Como restaurar as configurações de segurança para um estado de funcionamento seguro?

Traduções deste artigo Traduções deste artigo
ID do artigo: 313222 - Exibir os produtos aos quais esse artigo se aplica.
Este artigo foi publicado anteriormente em BR313222
Expandir tudo | Recolher tudo

Sumário

Durante o tempo de vida de uma instalação do sistema operacional, podem ocorrer mudanças na configuração que impedem o sistema operacional ou os aplicativos funcionarem corretamente. Os sintomas que podem ser causados por configurações de segurança totalmente restritivas incluem, mas não estão limitados a:



· Falhas do SO, serviço ou inicialização do aplicativo

· Falhas de autenticação ou autorização

· Falhas de acesso ao recurso no computador local ou remoto


Operações que podem realizar mudanças nas configurações de segurança incluem, mas não estão limitados a:



· Atualizações do SO, service pack do QFE e instalações de aplicativos

· Mudanças na política de grupo

· Atribuições de direitos do usuário

· Modelos de segurança

· A modificação de configurações de segurança no Active Directory, no Registro e em outros bancos de dados

· A modificação de permissões sobre objetos no AD, no sistema de arquivos e no Registro do Windows



Observe que as configurações de segurança podem ser definidas em um computador local, remoto, uma falta de correspondência de interoperabilidade entre o computador local e remoto.



Quando uma instalação funcionando anteriormente falha, uma etapa de resolução de problemas natural é retornar para a última configuração funcionando existente quando o sistema operacional, serviço ou aplicativo funcionou pela última vez ou, em casos extremos, retornar o sistema operacional para sua configuração inicial.


Este artigo descreve os métodos suportados e não suportados para desfazer ou reverter mudanças nos seguintes elementos:

· Permissões no Registro, sistema de arquivos e serviços.

· Atribuições de direitos do usuário

· Política de segurança

· Associação de grupo



Limitações da importação de modelos de segurança padrão:

A versão anterior deste artigo declara que um método para usar o comando "secedit/configure" com a ressalva de que o procedimento não restaura todas as configurações de segurança aplicadas ao instalar o Windows e pode resultar em consequências não previstas.



O uso de ?secedit/configure? para importar o modelo de segurança padrão, dfltbase.inf, não é suportado nem é um método viável de restaurar as permissões de segurança padrão em computadores com Windows Vista, Windows 7, Windows Server 2008 e Windows Server 2008 R2.

Começando com o Windows Vista, o método para aplicar a segurança durante a configuração do sistema operacional mudou. Especificamente, as configurações de segurança consistem de configurações definidas no deftbase.inf aumentadas pelas configurações aplicadas pelo processo de instalação operacional e instalação da função do servidor. Como não há um processo suportado para responder as permissões realizadas pela configuração do sistema operacional, o uso da linha de comando ?secedit /configure /cfg %windir%\inf\defltbase.inf /db defltbase.sdb /verbose? não pode mais reiniciar todos os padrões de segurança e pode resultar em tornar um sistema operacional instável.

Para computadores com Microsoft Windows 2000, Windows XP ou Windows Server 2003, o comando ?secedit /configure /cfg %windir%\repair\secsetup.inf /db secsetup.sdb /verbose? ainda é suportado em poucos cenários onde as configurações de segurança precisam ser restauradas usando o modelo secsetup.inf. Como a importação do Secsetup.inf ou qualquer outro modelo reinicia apenas o que foi definido no modelo e não restaura as configurações externas, este método ainda não pode restaurar todo o sistema operacional padrão, incluindo aqueles que podem estar causando um problema de compatibilidade.



O uso de ?secedit/configure? permanece totalmente suportado se importar modelos personalizados.





A seguir está uma lista de métodos suportados (em uma ordem aleatória de preferência) para restaurar o sistema Windows para seu estado de funcionamento anterior.



1. Restaurar usando o Estado do Sistema: (Para todos os clientes/servidores do Windows)

Se você tem um backup do Estado do Sistema criado para um determinado sistema Windows antes do incidente, use o mesmo para restaurar as configurações de segurança para um estado de funcionamento. Qualquer mudança nos aplicativos do sistema deste o último estado do sistema pode precisar ser reaplicada para obter uma recuperação de sucesso. Isto pode não ser útil para restaurar as configurações de segurança em aplicativos relacionados a dados ou qualquer sistema de arquivos não operacionais. Você pode precisar realizar um backup completo do sistema, incluindo o estado do sistema, para restaurar de volta ao seu estado original

2. Restaurar usando a restauração do sistema:(Apenas para sistemas operacionais do Windows)

O recurso de Restauração do Sistema integrado cria automaticamente pontos de restauração em intervalores regulares e quando aplicativos são adicionados através de métodos do instalador suportado. Cada ponto de restauração contém a informação necessária para restaurar o sistema para o estado do sistema escolhido. Este método pode ser usado para recuperar o sistema de volta para um estado específico. Como mencionado anteriormente no método anterior, isto pode não ser útil para restaurar as configurações de segurança em dados do aplicativo e um backup completo do sistema pode ser necessário.

3. Restaurar usando um modelo pré-configurado:

Para sistemas integrados com um modelo, é possível usar o Assistente de Configuração de Segurança se um modelo foi criado para uma máquina com problemas.

4. Restaurar apenas permissões de arquivos:

Para permissões de arquivos, é possível usar a ferramenta de linha de comando integrada ICACLS/restore para restaurar a segurança de arquivos que foi armazenada usando a opção /save na mesma máquina para um estado de funcionamento anterior. Este método pode ser usado para comparar os resultados de uma máquina de funcionamento idêntica com uma em falha.



Quando nenhum dos métodos acima forem aplicado ou nenhum backup está disponível para restaurar, desfaça a alteração seguindo sua lista de controle de mudança ou consulte a seção resolução de problemas deste artigo para uma configuração de segurança específica ou pelo processo de eliminação.





Aqui está uma tabela de comparação dos métodos mencionados anteriormente.



Recolher esta tabelaExpandir esta tabela
MétodoSIstemas operacionais suportadosPrósContrasPré-trabalho necessário
Backup do WindowsTodos os servidores/clientes WindowsPode ser usado para fazer o backup de dados & restaurar o estado do sistemaPossível grande conjunto de dados para gerenciar. Além disso, você pode precisar responder as mudanças após o backup ser restaurado.

Sim 
Restauração do sistemaTodos os clientes do Windows ?Windows XP, Windows Vista, Windows 7Pode ser configurado para realizar backups de estado do sistema automáticosNão restaura dados do aplicativo que foram alterados inadvertidamente.Sim 
Assistente de Configuração de SegurançaWindows XP, Windows Vista, Windows 7, Windows Server 2003, Windows Server 2003 R2, Windows Server 2008, Windows Server 2008 R2Pode oferecer um modelo para restaurar/aplicar segurança Aplica apenas ou exibi dados contidos dentro de um modelo usadoSim 
ICACLS/RestaurarWindows XP, Windows Vista, Windows 7, Windows Server 2003, Windows Server 2003 R2, Windows Server 2008, Windows Server 2008 R2Útil para fazer o backup de permissões de arquivo NTFS para reutilização posterior, se necessárioNão oferece atualmente permissões de salvamento para outros locais como Registro, serviços, etc.Sim 
Métodos de resolução de problemasWindows XP, Windows Vista, Windows 7, Windows Server 2003, Windows Server 2003 R2, Windows Server 2008, Windows Server 2008 R2Útil quando nenhuma das ferramentas/backups mencionados acima estão disponíveisIsto pode não colocar toda a configuração da máquina em seu estado original antes da alteração de permissões ocorrerem. Além disso, desfazer tais mudanças pode quebrar as dependências definidas por um aplicativo ou componente do SO.Não

Mais Informações

Os seguintes parâmetros de Segurança podem precisar ser abordados para resolver um problema de permissões. Estes são parâmetros definidos dentro dos modelos de segurança:

Recolher esta tabelaExpandir esta tabela
Nome da área Descrição
SECURITYPOLICY Diretivas local e de domínio do sistema. Inclui diretivas de conta, diretivas de auditoria e outras diretivas.
GROUP_MGMT Configurações de grupo restritas para todos os grupos especificados no modelo de segurança.
USER_RIGHTS Direitos de logon do usuário e concessão de permissões.
REGKEYS Segurança nas chaves do Registro local.
FILESTORE Segurança no armazenamento de arquivo local.
SERVICES Segurança para todos os serviços definidos.


As seguintes ferramentas estão disponíveis para resolução de problemas de diferentes áreas de segurança:

1. SecurityPolicy (Políticas de conta, Políticas de auditoria, Configurações do log de eventos e Opções de segurança):

a) RSOP

b) Análise e Configuração de Segurança

c) Gpresult

d) Secedit.exe/export

2. Group_Mgmt

a) RSOP

b) Gpresult

3. User_Rights

a) RSOP

b) Análise e Configuração de Segurança

c) Ntrights

4. RegKeys

a) RSOP

b) Análise e Configuração de Segurança

c) Monitor de Processo

d) AccessChk

e) AccessEnum

f) Subinacl

5. Filestore

a) RSOP

b) Análise e Configuração de Segurança

c) Monitor de Processo

d) Icacls

e) Xcacls.vbs

f) AccessChk

g) AccessEnum

h) Subinacl

i) Cacls

6. Services

a) RSOP

b) Análise e Configuração de Segurança

c) Monitor de Processo

d) Sc

e) AccessChk

f) Subinacl



A seguir estão alguns detalhes adicionais relacionados ao uso de cada uma das ferramentas listadas acima.

RSOP (Resultant Set of Policy)

O Resultant Set of Policy (RSoP) é uma adição a uma Política de Grupo que torna a implementação de política e resolução de problemas mais fácil. O RSoP é um mecanismo de consulta que agrupa políticas existentes e políticas planejadas e relata os resultados destas consultas. Agrupa políticas existentes com base no site, domínio, controlador de domínio e unidade organizacional. O RSoP reúne esta informação no banco de dados do Common Information Management Object Model (CIMOM) (anteriormente conhecido como repositório de objetos de acordo com o CIM) através do Windows Management Instrumentation (WMI).

Qual é o conjunto de políticas resultante?

http://technet.microsoft.com/pt-br/library/cc758010(WS.10).aspx

Usando o RSoP

http://technet.microsoft.com/pt-br/library/cc782663(WS.10).aspx

É um snap-in integrado ?rsop.msc? disponível para todos os sistemas operacionais suportados - Windows XP ou posterior.

Configuração e Análise de Segurança

A Configuração e Análise de Segurança é uma ferramenta para analisar e configurar a segurança do sistema local. A Configuração e Análise de Segurança permite revisar rapidamente os resultados da análise de segurança e configurar diretamente a segurança dos sistema local. Apresenta recomendações junto com as configurações do sistema atual e usa sinalizadores visuais ou marcadores para destacar qualquer área das configurações atuais que não correspondem ao nível de segurança proposto. A Configuração e Análise de Segurança também oferece a responsabilidade para resolver qualquer discrepância que a análise revela. Através do uso de bancos de dados pessoais, é possível importar modelos de segurança criados com Modelos de Segurança e aplicar estes modelos no computador local. Isto configura imediatamente a segurança do sistema com níveis especificados no modelo.

Analisar a segurança do sistema

http://technet.microsoft.com/pt-br/library/cc776590(WS.10).aspx

Práticas recomendadas para a Configuração e Análise de Segurança

http://technet.microsoft.com/pr-br/library/cc757894(WS.10).aspxSecedit/ExportSecedit.exe é uma ferramenta de linha de comando integrada que pode ser usada para exportar a política local ou política mesclada de uma máquina com Windows. É possível exportar o estado da política da máquina em seu estado de funcionamento e usar a opção /configure para reaplicar o modelo na máquina quando estiver em estado de problema.

Para sintaxe e informações adicionais, consulte isto.

NTrights.exeé uma ferramenta do kit de recursos da linha de comando que permite conceder ou revogar direitos do usuário em um computador com Windows local ou remotamente.

Como definir direitos de usuário de login usando o utilitário NTRights

http://support.microsoft.com/kb/315276/pt-br

Ntrights.exe faz parte das ferramentas do kit de recursos que pode ser baixada aqui .

Monitor de Processoé um dos utilitários Sysinternals que permite o monitoramento do Sistema de arquivos, Registro, Processo, Ameaças e atividade de DLL em tempo real. Permite filtrar os resultados, assim como salvar os resultados em um arquivo para revisão posterior. Esta ferramenta pode ser usada para resolver problemas de segurança com acesso ao arquivo e Registro. Por exemplo: É possível filtrar o "resultado" por tentativas "negadas".

Para informações adicionais, consulte o link abaixo:

http://technet.microsoft.com/en-us/sysinternals/bb896645.aspx

Baixe aqui ou Execute o Monitor de Processo agora em Live.Sysinternals.com

AccessChecké um programa da linha de comando que pode ser usado para verificar qual tipo de acesso usuários/grupos específicos tem para obter recursos como arquivos/diretórios/chaves de registros, objetos globais e serviços do Windows. Clique no link abaixo para obter mais detalhes:

http://technet.microsoft.com/en-us/sysinternals/bb664922.aspx

Baixe aqui

AccessEnumoferece uma visão completa do seu caminho do sistema de arquivos e configurações de segurança do núcleo de Registro ajudando você a verificar furos de segurança e bloquear permissões quando necessário.

http://technet.microsoft.com/en-us/sysinternals/bb897332.aspx

Baixe aqui

Sc.exe é uma ferramenta de linha de comando integrada que comunica-se com o Gerenciador de Controle de Serviço. Pode ser usado para exibir informações sobre um valor inicial do serviço, alterar ou desabilitá-lo. No contexto deste artigo, é possível usar o comando ?sc sdshow Service_Name? para resolver as permissões no serviço. Ao ter o resultado, é possível usar o seguinte artigo da KB para interpretar as mesmas

Práticas recomendadas e orientações para gravadores das listas de controle de acesso opcional do serviçohttp://support.microsoft.com/kb/914392/pt-br

Além disso, é possível executar o comando ?sc sdset service_name DACL_in_SDDL_format? para modificar as permissões.

Informações adicionais sobre isso podem ser encontradas nos seguintes links:

http://support.microsoft.com/kb/251192/pt-br

http://technet.microsoft.com/en-us/magazine/dd296748.aspxIcacls.exeIcacls.exe é um utilitário de linha de comando integrado que permite exibir ou modificar as listas de controle de acesso opcional (DACLs) em arquivos/diretórios especificados. O ?ICACLS path_name /save aclfile? pode ser usado para exportar os ACLs para o nome de caminho relevante (arquivos/diretórios) em um arquivo de texto e também ser usado para restaurar de volta para arquivos usando o comando ?ICACLS path_name /restore aclfile?

Informações adicionais sobre isso podem ser encontradas nos seguintes links:

http://support.microsoft.com/kb/919240/pt-br

http://technet.microsoft.com/pt-br/library/cc753525(WS.10).aspx
Observação: este é um artigo de ?PUBLICAÇÃO RÁPIDA? criado diretamente pela organização de suporte da Microsoft. As informações aqui contidas são fornecidas no presente estado, em resposta a questões emergentes. Como resultado da velocidade de disponibilização, os materiais podem incluir erros tipográficos e poderão ser revisados a qualquer momento, sem aviso prévio. Consulte os Termos de Uso para ver outras informações.

Propriedades

ID do artigo: 313222 - Última revisão: quinta-feira, 4 de julho de 2013 - Revisão: 1.0
A informação contida neste artigo aplica-se a:
  • Microsoft Windows XP Home Edition
  • Microsoft Windows XP Professional
  • Windows Vista Business
  • Windows Vista Enterprise
  • Windows Vista Ultimate
  • Windows Vista Home Basic
  • Windows Vista Home Premium
  • Microsoft Windows Server 2003 R2 Datacenter Edition (32-Bit x86)
  • Microsoft Windows Server 2003 R2 Datacenter x64 Edition
  • Microsoft Windows Server 2003 R2 Enterprise Edition (32-Bit x86)
  • Microsoft Windows Server 2003 R2 Enterprise x64 Edition
  • Microsoft Windows Server 2003 R2 Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003 R2 Standard x64 Edition
  • Microsoft Windows Server 2003 Scalable Networking Pack
  • Microsoft Windows Server 2003 Service Pack 1
  • Microsoft Windows Server 2003 Service Pack 2
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
  • Microsoft Windows Server 2003, Datacenter x64 Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003, Standard x64 Edition
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Windows Server 2008 Datacenter without Hyper-V
  • Windows Server 2008 Enterprise without Hyper-V
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Standard
  • Windows Server 2008 Service Pack 2
  • Windows Server 2008 Standard without Hyper-V
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
Palavras-chave: 
kbenv kbhowtomaster KB313222

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com