Protecção da conta de administrador no SAM offline

Traduções de Artigos Traduções de Artigos
Artigo: 223301 - Ver produtos para os quais este artigo se aplica.
Este artigo foi publicado anteriormente em PT223301
Expandir tudo | Reduzir tudo

Nesta página

Sumário

Este artigo trata da segurança do Gestor de contas de segurança (SAM, Security Accounts Manager) offline e das contas que contém.

Os controladores de domínio do Windows 2000 armazenam contas de utilizador de domínio, associações a grupos e outros objectos no Active Directory. A ferramenta Cópia de segurança (Backup) do Windows 2000, assim como os programas de outros fabricantes, podem efectuar cópias de segurança do Active Directory baseado em Jet num controlador de domínio do Windows 2000 online.

Só é possível efectuar a manutenção do sistema e o restauro do Active Directory colocando o Active Directory em modo "offline" ou no modo de "restauro dos serviços de directório" (Directory Services Restore). Este modo de restauro dos serviços de directório, que utiliza uma base de dados de contas do SAM baseada no registo para armazenar a conta de administrador e outros grupos e utilizadores incorporados, representa um contexto de segurança diferente do Active Directory.

Mais Informação

Criação do SAM baseado no registo

O Microsoft Windows NT versão 4.0 e versões anteriores armazenam as contas de utilizador, contas de computador e informações de grupos num SAM baseado no registo. Quando actualiza um controlador de domínio primário (PDC, Primary Domain Controller) do Windows NT 4.0 para o Windows 2000, o utilitário DCPROMO é iniciado no final do programa de configuração do Windows 2000. As contas existentes no SAM migram para o Active Directory baseado em Jet. É criado um novo SAM baseado no registo com a conta de administrador "offline" (e outras contas incorporadas necessárias para recuperar os controladores de domínio do Windows 2000). As contas existentes no SAM baseado no registo só estarão disponíveis no modo de restauro dos serviços de directório (Directory Services Restore) se premir F8 no início do processo de arranque. O SAM baseado no registo é armazenado na pasta %SYSTEMROOT%\SYSTEM32\CONFIG.

Para domínios novos do Windows 2000, a base de dados do Active Directory é criada e preenchida com um conjunto predefinido de utilizadores e grupos. O mesmo tipo de SAM baseado no registo do Windows NT 4.0 presente no cenário de actualização do Windows NT é criado na pasta %SYSTEMROOT%\SYSTEM32\CONFIG.

Proteger o SAM offline

Os métodos de protecção do SAM offline são idênticos aos métodos utilizados no Windows NT 4.0. Os administradores que pretendam proteger o SAM offline poderão levar o seguinte em consideração:

  1. Manter uma palavra-passe diferente para o administrador nos serviços de directório e para a conta de administrador no SAM offline. Por uma questão de política, a palavra-passe para a conta de administrador no Active Directory deverá ser diferente em relação à da conta de administrador offline.

    As palavras-passe online e offline tornar-se-ão diferentes após a primeira alteração da palavra-passe na conta de administrador do Active Directory.
  2. Avaliar o risco e, em seguida, desenvolver uma política de alteração de palavras-passe para contas essenciais, como, por exemplo, a conta de administrador offline e a baseada no Active Directory, através de directrizes de palavras-passe sólidas.
  3. Não é possível aceder ao SAM offline de forma programática quando um controlador de domínio baseado no Windows 2000 está a ser executado no modo Active Directory. Para implementar uma política de alteração de palavras-passe sólida para a conta de administrador offline:

    1. Inicie o controlador de domínio do Windows 2000 no modo de restauro dos serviços de directório (Directory Services Restore).
    2. Altere a palavra-passe da conta ou contas.
    3. Inicie no modo Active Directory.
    O tempo de actividade efectivo do sistema para o servidor irá corresponder ao intervalo para alteração da palavra-passe da conta de administrador offline.
  4. Permitir a auditoria do ficheiro do SAM localizado na pasta %WINDIR%\SYSTEM32\CONFIG. Qualquer outra utilização do ficheiro, para além de ter por objectivo uma cópia de segurança do sistema ou a detecção de vírus, deverá ser investigada.

    NOTA: Não siga os passos descritos nos seguintes artigos contidos na Microsoft Knowledge Base:

    184017 Administrators Can Display Contents of Service Account Passwords
    143475 Windows NT System Key Permits Strong Encryption of the SAM
  5. A segurança física dos computadores, os discos de reparação de emergência e as cópias de segurança em suporte de banda constituem um componente fundamental na criação de um ambiente seguro.

Os administradores poderão detectar uma perda de serviços maior quando não conseguirem apresentar a palavra-passe para a conta de administrador offline do que a provocada por ataques dirigidos ao SAM offline. Defina um processo interno para o armazenamento e obtenção de palavras-passe de administrador offline que não coloque a segurança em risco, mas que disponibilize as palavras-passe para a manutenção e recuperação do sistema. Tenha em consideração que os servidores são normalmente recriados em horas de menor utilização meses, ou até anos, após a instalação original do sistema operativo.

É possível alterar a palavra-passe do SAM offline remotamente através do Windows NT Terminal Server no modo de administração remota (Remote Administration) e alterar o parâmetro do ficheiro boot.ini para iniciar o computador em modo de restauro offline (Offline Restore) ou no modo Active Directory.

Propriedades

Artigo: 223301 - Última revisão: 23 de março de 2004 - Revisão: 4.0
A informação contida neste artigo aplica-se a:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
Palavras-chave: 
kbinfo kbtool KB223301

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com