Clique aqui para instalar o Silverlight*
BrasilAlterar|Todos os sites da Microsoft
Microsoft
Kit Core IO
Seu novo Servidor
Homepage Windows Server 2008 R2

Identidade e Acesso no Windows Server 2008

Publicado em: 28 de fevereiro de 2007 | Atualizado em: 25 de abril de 2007

Gerenciar identidades de usuários é a máxima prioridade para a maioria das empresas nos dias de hoje. As pessoas precisam acessar múltiplos sistemas e recursos na rede corporativa, utilizando diferentes tipos de dispositivos. No entanto, pelo fato de muitos desses sistemas não se comunicarem uns com os outros, é comum que exista, diversas identidades para a mesma pessoa. Como resultado disso, gerenciar identidades redundantes torna-se complexo, consome tempo e aumenta os riscos de segurança devido aos erros.

As soluções de Identidade e Acesso Microsoft são um conjunto de produtos e tecnologias de plataforma com o objetivo de ajudar as organizações no gerenciamento de identidades de usuários e privilégios de acesso associados. Com o foco na segurança e na facilidade de uso, essas soluções ajudam as empresas a obter produtividade, reduzir custos de TI e eliminar a complexidade do gerenciamento de identidade e acesso. As soluções de Identidade e Acesso Microsoft são divididas em cinco áreas distintas. São elas:

Serviços de Diretório: Simplifica o gerenciamento de usuários e dispositivos. 

Autenticação Forte: Assegura o acesso, indo além de nomes de usuários e senhas. 

Identidades Federadas: Colabora de forma segura entre os limites organizacionais. 

Proteção à Informação: Protege dados confidenciais - não importando para onde eles são enviados. 

Gerenciamento do Ciclo de Vida da Identidade: Automatiza o gerenciamento de identidade e acesso. 

O Microsoft Windows Server 2008 expande a base da Identidade e Acesso Microsoft através de diversos novos recursos e tecnologias que ajudam as organizações a melhorar a eficiência operacional, simplificar a conformidade e fortalecer a segurança.

*
Nesta página
O que Há de Novo nos Serviços de DiretórioO que Há de Novo nos Serviços de Diretório
O que Há de Novo na Autenticação ForteO que Há de Novo na Autenticação Forte
O que Há de Novo na Proteção à InformaçãoO que Há de Novo na Proteção à Informação

O que Há de Novo nos Serviços de Diretório

Controlador de Domínio Somente Leitura - RODC: Um dos recursos novos mais significativos para o AD DS (Active Directory Domain Services) no Windows Server 2008 é o RODC (Read-Only Domain Controller - Controlador de Domínio Somente Leitura). Um RODC permite que você implante facilmente um controlador de domínio que hospede uma réplica somente-leitura do banco de dados do domínio. Isso é muito indicado para locais em que a segurança física do controlador de domínio não pode ser garantida, em que a conectividade de rede pode causar um impacto negativo na produtividade ou em que outros aplicativos devem ser executados em um controlador de domínio e devem ser mantidos por um administrador de servidor (que, idealmente, não seja membro do grupo Administradores do Domínio). Todos esses cenários são comuns em implantações de escritórios remotos.

Um RODC contém os mesmos objetos e atributos que um controlador de domínio que não é somente-leitura. Entretanto, as alterações originadas localmente não são aplicadas na réplica RODC. Em vez disso, as alterações são feitas no controlador de domínio gravável e depois replicadas para o RODC. Isso evita que as alterações feitas em locais remotos corrompam potencialmente a floresta do AD via replicação.

Os administradores podem especificamente configurar um RODC para armazenar (cache) as credenciais dos usuários. Na primeira vez em que um usuário tentar autenticar-se a um RODC, este irá encaminhar a solicitação para o controlador de domínio gravável. Se a autenticação for bem-sucedida, o RODC também irá solicitar uma cópia das credenciais do usuário. A Password Replication Policy determina se as credenciais podem ser replicadas e armazenadas em cache no RODC. Se as credenciais forem armazenadas em cache, na próxima vez em que o usuário tentar efetuar logon, a solicitação será diretamente atendida pelo RODC até que ele seja notificado, por meio da replicação, sobre a alteração da credencial. O armazenamento em cache das credenciais pode aumentar a produtividade do usuário final, reduzindo os efeitos dos problemas com a latência da WAN ou de conectividade de rede que comumente ocorrem nos escritórios remotos. O AD DS também mantém uma lista de todas as credenciais armazenadas nos RODCs e, caso um RODC seja comprometido, um administrador poderá forçar a redefinição de senha para todas as credenciais de usuário armazenadas nesse RODC.

Os RODCs incluem um recurso de promoção delegada o qual permite que a instalação e o gerenciamento sejam delegados a um responsável não-administrativo localizado no escritório remoto. Os profissionais do escritório remoto podem concluir uma instalação, anexando um servidor à conta do RODC previamente criada por um administrador. Esse recurso elimina a necessidade de utilizar um site de teste para os controladores de domínio do escritório remoto ou enviar uma mídia de instalação e um administrador de domínio ao local remoto.

Serviços de Federação do Active Directory: O AD FS (Active Directory Federation Services) é uma função de servidor no sistema operacional Windows Server 2008. O AD FS pode ser utilizado para criar uma solução de acesso de identidade segura e escalonável com a Internet, altamente extensível que opere por diversas plataformas, incluindo ambientes Windows e não-Windows. O AD FS agora inclui um recurso de importação/exortação de diretiva para facilitar a configuração de um relacionamento entre parceiros da federação. Um provedor de participação é adicionado para dar autorização baseada em função ao WSS (Windows SharePoint Services) e ao RMS (Rights Management Services) aos usuários a partir de um parceiro da federação. Agora, os administradores podem limitar a implantação do serviço de federação por meio da Diretiva de Grupo. Agora, também é fornecido o suporte para as configurações de verificação de anulação de certificados.

Auditoria do Serviço de Diretório: Os administradores agora possuem capacidades granulares de auditoria por meio da nova subcategoria de diretiva de auditoria de alterações no Serviço de Diretório. A diretiva de auditoria de alterações no Serviço de Diretório captura valores novos e antigos das alterações feitas aos objetos do Serviço de Diretório ou aos seus atributos. Os administradores saberão exatamente quem fez a alteração, quando a alteração foi feita, qual objeto e/ou atributo foi alterado e quais eram os valores iniciais e finais. A auditoria no Serviço de Diretório é capturada no log de eventos do Windows e pode ser consolidada ou acionada por meio do Microsoft Operations Manager ou outras ferramentas de terceiros. Este nível detalhado de registro ajuda a simplificar o rastreamento de gerenciamento de alterações do Serviço de Diretório e pode aprimorar a conformidade reguladora da organização.

Função Server Core: O AD DS e o AD LDS (Serviços de Domínio do Active Directory Lightweight) são funções suportadas para as instalações do tipo Server Core do Windows Server 2008. Server Core é a nova opção de instalação que criar um ambiente de baixa manutenção ideal para serviços baseados em funções específicas. A opção Server Core tem, como objetivo, reduzir os requisitos de gerenciamento e limitar a superfície de ataques de uma instalação do Windows Server 2008.

Leia mais sobre a opção Server Core

AD DS baseado em Serviços: O AD DS baseado em serviços no Windows Server 2008. Ele pode agora ser parado e iniciado pelos snap-ins do MMC (Microsoft Management Console ou a partir da linha de comando. Um AD DS baseado em serviços simplifica o gerenciamento, reduzindo o tempo exigido para a realização de operações offline, como uma desfragmentação offline ou uma restauração autorizada. Além disso, ele aprimora a disponibilidade de outros serviços executados em um controlador de domínio, mantendo-os ativos enquanto a manutenção do AD DS é realizada. Quaisquer clientes vinculados a um controlador de domínio parado podem entrar em contato com outro controlador de domínio por meio da descoberta.

Snapshot Viewer do AD DS: Ao expor informações sobre objetos em instantâneos do AD DS (capturados com o tempo), o Snapshot Viewer auxilia na identificação dos objetos que acidentalmente foram excluídos. Esses instantâneos podem ser visualizados em um controlador de domínio, sem iniciar o controlador de domínio no Modo de Restauração dos Serviços de Diretório. Comparando os diversos estados dos objetos assim que eles aparecem nos instantâneos, será possível decidir mais facilmente qual backup do AD DS utilizar para restaurar os objetos excluídos.

Diretiva de bloqueio de conta e de senha finamente granulada: Diretivas finamente granuladas permitem a especificação de múltiplas diretivas de senha e a aplicação de diferentes restrições de senha e diretivas de bloqueio de conta aos diferentes conjuntos de usuários em um único domínio.

Instalação a partir da mídia: A opção IFM (install from media - instalação a partir da mídia) pode ser utilizada para instalar um controlador de domínio adicional em um domínio existente e minimizar o tráfego de replicação durante a instalação.

O que Há de Novo na Autenticação Forte

Cryptography API: Next Generation: A CNG (Cyptography API: Next Generation) é uma nova API (application programming interface) de infra-estrutura no Windows Server 2008 que implementa a recomendação de protocolos Suite B da National Security Agency. O AD CS (Serviços de Certificado do Active Directory) nivela o CNG de acordo com suas necessidades de criptografia. O CNG é uma substituição em longo prazo para a CryptoAPI de versões anteriores do Windows.

No AD CS, os algoritmos de criptografia clássicos ainda são suportados por meio de CSPs (certificate service providers - provedores de serviço de certificados), enquanto novos algoritmos de criptografia, como a ECC (elliptic curve cryptography - criptografia de curva elíptica), são suportados por meio de provedores-chave CNG. Um dos recursos exclusivos do CNG é a capacidade de as organizações nivelarem algoritmos personalizados de criptografia conforme for exigido.

Modelo de administração granular: O AD CS utiliza novos recursos de segurança que fornecem controle granular de quem emite certificados, quais certificados eles podem emitir e quem pode receber esses certificados. Esses recursos de gerenciamento integram grupos de segurança do AD DS às tarefas de gerenciamento de agentes emissores e ao Certificate Managers.

Modelos de certificado V3: No AD CS, os modelos de certificado V3 substituem os modelos de certificado V1 e V2 apresentados em versões anteriores do Windows. Eles dão suporte aos algoritmos mais recentes de criptografia CNG do Windows Server 2008. Os modelos V3 também fornecem um método mais seguro para a validação de cliente de controladores de domínio e podem criptografar comunicações de cliente e servidor relacionadas ao AD CS.

Gerenciamento de PKI (public key infrastructure): O PKIView, disponível como parte do Windows Server 2003 Resource Kit, é agora incluído como um snap-in MMC com a instalação do AD CS no Windows Server 2008.

O PKIView simplifica o gerenciamento de uma PKI corporativa, combinando tarefas vitais de gerenciamento de CA (autoridade de certificação) em uma única interface administrativa. Esta visão consolidada remove os limites geográficos, fornecendo suporte globalizado por meio do suporte de caractere Unicode. Por meio da interface consolidada, os administradores têm:

Uma visualização única hierárquica da infra-estrutura PKI completa com que uma topologia AD DS está registrada e da qual ela participa.

Uma visualização de relacionamento pai/filho - quando uma determinada CA é escolhida, todas as CAs subordinadas são detalhadas na árvore da raiz.

A capacidade de gerenciar diretamente cada nó dentro da interface.

Indicadores codificados por cores que demonstram o funcionamento geral das CAs, árvores ou de toda a PKI corporativa.

Suporte aos padrões mais recentes: O AD CS no Windows Server 2008 apresenta o suporte para os padrões mais recentes, incluindo o OCSP (Online Certificate Status Protocol - protocolo de status de certificado online), o IDP CRL (Issuing Distribution Point Extension) e o SCEP (Simple Certificate Enrollment Protocol).

O que Há de Novo na Proteção à Informação

Colaboração federada: O Windows Server 2008 fornece a primeira implementação da solução completa integrada do Federated Rights Management Services. Essa integração combina os aspectos do AD FS (Active Directory Federation Services – Serviços de Federação do Active Directory) com os aspectos do AD RMS (Active Directory Rights Management Services) a fim de fornecer um framework de colaboração externo facilmente implantado.

Antes do Windows Server “Longhorn,” a colaboração protegida por direitos com organizações externas exigia que os administradores de TI mantivessem internamente um conjunto secundário de credenciais para serem utilizadas pelos usuários externos. Estas eram contas de domínio ou algum formulário da integração Passport. Com a integração dos recursos do AD RMS com o AD FS, os usuários externos que tentam acessar o conteúdo protegido de uma organização são, inicialmente, autenticados por seus controladores de domínio, eliminando, assim, a necessidade de manter um conjunto redundante de credenciais.

Uma vez que esses usuários são autenticados, as diretivas do AD RMS são reforçadas, e o AD RMS fornecerá automaticamente ao usuário externo as licenças de conteúdo apropriadas para trabalhar com um conteúdo protegido da organização. Os administradores possuem controle granular de como esses usuários externos interagem com o conteúdo de uma organização e também podem definir modelos a serem aplicados a múltiplos relacionamentos de parceiros. O Federated Rights Management Services no Windows Server 2008 é totalmente compatível com as implantações existentes do Microsoft Office SharePoint Server 2007 e dá suporte total aos clientes AD RMS de menor nível.

Tema de gerenciamento comum: Transições do AD RMS para um framework de gerenciamento mais familiar. A interface administrativa antiga baseada na Web do AD RMS passou a ser um snap-in do MMC. Além disso, gerenciar o AD RMS tornou-se mais prescritivo, com uma interface orientada a tarefas que fornece links rápidos para as tarefas de configuração exigidas, recomendadas ou opcionais. Quatro novos grupos de segurança permitem que os administradores deleguem tarefas administrativas do AD RMS a usuários ou grupos específicos.

Encriptação de Unidade BitLocker™ do Windows: A Encriptação de Unidade BitLocker™ do Windows é um recurso de proteção de dados disponível no Windows Vista Enterprise e no Windows Vista Ultimate para computadores cliente e em todas as edições do Windows Server 2008. A Encriptação de Unidade BitLocker™ do Windows é um novo recurso da Microsoft que lida com ameaças reais de furto de dados ou exposição à perda, furto ou de hardware de PC sem autorização.

A Encriptação de Unidade BitLocker™ do Windows evita que um ladrão que inicializa outro sistema operacional ou executa uma ferramenta de exploração de software ultrapasse as proteções de sistema e arquivo do Windows Server 2008 ou visualize, estando offline, arquivos armazenados na unidade protegida. O recurso utiliza o TPM 1.2 (Trusted Platform Module) para proteger os dados e garantir que um computador executando o Windows Server 2008 não seja adulterado enquanto o sistema estiver offline. A Encriptação de Unidade BitLocker™ do Windows aprimora a proteção de dados, unindo duas sub-funções fundamentais: a criptografia completa de unidade e a verificação de integridade de componentes de inicialização anteriores.

Leia mais sobre A Encriptação de Unidade BitLocker™ do Windows



©2015 Microsoft Corporation. Todos os direitos reservados. Entre em contato |Nota Legal |Marcas comerciais |Política de Privacidade