Como restringir o acesso ao registro de um computador remoto

Traduções deste artigo Traduções deste artigo
ID do artigo: 153183 - Exibir os produtos aos quais esse artigo se aplica.
Aviso
Este artigo se aplica ao Windows 2000. Suporte 2000 termina em 13 de julho de 2010.Windows 2000 End-of-Support Solution Center é um ponto de partida para planejar uma estratégia de migração do Windows 2000. Para obter mais informações, consulte a Microsoft Support Lifecycle Policy.
Para uma versão do Microsoft Windows XP deste artigo, consulte 314837.
Aviso
Este artigo se aplica ao Windows 2000. Suporte 2000 termina em 13 de julho de 2010.Windows 2000 End-of-Support Solution Center é um ponto de partida para planejar uma estratégia de migração do Windows 2000. Para obter mais informações, consulte a Microsoft Support Lifecycle Policy.
Expandir tudo | Recolher tudo

Neste artigo

Sumário

Editor do registro oferece suporte a acesso remoto para o Windows Registry; no entanto, você também pode restringir esse acesso.

Mais Informações

Por padrão em um sistema Windows NT 3.51 qualquer usuário pode acessar o registro ao se conectar pela rede. Em um sistema Windows NT 4.0 e posterior, por padrão somente os membros do grupo Administradores podem acessar o registro pela rede.

Usuários de domínio podem se conectar ao registro de um controlador de domínio remotamente usando Regedit.exe. Em seguida, eles podem ver valores na entrada HKEY_CLASSES_ROOT e na entrada HKEY_USERS. No entanto, eles terão apenas acesso somente leitura. Isso é por design.

Observação Alguns serviços precisam acessar o registro para funcionar corretamente. Por exemplo, se você adicionar essa chave para um sistema 3.51 que está executando a replicação de diretório, é necessário conceder acesso à conta Replicador para o Registro conforme descrito posteriormente neste artigo.

Restringindo o acesso de rede para o registro

Importante Esta seção, método ou tarefa contém etapas que informam sobre como modificar o registro. No entanto, sérios problemas poderão ocorrer se você modificar o registro incorretamente. Portanto, certifique-se de que você siga estas etapas cuidadosamente. Para proteção adicional, faça backup do registro antes de modificá-lo. Em seguida, você pode restaurar o registro se ocorrer um problema. Para obter mais informações sobre como fazer backup e restaurar o registro, clique no número abaixo para ler o artigo na Base de dados de Conhecimento:
322756Como fazer backup e restaurar o registro no Windows
Observação No Windows 2000 e posterior, somente administradores e operadores têm acesso de rede padrão ao registro. Esta seção não pode aplicar em determinadas instâncias. Para restringir o acesso de rede para o registro, execute as etapas listadas abaixo para criar a seguinte chave do Registro:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServers\winreg

Nome: Descrição
Tipo: REG_SZ
Valor: Registro Server
As permissões de segurança definidas nesta chave definem quais usuários ou grupos podem se conectar ao sistema para acesso de registro remoto. A instalação do Windows padrão define esta chave e define a lista de controle de acesso para restringir o acesso remoto ao registro da seguinte maneira:
Os administradores possuam Controle total
A configuração padrão para o Windows permite que apenas administradores acesso remoto ao registro. Alterações a esta chave para permitir aos usuários acesso de registro remoto exigem a reinicialização do sistema tenham efeito.

Para criar a chave do Registro para restringir o acesso ao registro:
  1. Inicie o Editor do Registro (Regedt32.exe) e vá para a seguinte subchave:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control
  2. No menu Editar, clique em Adicionar chave.
  3. Insira os seguintes valores:
    Nome de chave: SecurePipeServers
    Classe: REG_SZ
  4. Vá para a seguinte subchave:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServers
  5. No menu Editar, clique em Adicionar chave.
  6. Insira os seguintes valores:
    Nome de chave: winreg
    Classe: REG_SZ
  7. Vá para a seguinte subchave:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServers\winreg
  8. No menu Editar, clique em Adicionar valor.
  9. Insira os seguintes valores:
    Nome do valor: Descrição
    Tipo de dados: REG_SZ
    Seqüência: Servidor de registro
  10. Vá para a seguinte subchave.
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServers\winreg
  11. Selecione "winreg". Clique em segurança e clique em permissões. Adicione usuários ou grupos aos quais você deseja conceder acesso.
  12. Sair do Editor do Registro e reinicie o Windows.
  13. Se você em um estágio posterior deseja alterar a lista de usuários podem acessar o registro, repita as etapas 10-12.

Ignorando a restrição de acesso

Alguns serviços precisam de acesso remoto ao registro para funcionar corretamente. Por exemplo, o serviço e o spooler do serviço ao se conectar a uma impressora na rede exigir acesso ao registro remoto.

Você pode adicionar o nome da conta que o serviço está sendo executado sob a lista de acesso da chave "winreg" ou você pode configurar o Windows para ignorar a restrição de acesso a determinadas chaves listando-os no valor de máquina ou usuários sob a chave AllowedPaths.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServers\winreg\AllowedPaths
   Value:        Machine
   Value Type:   REG_MULTI_SZ - Multi string
   Default Data: System\CurrentControlSet\Control\ProductOptions
                 System\CurrentControlSet\Control\Print\Printers
                 System\CurrentControlSet\Services\Eventlog
                 Software\Microsoft\Windows NT\CurrentVersion
                 System\CurrentControlSet\Services\Replicator

   Valid Range:  A valid path to a location in the registry.
   Description:  Allow machines access to listed locations in the
                 registry provided that no explicit access
                 restrictions exists for that location.

   Value:        Users
   Value Type:   REG_MULTI_SZ - Multi string
   Default Data: (None)
   Valid Range:  A valid path to a location in the registry.
   Description:  Allow Users access to listed locations in the
                 registry provided that no explicit access
                 restrictions exists for that location. 
Ligeiramente alterada no Windows 2000 e posterior:
   Value:        Machine
   Value Type:   REG_MULTI_SZ - Multi string
   Default Data: System\CurrentControlSet\Control\ProductOptions
                 System\CurrentControlSet\Control\Print\Printers
                 system\CurrentControlSet\control\Server Applications
                 System\CurrentControlSet\Services\Eventlog
                 Software\Microsoft\Windows NT\CurrentVersion
                 
   Value:  Users - Does not exist by default. 
Para obter informações adicionais sobre como acessar o registro do Windows programaticamente e aplicar segurança a uma chave do Registro, clique no número abaixo para ler o artigo na Base de dados de Conhecimento:
146906Como proteger dados de desempenho no Windows 2000, Windows NT, Windows XP


Observação É possível ter acesso remoto ao registro depois siga as etapas neste artigo se o valor de registro RestrictNullSessAccess foi criado e definido como 0. Este valor permite acesso remoto ao registro usando uma sessão nula. O valor substitui outras configurações restritivas explícitas.

Propriedades

ID do artigo: 153183 - Última revisão: quarta-feira, 21 de fevereiro de 2007 - Revisão: 8.5
A informação contida neste artigo aplica-se a:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows NT Workstation 3.51
  • Microsoft Windows NT Workstation 4.0 Developer Edition
  • Microsoft Windows NT Server 3.51
  • Microsoft Windows NT Server 4.0 Standard Edition
Palavras-chave: 
kbmt kbnetwork KB153183 KbMtpt
Tradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine Translation ou MT), não tendo sido portanto traduzido ou revisto por pessoas. A Microsoft possui artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais, com o objetivo de oferecer em português a totalidade dos artigos existentes na base de dados de suporte. No entanto, a tradução automática não é sempre perfeita, podendo conter erros de vocabulário, sintaxe ou gramática. A Microsoft não é responsável por incoerências, erros ou prejuízos ocorridos em decorrência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza atualizações freqüentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 153183

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com