O grupo 'Todos' não inclui o identificador de segurança 'Anónimo'

No Microsoft Windows XP, o grupo Todos não contém o identificador de segurança (SID, security identifier) Anónimo. Assim, não é concedido acesso aos utilizadores ou serviços que tentem aceder a um objecto de forma anónima num computador baseado em Windows XP, se a lista de controlo de acesso (ACL, access control list) do objecto incluir o grupo Todos. O acesso anónimo só é concedido para objectos cuja ACL contenha explicitamente o SID anónimo.

Em computadores que executem o Windows, as ACL e os SID controlam o acesso aos recursos. Cada recurso tem uma ACL que contém os SID de todos os utilizadores e grupos aos quais tenha sido concedido ou negado o acesso ao recurso.

Quando os utilizadores iniciam sessão num computador que execute o Windows, interactivamente ou através de uma rede, é-lhes atribuído um token de acesso que contém os SID da respectiva conta de utilizador e de todos os grupos de segurança aos quais pertença essa conta de utilizador. Quando o utilizador tenta aceder a um recurso, o Windows compara os SID do token de acesso do utilizador com os que estão na ACL do recurso. Se os SID coincidirem, o utilizador terá acesso ao recurso especificado na ACL. Se não coincidirem, é negado o acesso ao utilizador.

Os utilizadores anónimos (utilizadores ou serviços que têm acesso a recursos através de uma ligação de rede, utilizando um nome, domínio ou palavra-passe de conta de utilizador nulos) são adicionados automaticamente ao grupo de segurança incorporado Início de sessão anónimo. Em versões anteriores do Windows, os membros do grupo de segurança Início de sessão anónimo podem aceder a muitos recursos. Em alguns casos, se os administradores não se aperceberem de que os membros do grupo de segurança Início de sessão anónimo estão incluídos como membros do grupo de segurança Todos, os utilizadores anónimos podem ter acesso a recursos destinados apenas a utilizadores autenticados.

No Windows XP, o grupo de segurança Início de sessão anónimo foi removido do grupo de segurança Todos. Esta modificação ajuda a limitar o número de recursos de rede disponíveis por predefinição para utilizadores anónimos e permite simplificar o controlo do acesso de utilizadores anónimos por parte dos administradores de rede. Dado que o grupo Todos já não inclui utilizadores anónimos, é mais fácil para os administradores configurar um sistema seguro, pelas seguintes razões:

• As ACL predefinidas de versões anteriores do Windows (principalmente o Windows NT 4.0) que permitem ao grupo de segurança Todos aceder a recursos e, potencialmente, expor o site a ataques, não concedem acesso a utilizadores anónimos após a actualização para o Windows XP.
• Não é concedido a utilizadores anónimos acesso a recursos de que o administrador não tenha conhecimento.
• Pode ser explicitamente concedido a utilizadores anónimos acesso a recursos específicos através do grupo de segurança Início de sessão anónimo claramente designado.

NOTA: Este melhoramento de segurança apenas está presente em computadores que executem o Windows XP. Desta forma, apenas são afectados os utilizadores anónimos que tentem aceder a recursos hospedados em computadores que executem o Windows XP.

Implementação

AVISO: A utilização incorrecta do Editor de registo pode causar problemas graves que poderão forçar a reinstalação do sistema operativo. A Microsoft não garante que os problemas resultantes da utilização incorrecta do Editor de registo possam ser resolvidos. Todo e qualquer risco decorrente da utilização do Editor de registo é da responsabilidade do utilizador.

Para obter informações sobre como editar o registo, consulte o tópico de ajuda Alterar chaves e valores no Editor de registo (Regedit.exe) ou os tópicos de ajuda Adicionar e eliminar informações no registo e Editar informações de registo no Regedt32.exe. Repare que deve criar uma cópia de segurança do registo antes de o editar. Se estiver a utilizar o Windows NT ou o Windows 2000, deverá também actualizar o disco de reparação de emergência (ERD, Emergency Repair Disk).

Para implementar este melhoramento de segurança, tem de alterar o conteúdo do token de acesso gerado para utilizadores anónimos. Em versões anteriores do Windows, o token de acesso para utilizadores anónimos continha SIDs para:

• O grupo de segurança Todos
• O grupo de segurança Início de sessão anónimo
• O tipo de início de sessão (normalmente Rede)

No Windows XP, o grupo de segurança Todos foi removido do token de acesso para utilizadores anónimos. Assim, o token de acesso para utilizadores anónimos contém SID para:

• Início de sessão anónimo
• O tipo de início de sessão (normalmente Rede)

Quando um utilizador anónimo tenta aceder a um recurso num computador que execute o Windows XP, não lhe são concedidas permissões ou adesões a grupos disponíveis ao grupo de segurança Todos. O SID para o grupo de segurança Todos está presente no token de acesso do utilizador anónimo.

Compatibilidade com versões anteriores do Windows

O Windows 2000 introduziu um mecanismo que permite alterar as definições de segurança rigorosas recomendadas para definições de segurança que concediam a alguns utilizadores anónimos o acesso a objectos do Active Directory necessários para serviços executados em versões anteriores do sistema operativo. Devido ao melhoramento de segurança no Windows XP, existe uma ligeira alteração na forma como funciona o mecanismo do Windows 2000.

O Windows 2000 introduziu definições de segurança predefinidas mais rigorosas do que as definições de segurança que estavam disponíveis no Windows NT 4.0 e em versões anteriores do sistema operativo. Para ser compatível com os serviços que requerem acesso anónimo a determinados dados de domínio, o Windows 2000 apresentava uma forma de mudar as definições de alta segurança (a configuração preferencial quando a compatibilidade com versões anteriores não é exigida) para definições de segurança compatíveis com versões anteriores, que concedem acesso aos utilizadores anónimos, tal como requerido por sistemas que executam o Windows NT 4.0 e versões anteriores do Windows.

O grupo de segurança Acesso compatível com versões anteriores ao Windows 2000, introduzido no Windows 2000, controla esta opção de segurança. A compatibilidade com versões anteriores é conseguida em computadores que estejam a executar o Windows 2000, tornando o grupo de segurança Todos membro do grupo de segurança Acesso compatível com versões anteriores ao Windows 2000. Pode configurar definições de alta segurança, removendo todos os membros do grupo Acesso compatível com versões anteriores ao Windows 2000.

Em controladores de domínio do Windows XP, o grupo Todos já não inclui Início de sessão anónimo. Portanto, as definições de compatibilidade com versões anteriores exigem que os grupos de segurança Todos e Início de sessão anónimo sejam membros do grupo Acesso compatível com versões anteriores ao Windows 2000. Para satisfazer este requisito, utilize um dos seguintes métodos:

• Se promover um computador que esteja a executar o Windows .NET Server a controlador de domínio utilizando o Assistente de promoção do Active Directory (Dcpromo.exe), clique em Permissões compatíveis com servidores pré-Windows 2000 para adicionar os grupos Início de sessão anónimo e Todos ao grupo de segurança Acesso compatível com versões anteriores ao Windows 2000.
• Se estiver a actualizar um controlador de domínio baseado em Windows 2000 para Windows XP, caso o grupo de segurança Todos já seja membro do grupo de segurança Acesso compatível com versões anteriores ao Windows 2000 (indicando definições de compatibilidade com versões anteriores), o grupo de segurança Início de sessão anónimo será adicionado ao grupo de segurança Acesso compatível com versões anteriores ao Windows 2000 durante a actualização.

Pode alternar manualmente entre as definições de compatibilidade com versões anteriores e as definições de alta segurança em objectos do Active Directory, actualizando a adesão ao grupo de segurança Acesso compatível com versões anteriores ao Windows 2000 através do snap-in Computadores e utilizadores do Active Directory.

Compatibilidade com programas que funcionam com o Windows 2000

Quando actualizar o Windows 2000 para o Windows XP, os recursos com ACL que concedem acesso ao grupo Todos (e não explicitamente ao grupo Início de sessão anónimo) já não estarão disponíveis para os utilizadores anónimos após a actualização. Na maioria dos casos, esta é uma restrição adequada ao acesso anónimo. Contudo, poderá ser necessário permitir o acesso anónimo a estes recursos para suportar programas previamente existentes. Neste caso, deve adicionar explicitamente o grupo de segurança Início de sessão anónimo às ACL dos recursos específicos.

Em algumas situações, poderá ser difícil determinar a que recurso do computador com o Windows XP terá de conceder acesso anónimo. Também poderá ser difícil modificar as permissões em todos os recursos necessários.

Nestas situações, poderá ser necessário forçar o computador que executa o Windows XP a incluir o grupo de segurança Início de sessão anónimo no grupo de segurança Todos. Para suportar esta funcionalidade, o Windows XP introduz um novo valor de registo, EveryoneIncludesAnonymous. Este valor pode ser utilizado para alternar entre o comportamento predefinido do Windows XP (o grupo de segurança Todos não inclui o grupo de segurança Início de sessão anónimo) e o comportamento do Windows 2000 (o grupo de segurança Todos inclui o grupo de segurança Início de sessão anónimo).

Quando o token de acesso para um utilizador anónimo é criado, se o valor de registo EveryoneIncludesAnonymous estiver definido com o valor DWORD 0x0, a autoridade de segurança local (LSA, local security authority) do computador que está a executar o Windows XP não inclui o SID do grupo de segurança Todos no token de acesso do utilizador anónimo. Esta é a predefinição.

Se o valor de registo EveryoneIncludesAnonymous estiver definido com o valor DWORD 0x1, a LSA inclui o SID do grupo de segurança Todos no token de acesso do utilizador anónimo.

Para definir o valor de registo EveryoneIncludesAnonymous, utilize qualquer dos seguintes métodos:

• Para definir o valor de registo EveryoneIncludesAnonymous utilizando as definições de segurança local:
  
  
  1. Clique em Iniciar, aponte para Programas, aponte para Ferramentas administrativas e, em seguida, clique em Política de segurança local ou Política de segurança do domínio (apenas em controladores de domínio).
  2. Clique em Definições de segurança, faça duplo clique em Políticas locais e, em seguida, clique em Opções de segurança.
  3. Clique com o botão direito do rato em Acesso à rede: Permitir que as permissões 'Todos' sejam aplicadas a utilizadores anónimos e, em seguida, clique em Propriedades.
  4. Para permitir que utilizadores anónimos se tornem membros do grupo de segurança Todos, clique em Activada. Para evitar a inclusão do SID do grupo de segurança Todos no token de acesso do utilizador anónimo (predefinição do Windows XP), clique em Desactivada.
• Para definir o valor de registo EveryoneIncludesAnonymous utilizando o Editor de registo:
  
  
  1. Clique em Iniciar, clique em Executar, escreva regedit e, em seguida, clique em OK.
  2. Localize e clique na seguinte chave de registo:
     HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
  3. Clique com o botão direito do rato em EveryoneIncludesAnonymous e, em seguida, clique em Modificar.
  4. Para permitir que utilizadores anónimos se tornem membros do grupo de segurança Todos, na caixa Dados do valor escreva 1 . Para impedir a inclusão do SID do grupo de segurança Todos no token de acesso do utilizador anónimo (predefinição do Windows XP), na caixa Dados do valor escreva 0 .
  5. Saia do Editor de registo.