AULA_04_Estacio

Prévia do material em texto

Lição 1: Visão geral do 
gerenciamento de acesso 
 O que são entidades de segurança? 
 O que são tokens de acesso? 
 O que são permissões? 
 Como funciona o controle de acesso 
O que são entidades de 
segurança?
Entidade de Segurança - Usuários, grupos ou objetos de 
computador que podem ser usados para autenticação e para atribuir 
acesso aos recursos.
Identificador Relativo (RID) - Parte do SID que identifica 
exclusivamente uma conta ou grupo em um domínio.
Identificador de Segurança (SID) - Um valor exclusivo atribuído 
quando um usuário, computador ou grupo de segurança é criado. Os 
processos internos do Windows referem-se a um SID da conta em vez 
de a um nome de usuário ou de grupo da conta.
Entidade de Segurança
S-1-5-21-
1454471165-
1004336348-
1606980848-
5555
SID
RID
DomainID
O que são tokens de 
acesso? 
Token de acesso do 
usuário
Assunto
Outras informações 
de acesso
Lista de direitos de 
usuário
SID de grupo
SID de usuário
O que são permissões?
Como as permissões são atribuídas?
É possível atribuir ou negar permissão a um recurso 
(pasta, impressora, arquivo)
Permissões:
• Regras para conceder ou negar acesso a um objeto
• São usadas para controlar o acesso
As permissões podem ser atribuídas a contas do 
computador local ou de AD DS
As permissões podem ser aplicadas de forma explícita ou 
implícita, ou herdadas
Como funciona o controle 
de acesso
DACL (Lista de controle de acesso discricionário)
A DACL contém um lista de usuários e grupos que podem acessar 
ou que tiveram o acesso negado ao recurso
Todo arquivo e pasta em um volume NTFS tem uma DACL 
associada
SACL (Lista de controle de acesso do sistema)
A SACL controla a auditoria de acesso ao recurso 
ACE (Entrada de controle de acesso)
Define cada entrada em uma DACL ou SACL
Especifica o conjunto de SIDs que será permitido, negado ou 
auditado
Se nenhuma ACE for especificada em uma DACL, o acesso ao 
recurso será negado
Lição 2: Gerenciamento de permissões 
de arquivos e pastas NTFS 
 O que são permissões NTFS? 
 O que são permissões padrão e especiais?
 O que é herança de permissões NTFS? 
 Impactos nas permissões NTFS ao copiar e mover 
arquivos e pastas
O que são permissões NTFS?
Permissões de arquivos Permissões de pastas
Ler Ler
Gravar Gravar
Ler e Executar Listar conteúdo de pastas
Modificar Ler e Executar
Controle total Modificar
Controle total
As permissões Negar têm prioridade sobre as permissões 
Permitir. 
O que são permissões padrão e 
especiais?
Permissões especiais
Desviar pasta / Executar 
arquivo 
Criar pastas/Acrescentar 
dados 
Ler permissões 
Listar pasta/ Ler dados Gravar atributos Alterar permissões 
Ler atributos Gravar atributos estendidos Apropriar-se 
Ler atributos estendidos Excluir subpastas e arquivos Sincronização 
Criar arquivos / Gravar 
dados 
Excluir 
Permissões padrão
Ler Listar conteúdo de pastas Modificar 
Gravar Ler e Executar Controle total 
O que é herança de 
permissões NTFS?
Bloqueio
A herança de permissão pode ser bloqueada
A herança é usada para gerenciar o acesso aos recursos sem 
atribuir permissões explícitas para cada objeto
Por padrão, as permissões NTFS são herdadas em uma relação 
pai/filho
O bloqueio pode ser executado no nível do arquivo ou da 
pasta
O bloqueio de pastas pode ser definido para propagar as 
novas permissões para os objetos filho
Impactos nas permissões NTFS ao 
copiar e mover arquivos e pastas 
•Quando você copia arquivos e pastas, eles herdam 
as permissões da pasta de destino
•Quando você move arquivos e pastas na mesma 
partição, eles mantêm suas permissões
•Quando você move arquivos e pastas para outra 
partição, eles herdam as permissões da pasta de 
destino
Partição NTFS
C:\
Partição NTFS
E:\Partição NTFS
D:\
Mover
Copiar
ou
Mover
Copiar
Lição 3: Atribuição de permissões para 
recursos compartilhados 
 O que são pastas compartilhadas? 
 O que são pastas compartilhadas administrativas? 
 Permissões de pasta compartilhada
 Conectando-se a pastas compartilhadas
 Considerações sobre o uso de pastas compartilhadas
 Implantação e configuração de arquivos offline
O que são pastas compartilhadas? 
É possível compartilhar pastas, mas não é possível 
compartilhar arquivos individuais
As Pastas Compartilhadas são pastas que permitem o acesso 
ao conteúdo por meio da rede
Por padrão, a permissão das pastas compartilhadas é 
Controle total do usuário que compartilhou a pasta
As pastas compartilhadas podem ser identificadas:
Por meio do Gerenciamento de Compartilhamento e 
Armazenamento do Console MMC
No Windows Explorer, usando o ícone com os dois usuários 
abaixo da pasta
Por meio da linha de comando do Net Share
Por meio do Gerenciador de Computador em Arquivos 
Compartilhados
O que são pastas compartilhadas 
administrativas?
Compartilhamentos administrativos:
• São compartilhamentos ocultos
• Não são exibidos ao usar o Net View ou na exibição da 
rede
Os administradores 
possuem permissões 
completas
As permissões de 
compartilhamento não 
podem ser alteradas
Permissões de pasta compartilhada 
Nível de 
permissão
Acesso
Ler
• Permite exibir os dados dos arquivos 
• Permite a navegação em subpastas
• Os programas nas pastas compartilhadas podem 
ser executados
• Por padrão, aplicada ao grupo Todos
Alterar
• Todas as permissões da categoria Leitura 
• Novos arquivos e subpastas podem ser criados
• Os dados em pastas existentes podem ser 
modificados ou removidos
• Arquivos e subpastas podem ser excluídos
Controle total 
• Todas as permissões incluídas nas categorias 
Leitura e Alteração e a permissão para alterar as 
configurações de segurança
Conexão de Pastas compartilhadas
Acesso por meio de UNC: 
Acesso por meio da Rede:
A convenção de nomenclatura é 
\\nomedoservidor\compartilhamento ou 
\\nomedoservidor\compartilhamento\arquivo
Pode ser acessado por meio do Windows Explorer, linha de 
comando ou programaticamente
Usa uma ferramenta gráfica para procurar compartilhamentos 
na rede
Trabalha no domínio ou no modo grupo de trabalho
Não exibe compartilhamentos ocultos ou administrativos
Acesso por meio de unidades mapeadas:
Utilize o Windows Explorer ou uma linha de comando para 
mapear uma unidade para \\nomedoservidor\compartilhamento
Considerações sobre o uso de pastas 
compartilhadas
Ao criar pastas compartilhadas:
Utilize as permissões mais restritivas possíveis
Evite atribuir permissões a usuários individuais, use 
grupos sempre que possível 
Lembre-se de que o Controle total permite que os 
usuários modifiquem as permissões NTFS. Tenha 
cautela ao adicionar grupos ao grupo de permissão 
Controle total
Adicione o grupo Usuários Autenticados e remova o 
grupo Todos das permissões de compartilhamento



Implantação e configuração de 
arquivos offline
Ao criar arquivos offline:
Selecione uma pasta em um local na rede, sincronize e 
desconecte o computador
Edite os documentos com o computador desconectado
Conecte o computador à rede novamente para atualizar 
as alterações
Os arquivos são sincronizados automaticamente



Lição 4: Determinação de 
permissões efetivas
 O que são permissões NTFS efetivas 
 Discussão: Aplicação de permissões NTFS
 Impactos da combinação de permissões de Pasta 
compartilhada e NTFS
 Discussão: Determinação de permissões efetivas de 
Pasta compartilhada e NTFS
 Considerações para a implementação de permissões 
NTFS e Pasta compartilhada 
O que são permissões NTFS 
efetivas? 
As permissões 
NTFSsão 
cumulativas
Modificar
Executar
Gravar
Ler
Negar tem 
precedência
As permissões 
podem ser 
aplicadas a um 
usuário ou a um 
grupo
As permissões 
de arquivo 
substituem as 
permissões de 
pasta
Os criadores de 
arquivos e 
pastas são seus 
proprietários
Discussão: Aplicação de 
permissões NTFS
Grupo 
Usuários
Grupo Vendas
Usuário1
O grupo Usuários tem 
permissão Gravar
para a Pasta1
O grupo Vendas tem 
permissão Ler para 
Pasta1
1
O grupo Usuários tem 
permissão Ler para a 
Pasta1
O grupo Vendas tem 
permissão Gravar
para a Pasta2
2
O grupo Usuários tem 
permissão Modificar
para a Pasta1
O Arquivo2 só deve 
estar acessível ao 
grupo Vendas com a 
permissão Ler
3
Partição NTFS
Arquivo2
Pasta1
Pasta2
Arquivo1
Impactos da combinação de 
permissões NTFS e de Pasta 
Compartilhada
Ao combinar permissões de pasta compartilhada e 
NTFS, a permissão mais restritiva é aplicada
As permissões de pasta compartilhada e arquivo NTFS 
devem ter permissões corretas, caso contrário, o 
usuário ou grupo terá acesso implicitamente negado ao 
recurso

Exemplo: Se um usuário ou grupo receber a permissão de 
compartilhamento Ler e a permissão NTFS Gravar, o usuário 
ou grupo somente conseguirá ler o arquivo porque essa é a 
permissão mais restritiva
Discussão: Determinação de permissões 
efetivas de Pasta compartilhada e NTFS
Discussão em sala de aula:
 Determinar as permissões NTFS efetivas
 Determinar as permissões de pasta compartilhada
Volume NTFS
UsuáriosGrupo Usuários CT
Usuário3
Usuário2
Usuário1 Usuário1
1
Usuário3
Usuário2
CT
CT
CT
CT = Controle total
Volume NTFS
DadosGrupo Vendas
Grupo 
Vendas
2
CT
Vendas
Pubs
RH
CT
Considerações para a 
implementação de permissões 
NTFS e de Pasta compartilhada
Conceda permissões a grupos em vez de a usuários
Use as permissões Negar somente quando necessário
Nunca negue ao grupo Todos o acesso a um objeto
Conceda permissões no local mais elevado possível da 
estrutura de pastas

Use permissões NTFS em vez de permissões 
compartilhadas em acesso refinado
