Dynamic Access Control passo a passo

O Windows Server 2012 oferece uma alternativa para o controle de acesso atual para arquivos em nível de diretório ou grupo com uma nova abordagem complementar: Vamos conhecer e implementar o controle de acesso dinâmico (DAC).

Para  implementar de maneira eficaz o DAC no Windows Server 2012 é necessário ter em mente um cenário de aplicação.
Neste ambiente no meu domínio contoso.com vamos definir que arquivos classificados como “Confidenciais” serão acessados somente por “Gerentes” desde que as estações façam parte do grupo de segurança “ITManageComputers

Vamos também definir que as pastas de Projeto serão acessadas somente pela equipe de projetos.


Criar um GPO para configurar o KDC e Preparar o ambiente do Active Directory

+  Habilite a politica KDC Support for Claims, compund authentication and KerberosArmoring

image

Esta configuração de política permite que você configure um controlador de domínio para suportar as reivindicações e autenticação para o DAC e também o Kerberos armoringusando a autenticação Kerberos.

+ No PowerShell do controlador de dominio do Active Directory crie um grupo chamado ITManageComputers

New-ADGrgereoup -Name ITManageComputers -GroupCategory Security -GroupScope Global  -DisplayName ITManageComputers

+  Crie um grupo chamado Gerentes

New-ADGroup -Name Gerentes -GroupCategory Security -GroupScope Global  -DisplayName Gerentes

+ Crie uma OU chamada DAC – Adicione nessa OU os computadores que farão parte do Dynamic Access Control

New-ADOrganizationalUnit -Name DAC

+ Crie uma OU chamada Gerentes de TI – Adicione aos menos dois usuários que serão serão gerentes de TI nesse cenário e note que o atributo Department deve ser atribuído corretamente.

New-ADOrganizationalUnit –Name “Gerentes de TI“

New-ADUser “BillGates” -Path “OU=Gerentes de TI,DC=Contoso,DC=com” -Department “Gerente”

New-ADUser “SteveBallmer” -Path “OU=Gerentes de TI,DC=Contoso,DC=com” -Department “Gerente”

+ Adicione os gerentes ao grupo de gerentes

Get-ADUser -Filter * -SearchBase “ou=gerentes de ti, dc=contoso,dc=com” | Add-ADPrincipalGroupMembership -MemberOf Gerentes

+ Crie uma OU chamada Projetos

New-ADOrganizationalUnit -Name Projetos

New-ADUser “SteveWoz” -Path “OU=Projetos,DC=Contoso,DC=com” -Department “Projetos”

+ Coloque os computadores que estão na OU DAC como membro do grupo ITManageComputers

image

CONFIGURANDO O DAC

+ Abra o Administrative Center no Active Directory e selecione o modo de visualização em “Arvore” para facilitar as configurações..

image

CLAIM TYPES

No Painel da esquerda em “Dynamic Access Control” selecione Claim Types.

Clique com o lado direito, New > Claim Types

Selecione Department, forneça um nome e descrição e clique em OK

Não se esqueça de marcar a caixa para usuários e computadores.

image

Repita a operação agora com o tributo description, selecionando apenas o “Computador”.

image

RESOURCE PROPERTIES

No Painel da esquerda em “Dynamic Access Control” selecione Resource Properties

Selecione “Department” e Habilite

Habilite também Confidentiality

image

Abra “Department” e adicione “Projetos” em “Valores Sugeridos”

image

RESOURCE PROPERTIES LISTS

Para esse tipo de configuração, devemos apenas nos certificar que essas duas propriedades estão presentes em Global Resource Property Lists, mas quando você criar alguma propriedade especifica, você deve adicionar manualmente na lista de propriedades.

CENTRAL ACCESS RULES

Neste ponto será criada uma regra de acesso com base nas seguintes configurações:

  • Nome da Regra : Regra Projetos
  • Target Resource : (Resource.Department Equals “Projetos”)
  • Permissão: Permitir modificar para (User.Departamentos Equals Resource Department)

No Painel da esquerda em “Dynamic Access Control” selecione Central Access Rules.

Clique com o lado direito, New > Central Access Rules

Em Target Resources clique em Edit.

image

image

Em Permissions clique em Editar remova o administração e adicione o grupo Authenticated Users.

image

Neste ponto será criada uma regra de acesso com base nas seguintes configurações:

Como implantar classificação de arquivos. http://technet.microsoft.com/pt-br/library/hh831672.aspx

  • Nome da Regra : Documentos Confidenciais
  • Target Resource : (Resource.Confidentiality Equals High)
  • Permissão: Permitir modificar para  (User.Grupo Equals Gerente e Device.Grupo Equals ITManagerComputer)

No Painel da esquerda em “Dynamic Access Control” selecione Central Access Rules.

Clique com o lado direito, New > Central Access Rules

Em Target Resources clique em Edit.

image

Em Permissions clique em Editar remova o administração e adicione o grupo Authenticated Users.

image

CENTRAL ACCESS POLICIES

Neste ponto será criada uma regra de acesso com base nas configurações criadas

Clique em Central Access Policies e crie um politica chamada “Documentos confidenciais” e adicione a regra “Documentos Confidenciais”.

image

image

Repita a operação criando uma nova politica chamada “Controle de Acesso a projetos” e adicione a regra “Regra Projetos”.

Publicando a politica de Dynamic Access via GPO

Crie uma GPO e configure e politica em
Computer Configuration \ Windows Settings \ Security Settings \ File System \ Central Access Policy

image

Ainda editando a GPO defina um controle de acesso negado onde os usuários possam solicitar acesso aos arquivos no qual ele receber acesso negado.

image

Nas propriedades da pasta ou arquivo acesse “Propriedades > Security > Advanced > Central Access Policy e selecione a politica de DAC desejada.

image

Teste com as contas criadas anteriormente neste artigo

  • Artigo migrado – 1903 acessos até a data 01/10/2015

Anúncio

Sobre Daniel Donda 549 Artigos
Olá, meu nome é Daniel Donda e sou especialista em cibersegurança, autor de livros, professor e palestrante. Saiba mais

Seja o primeiro a comentar

Faça um comentário

Seu e-mail não será divulgado.


*