecto, o requerente tem de identificar-se perante o subsistema de segurança do sistema operativo. Esta identidade está contida num token de acesso que é recriado sempre que um requerente inicia sessão. Antes de permitir que o requerente aceda a um objecto, o sistema operativo verifica o token de acesso para determinar se o requerente está autorizado a aceder ao objecto e a executar a tarefa pretendida. A verificação é efectuada comparando as informações no token de acesso com as entradas de controlo de acesso (ACEs) para o objecto.

Os ACEs podem permitir ou negar vários comportamentos diferentes, consoante o tipo de objecto. Por exemplo, as opções aplicáveis a um objecto de ficheiro são Ler, Escrever e Executar. Para uma impressora, as ACEs que estão disponíveis são Imprimir, Gerir impressoras e Gerir documentos.

As ACEs individuais para um objecto são combinadas numa lista de controlo de acesso (ACL). O subsistema de segurança procura, na ACL do objecto, ACEs que se apliquem ao utilizador e aos grupos aos quais o utilizador pertence. Percorre cada ACE até encontrar uma que permite ou nega acesso ao utilizador ou a um dos grupos de um utilizador, ou até não existirem mais ACEs a verificar. Se chegar ao fim da ACL e o acesso pretendido ainda não tiver sido explicitamente permitido ou negado, o subsistema de segurança nega acesso ao objecto.

Permissões

As permissões definem o tipo de acesso concedido a um utilizador ou grupo a um objecto ou propriedade de objecto. Por exemplo, podem ser concedidas permissões Ler e Escrever ao grupo Finanças para um ficheiro com o nome Pagamentos.dat.

Utilizando a interface de utilizador de controlo de acesso, pode definir permissões de NTFS a objectos, tais como ficheiros, objectos do Active Directory, objectos de registo ou objectos do sistema, tal como processos. As permissões podem ser concedidas a qualquer utilizador, grupo ou computador. A atribuição de permissões a grupos é um procedimento recomendado porque melhora o desempenho do sistema ao verificar-se o acesso a um objecto.

Para qualquer objecto, pode conceder permissões para:

  • Grupos, utilizadores e outros objectos com identificadores de segurança no domínio.

  • Grupos e utilizadores nesse domínio e nos domínios fidedignos.

  • Grupos e utilizadores locais do computador onde o objecto reside.

As permissões anexas a um objecto dependem do tipo de objecto. Por exemplo, as permissões que podem ser anexadas a um ficheiro são diferentes daquelas que podem ser anexadas a uma chave de registo. No entanto, algumas permissões são comuns à maioria dos tipos de objectos. As permissões comuns são:

  • Leitura

  • Modificar

  • Alterar proprietário

  • Eliminar

Quando define permissões, especifica o nível de acesso para grupos e utilizadores. Por exemplo, pode permitir que um utilizador leia o conteúdo de um ficheiro, permitir que outro utilizador faça alterações ao ficheiro e impedir que todos os outros utilizadores tenham acesso ao ficheiro. Pode definir permissões semelhantes para impressoras, para que determinados utilizadores possam configurar a impressora e outros possam apenas imprimir.

Quando necessitar de alterar as permissões de um ficheiro, pode executar o Explorador do Windows, clicar com o botão direito do rato no nome do ficheiro e, em seguida, clicar em Propriedades. No separador Segurança, pode alterar permissões no ficheiro. Para obter mais informações, consulte Gerir Permissões.

Nota

Outro tipo de permissões, designado por permissões de partilha, é definido no separador Partilha da página Propriedades de uma pasta ou utilizando o Assistente de Pasta Partilhada. Para mais informações, consulte Permissões de Partilha e NTFS num Servidor de Ficheiros.

Propriedade de objectos

Um proprietário é atribuído a um objecto quando esse objecto é criado. Por predefinição, o proprietário é o criador do objecto. Independentemente das permissões definidas para um objecto, o proprietário do objecto pode sempre alterar as permissões de um objecto. Para obter mais informações, consulte Gerir Propriedades de Objecto.

Herança de permissões

A herança permite aos administradores atribuírem e gerirem facilmente permissões. Esta funcionalidade faz com que os objectos de um contentor herdem automaticamente as permissões desse contentor. Por exemplo, quando são criados, os ficheiros de uma pasta herdam as permissões da pasta. Só serão herdadas as permissões marcadas para tal.

Direitos e privilégios de utilizador

Os direitos de utilizador concedem privilégios específicos e direitos de início de sessão a utilizadores e grupos no ambiente informático. Os administradores podem atribuir direitos específicos a contas de grupos ou de utilizadores individuais. Estes direitos autorizam os utilizadores a efectuar acções específicas, tal como iniciar sessão num sistema de forma interactiva ou fazer cópias de segurança de ficheiros e directórios.

Os direitos de utilizador são diferentes das permissões porque os direitos aplicam-se a contas de utilizador e as permissões estão ligadas a objectos. Apesar de os direitos de utilizador poderem ser aplicados a contas de utilizador individuais, a administração desses direitos é preferível em contas de grupos. Não existe nenhum suporte na interface de utilizador de controlo de acesso para a concessão de direitos de utilizador. No entanto, a atribuição dos direitos de utilizador pode ser administrada através do snap-in Política de Segurança Local em Políticas Locais\Atribuição de Direitos de Utilizadores. Para mais informações, consulte Direitos e Privilégios de Utilizador.

Auditoria de objectos

Com direitos de administrador, pode auditar o acesso dos utilizadores a objectos com ou sem êxito. Pode seleccionar o objecto de acesso a auditar utilizando a interface de utilizador de controlo de acesso, mas primeiro tem de activar a política de auditoria seleccionando Auditar o acesso a objectos em Política Local\Política de Auditoria\Políticas Locais no snap-in Política de Segurança Local. Pode, em seguida, ver estes eventos relacionados com a segurança no Registo de segurança do Visualizador de Eventos.

Referências adicionais


Sumário