O Grupo 'Todos' não Inclui o Identificador de Segurança 'Anônimo'

No Microsoft Windows XP, o grupo Todos não contém o identificador de segurança (SID, security identifier) Anónimo. Assim, não é concedido acesso aos usuários serviços que tentem acessar um objeto de forma anônima num computador baseado em Windows XP, se a lista de controle de acesso (ACL, access control list) do objeto incluir o grupo Todos. O acesso anônimo só é concedido para objetos cuja ACL contenha explicitamente o SID anônimo.

Em computadores que executem o Windows, as ACL e os SID controlam o acesso aos recursos. Cada recurso tem uma ACL que contém os SID de todos os usuários e grupos aos quais tenha sido concedido ou negado o acesso ao recurso.

Quando os usuários efetuam logon num computador que execute o Windows, interativamente ou através de uma rede, lhes é atribuído um token de acesso que contém os SID da respectiva conta de usuário e de todos os grupos de segurança aos quais pertença essa conta. Quando o usuário tentar acessar um recurso, o Windows compara os SID do token de acesso do usuário com os que estão na ACL do recurso. Se os SID coincidirem, o usuário terá acesso ao recurso especificado na ACL. Se não coincidirem, é negado o acesso.

Os usuários anônimos (usuários ou serviços que têm acesso a recursos através de uma conexão de rede, utilizando um nome, domínio ou senha de conta de usuário nulos) são adicionados automaticamente ao grupo de segurança incorporado Convidados. Em versões anteriores do Windows, os membros do grupo de segurança Convidados podiam acessar a muitos recursos. Em alguns casos, se os administradores não se preocupassem de que os membros do grupo de segurança Convidados estão incluídos como membros do grupo de segurança Todos, os usuários podiam obter acesso a recursos destinados apenas a usuários autenticados.

No Windows XP, o grupo de segurança Convidados foi removido do grupo de segurança Todos. Esta modificação ajuda a limitar o número de recursos de rede disponíveis por padrão para usuários anônimos e permite simplificar o controleo do acesso de usuários anônimos por parte dos administradores de rede. Dado que o grupo Todos já não inclui usuários anônimos, é mais fácil para os administradores configurar um sistema seguro, pelas seguintes razões:

• As ACL pradrões de versões anteriores do Windows (principalmente o Windows NT 4.0) que permitem ao grupo de segurança Todos acessar a recursos e, potencialmente, expor o site a ataques, não concedem acesso a usuários anônimos após a atualização para o Windows XP.
• Não é concedido a usuários anônimos acesso a recursos de que o administrador não tenha conhecimento.
• Pode ser explicitamente concedido a usuários anônimos acesso a recursos específicos através do grupo de segurança Convidados claramente designado.

NOTA: Este melhoramento de segurança apenas está presente em computadores que executem o Windows XP. Desta forma, apenas são afetados os usuários anônimos que tentam acessar a recursos hospedados em computadores que executem o Windows XP.

Implementação

AVISO: A utilização incorreta do Editor de registro pode causar problemas graves que poderão forçar a reinstalação do sistema operacional. A Microsoft não garante que os problemas resultantes da utilização incorreta do Editor de Registro possam ser resolvidos. Todo e qualquer risco decorrente da utilização do Editor de Registro é de responsabilidade do usuário.

Para obter informações sobre como editar o registro, consulte o tópico de ajuda Alterar chaves e valores no Editor de registro (Regedit.exe) ou os tópicos de ajuda Adicionar e excluir informações no registro e Editar informações de registro no Regedt32.exe. Note que é importante fazer um backup do registro antes de editá-lo. Se estiver utilizando o Windows NT ou o Windows 2000, você deverá também atualizar o disco de reparação de emergência (ERD, Emergency Repair Disk).

Para implementar este melhoramento de segurança, é necessário alterar o conteúdo do token de acesso gerado para usuários anónimos. Em versões anteriores do Windows, o token de acesso para usuários anônimos continha SIDs para:

• O grupo de segurança Todos
• O grupo de segurança Convidados
• O tipo de logon (normalmente Rede)

No Windows XP, o grupo de segurança Todos foi removido do token de acesso para usuários anônimos. Assim, o token de acesso para usuários anônimos contém SID para:

• Convidados
• O tipo de logon (normalmente Rede)

Quando um usuário anônimo tenta acessa a um recurso num computador que execute o Windows XP, não são concedidas permissões ou ingressos a grupos disponíveis ao grupo de segurança Todos. O SID para o grupo de segurança Todos está presente no token de acesso do usuário anônimo.

Compatibilidade com versões anteriores do Windows

O Windows 2000 introduziu um mecanismo que permite alterar as configurações de segurança rigorosas recomendadas para configurações de segurança que concediam a alguns usuários anônimos o acesso a objetos do Active Directory necessários para serviços executados em versões anteriores do sistema operacional. Devido ao melhoramento de segurança no Windows XP, existe uma ligeira alteração na forma como funciona o mecanismo do Windows 2000.

O Windows 2000 introduziu configurações de segurança padrão mais rigorosas do que as configurações de segurança que estavam disponíveis no Windows NT 4.0 e em versões anteriores do sistema operacional. Para ser compatível com os serviços que requerem acesso anônimo a determinados dados de domínio, o Windows 2000 apresentava uma forma de mudar as configurações de alta segurança (a configuração preferencial quando a compatibilidade com versões anteriores não é exigida) para configurações de segurança compatíveis com versões anteriores, que concedem acesso aos usuários anônimos, tal como requerido por sistemas que executam o Windows NT 4.0 e versões anteriores do Windows.

O grupo de segurança Acesso compatível com versões pré-Windows 2000, introduzido no Windows 2000, controla esta opção de segurança. A compatibilidade com versões anteriores é conseguida em computadores que estejam executando o Windows 2000, tornando o grupo de segurança Todos membro do grupo de segurança Acesso compatível com versões pré-Windows 2000. É possível configurar configurações de alta segurança, removendo todos os membros do grupo Acesso compatível com versões pré-Windows 2000.

Em controladores de domínio do Windows XP, o grupo Todos já não inclui Convidados. Portanto, as configurações de compatibilidade com versões anteriores exigem que os grupos de segurança Todos e Convidados sejam membros do grupo Acesso compatível com versões pré-Windows 2000. Para satisfazer este requisito, utilize um dos seguintes métodos:

• Se promover um computador que esteja executando o Windows .NET Server a controlador de domínio utilizando o Assistente de promoção do Active Directory (Dcpromo.exe), clique em Permissões compatíveis com servidores pré-Windows 2000 para adicionar os grupos Convidados e Todos ao grupo de segurança Acesso compatível com versões pré-Windows 2000.
• Se estiver atualizando um controlador de domínio baseado em Windows 2000 para Windows XP, caso o grupo de segurança Todos já seja membro do grupo de segurança Acesso compatível com versões pré-Windows 2000 (indicando configurações de compatibilidade com versões anteriores), o grupo de segurança Convidados será adicionado ao grupo de segurança Acesso compatível com versões pré-Windows 2000 durante a atualização.

É possível alternar manualmente entre as configurações de compatibilidade com versões anteriores e as configurações de alta segurança em objetos do Active Directory, atualizando a lista de participação do grupo de segurança Acesso compatível com versões pré-Windows 2000 através do snap-in Usuário e Computadores do Active Directory.

Compatibilidade com programas que funcionam com o Windows 2000

Ao atualizar o Windows 2000 para o Windows XP, os recursos com ACL que concedem acesso ao grupo Todos (e não explicitamente ao grupo Convidados) já não estarão disponíveis para os usuários anônimos após a atualização. Na maioria dos casos, esta é uma restrição adequada ao acesso anônimo. Contudo, poderá ser necessário permitir o acesso anônimo a estes recursos para suportar programas previamente existentes. Neste caso, você deve adicionar explicitamente o grupo de segurança Convidados às ACL dos recursos específicos.

Em algumas situações, poderá ser difícil determinar a que recurso do computador com o Windows XP você terá que conceder acesso anônimo. Também poderá ser difícil modificar as permissões em todos os recursos necessários.

Nestas situações, poderá ser necessário forçar o computador que executa o Windows XP a incluir o grupo de segurança Convidados no grupo de segurança Todos. Para suportar esta funcionalidade, o Windows XP introduz um novo valor de registro, EveryoneIncludesAnonymous. Este valor pode ser utilizado para alternar entre o comportamento padrão do Windows XP (o grupo de segurança Todos não inclui o grupo de segurança Convidados) e o comportamento do Windows 2000 (o grupo de segurança Todos inclui o grupo de segurança Convidados).

Quando o token de acesso para um usuário anônimo é criado, se o valor de registro EveryoneIncludesAnonymous estiver definido com o valor DWORD 0x0, a autoridade de segurança local (LSA, local security authority) do computador que está executando o Windows XP não inclui o SID do grupo de segurança Todos no token de acesso do usuário anônimo. Este comportamento é de projeto.

Se o valor de registro EveryoneIncludesAnonymous estiver definido com o valor DWORD 0x1, a LSA inclui o SID do grupo de segurança Todos no token de acesso do usuário anônimo.

Para definir o valor de registro EveryoneIncludesAnonymous, utilize qualquer dos seguintes métodos:

• Para definir o valor de registro EveryoneIncludesAnonymous utilizando as configurações de segurança local:
  
  
  1. Clique em Iniciar, aponte para Programas, aponte para Ferramentas administrativas e em seguida clique em Diretiva de segurança local ou Diretiva de segurança do domínio (apenas em controladores de domínio).
  2. Clique em Configurações de segurança, dê duplo clique em Diretivas locais e em seguida clique em Opções de segurança.
  3. Clique com o botão direito do mouse em Acesso à rede: Permitir que as permissões 'Todos' sejam aplicadas a usuários anônimos e em seguida clique em Propriedades.
  4. Para permitir que usuários anônimos se tornem membros do grupo de segurança Todos, clique em Ativar. Para evitar a inclusão do SID do grupo de segurança Todos no token de acesso do usuário anônimo (padrão do Windows XP), clique em Desativar.
• Para definir o valor de registro EveryoneIncludesAnonymous utilizando o Editor de registo:
  
  
  1. Clique em Iniciar, clique em Executar, digite regedit e em seguida clique em OK.
  2. Localize e clique na seguinte chave de registro:
     HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
  3. Clique com o botão direito do mouse em EveryoneIncludesAnonymous e em seguida clique em Modificar.
  4. Para permitir que usuários anônimos se tornem membros do grupo de segurança Todos, na caixa Dados do valor digite 1 . Para impedir a inclusão do SID do grupo de segurança Todos no token de acesso do usuário anônimo (padrão do Windows XP), na caixa Dados do valor digite 0 .
  5. Saia do Editor do registo.